实现并维护 Exchange 2003 以支持邮件安全性

  • 项目

 

上一次修改主题: 2005-05-19

在邮件安全系统中,Exchange 的作用仅限于传递和存储 S/MIME 电子邮件。电子邮件客户端和 PKI 则提供数字签名和加密等功能。您将通过集成这些组件(而不是配置 Exchange Server 2003)来支持 S/MIME。

如果已经熟悉 Exchange 的早期版本,那么您可能希望通过配置 Exchange 来颁发数字证书,或者通过配置 Exchange 目录,使电子邮件客户端能够访问数字证书。但是,现在 Exchange 不再提供这些功能。Exchange 的最新版本中删除了密钥管理服务器以及颁发数字证书的 PKI 功能。您现在可以使用 Microsoft Windows Server™ 2003 证书服务或另一个 S/MIME 3 PKI 来颁发数字证书。此外,Microsoft Active Directory® 目录服务取代了 Exchange 目录,并且它现在提供所有的目录支持。由于这些更改,您不需要将 Exchange 配置为颁发或发布数字证书。

PKI 和电子邮件客户端的管理员必须配置各自的系统,以便颁发数字证书并使其可用。将在后面的部分中讨论有关如何连接到基于 Exchange 2003 的邮件安全系统的特定信息。

Exchange 所传递的 S/MIME 电子邮件的处理过程与其他电子邮件相同。无需采用单独的步骤来实现或维护基于 S/MIME 的电子邮件的传递。如果您可以确保电子邮件在用户之间的传递,那么就能自动确保这些用户能够交换基于 S/MIME 的电子邮件。

要使用 Exchange 存储 S/MIME 电子邮件时,唯一的要求是将邮件存储配置为处理 S/MIME 签名。由于 S/MIME 邮件可以同时存在于用户邮箱和公用文件夹中,因此需要将公用存储和邮箱存储都配置为能够存放带 S/MIME 签名的邮件。默认情况下,所有公用存储和邮箱存储已配置为能够处理带 S/MIME 签名的邮件。除非您更改默认设置,否则,无需执行任何操作,Exchange 存储即可存放带 S/MIME 签名的邮件。

important重要提示:
建议不要更改对带 S/MIME 签名的邮件的默认支持。如果在存储中禁用对带 S/MIME 签名的邮件的支持,那么,带 S/MIME 签名的邮件将无法存放在配置已更改的存储中。如果更改此配置,那么该存储中带 S/MIME 签名的所有邮件都将丢失。没有理由禁用对带 S/MIME 签名的邮件的支持。禁用此支持对性能或存储没有什么改善。

有关详细步骤,请参阅如何查看邮件存储配置中的 S/MIME 签名设置

在 Exchange 2003 环境中实现 S/MIME 时,应清楚下面两点:

  • 当事件接收器与经过数字签名的 S/MIME 邮件交互时会出现的问题。
  • 当基于服务器的防病毒软件与 S/MIME 邮件交互时会出现的问题。

事件接收器和数字签名的邮件

由于 Exchange 服务器处理电子邮件时事件接收器会对邮件执行操作,因此某些事件接收器会改变电子邮件的内容和头信息。有效的数字签名意味着邮件在传送过程中未被改变。如果事件接收器改变电子邮件,就会使数字签名无效。当收件人接收邮件并处理数字签名时,由于事件接收器更改了经过发件人签名的邮件,因此数字签名将无效。

此外,如果事件接收器改变了邮件“发件人”头信息,那么,当电子邮件客户端将“发件人”头信息中的发件人信息与用于签署电子邮件的数字证书中的 X.509 使用者名称进行匹配时,就会出现问题。这些电子邮件客户端无法将电子邮件与证书进行匹配,因此可以断定签名无效。有关电子邮件客户端如何执行签名验证的详细信息,请参阅您的电子邮件客户端文档。若要解决该问题,可以重新颁发发件人的数字证书,以便与事件接收器放入“发件人”头信息中的地址进行匹配。

防病毒软件和 S/MIME 邮件

使用基于服务器的防病毒解决方案时,如果对邮件正文和所有附件进行加密以防止其机密性被未经授权的用户破坏,那么也会阻止基于服务器的防病毒软件对邮件和附件进行病毒检查。由于防病毒软件无法检查邮件,因此加密的邮件中可能包含附件形式的病毒。您应决定如何根据安全策略采取相应的风险防范措施。

此外,如果防病毒程序在经过数字签名的电子邮件中检测到病毒并清理了该邮件,那么此操作可能会导致数字签名无效,因为防病毒程序已改变了传送过程中的邮件。虽然这种改变不是恶意的,但是,从数字签名的角度来看,邮件已被更改,并且收件人会认为邮件已改变。

note注意:
SP1 新增功能 Exchange Server 2003 Service Pack 1 (SP1) 中的一个重要新增功能包括扫描已签名的 S/MIME 邮件是否有病毒的功能。在 Exchange 邮箱服务器中,扫描已签名的邮件现在是使用病毒扫描 API (VSAPI) 2.5 的病毒扫描程序的核心功能。在 Exchange 的较早版本中,S/MIME 邮件由各个病毒扫描供应商提供分析和扫描服务。现在,所有明文签名的邮件和不透明签名的邮件都采用与其他非 S/MIME 邮件一样的流处理方式,由病毒扫描程序来进行扫描。默认情况下,运行在 Exchange 服务器上的、使用 Exchange VSAPI 的任何防病毒产品现在都会扫描已签名的 S/MIME 邮件。