淺析Exchange郵件系統的安全性維護

梁妍莉

隨著計算機網絡的飛速發展，通過互聯網開展商務活動已經成為企業不可或缺的行為。與網絡商務活動息息相關的郵件系統，在提供給企業諸多方便的時候，自身面臨著嚴峻的安全問題。因此，為企業搭建安全可靠的郵件系統是經濟發展的必然要求。本文就Exchange郵件系統的安全性維護做一個淺議析。

一、引言

Exchange是微軟研發的消息與協作系統，多被用來構建企業郵件系統。該系統既可以提供企業內部的訪問，還能夠提供企業外部的訪問。電腦病毒、垃圾郵件、非法竊取等惡意攻擊行為，嚴重威脅著企業郵件系統的正常運行，作為網絡維護人員，對企業郵件系統進行嚴密的保護是不可推卸的責任。具體的工作內容包括以下三個方面：

第一，將郵件服務器放置在企業內部網絡，使用防火墻，對過往數據進行篩選與分析，防止外部用戶非法訪問郵件服務器，達到企業郵件系統的保護作用。

第二，對用戶與郵件服務器之間的往來數據進行加密，防止黑客非法竊取企業信息，達到保護用戶通信內容的作用。

第三，運用“服務器角色”的功能對所有郵件進行防病毒處理。Exchange Server系統有一個“服務器角色”的功能，由5個服務器組合而成，它們是：郵箱服務器、客戶端訪問服務器、集線器傳輸服務器（又稱為中心傳輸服務器）、統一消息服務器和邊緣傳輸服務器。邊緣傳輸服務器為Exchange組織提供防病毒和反垃圾郵件保護，由防火墻和TMG組成，防火墻是第一道防線，TMG是第二道防線。

二、針對企業外部郵件的安全維護

TMG是Forefront Threat Management Gateway的簡稱。TMG可以提供多種保護，比如：URL篩選、入侵防御、反惡意軟件檢查、HTTP/HTTPS檢查。TMG將這些功能集成到一個軟件系統中，在保證員工自如使用網絡的同時，可以有效降低維護成本與操作復雜性。

植根于Web之上的傳播方式是非法軟件最常用、最廣泛流行的方式，為了有效防范非法軟件的侵入，TMG通過掃描HTTP、HTTPS和控制訪問URL地址類別，實現維護郵件安全的效果。

1、HTTP掃描

TMG中的Forefront Endpoint Protection反病毒引擎，可以進行Web非法軟件掃描，通過設置站點掃描、處理時間超時拒絕訪問、壓縮文件嵌套超層拒絕訪問、文件大小超量拒絕訪問等配置，達到實現掃描非法軟件，清除病毒的安全維護目的。

2、HTTPS掃描

HTTPS是加了密的HTTP傳輸方式，加密的結果導致傳輸內容無法鑒別，轉為通過設置標準端口TCP443而實現傳輸。大部分防火墻對TCP443是開放的，不做安全檢查。因此，只要使用標準端口TCP443進行傳輸，往往會被認作正常文件，這就為木馬等非法軟件有隙可乘。在TMG中，設置了HTTPS掃描檢查功能，可以有效阻攔木馬、間諜類非法軟件的傳播，可以提高企業網絡的整體安全性。

3、過濾URL地址類別

在TMG中，內置了91種URL地址類別，依據MRS數據庫，評估網絡站點的類別與安全等級，通過設置阻止或允許訪問，可以有效杜絕釣魚網站的威脅。

在針對外部郵件安全維護方面，TMG引入網絡入侵保護系統（NIS），可以根據數據包的特征碼，對入侵與漏洞加以判定與阻止。可以對協議通信與傳輸端口進行合并檢查，再配以TMG原有的安全訪問控制功能，可以有效保證企業網絡信息的安全。

三、針對企業內部郵件的安全維護

“堡壘往往從內部被攻破”。在企業內部，由于各種原因，也存在著不可輕言安全的不穩定因素。為了避免不必要的尷尬與損失，在企業內部，可以采取郵件加密的方式，實現郵件的安全維護。

1、保護訪問方式的通信安全

Exchange 2010為客戶提供的訪問方式被稱作OWA（Outlook Web App）。在默認狀態下，客戶端訪問服務器使用自簽名證書來實現通信，通過為Exchange 2010客戶端訪問服務器申請Web服務器證書，替換掉默認狀態下的自簽名證書，從而實現客戶端與服務器之間的數據安全傳輸。該操作比較簡單，客戶端在瀏覽器地址欄中輸入HTTPS：//服務器名/OWA，就可以對郵箱進行加密訪問。

2、對發送的郵件進行簽名與加密

Exchange 2010通過使用S/MIME（安全/多用途Interact郵件擴展）來實現對郵件進行簽名與加密。

（1）數字簽名。數字簽名是具有法律意義的簽名，是傳統簽名的數字表現方式，具有不可否認、驗證身份的法律效果，其最簡單的表現形式是對郵件文本進行簽名驗證操作。

（2）郵件加密。加密猶如上鎖，通過更改信息而使郵件不可閱讀或無法使用，是保障郵件的保密與數據完整的前提下，對郵件實行的保護措施。與數字簽名相比較，郵件加密的使用不是很普遍。

（3）SMTP協議。當郵件在兩個及以上郵件服務器之間傳送的時候，使用SMTP協議，可以防止郵件被竊取與還原；通過申請同一個證書頒發機構頒發的證書，將該證書用于SMTP服務，獲取并使用加密的SMTP傳輸方式，可以更好地防止假冒身份與篡改數據的惡性行為發生。

3、使用Forefront Protection防范郵件病毒

在Exchange 2010中，通常多使用Forefront Protection for Exchange Server（以下簡稱Forefront for Exchange）對郵件進行防病毒處理。

Forefront for Exchange集成了業界領先的防病毒引擎，可以有效檢索與拒絕病毒和垃圾文件，共有12種防病毒引擎可供使用，并可以同時最多開啟5種引擎，可以實現掃描不間斷、自動更新程序，從而有效對抗不安全因素的威脅。

Forefront for Exchange可以在優化服務器、保護郵件的時候，不干擾計算機的正常工作，網絡管理員可以輕松完成服務器配置、掃描引擎、更新數據庫、信息報告等工作。在Exchange 2010中，Forefront for Exchange安裝了高階層的內容篩選器，可以自動更新，可以更加有效地檢測、識別、攔截、消滅病毒及危險文件。

四、結論

企業郵件系統具有自身特點，其安全問題是一個綜合性較強的問題，作為企業網絡安全維護人員，應立足于全局，建設具有綜合評估體系的網絡安全系統，才能有效保障企業網絡的運行安全，從而有為提升企業的競爭力做出貢獻。

參考文獻

[1]王姍姍，付位剛.安全局域網環境下安全郵件系統的設計與實現[J].北京電子科技學院學報，2008（2）.

[2]徐祗祥.組建與維護企業郵件系統[J].科學技術文獻出版社，2007（8）.

（作者單位：西安秦華天然氣有限公司）