exchange系列(四)如何保护exchange邮件服务器的安全
博主QQ:819594300
博客地址:http://zpf666.blog.51cto.com/
有什么疑問的朋友可以聯系博主,博主會幫你們解答,謝謝支持
理論部分:
???????? 郵件病毒的危害
?????????????????? 竊取郵件內容
?????????????????? 破壞郵件
???????? 垃圾郵件的危害
?????????????????? 占用郵箱空間
?????????????????? 傳播不好的內容
?????????????????? 查找正常的郵件速度緩慢,降低工作效率
安裝防病毒軟件
?????????????????? Froefrontprotection fro exchange server 這個防病毒軟件,主要的工作是防病毒,也可以用來防范垃圾郵件
?????????????????? fpf的安裝要求???????????
?????????????????????? 安裝有exchange 2010
?????????????????????? 操作系統至少是windows server 2003 sp2 以上版本
?????????????????????? 除了運行exchange的所需內,還需要有2G的空閑內存
?????????????????????? 2G的磁盤可用空間,不包含Exchange的所需可間
?????????????????????? 4核2.00GHZ以上的CPU
郵件安全
????????????? 想要實現郵件在傳輸過程中安全的傳輸,需要使用加密技術,和數字簽名技術
????????????? 加密:是實現在傳輸過程中郵件的內容是加密的
????????????? 簽名:是實現對方收到郵件之后,能夠確認發件人的身
郵件加密和簽名的工作原理:
數據加密的過程如上圖所示
????????????? 首先找到郵件的正文,之后檢索收件人的公鑰,使用公鑰生成一次性會話秘鑰(會話秘鑰也就是對稱式秘鑰加密解密都是一把鑰匙),使用會話秘鑰將郵件正文加密,在使用公鑰將會話秘鑰加密,在將加密的會話秘鑰附加到郵件進行傳輸
ps:檢索收件人的公鑰其實是在AD中檢索的,不是在客戶端本地。
數據解密的過程如下:
首先接受郵件(在收到的時候只能看見發件人,內容看不見,還沒有進行解密,打開的過程才是解密的過程)
在打開郵件的瞬間檢索收件人私鑰,用收件人的私鑰解開被公鑰加密的一次性會話秘鑰,用解開的一次性會話秘鑰進行解開郵件正文,看見郵件正文
ps:解密檢索收件人的私鑰是在本地檢索的。
以上是加密解密的過程?
接下來簽名的過程:
簽名的過程
???????? 找到郵件正文,計算出郵件的哈希值,用收件人的私鑰加密哈希值,附加到郵件中傳輸(發件人的公鑰也附加進行傳輸)
解簽名的過程
???????? 接收到郵件,檢索加密的哈希值,檢索郵件正文,計算郵件的哈希值,檢索發件人的公鑰,用發件人的公鑰解開被加密的哈希值,比較兩個哈希值,驗證郵件簽名(哈希值一樣則數據沒有被改過,否則則被修改)
?
如果即加密又簽名責先簽名,后加密
?
總結:使用收件人的公鑰是加密,使用發件人的私鑰是簽名
實驗案例部分:
???? 實驗案例一:配置Exchange防病毒功能
??? 需求分析
??? beijing公司已經部署了Exchange Server 2010郵件系統,實現了公司內外的郵件收發。現在用戶抱怨總是收到來自shanghai.com服務器發來的病毒郵件。Beijing公司的經理對此下達任務,要求管理員對郵件服務器做掃描作業,防止病毒文件***。
??? 現管理員開始配置郵件服務器的防病毒郵件功能,以此來保證企業郵件的安全
??? 實驗思路
??? 配置ForefrontProtection? for Exchange Server
??? 安裝ForefrontProtection? for Exchange Server
??? 啟動“郵箱實時掃描”的“實時防病毒掃描”和“實時反間諜軟件掃描”
??? 配置shanghai.com用戶發送, 查看beijing.com郵件服務器上的隔離效果
??? 在shanghai.com上讓用戶發送一封病毒郵件
??? 打開ForefrontProtection Server
??? 查看“服務器安全視圖”中的“隔離”效果。
虛擬機環境如下:
mail.beijing.com:192.168.1.101
域beijing.com:192.168.1.100
域shanghai.com:192.168.1.200
mail.shanghai.com:192.168.1.201
實驗步驟:
1、安裝安裝ForefrontProtection for Exchange Server
1)在mail.beijing.com郵件服務器上安裝Forefront Protection? forExchange Server
雙擊軟件forefrontexchangesetup.exe
2)
3)向導提示說:安裝過程中需要停止“Microsoft Exchange 傳輸”服務,安裝完成后會自動恢復,所以安裝該軟件前需要確定Exchange服務器是否處于維護期,Exchange服務運行期間不要安裝該軟件。
4)可以為程序文件和數據文件指定安裝路徑,我在這里就默認了。
5)在代理信息頁面,若真實環境中,公司有多臺Exchange郵件服務器,要安裝多個Forefront Protection forExchange Server軟件,則可以讓其中一個Forefront Protection forExchange Server所在的Exchange服務器同時兼任代理服務器,其他的Exchange服務器的Forefront Protection forExchange Server軟件更新都找代理服務器,這樣會提高更新效率,但是一般實際環境中,一個公司就一臺Exchange服務器,所以一般都是默認“下一步”即可。
6)可以立即也可以稍后啟用反垃圾郵件功能,這里我就立即啟用了。
7)在真實環境中,最好選擇第一項,而這里實驗我就選擇第二項了。
8)加入不加入客戶體驗改善計劃,你隨便,這里我就不加入了。
9)確認以上配置都無誤后,點擊“下一步”
10)確認安裝配置并立即啟動Forefront Online Protection for Exchange Gateway安裝程序
剩下的和上面差不多全部下一步即可,這里不再截圖說明了。
11)全部安裝完成
2、安裝完成,之后在開始菜單中可以打開fpf控制臺,可以在這里使用到服務器和企業層面配置自動化調度掃描、病毒定義更新和報告等功能。
3、配置和測試郵件防病毒功能
1)這里點確定即可,因為是實驗沒必要激活,默認可以使用119天。
2)進入fpf控制臺,默認是進入到儀表板界面
3)單擊左側“策略管理”→確認“郵箱實時掃描”的“實時防病毒掃描”和“實時反間諜軟件掃描”已經開啟
4)下面開始驗證“郵箱實時掃描”功能
現在上海公司的李四發一封帶病毒的郵件給北京公司的張三
5)登錄北京公司的張三郵箱賬戶查看
6)打開這個附件看一看
7)我們去看一看fpf,可以看見fpf發現了一個病毒
8)在事件里可以看見該病毒已經被成功隔離
9)在隔離區可以看見是誰發的病毒以及收件人是誰等詳細信息
實驗案例二:實現郵件加密和簽名
???? 需求分析
??? bdqn公司的網絡是由域環境組成的,域名為bdqn.com。公司使用Exchange Server 2010構建了郵件系統。公司希望財務部員工以郵件形式傳送財務數據時,能夠保證財務數據的安全,防止郵件內容泄露。同時,防止其他部門的員工冒充財務部員工收發郵件
??? 實驗思路
??? 在域控制器計算機上安裝證書服務(安裝為企業CA)。
??? 為用戶administrator和xiaoming申請證書,并發布到全球通訊簿。
???? administrator給用戶xiaoming。
??? xiaoming接收加密和簽名郵件,測試郵件的加密和簽名是否成功
注意:郵件的加密和簽名只適用于內部用戶之間發郵件,不能用于內部和互聯網接發郵件。
實驗步驟:
1、搭建CA服務器
???? 使用DC的環境搭建CA服務器
下面選擇是企業CA還是獨立CA我這里是域環境,可以選擇企業CA否則只能選擇獨立CA,獨立CA需要手動頒發證書比較麻煩,企業CA可以自動頒發:
下圖選擇根CA還是子CA這里只有一臺所以選擇根CA,一般情況下不會直接使用根CA為用戶頒發證書,而是在搭建一個子CA,子CA向根CA申請證書,申請完成之后根CA可以從網絡中移除以保證整個系統的安全性,根CA一癱瘓,整個系統就無法運行:
2、在客戶端(我這里就在DC上操作了),打開web瀏覽器,選擇申請證書(certsrv 是默認站點的虛擬目錄)
輸入用戶名和密碼,選擇申請證書(用戶必須在AD中存在,這里就用管理員administrator用戶進行登錄)
注意不同瀏覽器,這塊不一樣,但不管出現什么,都點擊提交即可。
4、在客戶端應用證書(這里我就用administrator在DC上操作了)
打開outlook客戶端,使用administrator進行登錄,找到在頂部菜單欄找到工具——信任中心
可以看見下面證書的信息,點擊確定就可以了,什么都不用修改,很智能的:(如果需要添加多個用戶的,則要在此處新建選擇添加)
點擊發布到全球通訊簿,其實就是告訴AD的所有對象自己的證書:
這樣在新建郵件的時候,就可以加密或者是簽名了,兩個功能也可以同時進行。
5、接下來配置xiaoming@bdqn.com
我們去一臺客戶機(該客戶機沒有加域,就是很普通的一臺客戶機)
說明:如果自己沒有證書,是不能發送和接收加密或簽名的郵件的,那么也就是說只能在組織內部發送加密或簽名的郵件。
需要在每臺員工的客戶端進行以上的操作。,如果員工去其他計算機進行登錄,那么還需要在新的電腦上進行申請,因為私鑰是在自己的計算機中。
(說明,在此之前一定要先創建好xiaoming@bdqn.com郵箱)
注意:一定要安裝到這里,否則不能生效,這也是和2008的區別,2008直接安裝就可以了,而2008R2不行。(該客戶端是win7)
6、客戶機這里我演示用xiaoming@bdqn.com在owa上配置添加證書(owa和outlook的添加都要會,administrator我演示的是在outlook上添加,xiaoming我演示在owa上添加)
注意:點了保存不會跳轉頁面,我們可以自己手動頁面。
7、現在用管理員和小明互發郵件測試
先用小明給管理員發一封加密驗證的郵件測試:
看管理員是否收到:(收到了)
現在用管理員和小明發一封加密驗證的郵件測試:
看小明是否收到:(收到了)
實驗案例三:通過規則防止垃圾郵件
???? 需求分析
??? HY公司內網現有用戶lisi的計算機中毒,現狀是一直***zhangsan的計算機,管理員之前沒有部署相關的防病毒工具,現需要在Outlook上配置一定的規則,將lisi的郵件放入垃圾郵件中
??? 實驗思路
??? 在客戶機上使用Outlook。
??? 在客戶機上打開規則,并對規則做配置。
??? 使用Tony的計算機做測試
注意:使用上一個實驗的環境打開outlook找到頂部菜單欄的工具——選項
不讓小明給管理員發郵件:
在管理員的客戶機上操作,這里我就在DC上做了:
選擇組織發件人,將xiaoming@bdqn.com添加進去就可以了。
下面還有一些示例,可以阻止整個后綴@xxx.com
發一封郵件測試一下:
注意:管理員收到了,這到底是怎么回事,原來我這么做只是想說一下,阻止發件人不能阻止組織內的郵箱,只能阻止阻止外的郵箱,還有一種方法,那就是
——規則和通知
下面我們去規則和通知,再一次阻止小明給管理員發郵件,并再次測試:
如果上圖沒有配置的話,在下圖可以配置:
下面開始用小明給管理員發郵件進行測試:
在管理員的outlook上查看:
上面的實驗成功了!
注:一般一個公司內部是不阻止公司內部人員發送郵件的,因為怕阻止掉了重要郵件,對我們和公司來說損失。
?
這里我想說的是其實反垃圾郵件很少在客戶端配置而且這個是級別最低的,反垃圾分為三個級別分別是:
第一級別:防火墻上。
第二級別:邊緣傳輸服務器或者是中心傳輸服務器上。
第三級別:才是在客戶端上。
一般都會在防火墻上創建規則,拒絕哪個具體的地址的郵件進入到組織內,也可以在邊緣服務器上創建傳輸規則那些郵件不可以進入到組織內。
總結
以上是生活随笔為你收集整理的exchange系列(四)如何保护exchange邮件服务器的安全的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 调试经验--图像
- 下一篇: jQuery 基础总结