第5章 保障邮件安全

理论部分一.配置边缘传输服务器Exchange2007边缘传输服务器角色安装在组织外围网络中.能够最小化攻击面,还可以处理所有面向Internet的邮件流,为Exchange组织提供SMTP中继和智能主机服务1.安装边缘传输服务器（需要满足的条件）a.推荐部署到外围(DMZ)中b.最好安装在独立的服务器上c.配置边缘服务器的FQDN名,主机必须拥有主DNS后缀d.在组织内部和外部的防火墙上,必须开放的端口有:防火墙接口（外部）：进入Internet，TCP的SMTP/25端口防火墙接口（内部）：通过内网入站和出站，TCP的SMTP/25端口防火墙接口（内部）：从内部网络入站，TCP的SecureLDAP/5036端口e.在内部DNS服务器中配置边缘传输服务器的IP地址解析，以使中心传输服务器能够访问f.必须修改外部DNS的MX记录，使其指向新的边缘服务器2.安装的过程首先安装ADAM补丁,然后安装边缘服务器角色3.配置边缘同步在边缘传输服务器运行New-EdgeSubscription命令导出边缘订阅文件,然后拷贝文件到中心传输服务器的边缘订阅,完成后,运行Sart-Edgesynchronization命令,进行强制同步,同步后,运行诊断命令Test-EdgeSynchronization命令,验证配置是否成功,验证成功后,在中心和边缘传输服务器上分别自动建立两个发送连接器,同时中心传输服务器的接受配置域也会自动复制到边缘服务器二.配置防垃圾邮件功能1.连接筛选:会对通过此服务器传入的所有邮件进行筛选,该服务回根据预先设定的IP地址列表,与试图连接的远程服务器的IP地址进行比较,来确定对入站邮件执行的操作1).管理员定义的IP允许列表和IP阻止列表2).IP阻止列表提供程序3).IP允许列表提供程序2.发件人筛选:发件人筛选依靠SMTP邮件头(包括发件人的IP地址.发送时间,发信邮箱,收信邮箱等信息)来确定要对入站电子邮件执行的操作3.收件人筛选:也是根据SMTP邮件头确定对入站邮件执行哪些操作4.内容筛选:内容筛选器代理为每封邮件分配垃圾邮件可信度(SCL)分级,SCL分级越高,表明邮件越可能是垃圾邮件三.配置防病毒功能微软提供了MicrosoftForefrontSecurityforExchange产品,为Exchange2007边缘和中心服务器提供保护,防范病毒,儒虫,和垃圾邮件四.配置邮件客户端安全Outlook2007的限制垃圾邮件，主要包括（在工具——选项）选项：可以设置垃圾保护级别安全发件人：使用安全发件人确定一封邮件是否是垃圾邮件安全收间人：可以将特定的电子邮件通讯组列表或域中的电子邮件地址导入至安全收件人阻止发件人：来自列表的人员始终被阻止五.通过加密和签名实现邮件通信安全1.原理:当发送方要发送一个消息时,被发地消息用HASH算法产生一个摘要,发送方先用自己的私匙对摘要进行加密,(如果只用公匙加密也就是非对称加密,速度慢)于是在生成一个密匙对,用密匙对的公匙对原文和摘要进行加密,接受方收到后用相应的密匙进行解密2.安装的过程在Exchange上安装证书服务,选择独立CA,安装完成后,可以在IIS默认网站下的‘Certsrv’虚拟目录下查看已安装的证书服务在客户端的浏览器种输入‘http://证书服务器的IP地址/certsrv’在证书服务器颁发刚申请的证书在客户端中‘http://证书服务器的IP地址/certsrv’查看挂起证书并安装在客户端‘信任’并‘发布到全球通讯薄’首先发送一封‘签名’邮件,在发一封‘签名和加密’邮件，之后在发一封‘加密’邮件，后面就可以进行加密发送了操作部分试验一：安装和配置边缘服务器角色试验环境：在虚拟机安装WindowsServer2003,在虚拟机安装相关补丁程序实验描述:Benet.com公司的网络是一个域,域名为Benet.com.已经部署了Exchange2007邮箱.中心传输服务器角色和客户端访问服务器,实现企业内部员工邮件的收发,现在需要安装另一台Exchange边缘服务器,满足企业内部与Internert之间的邮件收发,在另一台WindowsServer2003部署边缘服务器试验过程：一.准备工作1.在DCO1上建主机记录和MX2.在边缘服务器上设置计算机的主DNS后缀二.准备安装1.安装ADAM2.插入Echange2007光盘.开始安装3.边缘同步4.测试Internet邮件流实验二:配置Exchange防垃圾邮件功能实验环境:同上实验过程:一.使用连接筛选阻止垃圾邮件1.配置IP阻止列表2.配置IP阻止列表提供程序二.使用发件人筛选阻止垃圾邮件三.使用收件人筛选阻止垃圾邮件四.使用内容筛选阻止垃圾邮件试验三：配置邮件客户端安全可以在安全发件人.安全收件人.阻止发件人设置实验四:通过加密和签名实现实现通信安全实验环境:用虚拟机03作Echange2007服务器和客户端(administrator),用真机做客户端(zz)实验要求:发送邮件实现邮件安全通讯实验过程:一.在Echange2007服务器上安装CA证书二.在真机上为administrator申请证书(zz用户在Echange2007服务器申请,和前面样,过程省掉)三.在Exchnge2007客户端查看证书并发布(真机客户端也一样)加密发送邮件