Exchange 2003的设定及安全管理

　　邮件服务向来是企业的核心业务.邮件的重要性对于企业来说是不言而喻的.而Exchange2003的邮件设置各选项也较多，如何根据企业内部需求正确地应用这些设置是一项长久而又复杂的事情.以前就其高可用性写了一篇集群方面的文章( http://waringid.blog.51cto.com/65148/72065)，有兴趣的可以参考下.但是邮件系统不仅仅是高可用就行了，还要涉及到安全，防病毒，防垃圾邮件及特殊化的定制.所以结合个人的经验及应用体会写成这篇文章，因为水平所限，如有不当或是不完善之处，还请指正.

　　这篇文章不涉及Exchagne2003安装方面的东西，如果你对它的安装有困难，可以参考(http://waringid.blog.51cto.com/65148/73387)这篇文章.这里会讲到利用第三方的软件实现邮件的防病毒及防垃圾邮件的功能.当然这些软件不能和Linux下的相比(费用较高)，如果你想了解Linux下的邮件系统及防病毒和防垃圾邮件相关请参考：LADP方面( http://waringid.blog.51cto.com/65148/79648)和MYSQL方面(http://waringid.blog.51cto.com/65148/58144).还会讲到怎样根据企业要求限制用户邮件大小及存储限制等.如果你对邮件系统比较关注，那么一起加入吧.

　　邮件显示名的设定：

　　一个运行良好的邮件系统不只是实现其邮件收发的功能，还应体现在其便捷性及易操作性上.因为使用邮件客户端的用户不可能都是计算机高手.就像Windows和Linux的相比性一样，虽然Linux在各方面比Windows要强，但不可否认的是Windows占据了桌面电脑的大部份市场.而规划良好的邮件显示名可以使用户更加方便快捷.看看下面这张图就可能明白了.

　　各企业可以根据自己情况来定义邮件显示名的设定.一般推荐的方式是：部门代码+地区代码+用户名.各代码则需先规划好.

　　下图是建立用户的情况：

　　存储组的管理：

　　系统在建立之初会自动建立第一个存储组用来存诸相关用户的邮件及公用文件夹，但通常其名称和数据及日志的存放路径并不符合企业的管理规定.最好是按地区来命名存储组，然后在存储组下建立以各部门代码为名称的邮件存储.然后分离存储数据和日志.如图示：

　　确认系统启动的服务及建立用户时选取相应的存储：

　　限制邮件中继：

　　如果服务器开放了邮件中继并且未加验证的话，那么你会发现你的邮件队列中经常会存在大量未知的链接，时间久了后还可能会被列入垃圾邮件黑名单中.在Linux中很容易禁用中继，那么在Exchange中则需按下面的方法.在 Exchange 系统管理器的左窗格中的服务器中，然后展开要配置的 Exchange Server。展开协议，展开 SMTP。右键单击默认 SMTP 虚拟服务器，然后单击属性。单击访问选项卡以显示访问控制选项。单击中继按钮。在中继限制对话框中，确保允许计算机进行转发的选项被设置为 Only the list below(仅限以下列表)，在其中加入自己公司邮件地址的公网域名。除非您对该虚拟服务器使用 POP3 和 IMAP4 客户端，否则请清除 Allow all computers which successfully authenticate to relay, regardless of the list above(允许所有成功通过身份验证的计算机中继，无论它是否在上面的列表中)框，然后单击确定。在 SMTP 虚拟服务器属性对话框中，单击确定。

　　设定相应的SMTP最大连接数及刷新时间：

　　SMTP外发邮件大小设定：

　　邮件在服务器上的存储限定：

　　全局的邮件大小及收件人个数设定：

　　针对单用户的收件人个数设定：

　　说到这里，你会发现针对邮件的大小一共有三个地方可以设定.分别是"SMTP连接器"，"全局设定"，"用户设定".经过测试发现这里的冲突的检测原则是："用户设定">"SMTP连接器">"全局设定".如果你的全局设定中设置最大收件人为2个的话，在发邮件是如果收件人多于2个则会出现下面的提示：

　　　邮件防病毒：

　　ScanMail Suite for Microsoft Exchange提供了更加有效的高性能邮件服务器安全--连续五年获得邮件服务器防病毒市场第一名。*除了拦截病毒、垃圾邮件、网络钓鱼和内容过滤之外，新版本还提供了针对间谍软件和零时差威胁的高级保护。不论您是安装Exchange Server 2000、2003或新的2007版，ScanMail均为您的Exchange提供了优化的环境。扫描效率的提高和更加紧密的集成可以减少对IT、基础设施的影响和降低管理成本--使企业获得丰厚的投资回报。相关介绍：http://cn.trendmicro.com/cn/products/enterprise/scanmail-for-microsoft-exchange/.如图：

　　防垃圾邮件：

　　作为管理员，如何防止垃圾邮件携带恶意软件进入企业，需要付出许多的努力。而GFI公司的Mail Essential Exchange软件可帮助管理员高效的管理企业的电子邮件服务器.当然你如果觉得开源系统下的东西更好用那又另当别论.Mail Essentials可以有两种安装方式：SMTP网关模式或者直接安装在Exchange邮件服务器上。两种安装方式都有自己的优点和缺点。SMTP网关模式是把ME安装在一台独立的网关服务器上，因此运行的是独立的邮件服务器软件。网关模式允许把反垃圾邮件功能分配到一台独立的、功能比较弱的服务器上，让Exchange服务器专注于运行Exchange。

　　Anti-SPAM configuration(反垃圾邮件配置)

　　Anti-SPAM(反垃圾邮件)有十个不同的参数或规则来检查垃圾邮件。可以在右边窗口区域内双击每条规则来进行配置，也可以在左边窗口区域内选择该规则，然后选择"properties"(属性)。我们在下面将讨论每个规则，它们的作用，以及它们是如何防范垃圾邮件的。规则使用的顺序也是可以设定的。 每条规则的属性都被分成几个表单。有些表单，比如Actions表单在每条规则中都是一样的。配置过程类似这样：按照需要选择使用每条规则，仔细进行配置，并规定在发现符合该规则的垃圾邮件之后应该采取什么行动。 首先打开Sender Policy Framework(发件人策略架构)。这是在11.0版本中新出现的功能。它通过检查伪造发件人来确定垃圾邮件。Sender Policy Framework功能是一个团体防范垃圾邮件的工作。SPF要求发送者在SPF记录中公开自己的邮件服务器。当邮件到达时，GFI可以检查并确定发件人是否是伪造的。可以在Sender Policy Framework网站上找到更多关于SPF的信息。在配置好SPF后，ME将提示设置perimeter server参数，以帮助SPF工作。在这个示例中，我们已经在perimeter server(网关)上安装了GFI，所以不需要再进行设置。 General Tab让SPF可以工作在不同的层上。把滑块拖动到顶端，能够设置让SPF不要阻拦信息，这样就关闭了该规则。相反，把滑块拖动到底端，则会阻拦任何没有通过SPF测试的邮件。GFI推荐中级设置，该设置会阻拦那些伪造发件人的邮件。

　　Directory Harvesting(帐号收集)

　　这一规则检查那些发往电子邮件服务器中，不存在的收件人的电子邮件。这通常是帐号收集攻击的一个信号，目的是发现特定服务器上的邮件地址。在我的环境中，我们收到大量的垃圾邮件，这些垃圾邮件都是发给已经离开公司的员工的。使用这一过滤规则能够帮助我们直接把这些邮件处理掉，以免我们还要在以后对它们进行处理，判断它们是否合法。可以在"general"(常规)表单中激活这一功能。使用该功能需要AD或者LDAP连接到DC。

　　Custom Blacklist(自定义黑名单)

　　可以使用该功能为已知的域或者电子邮件创建一个自定义的黑名单

　　Bayesian filter(贝叶斯规则过滤)

　　主要的垃圾邮件过滤功能。Bayesian过滤在缺省状态下是关闭的。GFI推荐至少每周要使用一次该过滤功能，起码直到有3000封邮件通过这一过滤。在这一训练期结束后，就可以正式使用该过滤功能了。

　　DNS blacklist(DNS黑名单)

　　可以检查发送邮件服务器是否是那些被已知的、多个黑名单组织管理服务器。该功能需要正确配置DNS服务器。如果黑名单配置正确而DNS服务器配置有错误的话，就会出现一个暂停，电子邮件处理速度会变得非常慢。所以配置的时候要非常谨慎，可以使用测试按钮来测试连接。可以使用多个列表，但是每个列表都会延长电子邮件处理时间。

　　Spam URI Real-time Block(垃圾邮件URL实时阻止)

　　列表规则检查电子邮件，查看邮件中是否包含了已知的、来自于垃圾邮件制造者的URL和URN。可以针对每个列表选择多个检查列表。和DNS黑名单一样，选择越多的检查列表，邮件处理时间也越长。

　　如果你正在为怎样限制内网用户收发外网邮件的事情苦恼，可以参考以下文章：http://www.5dmail.net/html/2003-10-31/20031031205516.htm或是 http://www.msexchange.org/tutorials/MF009.html.

　　邮件系统的管理是一项长久的事情，在企业需求多变的今天更是如此.没有任何一款产品能保证100%的完美.所以即使是设定好了一切，也不能掉以轻心.只要时时小心谨慎并积极关注新的技术发展趋势.相信可以让你和系统运得更加稳定.

　　本文出自 “虚拟的现实” 博客，转载请与作者联系!