科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道确保 Exchange 通信的安全三

确保 Exchange 通信的安全三

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本模块解释了 Exchange 前端/后端拓扑结构,以及如何使用这种拓扑结构来进一步确保客户端/服务器通讯的安全。最后,讲述了一些确保简单邮件传输协议 (SMTP) 通讯安全的方法。

来源:IT试验室 2008年4月10日

关键字: Exchange server 电子邮件 协作办公 微软 Office

  • 评论
  • 分享微博
  • 分享邮件

验证 IPSec 配置是否成功

1.通过让一个用户使用 OWA 发送电子邮件,在 OWA 前端和后端服务器之间生成通讯。
2.切换到 IP 安全监视器,该工具应该显示 OWA 前端服务器和后端服务器之间的通讯是加密的。

注意:有关 IPSec 的详细信息,请参阅“Step-by-Step Guide to Internet Protocol Security (IPSec)”(英文)。有关详细信息,请参阅“更多信息”部分。

确保 SMTP 通信的安全

每个 Exchange 后端服务器都要运行 SMTP,因为它负责各个 Exchange 服务器之间以及整个 Internet 上的邮件传输。在本部分中,我们将介绍如何在将组织被攻击的风险降到最低的同时,向您的网络提供 SMTP 通信。

使用 ISA 服务器确保 SMTP 的安全

对于您的 OWA 前端服务器,可以通过使用 ISA 服务器的功能,将内部防火墙上打开端口的数量降到最低。在这种情况下,您可以使用 ISA 服务器发布功能来发布您的 SMTP 服务器,将该 Exchange 服务器本身放在防火墙之后。ISA 服务器将模拟内部 SMTP 服务器,因此您不必将 Exchange 放在外围网络之内。

注意:在此配置中,用于 SMYP 的外部 DNS 条目需要引用 ISA 服务器上发布的 IP 地址,而不是该 SMTP 服务器的地址。

注意:如果您不能更改两个现有的防火墙结构以容纳 ISA 服务器,则可以将 ISA 服务器放置在当前内部防火墙之内,并穿过端口 25 到达该 ISA 服务器。

注意:如果您打算在端口 25 上实现任何形式的验证,则应该启用用于 SMTP 的 SSL 验证。

注意:如果某个 ISA 服务器是一个 ISA 阵列的活动成员,则您不能在该服务器上发布外出 SMTP。

与 Message Screener 一起使用内容筛选

内容筛选会启用 SMTP 筛选器,该筛选器接受端口 25 上的外来通讯、检查该通讯,然后在规则允许该通讯时才传递该通讯。该筛选器会基于发件人的用户名或域名、附件或关键字来接受或拒绝邮件,甚至会提供针对缓冲区溢出攻击的一些保护。但是,要使得 SMTP 筛选器具有完整的功能,您还应该安装 Message Screener。Message Screener 是随 ISA 服务器提供的一个单独的实用程序。它可以安装在一些不同的配置中;但是实现该邮件筛选器的最安全做法是将其放在一个正在运行 IIS 并具有 SMTP 虚拟服务器的服务器上。此虚拟服务器则会与 Exchange 进行通信,以发送和接收电子邮件。这样具有一个好处,即可以进一步将您的 Exchange 服务器与内部网络的边界相分离。

注意:有关部署 Message Screener 的信息,请参阅知识库文章 Q315132,“HOW TO: Configure SMTP Message Screener in ISA Server 2000”(英文)。有关详细信息,请参阅本模块末尾的“更多信息”部分。

确保 SMTP 安全的附加措施

通过 ISA 服务器发布 SMTP,以及一起使用 SMTP 筛选器和 Message Screener 有助于您保护您的 Exchange SMTP 服务器。但是,您还应该考虑使用一些其他的操作。

使用单独的 SMTP 网关

作为深层防护策略的一部分,您可能想通过在网络中使用一个单独的 SMTP 网络来保护 Exchange 后端服务器免受 SMTP 攻击。来自 Internet 的所有外来邮件都将在达到任何 Exchange 服务器之前遭遇此服务器。此服务器不会属于任何 Windows 2000 域,因此不会运行 Exchange。这种结构的优点在于,一个尝试使用 SMTP 攻击 Exchange 服务器的外部攻击者会首先遇到这个单独的 SMTP 服务器。关闭该 SMTP 服务器可能会关闭您通过 Internet 发送电子邮件的功能,但是您仍然能够发送内部电子邮件。您还可以在此服务器上运行防病毒软件。

注意:有关设置和配置 SMTP 虚拟服务器的详细信息,请参阅知识库文章 Q308161,“HOW TO: Set Up and Configure an SMTP Virtual Server in Windows 2000”(英文)。

防止邮件中继

邮件中继是使用一个中间服务器来接受邮件,然后再将邮件发送给另一个服务器上的收件人的过程。它可用于合法的方式。例如,移动用户为了能够在位于您的网络之外时发送邮件,可能需要连接到您的 SMTP 服务器。

如果您选择允许来自网络外部的一些有限中继,需要能够非常明确地控制要执行的操作,并且应确保对需要利用它的这些用户进行身份验证(默认情况下启用身份验证)。如果您 SMTP 中继的范围太广,则很快会发现有大量的邮件会通过您的 SMTP 服务器进行传输,这样会影响您的环境的性能,并且会增加 Internet 上未经请求邮件的数量。您可能还会发现,您被列在了垃圾邮件阻止列表中,这可能会导致您的合法邮件无法到达其目的地。

即使授权的邮件中继也可能会导致您的邮件服务器出现问题。攻击者会利用您的邮件服务器接受经过验证的请求这样的事实,来尝试针对服务器进行词典攻击。

尽可能禁用中继是保护您的服务器的一种很好的方式。外部用户要发送邮件不需要直接连接您的 SMTP 服务器,因为他们可以使用 OWA。

要保护您的 Exchange 服务器不会进行邮件中继,您应考虑在内部 SMTP 虚拟服务器上采取下列措施:

只允许匿名连接您的 SMTP 服务器。防止成功验证的计算机进行中继。只允许来自特定 IP 地址的 SMTP 连接。

您需要在网关的 SMTP 服务器处稍稍放松此配置的要求。确切的设置取决于您的邮件流和您的 ISP 邮件服务器的配置。但是,增强安全性的最佳方式是完全锁定您的系统,以防止进行中继,然后找到允许电子邮件成功穿越所需的最低设置。

注意:如果您要支持 IMAP 和 POP3,则用于经过验证计算机的 SMTP 是必需的。如果您选择启用这些协议,则应该考虑为这种通讯启用一个单独的虚拟服务器,以及使用 SSL 来保护该虚拟服务器。

注意:有关在 Exchange 中防止不需要的 SMTP 中继的详细信息,请参阅 TechNet 文章“Controlling SMTP Relaying in Microsoft Exchange”(英文)和知识库文章 Q319356“HOW TO: Prevent Unsolicited Commercial E-Mail in Exchange 2000 Server”(英文)。

小结

您不能认为 Exchange 是最安全的,除非采取了确保它的数据流安全的措施。如果您允许 Internet 上的 OWA,则这是非常重要的,因为如果没有安全性,密码会以明文形式在 Internet 上和内部网络中进行传递。使用本模块中的指南可提高 Exchange 通信的安全性。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章