規劃網域安全性

  • 發行項

 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間: 2007-02-27

網域安全性是指 Microsoft Exchange Server 2007 和 Microsoft Office Outlook 2007 中的功能集,相較於 S/MIME 或其他郵件層級之安全性解決方案,提供成本相對較低的替代方案。網域安全性功能集的目的,是提供方法給系統管理員,來管理經由網際網路至企業夥伴的安全郵件路徑。設定這些安全郵件路徑之後,從驗證的寄件者且順利通過安全路徑的郵件,會在使用者的 Outlook 和 Outlook Web Access 介面中顯示為 [安全的網域]。

網域安全性會以交互驗證使用傳輸層安全性 (TLS),提供以工作階段為基礎的驗證及加密。含相互驗證的 TLS 不同於通常所實作的 TLS。在實作 TLS 時,用戶端通常會透過驗證伺服器的憑證,來確認連線會安全地連接至預定的伺服器。這是所收到之 TLS 交涉中的一部分。在此情況下,用戶端在傳輸資料之前會先驗證伺服器。不過,伺服器不會驗證用戶端的工作階段。

利用相互 TLS 驗證,每部伺服器均可透過驗證其他伺服器所提供的憑證,來確認對此伺服器的連線。在此情況下,若郵件是在 Exchange 2007 環境中透過驗證的連線接收自外部網域,則 Outlook 2007 將會顯示 [安全的網域] 圖示。

important重要事項:
密碼編譯及憑證技術和概念的詳細解說不在本主題的討論範圍內。在部署任何採用密碼編譯和數位憑證的安全性解決方案之前,建議您先了解信任、驗證、加密及公開和私密金鑰交換的基本概念,因為這些都與密碼編譯有關。如需相關資訊,請參閱本主題最後列出的參考資料。

TLS 憑證的驗證

若要了解任何相互 TLS 傳輸之整體安全性和產生的可信度,您必須了解如何驗證基礎 TLS 憑證。

Exchange 2007 提供一組指令程式,來建立、要求及管理 TLS 憑證。依預設,這些憑證是自行簽署的。自行簽署憑證是其建立者所簽署的憑證。在 Exchange 2007 中,自行簽署憑證是由執行 Microsoft Exchange 之電腦使用基礎 Microsoft Windows 憑證 API (CAPI) 所建立。因為憑證是自行簽署,所以,產生的憑證就不像公開金鑰基礎結構 (PKI) 或協力廠商憑證授權單位 (CA) 產生的憑證那麼可靠。因此,建議您只對內部郵件使用自行簽署憑證。此外,如果與您交換安全網域電子郵件的接收組織,手動將您自行簽署的憑證新增至其每部輸入 Edge Transport Server 的信任根憑證儲存區,則會明確地信任這些自行簽署憑證。

對於周遊網際網路的連線,最佳作法是以 PKI 或協力廠商 CA 來產生 TLS 憑證。以信任的 PKI 或協力廠商 CA 來產生 TLS 金鑰,可減輕網域安全性的整體管理。如需信任的憑證和網域安全性方面之選項的相關資訊,請參閱如何針對網域安全性啟用 Edge Transport Server 的 PKI

您可以使用 Exchange 2007 憑證指令程式,為您自己的 PKI 或協力廠商 CA 產生憑證要求。如需相關資訊,請參閱建立 TLS 的憑證或憑證要求

如需如何設定網域安全性的相關資訊,請參閱下列項目:

使用 Exchange Hosted Services

郵件層安全性已增強,也已成為 Microsoft Exchange Hosted Services 中可用的服務。Exchange Hosted Services 是一組四個不同的託管服務:

  • 託管篩選,協助組織保護它們自己不受源於電子郵件之惡意程式碼的攻擊

  • 託管封存,協助組織滿足符合性的保留需求

  • 託管加密,協助組織加密資料保留機密性

  • 託管持續性,協助組織在緊急情況期間及之後保留電子郵件的存取

這些服務可以整合所有在內部管理的內部部署 Exchange 伺服器,或是所有透過服務提供者所提供的 Exchange 託管電子郵件服務。如需 Exchange Hosted Services 的相關資訊,請參閱<Microsoft Exchange Hosted Services>(英文)。

相關資訊

如需密碼編譯及憑證技術和概念的相關資訊,請參閱下列資源: