保护日记报告

 

适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题: 2012-10-26

如果在 Microsoft Exchange Server 2010 组织中配置了日记功能,则日记代理将生成包含邮件元数据的日记报告,并且整个原始邮件将附加到日记报告中。保护日记报告和日记邮箱的完整性并保护其免受未经授权的访问很重要。

您可以保护在 Exchange 2010 组织内部发送的日记报告以及发送给第三方解决方案提供商的日记报告。

若要了解与日记功能相关的管理任务,请参阅管理日记功能

Exchange 2010 通过执行下列任务保护传输过程中的日记报告:

  • 在 Exchange 2010 组织中的集线器传输服务器与邮箱服务器之间使用安全链接。

  • 将日记报告作为 Exchange 发送,并对集线器传输服务器与邮箱服务器之间的会话进行身份验证。

  • 在同一 Exchange 2010 组织中的集线器传输服务器与邮箱服务器之间发送日记报告时,仅接受经过身份验证的安全连接。

我们建议您将日记邮箱配置为只接受从 Exchange 收件人对象发送的邮件,并将邮箱配置为要求对发件人进行身份验证。这有助于减小对传递到日记邮箱的日记报告进行篡改的可能性。有关详细信息,请参阅创建和配置日记邮箱

此外,您必须实施足够的访问控制以确保日记邮箱不会遭受未经授权的访问。这些控制应包括诸多措施,包括记录和监视日记邮箱用户帐户的密码更改、该用户帐户的域登录以及日记邮箱的邮箱权限更改。

小心警告:
如果没有对通信链接、日记邮箱或服务器采取适当的保护措施,则可能会泄露敏感数据。

您可以将 Exchange 2010 配置为向驻留在与集线器传输服务器不相同的 Exchange 2010 组织内的收件人(包括驻留在该组织内另一个电子邮件系统中的收件人)发送日记报告,或者也可以配置为发送到该组织外的某个电子邮件系统。您可以使用此类配置将日记报告发送到不基于 Exchange 2010 的第三方存档或其他日记解决方案提供商。

若配置中的源服务器和目标服务器未在相同的 Exchange 2010 组织中运行 Exchange Server 2007 或 Exchange,则两个服务器之间的连接可能未自动加密。但是,即使在这些配置中,您仍可以使用 Exchange 2010 帮助保护发送给第三方解决方案提供商的日记报告。

您可以使用下列 Exchange 解决方案帮助保护 Exchange 服务器与第三方解决方案提供商之间的通信:

  • 在两个系统之间配置传输层安全性 (TLS)。

  • 要求在接收系统上进行身份验证。

  • 仅接受来自 Exchange 联系人的 SMTP 地址的电子邮件。

  • 配置将电子邮件发送到第三方解决方案 SMTP 地址的已启用邮件功能的联系人,并将 Exchange 2010 配置为将日记报告发送给此联系人。然后将该联系人配置为只接受来自 Exchange 收件人的日记报告。

小心警告:
如果没有对通信链接、日记邮箱或服务器采取适当的保护措施,则可能会泄露敏感数据。

TLS 是用于提供 TCP/IP 网络(如 Internet)中安全通信的一种标准协议。它既可以让客户端对服务器进行身份验证,也可以让服务器对客户端进行身份验证。它还通过对通信进行加密来提供安全通道。有关详细信息,请参阅 Exchange 2010 中的 TLS 功能以及相关术语

重要重要说明:
TLS 可以对两台主机之间的 SMTP 会话进行加密。如果将 TLS 配置为保护日记邮件且 Exchange 不直接将邮件传递到存储日记报告的目标服务器,则必须在日记报告传递到目标服务器途经的各台服务器之间配置 TLS。
重要重要说明:
通讯组中的日志消息收件人无法在 Exchange 2010 环境中查看解密的邮件附件
此问题之所以会出现,是因为如果至少通讯组成员的一个 SMTP 地址未出现在任何日志规则中,则 Exchange 2010 不会对日志消息进行解密。此行为是设计造成的。
 © 2010 Microsoft Corporation。保留所有权利。
显示: