保护 SMTP 通信安全
每个 Exchange 后端服务器都将运行 SMTP,因为他负责 Exchange 服务器之间和 Internet 上的邮件传输。在本节中,我们将介绍如何给您的网络提供安全的 SMTP 通信,最大程度上减少企业被攻击的风险。
使用 ISA Server 保护 SMTP 安全
对于您的 OWA 前端服务器,利用 ISA Server 的功能能够尽量减少内部防火墙上打开的端口数量。这时,您能够使用 ISA Server 发布功能来发布 SMTP 服务器,将 Exchange 服务器置于防火墙之后。ISA Server 将模拟内部 SMTP 服务器,而无需把 Exchange 置于周边网络之中。
注意:在该配置中,SMTP 的外部 DNS 项目需要引用 ISA Server 上发布的 IP 地址,而不是 SMTP 服务器的地址。
注意:假如无法为布置 ISA Server改变现有的两道防火墙结构,您能够将 ISA Server 放置在内部防火墙之内,并将 TCP 端口 25 向 ISA 服务器开放。
注意:假如您要在端口 25 执行任何形式的身份验证,则应当启用 SMTP 的 SSL 身份验证。
注意:假如 ISA Server 是 ISA 数组的一个活动成员,那么您不能够在该 ISA Server 上发布传出的 SMTP。
使用内容过滤和邮件筛选器
内容过滤启用 SMTP 过滤器,该过滤器接收端口 25 上的传入通信,对其进行检查,并且在规则允许的情况下进行传递。过滤器能够根据发件人的用户名和域名、附件或关键字决定接收或拒绝邮件,还能够一定程度上防范缓冲区溢出攻击。虽然 SMTP 过滤器有全面的功能,但是您还应当安装邮件筛选器。
邮件筛选器是 ISA Server 附带的一个单独实用程式。虽然他能够安装在许多不同的配置中,但是最安全的应用方法是将其和 SMTP 虚拟服务器一起安装在运行 IIS 的服务器上。然后使用该虚拟服务器和 Exchange 通信,以发送和接收电子邮件。他的长处是使您的 Exchange 服务器进一步远离内部网络的边缘。
注意:有关部署邮件筛选器的信息,请参阅知识库文章 Q315132:“HOW TO: Configure SMTP Message Screener in ISA Server 2000”(HOW TO:在 ISA Server 2000 中配置 SMTP 邮件筛选器)。有关更多周详信息,请参见本章末尾的“周详信息”一节。
保护 SMTP 安全的其他方法
通过 ISA Server 发布 SMTP 并使用 SMTP 过滤器和邮件筛选器将帮助您保护 Exchange SMTP 服务器。但是,您还应当考虑其他的操作。
使用单独的 SMTP 网关
作为纵深防御策略的一部分,您最好在网络内部使用单独的 SMTP 网关来保护 Exchange 后端服务器免受 SMTP 攻击。来自 Internet 的任何传入邮件在进入任何 Exchange 服务器前都先经过该服务器。由于该服务器不是 Windows 2000 域的一部分,因此不运行 Exchange。这种方法的长处是外部攻击者试图使用 SMTP 来攻击 Exchange 服务器时将首先碰到单独的 SMTP 服务器。假如该 SMTP 服务器被攻陷,那么虽然会使您无法通过 Internet 发送电子邮件,但是您仍能够发送内部电子邮件。另外,您还能够在该服务器上运行防病毒软件。
注意:有关安装和配置 SMTP 虚拟服务器的周详信息,请参阅知识库文章 Q308161:“HOW TO: Set Up and Configure an SMTP Virtual Server in Windows 2000”(HOW TO: 在 Windows 2000 中安装和配置 SMTP 虚拟服务器)。
防止邮件中继
邮件中继是使用一个中间服务器接收邮件然后将邮件重新发送给其他服务器上的收件人。他能够用于合法目的。例如,当漫游用户不在您的网络中时,他们可能希望连接到 SMTP 服务器以便发送邮件。
假如您选择限制来自网络之外的邮件中继,那么应该严格管理邮件中继,并对需要利用中继的用户进行身份验证(默认情况下启用身份验证)。假如 SMTP 中继的开放范围过大,那么您很快会发现通过您的 SMTP 服务器传递的邮件数量巨大,这会影响环境的性能而且增加在 Internet 上收到的垃圾邮件数量。您还会发现自己被列入了阻止垃圾邮件的黑名单,这甚至会禁止您把合法邮件发送给收件人。
甚至授权的邮件中继也会给您的邮件服务器造成问题。攻击者可利用您的邮件服务器接受经过身份验证的请求的这一情况,尝试针对服务器进行字典攻击。
保护服务器的一个好方法是尽量禁用邮件中继。外部用户发送邮件时无需直接连接您的 SMTP 服务器,因为他们能够使用 OWA。
若要保护您的 Exchange 服务器防止邮件中继,您能够考虑在内部的 SMTP 虚拟服务器上采用以下措施:
- 只允许匿名连接您的 SMTP 服务器。
- 防止身份验证成功的电脑进行中继。
- 只允许特定 IP 地址的 SMTP 连接。
在 SMTP 服务器的网关上,您需要稍微放宽该配置。具体的配置将取决于您的邮件流量和 ISP 的邮件服务器的配置。但是,提高安全性的最好方法是完全锁定您的系统,以便防止中继并进一步防止暴露允许电子邮件成功传输需要的最低配置。
注意:假如您要支持 IMAP 和 POP3,那么已通过身份验证的电脑会需要 SMTP。假如您选择启用这些协议,您应当考虑为此通信创建单独的虚拟服务器,并使用 SSL 保护虚拟服务器。
注意:有关在 Exchange 中防止无需的 SMTP 中继的周详信息,请参阅 TechNet 文章“Controlling SMTP Relaying in Microsoft Exchange”(控制 Microsoft Exchange 中的 SMTP 中继)和知识库文章 Q319356:“HOW TO: Prevent Unsolicited Commercial E-Mail in Exchange 2000”(HOW TO: 在 Exchange 2000 中防止垃圾广告邮件)。
总结
除非您采取措施保护 Exchange 的数据流安全,否则不能认为您的 Exchange 环境是安全的。假如您允许 OWA 暴露在 Internet 上,则保护 Exchange 数据流安全是很重要的,因为假如没有适当的安全保护,那么密码将以明文形式在 Internet 上和内部网络中传递。应用本章中的指导能够提高您的 Exchange 通信的
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
