请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 676|回复: 1

【小目标,一个“译”】+ 打造超级安全的Exchange Server (2)

[复制链接]
发表于 2018-7-12 17:37:07 | 显示全部楼层 |阅读模式
用安全传输层协议创建传输规则(TLS
安全的Exchange部署强制要求在传输过程中的使用TLSTLSHTTPS和在邮件传输的SSL相等效,它会对邮件服务器之间的任何SMTP会话的整体数据传输予以加密。当一封电子邮件被发送的时候,参与该事务的双方邮件服务器都会交换数字证书,然后对加密通道、以及邮件标题、正文包括任何附件传输的安全通道进行统一地协商。
如今大多数的SMTP服务器都支持随机传输层安全(opportunistic TLS),这就意味着它们会默认使用TLS来联系远程的邮件服务器,和接收从外部发向本组织内用户的各种入站邮件。但是如果对方不支持TLS的话,它们将自动切换回传统的SMTP--这种不安全的明文模式。
您必须用TLS来创建传输的规则。这里给大家列举出Exchange 2016(和2013版)与其以前较早版本(如20072010版)的不同之处(如果您使用该规则的话,证书在此已并不重要了,因此不必过分苛求之),因此就算您是Exchange的“老司机”,也请认真阅读下方的文字。
1. Exchange控制面板中创建一条传输规则:登录,然后在左侧点击“邮件流(mail flow)”,之后在顶部选择“规则”,并且点击“+”图标,最后选择“创建一条新规则...
2. 因为您需要将此规则应用于所有的消息,所以最好给它起一个容易理解的名称。然后在“应用此规则如果...”的下方找到并选中“[应用于所有邮件]。”的选项,之后在“执行以下操作:”处,将鼠标移到“修改消息的安全性...”并点击“需要TLS加密”。
3. 确保在“为此规则选择一种模式”下方的“强制(Enforce)”单选按钮被选中,然后输入任何更改信息,以便你在将来参考的时候能从注释文字里找到提示。
4. 最后,单击窗体底部的保存按钮。在弹出一条“你想把该规则应用于将来所有的消息吗?”的警告时,点击“是”便可。

通过SSL VPN设置远程访问
作为Exchange服务器安全部署的一个关键部分,我们应当确认任何与Exchange Server交互人员身份、数量或物理位置(更高版本可以实现)。SSL VPN通常被认为是在任何服务的远程访问中最为安全的可行方案。它不需要你在防火墙上开启特殊的端口,却可以用一个加密层对会话进行封装,它支持对发起服务连接的当前状态进行评估,以确认其是否已被攻破。
SSL VPN的另一个优势在于它可以将你的远程客户端纳入为本地的安全网络的一部分,以便您可以安全放心地管理和处置它们。因此对于咱们所讨论的超安全Exchange部署,我就是使用SSL VPN来作为唯一的远程系统的访问方式。当然在本地网络中,我还是会允许各个Outlook的客户端以标准的ActiveSync进行连接。如今有许多厂商都能够方便地提供各种各样的SSL VPN设备。您手头也许已经有一个了,那就赶快部署它吧。

设置防火墙
安全的Exchange意味着您需要有一个安全的网络。在Hyper-V上,您需要从物理主机的各个适配器上移除网络绑定,从而消除你的主机操作系统受到威胁的可能性,并阻止各种其他的负载在主机上运行。
在该安全邮件服务器的边界上,您只需要开启两个端口:25号端口,用来进行SMTP传输;和典型的443号端口,用于建立SSL VPN会话的各种HTTPS连接。为了增加安全效果,您可以适当采用一些模糊的手法:比如可以变更您的SSL VPN端口号为一个随机数,不过其具体的实现过程还是取决于您的SSL VPN厂商。通常,您可以选取一个大于1024的数字作为备用端口号。当然,您也需要培训您的用户来使用该端口连接到SSL VPN进行邮件的收发。
那么有没有办法能让25号端口变得更加安全呢?这里介绍两种不同的观点:
l  一种是“皮带和背带类型”(译者注:背带裤上的背带为皮带多提供了一种防止裤子垮下的保护):他们将各种风险,即恶意软件、病毒和垃圾邮件对于一般未受过安全教育的用户,和本地邮件服务器的攻击视为正常且不可避免的现象。因此他们会选择使用第三方的邮件“保健服务”(hygiene service)。我偏向使用Mailprotector(译者注:一种邮件安全、管理的运营服务平台),当然,微软的Exchange在线保护(Exchange Online Protection)是非常实用的。
如果您选择使用第三方“保健服务”来阻断垃圾邮件和病毒的话,那么您会进一步在边界防火墙上阻断25号端口,以限制“保健服务”所用到的IP范围。这样一来,你的防火墙就会悄悄地丢弃那些不明来源数据包,以确保只有通过了“保健服务”的邮件才会传到您的手上。此外,您要确保您的服务提供商支持所需的TLS,以便执行传输加密,并且能够将他们的服务用作一台智能主机(相对于TLS的基本功能而言),进而保证您能够获取出站方向的安全。
l  一些非常偏执的人可能不愿意相信那种邮件经历了多个云服务节点,才最终发到手中的方式,因此他们更崇尚所有的邮件能够直接地发送过来。面对这种情况的要求,您肯定会强制要求在连接的全程进行TLS加密。可是,它并不是一个绝对万无一失的加密机制。因为大多数邮件服务器(包括Exchange在内)在传输开始的时候,并不会为了防止相互之间直接传送明文,而进行任何形式的交换证书的验证。由此可见,您会在这种情况下,随着时间的推移而收到越来越多的垃圾邮件。

最后的想法
搭建和部署一台安全的单机Exchange是一个探索过程,而不是一个既定的任务清单。在此,我给您提供了构建和加固一台邮件服务器一些基本要点,包括对静态和传输中数据的加密,和如何尽量减少被攻击的可能性。当然,威胁的种类是在持续发展的,我这里所提到的知识只是一个良好的开端,管理好邮件服务器,乃至其他服务器是企业的一项长治久安的工作。

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
发表于 2018-7-13 12:29:03 | 显示全部楼层
谢谢楼主分享~
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-9-23 05:31 , Processed in 0.087732 second(s), 32 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表