微软邮件系统建议书2007v1.2 - 图文

2.5.3邮件服务器的安全

邮件服务器本身的安全涉及到邮件服务器的位置、安全过滤和邮件代理几个方面，下面进行简单描述。

一般将公共对外的邮件服务器放在安全防护区(DMZ)上，与公共可访问的Web/FTP服务器放在一起。当然，如果将邮件服务器放在防火墙内，并设置防火墙规则来验证传入的连接，并将邮件消息转发的适当的服务器上。

邮件的安全过滤是指，防火墙应能检查电子邮件消息中的非法命令，一旦包含非法命令，将此会话暂时挂起，直到超时。

由于电子邮件协议假定整个网络都可以访问，因此，任何用户都可以直接连接到邮件服务器，进行邮件的收发。为了保证邮件服务器本身的安全性，必须限制用户直接访问到邮件服务器。用户透过防火墙的过滤和映射后，先访问到Exchange前端服务器，在其上验证其身份，然后Exchange前端服务器才将用户的访问请求转发给后端服务器。

除此之外，为了保证邮件服务器安全运行，系统设计者和管理员还应注意以下方面。

- 对于邮件服务器的安装和配置应基于详细的设计之后进行，尤其是安全配置，这样一来，有利于邮件系统的安全稳定运行。

- 安装邮件系统时，可能需要一个或多个系统帐户，必须认真设计邮件系统专用的帐户名和密码，禁止使用系统管理员帐户administrator。

- 对于邮件服务器，最好不要运行其它服务。

- 如果所用邮件系统有新的补丁包发布，应随时跟踪并仔细阅读新增功能和解决的问题，如果必要，应立即使用。

- 如果要在邮件服务器上安装任何新的软件，尤其是邮件系统的补丁包，必须亲自严格测试之后，方可在生产服务器上安装。

- 采用适当的备份措施，对邮件系统的关键数据进行定期备份，包括用户的邮件数据和活动目录数据。

Page 25of 37

2.5.4电子邮件的安全

安全邮件客户端都支持在邮件服务器和用户邮件客户端之间提供强健的认证和加密，从而使黑客无法在两个站点之间接触到邮件。通过数字签名进行身份验证，同时防止抵赖。Exchange Server 2007支持基于工业标准的S/MIME协议，通过同样支持三S/MIME协议的客户端如Outlook，Outlook Web Access和Outlook Express，用户可以对邮件进行加密和数字签名。

此外，Exchange Server 2007集成活动目录对用户的访问权限进行了严格的控制，可以防止非法侵入他人邮箱，伪造他人身份发送邮件，为邮件系统的安全提供了强有力的保证，弥补了由于SMTP等协议本身缺陷造成的不安全隐患。

如果邮件客户端使用Outlook，客户软件提供加密保护本地的个人文件夹，建议用户不要闲麻烦，最好使用密码。此外，为了方便，建议将邮件存到客户本地。第三，应定期将文件夹整理、压缩，删除不再需要的邮件，或已经存放到的大附件邮件。

2.5.5电子邮件病毒防护

计算机上的病毒种类繁多，危害极大，轻者影响系统的运行性能，重者破坏系统数据，使系统陷于瘫痪。对此必须对计算机病毒采取严密的防范措施：未经网络信息中心的许可，不得使用可移动介质(软、光盘等)进行程序、信息的复制与传递产品。

特别应该引起我们注意的是邮件病毒和，必须能够及时发觉和阻止病毒由网上传播至内部网络，因此，系统中应配有公安部门认可的安全可靠的实时反病毒软件。同时，为了防止由磁盘介质传入的病毒在网上传播，在每个工作站上也应安装防病毒软件。

Exchange Server 2007 直接为第三方厂商提供了病毒扫描开发接口，可以实现第三方防病毒产品和Exchange的无缝集成，高效保护邮件系统，删除带有病毒的邮件和附件。 很多第三方合作伙伴已经开发了支持Exchange 的病毒防范产品，比如Symantec，TrendMicro , CA 等，都提供了为Exchange设计的成熟的安全产品。

Page 26of 37

2.5.6 阻挡垃圾邮件

垃圾邮件就是从一个源位置发出的、意欲同时广播到许多邮箱的邮件。根据行业评估，在收到的电子邮件中，40% 或更多的邮件被判定为垃圾邮件。这种增长的垃圾邮件流将继续为组织带来难题。垃圾邮件不仅仅是一种麻烦；如果将它可能造成的生产效率降低和处理垃圾邮件所需要的额外资源都考虑进去，会发现这是一个代价很昂贵的问题。Exchange Server 2007除可以集成第三方的反垃圾邮件解决方案外，也内置了很多特性从不同的角度对垃圾邮件进行多重过滤。

?

实时阻止列表服务提供程序支持

“实时阻止列表”中保存着已知垃圾邮件源的 Internet 协议 (IP) 地址列表。这些列表包括源地址以及一些被配置为开放中继的服务器或拨号用户帐户列表。Exchange 2007 向“实时阻止列表”服务提供程序发送每个传入的简单邮件传输协议 (SMTP) 连接的 IP 地址，然后该提供程序向运行 Exchange 的服务器返回状态码。根据返回的状态码和管理配置，Exchange 可能不接受电子邮件，同时向发件人发送相应的错误代码。使用 Exchange 2007 可以配置多个“实时阻止列表”提供程序。

?

全局拒绝与接受列表

Exchange 2007 管理员可以为那些总是被接受或被拒绝访问的电子邮件维护一个发送 IP 地址列表。

?

“接受”列表。可以在“接受”列表上维护安全的合作伙伴和客户的 IP 地址以便于访问。

“拒绝”列表。可以将已知的冒犯者添加到“拒绝”列表中。您可以使用此列表来阻止来自以下服务器的连接：您不想从其接收电子邮件，而且它们可能不显示在提供程序“实时阻止列表”（如果您配置了此列表）中。 发件人过滤

?

?

可以相应地配置 Exchange 发件人过滤器，使之检查每封传入的电子邮件的“发件人”地址并将此地址与阻止发件人列表进行比较。如果查到了匹配项，您可以将 Exchange 配置为丢弃此连接或存档此邮件。

?

入站收件人过滤

管理员可以通过设置收件人过滤功能来阻止预定发送给无效收件人（Windows Active Directory? 目录服务中没有的地址）或发送给受限制的邮件地址的电子邮件。

Page 27of 37

垃圾邮件通常来自假地址，因此，以前每当 Exchange 向发件人返回未送达报告 (NDR) 时，都会浪费一些资源。Exchange 2007 应用了收件人过滤功能，因而可以在 SMTP 会话期间拒绝发送给不存在的或被阻止的收件人的邮件。这种过滤功能可以避免 Exchange 使用宝贵的资源向发件人返回 NDR。

?

对于向 SMTP 虚拟服务器进行提交和利用 SMTP 虚拟服务器进行中继增强了限制能力

通过使用 Exchange 2007，您可以指定允许哪些用户组向 SMTP 虚拟服务器提交电子邮件。这可以帮助阻止不需要的通信使用 Exchange。例如，垃圾邮件制造者可以利用对中继开放的服务器，通过这些服务器发送电子邮件，从而制造出邮件发自这些服务器的假象。许多“实时阻止列表”中之所以列出对中继开放的服务器的 IP 地址，其原因就在于此。

?

与 Outlook 2007 和 Outlook Web Access 阻止列表及安全列表集成

Outlook 2007 包含的一些功能可帮助用户阻止每天收到的大量不需要的电子邮件。这些功能可以使用户控制他们接收什么样的邮件以及接收谁的邮件。Outlook 2007 还提供了一组专用于与 Exchange 2007 一起帮助用户防范垃圾邮件的功能。

?

垃圾邮件过滤器

Outlook 2007 采用了由 Microsoft 研究院开发的最先进的技术。这种功能利用了若干因素（例如邮件的时间和内容）来判定是否将一个邮件视为垃圾邮件。此过滤器并不挑出任何特定发件人或特定类型的电子邮件。邮件处理是基于邮件内容进行的，同时邮件处理还使用对邮件结构的高级分析功能来确定用户将邮件视为垃圾邮件的可能性。

Outlook 2007 和 Outlook Web Access 中的垃圾邮件过滤器默认情况下设置为“低”，但允许用户进行自定义，从而可以使用户更好地控制他们的收件箱。若要自定义 Outlook 2007 处理电子邮件的方式，用户可以将垃圾邮件过滤器设置为“低”、“高”或“专用”，或者可以直接完全关闭过滤器。

?

“受信任的收件人”或“安全”列表

如果一封电子邮件被误发到“垃圾邮件”文件夹，用户可以将其地址或域名添加到“受信任的收件人”列表中。

?

“垃圾邮件”或“阻止”列表

还可以将 Outlook 2007 配置为只从“受信任的发件人”列表接受电子邮件，或者配置为通过将发件人添加到“垃圾发件人”列表来阻止特定的电子邮件地址或域名。

Page 28of 37