Exchange 服务器配置

  • 项目

 

上一次修改主题: 2005-06-21

在 Exchange 环境中必须解决的两个主要配置领域是:部署防病毒软件;确保 TCP 端口 25 不作为开放中继向病毒提供。

检查配置建议之前,应谨记下面几个重要的策略建议:

  • 不要在 Exchange 服务器上运行电子邮件客户端。如果在运行 Exchange 的计算机上运行电子邮件客户端,并且该客户端被感染,则受感染的客户端将成为受感染的邮件服务器。
  • 同样,不要通过 Exchange 计算机浏览 Internet。通常,减少攻击渠道的最佳办法是尽量减少在 Exchange 服务器上运行的应用程序。
  • 在 Exchange 服务器上随时补充 Microsoft 推出的最新安全更新。
  • 通过执行 Exchange Server 2003 Security Hardening Guide中的建议来锁定 Exchange 服务器。

在 SMTP 网关或邮箱服务器上部署防病毒软件

必须至少在简单邮件传输协议 (SMTP) 网关或驻留邮箱的 Exchange 服务器上,部署专为邮件系统设计的防病毒软件。下面的“资源”部分列出的两个资源说明了在规划邮件系统防病毒部署的过程中可以使用的策略,以及可以使用的不同类型的邮件扫描方法。选择防病毒软件的类型以及部署该软件的位置时,应在可以承受的开销以及愿意承担的风险之间进行权衡。

例如,某些组织在 SMTP 网关运行防病毒邮件软件,在 Exchange 服务器上运行防病毒文件级别的扫描,而在用户台式机上运行防病毒客户端软件。这种方法在网关提供特定于邮件系统的保护,在邮件服务器上提供常规的文件级保护,并在客户端上提供保护。其他组织可能采取同样的方案,并在 Exchange 邮箱服务器上运行与 Exchange VSAPI 2.5 兼容的防病毒软件,这样,在获得更高安全性的同时,也可能承担更大的开销。

建议

  • 在台式机上运行客户端防病毒软件。如果在网关或 Exchange 服务器上运行专门为邮件系统设计的防病毒软件(可以分析并扫描 MIME),则在台式机上运行文件级别的扫描程序已足够。
  • 至少,应在 SMTP 网关或驻留邮箱的 Exchange 服务器上部署专为邮件系统设计的防病毒软件。要实施最全面的保护,应在扫描入站 MIME 邮件的网关运行防病毒软件,而在使用 VSAPI 2.5 的 Exchange 服务器上运行扫描程序。

资源