确保 Exchange 通信的安全（三）

创建 IP 安全策略，应用筛选器和指定操作

 

1.右键单击“Active Directory 上的 IP 安全策略”，选择“创建 IP 安全策略”，然后单击“下一步”。

 

2.在“名称”框中，键入 Block-Encrypt TCP 80 traffic – OWA FE，然后单击“下一步”。

 

3.验证是否选中了“激活默认响应规则”，然后单击“下一步”。

 

4.验证是否选中了“Windows 2000 默认 (Kerberos V5 协议)”，然后单击“下一步”。

 

5.验证是否选中了“编辑属性”，单击“完成”。

 

6.在“规则”选项卡上，单击“添加”，然后添加“下一步”。

 

7.验证是否选中了“此规则不指定隧道”，然后单击“下一步”。

 

8.验证是否选中了所有网络连接，单击“下一步”。

 

9.验证是否选中了“Windows 2000 默认 (Kerberos V5 协议)”，然后单击“下一步”。

 

10.在“IP 筛选器列表”中，选择 Inbound TCP 80 – OWA FE，然后单击“下一步”。

 

11.在“筛选器操作”框中，单击“阻止”，然后单击“下一步”。

 

12.验证是否取消选中了“编辑属性”，然后单击“完成”。

 

13.在“规则”选项卡上，单击“添加”，然后添加“下一步”。

 

14.验证是否选中了“此规则不指定隧道”，然后单击“下一步”。

 

15.验证是否选中了所有网络连接，单击“下一步”。

 

16.验证是否选中了“Windows 2000 默认 (Kerberos V5 协议)”，然后单击“下一步”。

 

17.在“IP 筛选器列表”中，选择 Outbound TCP 80 – OWA FE，然后单击“下一步”。

 

18.在“筛选器操作”框中，单击“加密”，然后单击“下一步”。

 

19.验证是否取消选中了“编辑属性”，然后单击“完成”。

 

20.单击“关闭”。

 

向组策略应用出站筛选器

 

1.在“组策略”内容窗格中，右键单击 Block-Encrypt TCP 80 traffic – OWA FE，然后单击“分配”。

 

2.关闭“组策略”，然后单击“确定”。

 

向 OWA 前端服务器应用组策略

 

1.在 OWA 前端服务器上，启动“命令提示符”。

 

2.键入 secedit /refreshpolicy machine_policy /enforce，然后按 Enter 键。

 

3.重新启动服务器。

 

创建后端服务器 IPSec 策略

 

后端服务器上的这个策略会对入站端口 80 通讯进行加密。

 

创建入站 TCP 80 筛选器

 

1.启动“Active Directory 用户和计算机”。

 

2.展开“成员服务器”，展开“应用程序服务器”，然后展开 Exchange 2000。

 

3.右键单击“后端服务器”OU，然后单击“属性”。

 

4.单击“组策略”选项卡。

 

5.选择“后端增量”GPO。

 

6.单击“编辑”。

 

7.展开“Windows 设置”，“安全设置”，然后右键单击“Active Directory 上的 IP 安全策略”。

 

8.单击“管理 IP 筛选器表和筛选器操作”。

 

9.单击“添加”。

 

10.在“名称”框中，键入 Inbound TCP 80 – BE。

 

11.在“说明”框中，键入“此筛选器匹配后端服务器上的入站 TCP 80 通信”。

 

12.单击“添加”，然后单击“下一步”。

 

13.在“源地址”下拉列表框中，验证是否显示了“我的 IP 地址”，然后单击“下一步”。

 

14.在“目标地址”下拉列表框中，验证是否显示了“任何 IP 地址”，然后单击“下一步”。

 

15.在“选择协议类型”下拉列表框中，选择 TCP，然后单击“下一步”。

 

16.在“设置 IP 协议端口”中，验证是否选中了“从任何端口”，然后选中“到此端口”，并键入 80。

 

17.单击“下一步”，然后单击“完成”。

 

18.单击“关闭”关闭“IP 筛选器列表”窗口。

 

创建 IP 安全策略，应用筛选器和指定操作

 

1.右键单击“Active Directory 上的 IP 安全策略”，选择“创建 IP 安全策略”，然后单击“下一步”。

 

2.在“名称”框中，键入 Encrypt TCP 80 traffic – BE，然后单击“下一步”。

 

3.验证是否选中了“激活默认响应规则”，然后单击“下一步”。

 

4.验证是否选中了“Windows 2000 默认 (Kerberos V5 协议)”，然后单击“下一步”。

 

5.验证是否选中了“编辑属性”，单击“完成”。

 

6.在“规则”选项卡上，单击“添加”，然后添加“下一步”。

 

7.验证是否选中了“此规则不指定隧道”，然后单击“下一步”。

 

8.验证是否选中了所有网络连接，单击“下一步”。

 

9.验证是否选中了“Windows 2000 默认 (Kerberos V5 协议)”，然后单击“下一步”。

 

10.在“IP 筛选器列表”中，选择 Inbound TCP 80 – BE，然后单击“下一步”。

 

11.在“筛选器操作”框中，单击“加密”，然后单击“下一步”。

 

12.验证是否取消选中了“编辑属性”，然后单击“完成”。

 

13.单击“关闭”。

 

向组策略应用入站筛选器

 

1.在“组策略”内容窗格中，右键单击 Encrypt TCP 80 traffic – BE，然后单击“分配”。

 

2.关闭“组策略”，然后单击“确定”。

 

向后端服务器应用组策略

 

1.在 OWA 前端服务器上，启动“命令提示符”。

 

2.键入 secedit /refreshpolicy machine_policy /enforce，然后按 Enter 键。

 

3.重新启动服务器。

 

注意：您可能还想在每个本地计算机都应用 IPSec 设置。这样可确保仍然使用 IPSec，即使访问域控制器中的组策略发生问题时也是如此。

 

监视 IP 安全连接

 

配置了 IPSec 之后，最好通过审计与 IPSec 相关的事件以及使用 IP 安全监视器工具来验证它的功能。

 

启动和配置 IP 安全监视器

 

1.无论是在 OWA 前端服务器上还是在后端服务器上，要启动 IP 安全监视器工具，请单击“开始”，单击“运行”，在“打开”框中，键入 ipsecmon。

 

2.单击“Options”（选项），然后将“default Refresh Seconds”（默认刷新秒数）值从 15 更改为 1。

 

3.单击“确定”。

 

验证 IPSec 配置是否成功

 

1.通过让一个用户使用 OWA 发送电子邮件，在 OWA 前端和后端服务器之间生成通讯。

 

2.切换到 IP 安全监视器，该工具应该显示 OWA 前端服务器和后端服务器之间的通讯是加密的。

 

注意：有关 IPSec 的详细信息，请参阅“Step-by-Step Guide to Internet Protocol Security (IPSec)”（英文）。有关详细信息，请参阅“更多信息”部分。

 

确保 SMTP 通信的安全

 

每个 Exchange 后端服务器都要运行 SMTP，因为它负责各个 Exchange 服务器之间以及整个 Internet 上的邮件传输。在本部分中，我们将介绍如何在将组织被攻击的风险降到最低的同时，向您的网络提供 SMTP 通信。

 

使用 ISA 服务器确保 SMTP 的安全

 

对于您的 OWA 前端服务器，可以通过使用 ISA 服务器的功能，将内部防火墙上打开端口的数量降到最低。在这种情况下，您可以使用 ISA 服务器发布功能来发布您的 SMTP 服务器，将该 Exchange 服务器本身放在防火墙之后。ISA 服务器将模拟内部 SMTP 服务器，因此您不必将 Exchange 放在外围网络之内。

 

注意：在此配置中，用于 SMYP 的外部 DNS 条目需要引用 ISA 服务器上发布的 IP 地址，而不是该 SMTP 服务器的地址。

 

注意：如果您不能更改两个现有的防火墙结构以容纳 ISA 服务器，则可以将 ISA 服务器放置在当前内部防火墙之内，并穿过端口 25 到达该 ISA 服务器。

 

注意：如果您打算在端口 25 上实现任何形式的验证，则应该启用用于 SMTP 的 SSL 验证。

 

注意：如果某个 ISA 服务器是一个 ISA 阵列的活动成员，则您不能在该服务器上发布外出 SMTP。

 

与 Message Screener 一起使用内容筛选

 

内容筛选会启用 SMTP 筛选器，该筛选器接受端口 25 上的外来通讯、检查该通讯，然后在规则允许该通讯时才传递该通讯。该筛选器会基于发件人的用户名或域名、附件或关键字来接受或拒绝邮件，甚至会提供针对缓冲区溢出攻击的一些保护。但是，要使得 SMTP 筛选器具有完整的功能，您还应该安装 Message Screener。

 

Message Screener 是随 ISA 服务器提供的一个单独的实用程序。它可以安装在一些不同的配置中；但是实现该邮件筛选器的最安全做法是将其放在一个正在运行 IIS 并具有 SMTP 虚拟服务器的服务器上。此虚拟服务器则会与 Exchange 进行通信，以发送和接收电子邮件。这样具有一个好处，即可以进一步将您的 Exchange 服务器与内部网络的边界相分离。

 

注意：有关部署 Message Screener 的信息，请参阅知识库文章 Q315132，“HOW TO: Configure SMTP Message Screener in ISA Server 2000”（英文）。有关详细信息，请参阅本模块末尾的“更多信息”部分。

 

确保 SMTP 安全的附加措施

 

通过 ISA 服务器发布 SMTP，以及一起使用 SMTP 筛选器和 Message Screener 有助于您保护您的 Exchange SMTP 服务器。但是，您还应该考虑使用一些其他的操作。

 

使用单独的 SMTP 网关

 

作为深层防护策略的一部分，您可能想通过在网络中使用一个单独的 SMTP 网络来保护 Exchange 后端服务器免受 SMTP 攻击。来自 Internet 的所有外来邮件都将在达到任何 Exchange 服务器之前遭遇此服务器。此服务器不会属于任何 Windows 2000 域，因此不会运行 Exchange。这种结构的优点在于，一个尝试使用 SMTP 攻击 Exchange 服务器的外部攻击者会首先遇到这个单独的 SMTP 服务器。关闭该 SMTP 服务器可能会关闭您通过 Internet 发送电子邮件的功能，但是您仍然能够发送内部电子邮件。您还可以在此服务器上运行防病毒软件。

 

注意：有关设置和配置 SMTP 虚拟服务器的详细信息，请参阅知识库文章 Q308161，“HOW TO: Set Up and Configure an SMTP Virtual Server in Windows 2000”（英文）。

 

防止邮件中继

 

邮件中继是使用一个中间服务器来接受邮件，然后再将邮件发送给另一个服务器上的收件人的过程。它可用于合法的方式。例如，移动用户为了能够在位于您的网络之外时发送邮件，可能需要连接到您的 SMTP 服务器。

 

如果您选择允许来自网络外部的一些有限中继，需要能够非常明确地控制要执行的操作，并且应确保对需要利用它的这些用户进行身份验证（默认情况下启用身份验证）。如果您 SMTP 中继的范围太广，则很快会发现有大量的邮件会通过您的 SMTP 服务器进行传输，这样会影响您的环境的性能，并且会增加 Internet 上未经请求邮件的数量。您可能还会发现，您被列在了垃圾邮件阻止列表中，这可能会导致您的合法邮件无法到达其目的地。

 

即使授权的邮件中继也可能会导致您的邮件服务器出现问题。攻击者会利用您的邮件服务器接受经过验证的请求这样的事实，来尝试针对服务器进行词典攻击。

 

尽可能禁用中继是保护您的服务器的一种很好的方式。外部用户要发送邮件不需要直接连接您的 SMTP 服务器，因为他们可以使用 OWA。

 

要保护您的 Exchange 服务器不会进行邮件中继，您应考虑在内部 SMTP 虚拟服务器上采取下列措施：

 

只允许匿名连接您的 SMTP 服务器。

 

防止成功验证的计算机进行中继。

 

只允许来自特定 IP 地址的 SMTP 连接。

 

您需要在网关的 SMTP 服务器处稍稍放松此配置的要求。确切的设置取决于您的邮件流和您的 ISP 邮件服务器的配置。但是，增强安全性的最佳方式是完全锁定您的系统，以防止进行中继，然后找到允许电子邮件成功穿越所需的最低设置。

 

注意：如果您要支持 IMAP 和 POP3，则用于经过验证计算机的 SMTP 是必需的。如果您选择启用这些协议，则应该考虑为这种通讯启用一个单独的虚拟服务器，以及使用 SSL 来保护该虚拟服务器。

 

注意：有关在 Exchange 中防止不需要的 SMTP 中继的详细信息，请参阅 TechNet 文章“Controlling SMTP Relaying in Microsoft Exchange”（英文）和知识库文章 Q319356“HOW TO: Prevent Unsolicited Commercial E-Mail in Exchange 2000 Server”（英文）。

 

小结

 

您不能认为 Exchange 是最安全的，除非采取了确保它的数据流安全的措施。如果您允许 Internet 上的 OWA，则这是非常重要的，因为如果没有安全性，密码会以明文形式在 Internet 上和内部网络中进行传递。使用本模块中的指南可提高 Exchange 通信的安全性。