Monday, October 15th, 2018

Укрепление Exchange Server 2007 — Часть 3: Обеспечение безопасности доступа почтовых клиентов

Published on Январь 21, 2009 by   ·   Комментариев нет

Перед тем, как мы начнем, пожалуйста, обратите внимание, что эта статья основывается на бета версии операционной системы Windows Server 2008 и Exchange Server 2007 SP1, поэтому существует возможность того, что некоторые возможности изменятся или исчезнут вовсе в финальных версиях этих продуктов.

В этом цикле статей приводится информация, касающаяся лишь Exchange Server 2007 и Windows Server 2008. Если вы хотите получить дополнительную информацию об обеспечении безопасности среды, обучении пользователей и многом другом, то я рекомендую также прочитать статьи Руи.

В этой статье я расскажу об обеспечении безопасности для различных типов почтовых клиентов, таких как POP3, IMAP4, OWA и Outlook Anywhere (также известном, как RPC по HTTP(S).

POP3

POP3 (Post Office Protocol или почтовый офисный протокол, версия 3) – это относительно старый протокол для получения электронных сообщений с сервера электронных сообщений Exchange Server. Начиная с Exchange Server 2003, Exchange поддерживает POP3, но протокол отключен по умолчанию. Это же справедливо и для Exchange Server 2007, поэтому вы должны изменить тип запуска для этого протокола на Automatic (автоматически). Одно из важных изменений в POP3 доступе к Exchange Server 2007 заключается в том, что не разрешены незашифрованные сессии. Exchange Server 2007 использует сертификат для обеспечения безопасности при передаче сообщения. В результате вы должны настроить свой почтовый клиент для доступа к Exchange Server по безопасному соединению. Неплохо бы заменить сертификат после установки Exchange на доверительный сертификат из центра сертификации (Certificate Authority) или на сертификат из CA (Certificate Authority) сторонних производителей. Как вы можете знать, для настройки доступа POP3, вы должны использовать оболочку управления Exchange Management Shell (EMS). Начиная с Exchange Server 2007 SP1, элементы управления POP3 стали частью консоли управления Exchange Management Console (EMC).

IMAP4

IMAP4 (Internet Message Access Protocol или протокол доступа к интернет сообщениям, версия 4) – это также относительно старый протокол. IMAP4 – это наследник протокола POP3 с некоторыми улучшениями.

Начиная с Exchange Server 2003, Exchange поддерживает IMAP4, но протокол также отключен по умолчанию. Это же справедливо и для Exchange Server 2007, поэтому вы должны изменить тип запуска для этого протокола на Automatic (автоматически). Одно из важных изменений в IMAP4 доступе к Exchange Server 2007, заключается в том, что не разрешены незашифрованные сессии. Exchange Server 2007 использует сертификат для обеспечения безопасности передачи сообщения. В результате вы должны настроить свой почтовый клиент для доступа к Exchange Server по безопасному соединению.

Порты, используемые POP3 и IMAP4

Таблица 1
Протокол Порт по умолчанию
IMAP4/SSL 993 (TCP)
IMAP4 с или без TLS 143 (TCP)
POP3/SSL 995 (TCP)
POP3 с или без TLS 110 (TCP)

OWA

Outlook Web Access (OWA или веб доступ к Outlook) – также защищен по умолчанию. Как и любые другие клиентские службы Exchange, Outlook Web Access также защищен сертификатом, и HTTPS доступ активирован по умолчанию. Рекомендуется также, чтобы для учетной записи администратора использовался свой собственный сертификат для доступа к OWA из внутреннего доверительного центра сертификации (Certificate Authority или CA) или из доверительного CA сторонних разработчиков. Exchange Server 2007 Outlook Web Access обладает некоторыми дополнительными настройками безопасности. Некоторые из этих настроек безопасности являются частью дополнительного пакета безопасности для Outlook Web Access, который впервые появился с Exchange Server 2003. Большинство настроек из этого набора (а также некоторые дополнительные) теперь присутствуют в Exchange Server 2007. Exchange Server 2007 обладает дополнительными возможностями по безопасности:

  • сегментация Outlook Web Access
  • Outlook Web Access полный клиент и облегченная версия
  • Ограничение доступа к Outlook Web Access для определенных пользователей
  • Настройка Microsoft Office Sharepoint Integration
  • Контроль прямого доступа к общим папкам на файловых серверах
  • Блокирование доступа к файлам определенного типа

Outlook Anywhere

Outlook Anywhere, ранее известный, как RPC по HTTPS в Exchange Server 2003, обеспечивает полный доступ Outlook 2007 по HTTPS из внутренних сетей. Т.к. обеспечение безопасности для Outlook Anywhere аналогично OWA, то нет необходимости подробно о нем рассказывать.

Exchange Active Sync (EAS)

Exchange Active Sync обеспечивает доступ для почтовых, а чаще для мобильных клиентов, таких как смартфоны, PDA (Personal Digital Assistants или персональные цифровые помощники) и мобильные телефоны. EAS активирован по умолчанию. Также есть возможность настроить параметры EAS с помощью политик Exchange Active Sync. С помощью политик вы можете осуществлять следующие действия:

  • Запрашивать пароли для мобильных клиентов
  • Запрашивать буквенно-цифровые пароли
  • Разрешить или запретить загрузку вложений
  • Разрешить доступ к документам служб Windows Sharepoint
  • Разрешить удаление данных с украденных или утерянных устройств
  • Активировать шифрование на устройстве

ISA Server 2006

Вы можете использовать ISA Server 2006 (Internet Security and Acceleration Server) для обеспечения дополнительного уровня безопасности для доступа к Exchange Server 2007. С помощью Outlook Web Access (OWA), Outlook Anywhere и Exchange Active Sync (EAS). С помощью ISA Server 2006 вы можете безопасно опубликовать все эти клиенты сервера Exchange Server. ISA Server 2006 обеспечивает дополнительную безопасность в виде моста HTTPS к HTTP, проверке ссылок (Link Inspection), фильтрации содержимого (Content filtering), предварительной аутентификации пользователей и многого другого.

Управление обновлениями

Очень важно постоянно обновлять ваши клиенты для обмена сообщениями, а также лежащую в их основе операционную систему. Вы должны использовать WSUS (службы обновления сервера Windows Server Updates Services) или другое программное обеспечение для управления обновлениями.

Anti-SPAM (Антиспам)

Exchange Server 2007 может использовать интегрированные антиспам возможности для роли Hub Transport Server и роли Edge Transport Server. Вы должны активировать антиспам возможности на сервере Hub Transport Server с помощью оболочки управления Exchange Management Shell (EMS).

Exchange Server 2007 предоставляет следующие антиспам возможности:

  • Ведение списка отфильтрованных почтовых адресов
  • Служба репутации IP
  • Репутация отправителя
  • ID отправителя
  • Фильтрация адресата
  • Карантин спама
  • Фильтрация содержимого
  • Фильтрация соединений
  • SMTP Tarpitting

Вы можете использовать Forefront Edge Security для получения некоторых дополнительных антиспам возможностей.

Антивирус

Вы должны использовать антивирусный сканнер на стороне клиента, который сканирует доступ к файлам по требованию, как Forefront Client Security. На стороне сервера вы должны использовать централизованное антивирусное решение, как Microsoft Forefront Edge Security, о чем упоминалось во второй части этой статьи.

Заключение

В этой части этой статьи мы рассказали о том, как обеспечить безопасность клиентского доступа для различных клиентов, таких как POP3, IMAP4, OWA и Outlook Anywhere. Пожалуйста, обратите внимание, что в этой статье мы не смогли сфокусироваться на всех улучшениях в безопасности и новых возможностей для безопасности сервера Exchange Server 2007.

Источник  http://www.msexchange.org


Смотрите также:

Tags: , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]