首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件网络安全

系统安全 | 邮件软件漏洞 | 攻防技术 | 安全基础 | 病毒公告 | 病毒查杀 | Forefront/TMG/ISA | 防火墙 | 数字签名 |
首页 > 邮件网络安全 > 邮件安全与数字签名 > Microsoft Exchange Server 邮件安全 > 正文

Microsoft Exchange Server 邮件安全

出处:5DMail.Net收集整理 作者:5DMail.Net收集整理 时间:2011-5-27 10:35:30

Microsoft Exchange Server有多种方式可以保护电子邮件数据的安全,主要分为两类:一是传输加密,即保护两台机器之间的连接,从而保护会话中的邮件内容;二是邮件加密,即保护邮件自身安全,确保只有收信人能正确阅读,而不必理会连接问题。

传输加密
传输加密又叫会话加密,保护的是邮件数据传送所依靠的协议。主要有三种传输加密方式:加密消息API(Encrypted Messaging API,MAPI)、安全套接层(Secure Sockets Layer,SSL)或传输层安全(Transport Layer Security,TLS),以及IPsec。
如果需要在Microsoft Outlook和Exchange服务器之间建立安全的会话,则需要激活MAPI协议的加密。MAPI在客户端和服务器之间使用远程过程调用(RPC),默认情况下,RPC并不加密,但是在Outlook用户配置里可以激活128位RPC加密。需要注意的是,该设置仅提供了相对较低的加密级别,只保护Exchange和Outlook之间的MAPI传输,并不保护通过其它邮件服务器发送的电子邮件传输。
SSL和TLS属于类似的协议,都提供应用层的加密。主要的差别在于,SSL必须先在某个端口建立SSL通讯,而TLS可以建立在不安全的连接上。Exchange目前只支持SMTP连接上的TLS,但是支持POP3、IMAP、NNTP、HTTP上的SSL(Exchange的TLS并不完善,不能在同一虚拟机上同时处理安全的和不安全的连接)。
IPsec是一套IP扩展,提供了IP通讯的认证和加密。从Windows 2000以后,Windows系统均内置了IPsec支持。虽然IPsec在激活和管理上比其它方式要复杂,但是也具有更好的灵活性。由于IPsec属于操作系统的功能,因此可以保护任何应用(不像SSL和TLS,需要应用程序支持其标准)。使用Windows IPsec,只需要创建适当的组策略对象(GPOs),并在AD上添加到合适的容器中,建立必须的IPsec过滤器和行为,所以,IPsec适合保护前后端服务器之间的连接。
如果电子邮件在传输中要经过多个节点,则每个节点都需要安全保护,否则极可能泄露数据。在每个节点都受到保护的情况下,电子邮件可以在线路中保证安全传输,但是在发送和接收方之间的每个节点上,邮件本身仍然不是加密的。
如要了解Exchange上如何保护不同协议安全的更多信息,请浏览Exchange Server 2003技术文档库中的“Exchange Server 2003和Exchange 2000 Server的前端和后端拓扑指南”(http://www.microsoft.com/ exchange/library)。

邮件加密
相反,邮件加密技术相对简单许多:用只有接收方知道的密钥加密邮件数据即可。不管邮件采用何种传输方式,都能确保只有接收方才可以阅读。目前两种最常用的消息加密标准分别是PGP和Secure MIME(S/MIME)。
PGP。PGP和开源的GNU Privacy Guard(GPG)都提供比S/MIME灵活的消息加密手段,与S/MIME不同的是,PGP和GPG不需要一个公共密钥架构(PKI),用户自己管理自己的数字证书列表(称作密钥串)。因此,用户在Outlook中使用PGP必须安装第三方的插件,而且,据我了解,在Microsoft Outlook Web Acess(OWA)中还不能校验PGP签名的邮件(或查看PGP加密的邮件)。根据我的经验,PGP非常适合独立用户,但不适合在企业内推广。
S/MIME。S/MIME是Internet Engineering Task Force(IETF)认可的方式,用于格式化和交换数字签名及加密的电子邮件。S/MIME需要完善的PKI部署。Exchange/Outlook通过证书认证(CA)和活动目录(AD)串联工作,让Windows中的用户注册并获得自己的证书,用于加密其电子邮件。Outlook即可在必要时获得企业内其他用户的证书。如果要在企业外部用户中使用S/MIME,则需要确保正确配置PKI,这部分内容不在本文介绍范围内。
S/MIME工作流程如下(PGP流程类似):
1、 发送方在客户端编写电子邮件;
2、 提交电子邮件时,根据指定的公钥和私钥对(接收方的公钥和发送方的私钥)加密消息并签名;
3、 消息通过中间节点,而外界无法查看、篡改和变动数字签名;
4、 接收方收到电子邮件,客户端自动检查数字签名的合法性,然后应用私钥解密邮件。
这个过程是不是真的这样完美呢?S/MIME确实有两大限制。
首先,如前所述,S/MIME需要一个PKI环境,管理发送方和接收方的公钥和私钥,Exchange 2003和Exchange 2000,分别对应Windows 2003和Windows 2000,都可以创建适合S/MIME所必需的数字证书PKI架构,该PKI架构与AD整合,用户可以轻松管理自己的私钥,并获得企业内其它用户的公钥。Outlook客户端支持S/MIME,Exchange 2003版本的OWA提供了OWA用户的S/MIME扩展支持。
其次,电子邮件在提交到Exchange消息库服务之前即被加密。也就是说,这些邮件在网络传输中,通过各个节点服务器时,以及保存在邮箱里,都是加密形式。这种方式限制了所有有用的功能,比如不能按照服务器端的规则扫描邮件内容。S/MIME还会影响邮件的健康检测以及邮件保留和归档的策略。由于邮件在提交到Exchange服务器之前被加密,所以使用Exchange的公司无法检查加密的邮件。
使用S/MIME,应该需要一个规避风险的软件解决方案,这些软件通常会获得所有用户证书,在邮件离开公司前进行扫描,并使用适当的证书加密必须的邮件。
对于S/MIME邮件加密过程也需要审计。必须对证书库的管理权限进行很好的控制,因为证书库是天然的攻击目标。最后,要做好备份、恢复和归档,正确处理邮件安全的复杂情况。例如,必须备份证书,能够重建PKI,归档在系统中仍然存在的旧的和过期的证书。
关于部署S/MIME的更多信息,请访问Exchange Server 2003技术文档库“Exchange Server 2003的消息安全指南”。

相关文章 热门文章
  • Outlook 2003与Exchange 2010结合使用中可能出现的问题及建议的解决方法
  • Lync Server 2010部署攻略之域管理员启用
  • Lync Server 2010部署攻略之服务器部署篇
  • Lync Server 2010部署攻略之标准版部署体验
  • Lync Server 2010部署攻略之规划准备篇
  • 在配置完 Exchange Server 2010 CAS Array后需要做的两件事
  • 如何通过Exchange2010 OWA更改过期密码
  • windows NT 4.0 Domain升级到windows server 2008 R2需要注意的几个问题
  • Windows server 2008 R2上安装exchange 2010注意的问题
  • 关于Exchange数据库文件过大的正确处理方法
  • Exchange 2007 HUB服务器默认证书过期解决办法
  • Exchange 2010 SP1个人邮件归档配置
  • 邮箱密码破解EmailCrack使用
  • 电子邮件安全漏洞大曝光--流行客户端软件之痛
  • Webmail安全问题莫忽视
  • 破解电子邮件
  • 用MailSpy拦截局域网邮件
  • 您的电子邮件签名了吗?
  • 加密你的电子邮件系统
  • 建立高可扩展的web邮件系统
  • 偷窥Hotmail用户邮件三部
  • Webmail攻防实战
  • 电子邮箱及IE安全设置指南
  • 邮件存储备份五种考虑
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号