http://www.easyuse.com.tw/epaper-951105/epaper20061105-share2.htm
做好Exchange Server 2003郵件安全管理
前言:
在一個企業e化的運作環境中,對於個人來說最重要的就是E-mail的使用,也因為如此,許多令人厭煩的垃圾郵件隨之暴漲,災情輕者可能是一些殺不完的廣
告郵件,嚴重的話則可能夾帶許多惡意的病毒程式、偽裝郵件、詐騙訊息等等令人防不勝防。想要徹底遏止如此散佈在網際網路上的不良行徑,唯有結合訊息平台的
防禦技術與使用者本身的智慧才能破除。
前
一陣子在家裡翻到一本多年以前看過的書「電腦叛客」,書中敘述一些80年代時期的年輕人如何在網際網路中藉由一些簡單的程式與命令來入侵遠端的伺服器系
統,由於當時網際網路還剛興起不久,因此許多政府單位與企業還不是十分重視資安問題,就連這一方面的研發製造廠商都很少,以致於許多政府、軍方和民間單位
的網路與電腦一夜之間就可能全部癱瘓或被竊取資料。而這些堪稱奇才的年輕人聚集成為跨國際的電腦犯罪組織,影響層面之大範圍之廣可想而知。
如
今已是網際網路蓬勃發展的90年代,許多企業與政府單位早已砸下龐大的資訊預算進行資安的建置規劃,想必早已感受到資安漏洞可能造成痛楚。雖然目前駭客想
要直接以傳統的手法來入侵擁有銅牆鐵壁的遠端邊緣防禦已經非常困難,然而只要不是一個與網際網路完全隔絕的內部網路,這群駭客仍然想得到各種入侵的方法,
而其中使用E-mail就是最快最有效的入侵方法之一。因為入侵者完全不需要花時間想辦法來取得遠端伺服器的管理員密碼,只要在一群亂槍打鳥的E-
mail中夾帶網路上隨手可得的木馬程式或變種程式便有機會從中偷取。如果擔心被伺服端或閘道端的防毒系統發現,那麼偽造某單位或某人所寄發的郵件與內容
一樣可以安全通過,接著只要等待萬中選一的魚兒上鉤就大功告成。
面對這麼多千奇百怪的入侵攻擊手法,企業
網路的邊緣防禦措施與訊息平台本身的安全機制設計很重要,因為前者可以抵禦大多數的直撲式攻擊方法,例如阻斷式攻擊(DoS)或各種通訊協定溢位攻擊。至
於後者,則著重於垃圾郵件與病毒的識別,並且加以清除或隔離。以Microsoft Exchange Server
2003來說,垃圾郵件的管理機制便可以透過本身所提供的智慧型郵件篩選器來加以遏止,而這項功能的使用還可以選擇性地啟用在前端或後端伺服器之上。
垃圾郵件安全過濾
如下圖所示,在Exchange Server 2003所提供的「智慧型郵件篩選器(IMF
2.0)」組態設定中,將有兩道關卡來過濾每一封進入的郵件內容,當SCL(Spam Confidence
Level)的等級設定得越高,所能封鎖的垃圾郵件就越少,但是相對地,誤判正常非垃圾郵件的機率就越低。一般採用預設值(8級)即可,接下來了解它的基
本運作機制。
 |
| 兩階段反垃圾郵件過濾機制 |
首
先,當發生外來的Internet信件傳送到Exchange Server
2003主機時,如果沒有被「寄件者篩選」、「連線篩選」、「收件者篩選」設定值攔截的話,它將會順利地來到智慧型郵件篩選器的閘道前(Gateway
Server
Transport),此時如果此封郵件的內容評分高於管理員所定義的等級時,就會被指定的封鎖動作處理掉(不執行任何動作、刪除、拒絕、封存),然而如
果是在「不執行任何動作」或分數尚未達到的情況下,該封郵件則會來到資訊儲存庫垃圾郵件組態的關卡(Mailbox Server Store)。
所
謂「拒絕」的處理動作,是將該郵件的退信訊息(未傳遞報告)回應給原寄件者,而「封存」功能,則是將該郵件攔截並儲存到伺服器的
「Exchsrvr\Mailroot\vsi
n\UCEArchive」(其中n為SMTP虛擬伺服器的執行個體代號)路徑下,一旦管理者發現有非垃圾郵件的檔案要傳遞給原收件人時,只要將該檔案置
放到「Pickup」資料夾即可。
來到資訊儲存庫垃圾郵件組態的關卡時,仍然會根據該外來郵件的評分是否
高於設定的SCL分數以及Outlook
2003中的垃圾郵件設定來決定是否要將該郵件自動歸類為垃圾郵件。如果有一方的答案是肯定的,那麼這封郵件將會被移至到Outlook中的「垃圾郵件」
資料夾中。
想要啟用上述介紹的智慧型郵件篩選功能,必須先在Exchange
Server針對通訊協定節點中的SMTP內容設定頁面勾選想要套用的篩選器,包括寄件者篩選器、收件者篩選器、連線篩選器、寄件者識別碼篩選器、智慧型
郵件篩選器。建議全部勾選,然後進入如下圖所示的「郵件傳遞 內容」視窗,設定「智慧型郵件篩選器」的SCL分數,並指定如何處理垃圾郵件。
 |
| 智慧型郵件篩選器設定 |
如
果每一位知識工作者都必須和IT部門的管理員一樣地確認是否有電子郵件被封存在這訊息平台之中,那麼恐怕再多的工作人員也無法處理這成千上萬的需求。有鑑
於此,台灣微軟便與巧涼地資訊網路公司共同合作,在台灣微軟網站上置放了一個「IMF垃圾郵件回復」工具,讓廣大的用戶來免費下載使用。可以將此程式直接
安裝在Exchange Server 2003主機上。設定過程中與資料庫相關的設定部份,可以選擇現有的SQL Server
2000或使用內建的MSDE資料庫系統。
寄件者識別碼篩選器的使用
寄
件者識別碼(Sender ID)是Exchange Server 2003
SP2更新中的一項新垃圾郵件篩選機制,如同Yahoo所提供的Domain
Key,主要是識別寄件者用來發送信件的SMTP來源主機的正確性,而這一些合法的E-mail主機的清單必須事先定義SPF(Sender of
Policy Framework)記錄在寄件者的DNS伺服器內的TXT類型清單記錄中,最後在由收件者這一方的Exchange
Server進行查詢,而最後對該郵件的處理方式則交由Exchange
Server在〔寄件者識別碼篩選〕活頁標籤內的設定來決定。以下是三種處理未通過寄件者識別碼檢驗的來源郵件的處理方法。
接受:這是系統預設的選項,它會將所有未通過檢驗認可的來源郵件加以標記,然後交由智慧型郵件篩選器進行判斷。
刪除:這個選項的設定會先接收來源有問題的郵件,然後自動刪除它,不過不會回傳NDR(non-delivery report)給寄件者,因此來源的寄件者無法得知收件者是否真的存在。
拒絕:自動在SMTP通訊協定的層級上拒絕來源的電子郵件,並且發送一個NDR訊息給寄件者,不過這個NDR訊息是經由寄件者自己的發信郵件主機來完成。
@進階學習BOX:關於DNS中的SPF記錄設定
SPF
記錄是儲存在DNS設定中的寄件者合法主機的位址定義,主要的目的是讓收件方的郵件伺服器可以進行查詢。它是以TXT格式記錄,設定的方式有很多種,例如
「v=spf1 mx mx:mail.cogate.com.tw
-all」記錄便是通知收件方凡是所有由MX記錄中的mail.cogate.com.tw所發送的信件皆為合法。至於其他不同需求的設定方法,可以由下
列網址的設定來自動產生。SPF記錄線上設定工具網址如下:
http://www.anti-spamtools.org/SenderIDEmailPolicyTool/Default.aspx
@END BOX
其他篩選器設定
進行寄件者的篩選設定時,先按下〔新增〕輸入所要篩選的對象來源,輸入格式可以使用寄件者的顯示名稱(例如「陳經理」),也可以輸入篩選整個網域的來源(如*@xyz.com),
或者是直接輸入對象來源的完整E-mail位址(如allen@pchome.com.tw)。建議勾選「篩選寄件者為空白的郵件」和「若地址與篩選相符
則中斷連線」兩個選項,如此不但可以阻絕許多沒有寄件者的垃圾郵件,更可以大幅降低SMTP服務的負載,而「封存已篩選的郵件」則依本身的需求來決定,可
有可無。
在〔連線篩選〕活頁標籤內,可以在「封鎖清單服務組態」中按下〔新增〕來定義外部單位所提供的黑
名單主機。除了參考外部的黑名單主機之外,為了避免某些重要的郵件來源也被設定成黑名單,可以按下〔例外狀況〕來設定排除在外的收件者的SMTP位址,好
讓這些收件者也能夠收到這些信件,最後還可以在「全域接受與拒絕清單組態」中按下〔接受〕或〔拒絕〕來定義相關的IP位址清單。
因為有許多提供黑名單服務的單位是需要付費的,在此提供一個免費並相當知名的ORDB(http://www.ordb.org)網址。在上述的設定中,也可以自訂輸入回應給原寄件者的錯誤訊息。
收
件者篩選的設定,一般是用來封鎖離職的員工、沒有收發外部電子郵件權限的使用者,我們可以經由按下〔新增〕來封鎖收件者的郵件。如果啟用「篩選不在目錄中
的收件者」選項,除了將會讓透過此SMTP服務傳送的郵件無法傳遞到被封鎖的使用者信箱之外,原寄件者也會得知收件者是否存在,因此必須特別留意。
數位簽章與郵件加密
什麼是數位簽章與郵件加密技術?簡單來說,數位簽章(Digital
Signature)技術可以在網際網路的電子交易中確認使用者的正確身分。就像身分證和印章一樣,收件人收到此內含簽章的郵件之後,便可以確認此封郵件
確實是由正確的寄件人所發送的。至於「郵件加密」技術,又稱為之「數位信封」(Digital
Envelpoe),主要是用來防止郵件的內容遭受到非指定收件人的閱讀或竄改。然而無論使用數位簽章或郵件加密,用戶端本身的收發信程式和伺服端的郵件
系統,都必須支援S/MIME(Secure/Multipurpose Internet Mail Extensions)標準才行。
 |
| 數位簽章與郵件加密應用示意圖 |
如
上圖所示,在Eric成功取得使用者憑證之後,便可以藉由此憑證對發給Jovi的信件進行數位簽章,如此當Jovi收到由Eric寄來的信件時,便可以經
由檢視數位簽章的資訊,得知此信件是否真的是Eric本人發送的,最後Jovi便可以透過信件中隨附的Eric公開金鑰,對回覆的信件進行加密。當
Eric收到這封加密信件之後,便可以透過自己唯一擁有的私密金鑰進行內容解密。接下來,一起來了解整個部署的過程。
STEP 1 先建置好CA憑證伺服器。在郵件伺服器上開啟「Exchange系統管理員」之後,點選位於「預設儲存群組\信箱儲存區」的內容,接著檢查在〔一般〕活頁標籤內的「用戶端支援S/MIME簽章」選項是否已經選取(預設為勾選)。
 |
| 數位簽章與郵件加密應用示意圖 |
STEP
2
接著為使用「數位簽章」服務的使用者申請與安裝專屬的「使用者」憑證,在此提供兩種設定方法。第一個方法是使用使用者的電腦登入AD網域,透過MMC將
「憑證」(選取目前使用者)的管理選項加入,在「個人」資料夾中按一下滑鼠右鍵,然後點選其中的【要求新憑證】來完成。另一種方式則是與憑證伺服器的
IIS網站連線後,申請使用者憑證,由於此種方式採用Web的連線方式,因此很適合外部的使用者來申請與安裝憑證。
STEP
3 接著,Outlook
2003用戶端進行數位簽章和郵件加密的組態設定。可以先針對每一封的寄出去的郵件,勾選被選取的數位簽章與郵件加密的選項,以及決定收件者在讀取簽章郵
件時的回條要求。或者,依序點選功能表中的【工具】→【選項】,切換至〔安全性〕活頁標籤內並按下〔設定〕按鈕,然後設定簽章憑證與郵件加密憑證的組態,
其中雜湊演算法與加密演算法建議採用預設值即可。
STEP 4 當使用者收到內含數位憑證與郵件加密的信件時,以Outlook 2003為例,可以點選郵件右上角「郵件安全性內容」圖示,如圖所示查看數位簽章和郵件加密的詳細資訊。
除了Outlook的使用者可以使用數位簽章與郵件加密的功能之外,Exchange Server 2003
OWA的使用者在完成OWA連線登入之後,也可以在「選項」頁面中按下電子郵件安全性〔下載〕按鈕,來下載與安裝OWA
S/MIME元件。下載與安裝好OWA專屬的S/MIME元件之後,往後在這部電腦上的使用者便可以如下圖所示直接透過OWA的連線來完成數位簽章與加密
郵件的發送設定。這項功能對於行動使用者來說相當方便,因為不透過Outlook等相關應用程式也可以辦到。
 |
| 檢視OWA郵件安全性設定 |
Exchange Server 2003資料庫備份管理
在個人信箱管理中,除了需要辨別訊息本身的安全性之外,為了防止因自然損壞或人為破壞所造成的資料遺失,備份管理也不可少。
對
於Exchange Server 2003的資料庫備份,可以採用的備份方式有兩種,第一種是使用內建的「Recovery Storage
Group」功能來搭配Windows 2003 Server的「製作備份」程式,第二種則是採用Third-party廠商針對Exchange
Server所設計的備份系統,例如CA的BrightStor ARC Server,它們不僅已全面中文化並且可以部署在大型的Exchange
Server拓撲環境中進行集中式控管。此外,也可以讓管理者進行單一資料夾的備份和單一信件的還原作業。
如
果備份需求不需要使用到上述的單一信件還原和大型拓撲管理功能,則可以直接使用Windows Server
2003內建的「製作備份」工具搭配Exchange Server
2003提供的資源工具「Exmerge.exe」,來完成排程的備份工作以及進行使用者信箱的還原作業。詳細的設定步驟依序說明如下:
STEP1
執行Exchange Server
2003系統管理員,接著在「伺服器」項目上按下滑鼠右鍵,依序點選其中的【新增】→【復原儲存群組】,緊接著在「Recovery Storage
Group」項目上按下滑鼠右鍵,並點選其中的【新增資料庫以復原】即可。請注意,在完成新增之後,無須將此信箱儲存區指定為「裝載儲存區」。
STEP
2 在桌面上依序點選【所有程式】→【附屬應用程式】→【系統工作】→【製作備份】,然後選擇「Microsoft Exchange
Server」選項下的「Microsoft Information
Store\預設儲存群組」,接著勾選備份「信箱儲存區」和「公用資料夾儲存區」,然後按下〔開始備份〕。建議按下〔排程〕設定至少一天備份兩次(凌晨和
中午時間),並且給予適當的備份名稱。
STEP 3
備份好信箱儲存區之後,接著在「還原和管理媒體〕活頁標籤內,點選指定的備份記錄項目進行「開始還原」。在還原資料庫的對話視窗中,必須輸入紀錄檔的暫存
位置,並勾選「上次的備份組」和「還原後掛上資料庫」兩個選項。完成資料庫的還原作業之後,緊接著將「復原儲存群組」中的備份資料還原到「預設儲存群
組」。請留意,務必勾選「還原後掛上資料庫」選項,否則在還原資料庫之後,必須在Exchange Server
2003的「系統管理員」中對「Recovery Storage Group」下的「信箱儲存區」執行「裝載儲存區」。
STEP
4 還原使用者信箱時,可以使用Exchange Server 2003所提供的Resource Kit Tool中的「Exchange
Mailbox
Merge」,針對「復原儲存群組」中的備份資料,還原特定的使用者信箱。可透過Microsoft網站下載此程式,並且將解壓縮後的程式複製到
「\Program Files\Exchsrvr\Bin」目錄下,然後在此路徑下執行「ExMerge.exe」即可。
STEP 5 輸入來源伺服器與目的伺服器的相關連結資訊。如果是還原本機使用者信箱,兩者的Exchange Server名稱必須相同,而DC與LDAP通訊埠的欄位資訊可以省略,採用預設值即可。
STEP 6 選取來源的信箱儲存區,也就是「Recovery Storage Group」,請勿選取「預設儲存群組」。
STEP 7 選取單一或者是多個使用者的信箱,進行Exchange Server資料庫的還原的作業。
STEP
8 最後指定使用者信箱匯出的暫存資料夾,Exchange Mailbox
Merge必須在此資料夾中存放匯出的信箱,接著再經由此資料夾將所有的使用者信箱檔案(.PST)的內容,還原到Exchange
Server的「預設儲存群組」中,如此就大功告成了。
Exchange Server整合Antivirus安全防護
Microsoft Exchange Server採用了一種半結構化的WSS(Web Storage
System)資料庫儲存技術,以致於許多病毒可以透過郵件的附件、本文甚至於是公用資料夾的交叉感染方式,讓一些毫無防範或是用錯防毒系統的
Exchange
Server服務中斷或系統損毀。何謂用錯防毒系統?指的是防毒系統類型的選擇問題,因為以往對於伺服端所採用的防毒系統都是所謂的檔案層級型的偵測防護
設計,所以無法監控或掃瞄到Exchange Server資料庫的內容,以及檢查傳送中的SMTP封包流量或內部郵件之間的傳遞。
如
今,針對Exchange
Server病毒防護專屬設計的防毒系統廠商已經很多了,比較知名的有賽門鐵克、趨勢科技和Mcafee,而現在企業在導入Exchange
Server時還有其他的選擇,那就是Microsoft新發行的防毒系統Antigen,該產品的首要特色是,內建四種掃毒引擎:CA
InoculateIT、CA Vet、Norman Data Defens和Sophos
Anti-Virus,另外還有四個需要額外授權付費的外掛掃毒引擎:Command、Kaspersky、VirusBuster和Ahn Labs
v3。這種多重防毒引擎的整合機制,可以防止單點失敗所造成的病毒漏接事件。它除了提供病毒的偵測與防護之外,對於郵件內容的安全過濾也提供了以下幾項功
能:
■郵件訊息內容的關鍵字篩選。管理者可直接引用內建的詞庫或是自行建立類別清單,將所有想要篩掉的中英文關鍵字一一輸入。
■整合RBL黑名單的寄件者主機篩選機制。
■檔案和內容的篩選。建立管理者檔案篩選清單來協助大型協同作業群組的檔案篩選管理,這個部份的管制功能設計相當細,包含最大檔案的掃瞄定義、一般附件檔
案的最大掃瞄數量、壓縮檔案最大層數、刪除損毀或加密的壓縮檔、可區分大小寫的郵件內容掃瞄等等,如下圖所示便是在Antigen的事件檢視視窗中所偵測
到的篩選記錄。
 |
| Antigen事件檢視 |
除了上述功能之外,Antigen for Exchange還可以外掛一個需付費的進階垃圾郵件篩選器模組「Antigen Spam Manager」,它主要提供了以下功能用途:
1. 提供SpamCure垃圾郵件篩選引擎支援
2. 支援Exchange Server 2003垃圾郵件篩選器
3. 支援垃圾郵件訊息主旨的Suspected標籤功能,來協助識別與追蹤可疑的垃圾郵件
4. 為Microsoft Outlook使用者提供垃圾郵件資料夾功能,不過只針對Exchange Server 2000系統進行設計
安裝設定Antigen for Exchange Server
任何產品安裝Antigen防毒系統,安裝設定過程大多相同,只有少部份因特定系統的設定需求而有差異,以下說明它們的幾項共通之處。
STEP 1 系統會先詢問是安裝在本機或是網路上的其他電腦,一般來說都是選擇預設的本機(Local Installation)。
STEP 2 接下來選擇僅安裝主控台(Admin console),或是包含伺服端的核心掃瞄元件(Scanner component),請選取後者。
STEP
3 緊接著選取想要安裝的兩項附加元件,分別是Antigen中央管理工具(Antigen Central
Manager,ACM)和隔離管理工具(Antigen Quarantine
Manager,AQM),前者負責執行工作的集中管理,後者用來管理所有被隔離的檔案與資訊。
STEP 4 最後系統詢問是否在安裝的過程中順道更新掃毒引擎與病毒定義檔,勾選「Update On Install」項目即可。
結語
生活在這人心不古的年代,不出門待在家裡連上網際網路便已危機四伏。從許多新聞與報章雜誌中,經常可以看到許多人因為使用網際網路而遇害的事件,輕者可能
只是損失一些金錢或電腦中毒損毀,嚴重者甚至可能因為網路交友不慎外出而喪命。眼前這些危害,都無法只透過科技而有效地杜絕,因為技術層面所能夠做到的僅
僅只是藉由各種新穎的比對技術來儘量避免接觸到不良的資訊,最關鍵的所在還是在使用者端的操作畫面中。由此可見,不斷的教育與學習才是避免一切災害發生的
根本。
資料來源:http://www.pcuser.com.tw/
