针对电子邮件客户端的 Exchange 2003 邮件安全支持

 

上一次修改主题: 2005-05-19

Exchange 2003 支持下列电子邮件客户端:

  • Microsoft Outlook® 2000 和基于 MAPI 的更高版本的客户端
  • Internet 标准邮局协议版本 3 (POP3) 和 Internet 邮件访问协议版本 4rev1 (IMAP4) 客户端
  • Outlook Web Access 客户端
  • Outlook Mobile Access 客户端
  • Exchange ActiveSync® 客户端

通过为各种电子邮件客户端提供支持,Exchange 客户可以自定义部署以满足其特定需求。针对客户端的 Exchange 2003 S/MIME 支持与总体客户端支持相类似,因为客户可以同时使用任何支持的客户端。因此,基于 Exchange 2003 S/MIME 的解决方案可以同时支持 Outlook 客户端、Outlook Web Access 客户端以及使用 POP3 的 Eudora 客户端。但是,由于电子邮件客户端必须支持 S/MIME 3,并且必须是所支持的 Exchange 电子邮件客户端,因此并非所有电子邮件客户端都可以是 S/MIME 客户端。例如,一些早期版本的 Outlook 可以通过 MAPI 连接到 Exchange。但是,由于这些早期版本不支持 S/MIME 3,因此无法在基于 S/MIME 的解决方案中使用这些早期版本。为了帮助进一步了解可用于实现邮件安全性的电子邮件客户端的选项,有必要讨论 Exchange 2003 所支持的每一类电子邮件客户端,以及每一类电子邮件客户端为 S/MIME 所提供的支持。此外,附录 A“Exchange 2003 电子邮件客户端中的 S/MIME 支持”还完整地列出了 Exchange 2003 所支持的电子邮件客户端,以及它们所支持的 S/MIME 服务。

请注意,Exchange 2003 通过它现有的客户端协议支持来支持 S/MIME 客户端。如果所支持的客户端也支持 S/MIME,则可以同时使用该客户端和 Exchange 2003。如果客户端不支持 S/MIME 3,则可以使用该客户端来阅读明文签名的邮件,但实际上这些邮件等同于未签名的邮件。

Outlook 支持基于 MAPI 的与 Exchange 2003 的连接。此外,Outlook 还可以使用 POP3 和 IMAP4 进行连接。此部分讨论 Outlook 作为基于 MAPI 的电子邮件客户端的特点。将在此主题后面的“Internet 标准客户端(POP3 和 IMAP4)”中讨论作为 POP3 或 IMAP4 电子邮件客户端的 Outlook。

Exchange 2003 S/MIME 可以与支持 X.509 v3 数字证书的任意版本的 Outlook 一起使用。最初是在 Outlook 2000 Service Release 1 (SR-1) 中引入的 Outlook 对于 X.509 v3 数字证书的完全支持。有关此支持的详细信息,请参阅 Microsoft 知识库文章 249780“OL2000: XCLN: Updated Outlook Security Features Installed with Office 2000 SR-1”(英文)。Outlook 2002 和 Outlook 2003 也支持 X.509 v3 数字证书。因此,使用 Exchange 2003 的客户可以使用上述任意版本的 Outlook。

note注意:
客户应了解 Microsoft Lifecycle Support Policy。建议客户确保当前部署的所有产品都是支持安全修补程序的合格产品。

Outlook 对所有 S/MIME 邮件安全服务提供完全支持。使用 Outlook 客户端时,可以使用全部 S/MIME 功能。

Exchange 2003 通过它现有的客户端协议支持来实现更高的邮件安全支持。如果电子邮件客户端支持 S/MIME 2 或 S/MIME 3,则 Exchange 2003 通过 Internet 电子邮件标准协议 POP3 和 IMAP4 可为 S/MIME 客户端提供完全支持。支持 S/MIME 2 或 S/MIME 3 的任何电子邮件客户端(无论是 POP3 还是 IMAP4)都可以用作 Exchange 2003 邮件安全系统中的电子邮件客户端。由于支持 S/MIME 标准的任何电子邮件客户端都提供对所有邮件安全服务的完全支持,因此这些客户端都可以用作功能完整的电子邮件客户端。Microsoft 在 Outlook Express 5.5 或更高版本以及 Outlook 2000 SR-1a 或更高版本中,为 POP3 和 IMAP4 客户端提供 S/MIME 3 支持。

请注意,不同的 Internet 标准电子邮件客户端具有它们自己的 X.509 v3 证书处理需求和方式。当决定采用哪一种 Internet 标准电子邮件客户端时,应了解这些需求。

note注意:
虽然 Outlook 既可以用作 MAPI 客户端,也可以用作 Internet 标准客户端(POP3 和 IMAP4),但是 MAPI 所提供的增强功能使它成为与 Exchange 一起使用的 Outlook 客户端的首选协议。

Outlook Web Access 使用户能够通过 Web 浏览器访问 Exchange。在以前的 Exchange 版本中,Outlook Web Access 不支持 S/MIME。在 Outlook Web Access 中,Exchange 2003 通过用于 Internet Explorer 6 或更高版本的 S/MIME 控件,提供对几乎所有邮件安全服务的完全支持。由于应根据是否使用 S/MIME 控件来选择提供不同的功能,因此最好单独考虑每个方案。

Exchange 2003 的 Outlook Web Access 引入了一种称为“S/MIME 控件”的新控件。S/MIME 控件提供了与其他完整的 S/MIME 客户端(如 Outlook 和 Outlook Express)相似的 S/MIME 功能。唯一的不同是带有 S/MIME 控件的 Outlook Web Access 不支持安全已读回执。因此,想要为 Web 客户端(如移动计算机用户)提供 S/MIME 服务的客户可以提供此服务,并可为这些用户提供与 MAPI、POP3 和 IMAP4 客户端所具有的功能相似的功能。

前面已提到,S/MIME 控件与 Exchange 的 Outlook Web Access 共同工作来提供 S/MIME 客户端功能。如果没有 S/MIME 控件,Web 浏览器将无法提供 S/MIME 客户端功能。未使用 S/MIME 控件的 Outlook Web Access 客户端在处理 S/MIME 邮件的能力上受到限制。具体地说,这些客户端只能读取明文签名的邮件。这些客户端无法读取不透明签名的邮件,无法发送签名的邮件,并且无法支持任何加密操作。此外,当不带 S/MIME 控件的 Outlook Web Access 客户端读取明文签名的邮件时,将不会验证数字签名,而是将其丢弃。

虽然不带 S/MIME 控件的 Outlook Web Access 客户端可以读取已明文签名的邮件,但是这些邮件与未签名的邮件并没有不同之处,并且在安全性方面也并不强于未签名的邮件。但是,使用功能完整的 S/MIME 客户端可以读取这些邮件,并且可以验证数字签名。用户可以选择使用不带 S/MIME 控件的 Outlook Web Access 来读取明文签名的邮件,之后再使用功能完整的 S/MIME 客户端评估邮件及其内容的可信性。

important重要提示:
将已签名的邮件作为明文签名的邮件还是不透明签名的邮件发送,取决于发件人的电子邮件系统,这一点无法由收件人服务器的管理员设定。此设置通常是发件人电子邮件客户端或发件人电子邮件服务器系统的某个选项。由于不带 S/MIME 控件的 Outlook Web Access 客户端只能显示明文签名的邮件,因此发件人选定的选项将仅仅影响到收件人阅读邮件的能力。用户应清楚这一事实,并且应当知道在功能完整的 S/MIME 客户端(如 Outlook 或者带有 S/MIME 控件的 Outlook Web Access)中可以成功地读取这些邮件。或者,用户可以请求发件人重新发送不带签名的邮件,或者仅仅使用明文签名。

Outlook Mobile Access 是 Exchange 2003 中的一项功能,通过该功能,用户可以使用手持设备(如 Pocket PC 或移动电话)带有的 Web 浏览器来阅读 Exchange 电子邮件。Outlook Mobile Access 支持的浏览器不包含任何 S/MIME 客户端功能。此外,S/MIME 控件也无法用于这些浏览器。因此,Outlook Mobile Access 设备与不带 S/MIME 控件的 Outlook Web Access 客户端具有相同的功能。这些客户端可以读取明文签名的邮件。但是,它们无法读取不透明签名的邮件,无法发送签名的邮件,并且无法支持任何加密操作。此外,它们不会验证数字签名,而是将其丢弃。通过 Outlook Mobile Access 客户端读取的数字签名邮件实际上与未签名的邮件一样,但是可以使用功能完整的 S/MIME 客户端来读取这些邮件,以确定数字签名的有效性。

通过 Exchange ActiveSync,使用 Pocket Outlook 的手持设备可以与用户的 Exchange 服务器同步。Pocket Outlook 客户端不提供对 S/MIME 客户端功能的支持。由于不支持这一功能,因此,Pocket Outlook 可提供与不带 S/MIME 控件的 Outlook Web Access 客户端以及 Outlook Mobile Access 客户端相同的功能。用户可以阅读明文签名的邮件,但是他们无法阅读不透明签名的邮件,无法发送签名的邮件,并且无法支持任何加密操作。此外,也不会验证数字签名,而是将其丢弃。因此,通过 Pocket Outlook 客户端读取的数字签名邮件实际上与未签名的邮件一样,但是可以使用功能完整的 S/MIME 客户端读取这些邮件,以确定数字签名的有效性。

 
显示: