梁妍莉

隨著計算機網(wǎng)絡的飛速發(fā)展，通過互聯(lián)網(wǎng)開展商務活動已經(jīng)成為企業(yè)不可或缺的行為。與網(wǎng)絡商務活動息息相關的郵件系統(tǒng)，在提供給企業(yè)諸多方便的時候，自身面臨著嚴峻的安全問題。因此，為企業(yè)搭建安全可靠的郵件系統(tǒng)是經(jīng)濟發(fā)展的必然要求。本文就Exchange郵件系統(tǒng)的安全性維護做一個淺議析。

一、引言

Exchange是微軟研發(fā)的消息與協(xié)作系統(tǒng)，多被用來構(gòu)建企業(yè)郵件系統(tǒng)。該系統(tǒng)既可以提供企業(yè)內(nèi)部的訪問，還能夠提供企業(yè)外部的訪問。電腦病毒、垃圾郵件、非法竊取等惡意攻擊行為，嚴重威脅著企業(yè)郵件系統(tǒng)的正常運行，作為網(wǎng)絡維護人員，對企業(yè)郵件系統(tǒng)進行嚴密的保護是不可推卸的責任。具體的工作內(nèi)容包括以下三個方面：

第一，將郵件服務器放置在企業(yè)內(nèi)部網(wǎng)絡，使用防火墻，對過往數(shù)據(jù)進行篩選與分析，防止外部用戶非法訪問郵件服務器，達到企業(yè)郵件系統(tǒng)的保護作用。

第二，對用戶與郵件服務器之間的往來數(shù)據(jù)進行加密，防止黑客非法竊取企業(yè)信息，達到保護用戶通信內(nèi)容的作用。

第三，運用“服務器角色”的功能對所有郵件進行防病毒處理。Exchange Server系統(tǒng)有一個“服務器角色”的功能，由5個服務器組合而成，它們是：郵箱服務器、客戶端訪問服務器、集線器傳輸服務器（又稱為中心傳輸服務器）、統(tǒng)一消息服務器和邊緣傳輸服務器。邊緣傳輸服務器為Exchange組織提供防病毒和反垃圾郵件保護，由防火墻和TMG組成，防火墻是第一道防線，TMG是第二道防線。

二、針對企業(yè)外部郵件的安全維護

TMG是Forefront Threat Management Gateway的簡稱。TMG可以提供多種保護，比如：URL篩選、入侵防御、反惡意軟件檢查、HTTP/HTTPS檢查。TMG將這些功能集成到一個軟件系統(tǒng)中，在保證員工自如使用網(wǎng)絡的同時，可以有效降低維護成本與操作復雜性。

植根于Web之上的傳播方式是非法軟件最常用、最廣泛流行的方式，為了有效防范非法軟件的侵入，TMG通過掃描HTTP、HTTPS和控制訪問URL地址類別，實現(xiàn)維護郵件安全的效果。

1、HTTP掃描

TMG中的Forefront Endpoint Protection反病毒引擎，可以進行Web非法軟件掃描，通過設置站點掃描、處理時間超時拒絕訪問、壓縮文件嵌套超層拒絕訪問、文件大小超量拒絕訪問等配置，達到實現(xiàn)掃描非法軟件，清除病毒的安全維護目的。

2、HTTPS掃描

HTTPS是加了密的HTTP傳輸方式，加密的結(jié)果導致傳輸內(nèi)容無法鑒別，轉(zhuǎn)為通過設置標準端口TCP443而實現(xiàn)傳輸。大部分防火墻對TCP443是開放的，不做安全檢查。因此，只要使用標準端口TCP443進行傳輸，往往會被認作正常文件，這就為木馬等非法軟件有隙可乘。在TMG中，設置了HTTPS掃描檢查功能，可以有效阻攔木馬、間諜類非法軟件的傳播，可以提高企業(yè)網(wǎng)絡的整體安全性。

3、過濾URL地址類別

在TMG中，內(nèi)置了91種URL地址類別，依據(jù)MRS數(shù)據(jù)庫，評估網(wǎng)絡站點的類別與安全等級，通過設置阻止或允許訪問，可以有效杜絕釣魚網(wǎng)站的威脅。

在針對外部郵件安全維護方面，TMG引入網(wǎng)絡入侵保護系統(tǒng)（NIS），可以根據(jù)數(shù)據(jù)包的特征碼，對入侵與漏洞加以判定與阻止?？梢詫f(xié)議通信與傳輸端口進行合并檢查，再配以TMG原有的安全訪問控制功能，可以有效保證企業(yè)網(wǎng)絡信息的安全。

三、針對企業(yè)內(nèi)部郵件的安全維護

“堡壘往往從內(nèi)部被攻破”。在企業(yè)內(nèi)部，由于各種原因，也存在著不可輕言安全的不穩(wěn)定因素。為了避免不必要的尷尬與損失，在企業(yè)內(nèi)部，可以采取郵件加密的方式，實現(xiàn)郵件的安全維護。

1、保護訪問方式的通信安全

Exchange 2010為客戶提供的訪問方式被稱作OWA（Outlook Web App）。在默認狀態(tài)下，客戶端訪問服務器使用自簽名證書來實現(xiàn)通信，通過為Exchange 2010客戶端訪問服務器申請Web服務器證書，替換掉默認狀態(tài)下的自簽名證書，從而實現(xiàn)客戶端與服務器之間的數(shù)據(jù)安全傳輸。該操作比較簡單，客戶端在瀏覽器地址欄中輸入HTTPS：//服務器名/OWA，就可以對郵箱進行加密訪問。

2、對發(fā)送的郵件進行簽名與加密

Exchange 2010通過使用S/MIME（安全/多用途Interact郵件擴展）來實現(xiàn)對郵件進行簽名與加密。

（1）數(shù)字簽名。數(shù)字簽名是具有法律意義的簽名，是傳統(tǒng)簽名的數(shù)字表現(xiàn)方式，具有不可否認、驗證身份的法律效果，其最簡單的表現(xiàn)形式是對郵件文本進行簽名驗證操作。

（2）郵件加密。加密猶如上鎖，通過更改信息而使郵件不可閱讀或無法使用，是保障郵件的保密與數(shù)據(jù)完整的前提下，對郵件實行的保護措施。與數(shù)字簽名相比較，郵件加密的使用不是很普遍。

（3）SMTP協(xié)議。當郵件在兩個及以上郵件服務器之間傳送的時候，使用SMTP協(xié)議，可以防止郵件被竊取與還原；通過申請同一個證書頒發(fā)機構(gòu)頒發(fā)的證書，將該證書用于SMTP服務，獲取并使用加密的SMTP傳輸方式，可以更好地防止假冒身份與篡改數(shù)據(jù)的惡性行為發(fā)生。

3、使用Forefront Protection防范郵件病毒

在Exchange 2010中，通常多使用Forefront Protection for Exchange Server（以下簡稱Forefront for Exchange）對郵件進行防病毒處理。

Forefront for Exchange集成了業(yè)界領先的防病毒引擎，可以有效檢索與拒絕病毒和垃圾文件，共有12種防病毒引擎可供使用，并可以同時最多開啟5種引擎，可以實現(xiàn)掃描不間斷、自動更新程序，從而有效對抗不安全因素的威脅。

Forefront for Exchange可以在優(yōu)化服務器、保護郵件的時候，不干擾計算機的正常工作，網(wǎng)絡管理員可以輕松完成服務器配置、掃描引擎、更新數(shù)據(jù)庫、信息報告等工作。在Exchange 2010中，F(xiàn)orefront for Exchange安裝了高階層的內(nèi)容篩選器，可以自動更新，可以更加有效地檢測、識別、攔截、消滅病毒及危險文件。

四、結(jié)論

企業(yè)郵件系統(tǒng)具有自身特點，其安全問題是一個綜合性較強的問題，作為企業(yè)網(wǎng)絡安全維護人員，應立足于全局，建設具有綜合評估體系的網(wǎng)絡安全系統(tǒng)，才能有效保障企業(yè)網(wǎng)絡的運行安全，從而有為提升企業(yè)的競爭力做出貢獻。

參考文獻

[1]王姍姍，付位剛.安全局域網(wǎng)環(huán)境下安全郵件系統(tǒng)的設計與實現(xiàn)[J].北京電子科技學院學報，2008（2）.

[2]徐祗祥.組建與維護企業(yè)郵件系統(tǒng)[J].科學技術文獻出版社，2007（8）.

（作者單位：西安秦華天然氣有限公司）