保护 Exchange 邮件环境的安全

 

上一次修改主题: 2005-05-25

请按照下列步骤来保护 Exchange 邮件环境的安全:

  1. 更新服务器软件。
  2. 保护邮件环境的安全。
  3. 保护通信的安全。

要保护邮件系统的安全,请按给定的顺序完成这些步骤。

安装 Exchange Server 2003 之后,应更新 Exchange 服务器以及 Exchange 与之通信的其他任何服务器(如全局编录服务器和域控制器)上的服务器软件。有关使用最新的安全更新来更新软件的详细信息,请参阅 Microsoft® Exchange Server Security Center 网站(英文)。. 有关 Microsoft 安全性的详细信息,请参阅 Microsoft Security 网站(英文)。

要将前端 Exchange 2003 服务器放置在外围网络中,一种可选的最佳方法是部署 Microsoft Internet Security and Acceleration (ISA) Server 2000。ISA Server 充当高级防火墙,控制进入您网络的 Internet 通信。使用此配置时,应将所有的 Exchange 2003 服务器放置在公司网络中,并在外围网络中使用 ISA Server 作为面向 Internet 通信的高级防火墙服务器。

保护邮件环境的安全还需要配置前端服务器,以便禁用在前端和后端体系结构中不必要的前端服务器功能和设置。有关如何为前端和后端服务器体系结构配置前端服务器的详细信息,请参阅 Exchange Server 2003 and Exchange 2000 Server Front-End and Back-End Topologies(英文)。

发往 Exchange 服务器的所有传入 Internet 通信(例如 Outlook Web Access、来自 Microsoft® Office Outlook® 2003 客户端的 RPC over HTTP 通信、Outlook Mobile Access、邮局协议版本 3 (POP3)、Internet 邮件访问协议版本 4revl (IMAP4) 等等)都由 ISA Server 进行处理。ISA Server 收到向 Exchange 服务器发出的请求后,它作为代理服务器将请求发送到内部网络中的相应 Exchange 服务器。内部 Exchange 服务器将所请求的数据返回给 ISA Server,然后,ISA Server 通过 Internet 将信息发送给客户端。下图显示了建议的 ISA Server 部署示例。

在外围网络中的 ISA 服务器

要保护 Exchange 邮件环境的通信安全,需要执行下列任务:

  • 保护客户端邮件应用程序与 Exchange 前端服务器之间的通信安全。
  • 保护 Exchange 前端服务器与内部网络之间的通信安全。

以下各节将分别说明如何保护这两种通信的安全。

要保护客户端与前端服务器之间的数据传输安全,强烈建议让前端服务器能够使用安全套接字层 (SSL)。此外,要确保用户数据始终是安全的,应将前端服务器配置为要求使用 SSL(此选项可以在 SSL 配置中设置)。使用基本身份验证时,保护网络通信的关键是使用 SSL 来保护用户密码,以防止网络数据包内容被他人窥探。

warning警告:
如果不在客户端和前端服务器之间使用 SSL,则不能保证传输给前端服务器的 HTTP 数据的安全。强烈建议将前端服务器配置为要求 SSL。

建议通过从第三方证书颁发机构 (CA) 购买证书来获取 SSL 证书。从证书颁发机构购买证书是首选的方法,因为大多数浏览器都信任许多这样的证书颁发机构。

作为可选方法,还可以使用证书服务来安装自己的证书颁发机构。虽然安装自己的证书颁发机构可能便宜一点,但浏览器不会信任您的证书,并且用户也将收到警告信息,说明浏览器不信任该证书。有关 SSL 的详细信息,请参阅 Microsoft 知识库文章 320291,“XCCC: Turning On SSL for Exchange 2000 Server Outlook Web Access”(英文)。

要保护出站和入站邮件,请通过部署 SSL 来加密邮件通信。可以在 Exchange 服务器上配置 SSL 安全功能,以便对内容的完整性、用户的标识进行验证,并对网络传输进行加密。与任何 Web 服务器一样,Exchange 也需要有效的服务器证书来建立 SSL 通信。可以使用 Web 服务器证书向导生成一个能够发送给证书颁发机构的证书申请文件(默认为 NewKeyRq.txt),或生成一个发送给联机证书颁发机构(如 Microsoft 证书服务)的申请。

如果不使用证书服务颁发自己的服务器证书,则第三方证书颁发机构必须批准您的请求,并向您颁发服务器证书。有关服务器证书的详细信息,请参阅本节后面的“获取并安装服务器证书”。您可能需要用几天到几个月的时间等待证书颁发机构批准您的请求,并向您发送证书文件,这取决于服务器证书所提供的身份保证级别。对于每个网站,您只能拥有一个相应的服务器证书。

收到服务器证书文件之后,请使用 Web 服务器证书向导安装它。安装过程中会将您的证书附加(或绑定)到网站。

如果需要 128 位的密钥加密,则用户必须使用支持 128 位加密的 Web 浏览器。有关升级到 128 位加密功能的详细信息,请参阅Microsoft Product Support Services网站。

有关配置安全套接字层所需步骤的详细概述,请参阅如何使用 SSL 保护客户端邮件应用程序与 Exchange 前端服务器之间的通信安全

配置 SSL 的第一步是配置要求使用 SSL 进行保护的网站或文件。可使用 IIS 管理器执行此操作。有关配置此初始设置的详细步骤,请参阅如何在服务器上设置 SSL

可以从外部 CA 获取服务器证书,或者通过使用 Microsoft 证书服务颁发您自己的服务器证书。获取服务器证书之后,即可安装该证书。使用 Web 服务器证书向导获取并安装服务器证书时,该过程也是创建并分配服务器证书的过程。

本节说明了在决定是从外部 CA 获取服务器证书还是颁发您自己的服务器证书时应考虑的问题,本节包括下列信息:

  • 从 CA 获取服务器证书
  • 颁发自己的服务器证书
  • 安装服务器证书
  • 备份服务器证书

从证书颁发机构获取服务器证书

如果正在替换当前的服务器证书,则在完成新的请求之前 IIS 将继续使用当前证书。选择 CA 时,请考虑下列问题:

  • CA 能够颁发与用来访问我的服务器的所有浏览器都兼容的证书吗?
  • 这个 CA 是大家公认并信任的组织吗?
  • CA 如何验证您的身份?
  • 这个 CA 有用于接收联机证书请求(例如,由 Web 服务器证书向导所生成的请求)的系统吗?
  • 证书的初始定价为多少,续订或其他服务定价为多少?
  • CA 熟悉我的组织或公司的业务方向吗?
note注意:
某些证书颁发机构在处理请求或颁发证书之前,要求您证明身份。

有关从证书颁发机构获得服务器证书的详细步骤,请参阅如何从证书颁发机构获得服务器证书

在决定是否颁发自己的服务器证书时,请考虑下列问题:

  • 了解 Microsoft 证书服务能够识别不同的证书格式,并为与证书相关的活动提供审核和日志记录。
  • 将颁发自己的证书与从证书颁发机构购买证书的成本进行比较。
  • 请记住,组织需要一个初始调整时期,以便学习、实现证书服务,并将证书服务与现有的安全系统和策略集成在一起。
  • 对服务器的客户是否愿意信任您的组织充当证书提供方进行评估。

使用证书服务可以为颁发和管理证书创建可自定义的服务。可以为 Internet 或公司 Intranet 创建服务器证书,以使您的组织完全控制证书管理策略。有关使用证书服务的详细信息,请参阅 Microsoft® Windows Server™ 2003 帮助中的“证书服务”。

只能向本地和远程的企业证书服务以及远程独立证书服务发出联机服务器证书申请。请求证书时,Web 服务器证书向导无法识别同一台计算机上是否安装了独立的证书服务。如果需要在安装了独立证书服务的同一台计算机上使用 Web 服务器证书向导,请使用脱机证书请求将请求保存到一个文件中,然后将它作为脱机请求进行处理。有关使用证书服务的详细信息,请参阅 Microsoft Windows Server 2003 帮助中的“证书服务”。

note注意:
当打开 Server Gated Cryptography (SGC) 证书时,可能在“常规”选项卡上收到这样的通知: The certificate has failed to verify for all its intended purposes. 。发出此通知的原因是表明 SGC 证书如何与 Windows 交互,并不一定表示证书未正常工作。

从 CA 获取服务器证书之后,或通过使用证书服务颁发您自己的服务器证书之后,应使用 Web 服务器证书向导来安装该证书。

可以使用 Web 服务器证书向导备份服务器证书。因为 IIS 与 Windows 配合紧密,所以,可以使用证书管理器(在 Microsoft 管理控制台 (MMC) 中称为“证书”)导出并备份服务器证书。安装证书管理器之后,即可备份证书。

完成由您的网络颁发服务器证书的配置之后,需要通过要求与 Exchange 前端服务器进行 SSL 通信,来保护 Exchange 前端服务器和 Exchange 服务器的服务的安全。可以通过对默认网站启用 SSL 进行此操作。

 
显示: