Тех задание – обеспечить безопасность E-mail

Здравствуйте уважаемые участники форума OSzone.net
Вкратце, предыстория: d мой отдел поступило задание обеспечить конфиденциальность, а так же безопасность пароля электронной почты, одного серьезного предприятия в нашем городе. Директора не хотят особо заморачиваться технической частью вопроса, поэтому изначально зарегистрировали почту на mail.ru, и просматривали ее с 3-х компьютеров: Ноутбук директора, стационар в офисе, домашний компьютер. В конечном счете почту взломали конкуренты, прочитали конфиденциальную информацию и от лица СВОИХ фирм разослали коммерческое предложения партнерам ТОЙ фирмы. Так узнали об утечке информации с почти, и от куда “ветер дует” . Директор поступил следующим образом – он регистрирует мыло на Rambler.ru, и там активирует новую фишку – “сборщик почты”. Новым партнерам выдает НОВОЕ мыло, и дабы не потерять “старых” – забирает почту “”Сборщиком почты Рамблера”. В феврале, ему позвонили партнеры с вопросом – почему нет ответа на их письма, письма были отосланы на Mail.ru. Он заходит на прямую, на mail – и у него, разумеется не проходит пароль! :) C боем с админами Mail.ru, ему восстанавливают доступ к ящику.
Теперь, мне нужно ситуацию исправить. Слабые звенья в цепочке, которые вижу я:
1. Компы директора: фаерволов нет (максимум стандартные виндовые), браузеры IE 6-7 включены Cookie, почта просматривалась исключительно браузером. Из плюсов: хотя бы KAV 2009 лицуха со свежими апдейтами.
2. Корпоративная сеть внутри организации – есть свой сисадмин. Но говорят не волочет в КБ вообще! Есть в сети сервак, какие функции выполняет мне не рассказали. Как инет раздается тоже. Суть не в этом. Если замешан админ – простой сниффер, и пароль у конкурентов.
3. Соц. Инженерия - есть секретный вопрос, если пробили секретный ответ – само собой разумеется… ;)
4. Сломали или подкупили – Mail.ru Ну это уже из области фантастки… ;) ИМХО
Теперь хочу описать, как я планирую решить данный вопрос, а Вы со своей стороны критикуйте, советуйте. Ну и есть некоторые вопросы по ходу. Договорились мы на том, что сделаем все это на одном ноутбуке и почта будет проверяться ТОЛЬКО на нем… Теперь по плану:
1. Проверка AVZ, curit на наличие кейлогеров, троянов, SPY.
2. Руководство купит роутер – воткнуть его концом WAN в корпоративную сеть, в гнездо LAN: ноут. Таким образом обеспечить аппаратный фаервол + кучу полезных вещиц в дальнейшем. Роутер – под пароль. Можно на него же и удаленку организовать – по белому IP, или же через DynDNS.
3. Далее установка Opera, отключение Cookies и вход на почту Mail.ru
4. К делу подключается утилитка Portable Double Password. Ссылка http://www.2baksa.net/news/17262/ Соответственно установка на ноут и смена пароля На mail.ru. Тут же смена секретного вопроса и ответа + указание моб. Тел, и доп E-mail. Кстати Double Password не работает в opera… :( Только в IE…
5. Далее создание фильтра обработки почты. Создаю правило на пересылку почты на ящик Рамблера, и одновременное удаление с сервака. Вкладка безопасности - все галки установлю.
6. Пункты 4,5 повторю на ящике Рамблера. Кроме персылки разумеется… :)
7. Далее берется программка True Crypt Ссылка http://ru.wikipedia.org/wiki/TrueCrypt С ее помощью создаю шифрованный том с применением 3-х алгоритмов шифрования каскадом.
8. Этот том будет использоваться для установки в него The Bat, и хранения почты соответственно. Сюда ставится Bat, и настраивается ящик рамблера (теперь будет использоваться только почта рамблера). Почему рамблер? Он умеет авторизоваться по протоколу APOP, а значит передача пароля будет идти в зашифрованном виде. Тип соединения – Безопасный STARTTLS. Что исключит перехват сниффером. Так же в самом Бате будет установлен пароль на вход в сам ящик и пароль на авторизацию сервера нужно будет вводить каждый раз в ручную… Опять же не без Double Password. (Защита от кейлогеров).
9. Закрытие портов локально: ну изначально, это блокировка 135,137,138,139,445. Отключение UPNP, NetBios, RPC. Просмотр AntiSpy. Далее фаервол: думаю взять Outpost или ZoneAlarm. Не решил еще… Посоветуйте!? Конфигурирование фаера, изучение открытых портов, блокировка все различного барахла.
10. Еще вот вопрос – хотелось бы шифровать САМИ письма на лету, опять же для обхода админа. Т.к по протоколу APOP идет только шифрованная авторизация, письма же можно перехватить… Вариант с открытым ключом не подойдет, для “юзеров”, слишком много возни, вариант – ввести пароль при получении, думаю тоже… Как бы придумать? Это остается самым слабым звеном… Или будет достаточно соединения STARTTLS + APOP-MD5???
11. Включение Windows Update, установка заплаток, Service Pack, при необходимости…

Пока вроде все… Еще конечно был вариант платного VPN, но это уже на крайний случай…
Выслушаю Ваше мнение. Потом, думаю можно будет прилепить куда ни – будь это в качестве руководства… :)