【正文】 ...............................79第 4 章. EXCHANGE2022 服務(wù)器安全管理維護(hù) .........................................................80. 管理權(quán)限和角色劃分 ..................................................................................................80. 存儲(chǔ)管理 ......................................................................................................................81. 使用公用文件夾和郵箱的權(quán)限 ......................................................................81. 災(zāi)難恢復(fù) ......................................................................................................................82第 5 章. 保護(hù) EXCHANGE 2022 通信安全 ...................................................................82. 概述 ..............................................................................................................................82. Outlook 與 Exchange 的通信安全 ..............................................................................83. 對(duì) Outlook 和 Exchange 服務(wù)器之間的 MAPI 連接進(jìn)行加密 .....................83. 使用 S/MIME 對(duì)郵件進(jìn)行簽名和加密 .........................................................83. 瀏覽器和 OWA 的通信安全 ......................................................................................83. 前端服務(wù)器和后端服務(wù)器之間的通信安全 ..............................................................83. 確保 SMTP 通信安全 .................................................................................................84. 使用防火墻來(lái)確保 SMTP 的安全 .................................................................84. 使用單獨(dú)的 SMTP 網(wǎng)關(guān) .................................................................................84. 防止郵件中繼 ..................................................................................................85. 信息內(nèi)容版權(quán)保護(hù) ......................................................................................................85附錄 1： 檢查表確保 EXCHANGE2022 的環(huán)境安全 ................................................85附錄 2： 檢查表基于角色確保 EXCHANGE2022 服務(wù)器安全 ................................86附錄 3： 檢查表確保 EXCHANGE2022 通信安全 ....................................................897 / 123附錄 4： EXCHANGE2022 使用的 TCP/IP 端口 .......................................................90附錄 5： 參考資料 ..........................................................................................................92最新信息 ..................................................................................................................................92Exchange2022 叢書(shū) .................................................................................................................92有關(guān)技術(shù)文章 ..........................................................................................................................93有關(guān)網(wǎng)站 ..................................................................................................................................93資源工具包 ..............................................................................................................................94Microsoft 知識(shí)庫(kù)文章 .............................................................................................................94附錄 6：術(shù)語(yǔ)表 ................................................................................................................95Windows 2022 和 Active Directory ..............................................................................95Exchange 2022...............................................................................................................101安全 ................................................................................................................................1178 / 123第 1 章. 前言隨著網(wǎng)絡(luò)技術(shù)的進(jìn)展以及計(jì)算機(jī)的普及化，人們的溝通方式出現(xiàn)了重大的革命。電子郵件便是其中一項(xiàng)最廣為被大眾所使用的電子溝通傳輸工具。針對(duì)電子郵件的攻擊分為二種，一種是直接對(duì)電子郵件的攻擊，如竊取電子郵件密碼，截取發(fā)送郵件內(nèi)容，發(fā)送郵件炸彈；另一種是間接對(duì)電子郵件的攻擊，如通過(guò)郵件傳輸病毒木馬。本公司信息環(huán)境所需的電子郵件系統(tǒng)，包括個(gè)人使用者、電子郵件服務(wù)器等相關(guān)電子郵件系統(tǒng)的建設(shè)。除了提供編輯郵件內(nèi)容的功能之外，還必須收集寄件者、收件者的電子郵件地址資料、附加檔案的信息…等等，并依照電子郵件通訊協(xié)議所訂定的格式將資料編輯，匯整郵件內(nèi)容成封包的形式，傳遞給傳輸代理程序，以便進(jìn)行電子郵件的傳遞。其根據(jù)不同的郵件傳遞規(guī)則的設(shè)定，將電子郵件封包傳送到下一個(gè)計(jì)算機(jī)的傳輸代理程序，直到郵件到達(dá)了收件者賬號(hào)所屬的計(jì)算機(jī)為止。分派信件的方式，最簡(jiǎn)單的便是將郵件內(nèi)容寫(xiě)入一個(gè)特定的系統(tǒng)檔案，在開(kāi)放權(quán)限與收件人存取郵件。依照這樣的分類(lèi)，使用者便可以選擇各自所慣用的使用者代理程序，而各個(gè)計(jì)算機(jī)便可以依據(jù)需求選用不同的郵件分派代理程序儲(chǔ)存使用者的郵件資料，10 / 123同時(shí)，受到電子郵件傳輸協(xié)議的規(guī)范，不同的傳輸代理程序間也可以相互溝通以傳輸郵件封包。11 / 123第 3 章. 安全電子郵件的建構(gòu) 電子郵件傳輸?shù)陌踩珮?biāo)準(zhǔn)，是讓收件者收到正確的郵件內(nèi)容，同時(shí)，除了收件者之外，其它的非法人士無(wú)法窺探信件內(nèi)容。然而在傳統(tǒng)的電子郵件傳遞協(xié)議中，卻都無(wú)法達(dá)到這三項(xiàng)需求。首先，非法人士有可能通過(guò)監(jiān)聽(tīng)網(wǎng)絡(luò)，來(lái)取得傳遞電子郵件的封包。再者，在電子郵件的傳輸過(guò)程中，必須經(jīng)過(guò)許多的中途傳輸點(diǎn) (Internal Node) 的傳遞才能到達(dá)目的地計(jì)算機(jī)，若是其中一個(gè)中途傳輸點(diǎn)遭到非法人士的入侵，則所有經(jīng)過(guò)該計(jì)算機(jī)的郵件，都可能被入侵者窺視、竄改、甚而停止電子郵件的傳遞。 除了郵件內(nèi)容以明文傳遞之外，電子郵件的格式中，也并不包含送件者的身分認(rèn)證這一項(xiàng)。另一方面，若是信件發(fā)出者否認(rèn)其曾經(jīng)發(fā)送過(guò)信件，收件者沒(méi)有任何證據(jù)可以拆穿發(fā)信者的謊言。也因此，許多重要文書(shū)的傳遞，諸如：政府公文、商業(yè)機(jī)密文件、重要私人信件…等，還是采取傳統(tǒng)的郵件傳遞，甚而是更加嚴(yán)謹(jǐn)?shù)膫鬟f方式，這之間所耗費(fèi)的人力、物力與時(shí)間，是十分巨大的。 12 / 123綜觀所有的安全電子郵件傳輸協(xié)議，大致提供以下幾項(xiàng)基本的安全機(jī)制： 1. 資料機(jī)密性 (Confidentiality)：郵件內(nèi)容經(jīng)過(guò)加密處理，確保只有指定的收件者可以觀看；即使郵件封包被非法人士竊取，防止郵件外泄。 3. 身份認(rèn)證 (Authentication)：確認(rèn)送件者的身份與其信件中所宣稱(chēng)的一致。 4. 不可否認(rèn)性 (Nonrepudiation)：送件者無(wú)法否認(rèn)曾經(jīng)送過(guò)信件。要達(dá)成以上這些目的，安全的電子郵件通訊協(xié)議必須針對(duì)三項(xiàng)安全協(xié)議要素加以考量、設(shè)計(jì)，包括：加密算法、郵件內(nèi)容格式、身份認(rèn)證機(jī)制。其選擇的考慮有兩項(xiàng)重要的要件：安全性與效能。然而安全性愈高的算法，其復(fù)雜度也愈高，相對(duì)地，計(jì)算機(jī)計(jì)算上所需花費(fèi)的時(shí)間也就愈多。 內(nèi)容格式 傳統(tǒng)的電子郵件內(nèi)容的格式，只包括文字的部份，一直到了 MIME 的出現(xiàn)，13 / 123電子郵件才得以傳送圖形、聲音等更多元化的形式，使得郵件的內(nèi)容更具多樣化。 身份認(rèn)證機(jī)制 目前最為標(biāo)準(zhǔn)完善的身份認(rèn)證機(jī)制，大多以數(shù)字證書(shū)的技術(shù)為基礎(chǔ)。數(shù)字證書(shū)可以認(rèn)證使用者的身份，但要確認(rèn)數(shù)字證書(shū)的合法性，就必須信賴(lài)一個(gè)可信任的機(jī)構(gòu)來(lái)做數(shù)字證書(shū)的認(rèn)證工作。 . 常見(jiàn)問(wèn)題一般而言，電子郵件服務(wù)器主要可能遇到的安全問(wèn)題有：1. Open Mail Relay 如果系統(tǒng)管理員將自己的郵件服務(wù)器設(shè)置為 open relay，將會(huì)導(dǎo)致一些垃圾郵件發(fā)送者將你的郵件服務(wù)器作為轉(zhuǎn)發(fā)自圾郵件的中繼站，這將使垃圾郵件的接收者將矛頭對(duì)準(zhǔn)你，可能會(huì)導(dǎo)致報(bào)復(fù)性的郵件炸彈；垃圾郵件還能消耗你大量的資源，占用你的帶寬。2. 取得郵件服務(wù)器使用者賬號(hào)UNIX 郵件服務(wù)器上常見(jiàn)的 sendmail 服務(wù)，其 expn/vrfy 指令若未關(guān)閉，則可用來(lái)驗(yàn)證服務(wù)器上的賬號(hào)，而成為惡意人士入侵攻擊的目標(biāo)。在許多例子中，郵件都是很大且含無(wú)意義訊息，目的是要消秏系統(tǒng)和網(wǎng)絡(luò)資源。 bombing 和spamming 也常與 spoofing 一起應(yīng)用。網(wǎng)絡(luò)上其它的 mail 服務(wù)器或者請(qǐng)求發(fā)送郵件的 MUA(Mail User Agent,如 outlook express、foxmail 等等)會(huì)連接郵件服務(wù)器的 25 號(hào)端口，請(qǐng)求發(fā)送郵件，SMTP會(huì)話(huà)過(guò)程一般是從遠(yuǎn)程標(biāo)識(shí)自己的身份開(kāi)始，過(guò)程如下： HELO 250 MAIL FROM： 250 OK RCPT TO: 郵件的接收者 中的域名并不一定是郵件接受服務(wù)器的所具有的本地域名，也就是說(shuō)郵件目的可能不是上面協(xié)議交互中的接收方，而是郵件發(fā)送者希望接收郵件服務(wù)器幫助其轉(zhuǎn)發(fā)郵件。 為避免電子郵件服務(wù)器遭到濫用，各服務(wù)器均應(yīng)啟動(dòng) mail relay 的限制功能，明確設(shè)定只有公司內(nèi)部的系統(tǒng)才可以使用電子郵件服務(wù)器發(fā)送信件，其余系統(tǒng)一律禁用。a. 檢查/etc/mail/ 檔案中有否下列敘述，若無(wú)請(qǐng)自行加入：FRo /etc/mail/relay