Exchange2003的设定及安全管理
生活随笔
收集整理的這篇文章主要介紹了
Exchange2003的设定及安全管理
小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
郵件服務(wù)向來(lái)是企業(yè)的核心業(yè)務(wù).郵件的重要性對(duì)于企業(yè)來(lái)說(shuō)是不言而喻的.而Exchange2003的郵件設(shè)置各選項(xiàng)也較多,如何根據(jù)企業(yè)內(nèi)部需求正確地應(yīng)用這些設(shè)置是一項(xiàng)長(zhǎng)久而又復(fù)雜的事情.以前就其高可用性寫了一篇集群方面的文章( [url]http://waringid.blog.51cto.com/65148/72065[/url]),有興趣的可以參考下.但是郵件系統(tǒng)不僅僅是高可用就行了,還要涉及到安全,防病毒,防垃圾郵件及特殊化的定制.所以結(jié)合個(gè)人的經(jīng)驗(yàn)及應(yīng)用體會(huì)寫成這篇文章,因?yàn)樗剿?#xff0c;如有不當(dāng)或是不完善之處,還請(qǐng)指正. 這篇文章不涉及Exchagne2003安裝方面的東西,如果你對(duì)它的安裝有困難,可以參考([url]http://waringid.blog.51cto.com/65148/73387[/url])這篇文章.這里會(huì)講到利用第三方的軟件實(shí)現(xiàn)郵件的防病毒及防垃圾郵件的功能.當(dāng)然這些軟件不能和Linux下的相比(費(fèi)用較高),如果你想了解Linux下的郵件系統(tǒng)及防病毒和防垃圾郵件相關(guān)請(qǐng)參考:LADP方面( [url]http://waringid.blog.51cto.com/65148/79648[/url])和MYSQL方面([url]http://waringid.blog.51cto.com/65148/58144[/url]).還會(huì)講到怎樣根據(jù)企業(yè)要求限制用戶郵件大小及存儲(chǔ)限制等.如果你對(duì)郵件系統(tǒng)比較關(guān)注,那么一起加入吧. 郵件顯示名的設(shè)定: 一個(gè)運(yùn)行良好的郵件系統(tǒng)不只是實(shí)現(xiàn)其郵件收發(fā)的功能,還應(yīng)體現(xiàn)在其便捷性及易操作性上.因?yàn)槭褂绵]件客戶端的用戶不可能都是計(jì)算機(jī)高手.就像Windows和Linux的相比性一樣,雖然Linux在各方面比Windows要強(qiáng),但不可否認(rèn)的是Windows占據(jù)了桌面電腦的大部份市場(chǎng).而規(guī)劃良好的郵件顯示名可以使用戶更加方便快捷.看看下面這張圖就可能明白了. 各企業(yè)可以根據(jù)自己情況來(lái)定義郵件顯示名的設(shè)定.一般推薦的方式是:部門代碼+地區(qū)代碼+用戶名.各代碼則需先規(guī)劃好.
下圖是建立用戶的情況:
存儲(chǔ)組的管理: 系統(tǒng)在建立之初會(huì)自動(dòng)建立第一個(gè)存儲(chǔ)組用來(lái)存諸相關(guān)用戶的郵件及公用文件夾,但通常其名稱和數(shù)據(jù)及日志的存放路徑并不符合企業(yè)的管理規(guī)定.最好是按地區(qū)來(lái)命名存儲(chǔ)組,然后在存儲(chǔ)組下建立以各部門代碼為名稱的郵件存儲(chǔ).然后分離存儲(chǔ)數(shù)據(jù)和日志.如圖示:
確認(rèn)系統(tǒng)啟動(dòng)的服務(wù)及建立用戶時(shí)選取相應(yīng)的存儲(chǔ):
限制郵件中繼: 如果服務(wù)器開放了郵件中繼并且未加驗(yàn)證的話,那么你會(huì)發(fā)現(xiàn)你的郵件隊(duì)列中經(jīng)常會(huì)存在大量未知的鏈接,時(shí)間久了后還可能會(huì)被列入垃圾郵件黑名單中.在Linux中很容易禁用中繼,那么在Exchange中則需按下面的方法.在 Exchange 系統(tǒng)管理器的左窗格中的服務(wù)器中,然后展開要配置的 Exchange Server。展開協(xié)議,展開 SMTP。右鍵單擊默認(rèn) SMTP 虛擬服務(wù)器,然后單擊屬性。單擊訪問選項(xiàng)卡以顯示訪問控制選項(xiàng)。單擊中繼按鈕。在中繼限制對(duì)話框中,確保允許計(jì)算機(jī)進(jìn)行轉(zhuǎn)發(fā)的選項(xiàng)被設(shè)置為 Only the list below(僅限以下列表),在其中加入自己公司郵件地址的公網(wǎng)域名。除非您對(duì)該虛擬服務(wù)器使用 POP3 和 IMAP4 客戶端,否則請(qǐng)清除 Allow all computers which successfully authenticate to relay, regardless of the list above(允許所有成功通過(guò)身份驗(yàn)證的計(jì)算機(jī)中繼,無(wú)論它是否在上面的列表中)框,然后單擊確定。在 SMTP 虛擬服務(wù)器屬性對(duì)話框中,單擊確定。
設(shè)定相應(yīng)的SMTP最大連接數(shù)及刷新時(shí)間:
SMTP外發(fā)郵件大小設(shè)定:
郵件在服務(wù)器上的存儲(chǔ)限定:
全局的郵件大小及收件人個(gè)數(shù)設(shè)定:
針對(duì)單用戶的收件人個(gè)數(shù)設(shè)定: 說(shuō)到這里,你會(huì)發(fā)現(xiàn)針對(duì)郵件的大小一共有三個(gè)地方可以設(shè)定.分別是"SMTP連接器","全局設(shè)定","用戶設(shè)定".經(jīng)過(guò)測(cè)試發(fā)現(xiàn)這里的沖突的檢測(cè)原則是:"用戶設(shè)定">"SMTP連接器">"全局設(shè)定".如果你的全局設(shè)定中設(shè)置最大收件人為2個(gè)的話,在發(fā)郵件是如果收件人多于2個(gè)則會(huì)出現(xiàn)下面的提示: 郵件防病毒: ScanMail Suite for Microsoft Exchange提供了更加有效的高性能郵件服務(wù)器安全--連續(xù)五年獲得郵件服務(wù)器防病毒市場(chǎng)第一名。*除了攔截病毒、垃圾郵件、網(wǎng)絡(luò)釣魚和內(nèi)容過(guò)濾之外,新版本還提供了針對(duì)間諜軟件和零時(shí)差威脅的高級(jí)保護(hù)。不論您是安裝Exchange Server 2000、2003或新的2007版,ScanMail均為您的Exchange提供了優(yōu)化的環(huán)境。掃描效率的提高和更加緊密的集成可以減少對(duì)IT、基礎(chǔ)設(shè)施的影響和降低管理成本--使企業(yè)獲得豐厚的投資回報(bào)。相關(guān)介紹:[url]http://cn.trendmicro.com/cn/products/enterprise/scanmail-for-microsoft-exchange/[/url].如圖: 防垃圾郵件: 作為管理員,如何防止垃圾郵件攜帶惡意軟件進(jìn)入企業(yè),需要付出許多的努力。而GFI公司的Mail Essential Exchange軟件可幫助管理員高效的管理企業(yè)的電子郵件服務(wù)器.當(dāng)然你如果覺得開源系統(tǒng)下的東西更好用那又另當(dāng)別論.Mail Essentials可以有兩種安裝方式:SMTP網(wǎng)關(guān)模式或者直接安裝在Exchange郵件服務(wù)器上。兩種安裝方式都有自己的優(yōu)點(diǎn)和缺點(diǎn)。SMTP網(wǎng)關(guān)模式是把ME安裝在一臺(tái)獨(dú)立的網(wǎng)關(guān)服務(wù)器上,因此運(yùn)行的是獨(dú)立的郵件服務(wù)器軟件。網(wǎng)關(guān)模式允許把反垃圾郵件功能分配到一臺(tái)獨(dú)立的、功能比較弱的服務(wù)器上,讓Exchange服務(wù)器專注于運(yùn)行Exchange。
Anti-SPAM configuration(反垃圾郵件配置) Anti-SPAM(反垃圾郵件)有十個(gè)不同的參數(shù)或規(guī)則來(lái)檢查垃圾郵件。可以在右邊窗口區(qū)域內(nèi)雙擊每條規(guī)則來(lái)進(jìn)行配置,也可以在左邊窗口區(qū)域內(nèi)選擇該規(guī)則,然后選擇"properties"(屬性)。我們?cè)谙旅鎸⒂懻撁總€(gè)規(guī)則,它們的作用,以及它們是如何防范垃圾郵件的。規(guī)則使用的順序也是可以設(shè)定的。 每條規(guī)則的屬性都被分成幾個(gè)表單。有些表單,比如Actions表單在每條規(guī)則中都是一樣的。配置過(guò)程類似這樣:按照需要選擇使用每條規(guī)則,仔細(xì)進(jìn)行配置,并規(guī)定在發(fā)現(xiàn)符合該規(guī)則的垃圾郵件之后應(yīng)該采取什么行動(dòng)。 首先打開Sender Policy Framework(發(fā)件人策略架構(gòu))。這是在11.0版本中新出現(xiàn)的功能。它通過(guò)檢查偽造發(fā)件人來(lái)確定垃圾郵件。Sender Policy Framework功能是一個(gè)團(tuán)體防范垃圾郵件的工作。SPF要求發(fā)送者在SPF記錄中公開自己的郵件服務(wù)器。當(dāng)郵件到達(dá)時(shí),GFI可以檢查并確定發(fā)件人是否是偽造的。可以在Sender Policy Framework網(wǎng)站上找到更多關(guān)于SPF的信息。在配置好SPF后,ME將提示設(shè)置perimeter server參數(shù),以幫助SPF工作。在這個(gè)示例中,我們已經(jīng)在perimeter server(網(wǎng)關(guān))上安裝了GFI,所以不需要再進(jìn)行設(shè)置。 General Tab讓SPF可以工作在不同的層上。把滑塊拖動(dòng)到頂端,能夠設(shè)置讓SPF不要阻攔信息,這樣就關(guān)閉了該規(guī)則。相反,把滑塊拖動(dòng)到底端,則會(huì)阻攔任何沒有通過(guò)SPF測(cè)試的郵件。GFI推薦中級(jí)設(shè)置,該設(shè)置會(huì)阻攔那些偽造發(fā)件人的郵件。
Directory Harvesting(帳號(hào)收集) 這一規(guī)則檢查那些發(fā)往電子郵件服務(wù)器中,不存在的收件人的電子郵件。這通常是帳號(hào)收集***的一個(gè)信號(hào),目的是發(fā)現(xiàn)特定服務(wù)器上的郵件地址。在我的環(huán)境中,我們收到大量的垃圾郵件,這些垃圾郵件都是發(fā)給已經(jīng)離開公司的員工的。使用這一過(guò)濾規(guī)則能夠幫助我們直接把這些郵件處理掉,以免我們還要在以后對(duì)它們進(jìn)行處理,判斷它們是否合法。可以在"general"(常規(guī))表單中激活這一功能。使用該功能需要AD或者LDAP連接到DC。
Custom Blacklist(自定義黑名單) 可以使用該功能為已知的域或者電子郵件創(chuàng)建一個(gè)自定義的黑名單 Bayesian filter(貝葉斯規(guī)則過(guò)濾) 主要的垃圾郵件過(guò)濾功能。Bayesian過(guò)濾在缺省狀態(tài)下是關(guān)閉的。GFI推薦至少每周要使用一次該過(guò)濾功能,起碼直到有3000封郵件通過(guò)這一過(guò)濾。在這一訓(xùn)練期結(jié)束后,就可以正式使用該過(guò)濾功能了。
DNS blacklist(DNS黑名單) 可以檢查發(fā)送郵件服務(wù)器是否是那些被已知的、多個(gè)黑名單組織管理服務(wù)器。該功能需要正確配置DNS服務(wù)器。如果黑名單配置正確而DNS服務(wù)器配置有錯(cuò)誤的話,就會(huì)出現(xiàn)一個(gè)暫停,電子郵件處理速度會(huì)變得非常慢。所以配置的時(shí)候要非常謹(jǐn)慎,可以使用測(cè)試按鈕來(lái)測(cè)試連接。可以使用多個(gè)列表,但是每個(gè)列表都會(huì)延長(zhǎng)電子郵件處理時(shí)間。 Spam URI Real-time Block(垃圾郵件URL實(shí)時(shí)阻止) 列表規(guī)則檢查電子郵件,查看郵件中是否包含了已知的、來(lái)自于垃圾郵件制造者的URL和URN。可以針對(duì)每個(gè)列表選擇多個(gè)檢查列表。和DNS黑名單一樣,選擇越多的檢查列表,郵件處理時(shí)間也越長(zhǎng)。 如果你正在為怎樣限制內(nèi)網(wǎng)用戶收發(fā)外網(wǎng)郵件的事情苦惱,可以參考以下文章:[url]http://www.5dmail.net/html/2003-10-31/20031031205516.htm[/url]或是[url]http://www.msexchange.org/tutorials/MF009.html[/url]. 郵件系統(tǒng)的管理是一項(xiàng)長(zhǎng)久的事情,在企業(yè)需求多變的今天更是如此.沒有任何一款產(chǎn)品能保證100%的完美.所以即使是設(shè)定好了一切,也不能掉以輕心.只要時(shí)時(shí)小心謹(jǐn)慎并積極關(guān)注新的技術(shù)發(fā)展趨勢(shì).相信可以讓你和系統(tǒng)運(yùn)得更加穩(wěn)定.
下圖是建立用戶的情況:
存儲(chǔ)組的管理: 系統(tǒng)在建立之初會(huì)自動(dòng)建立第一個(gè)存儲(chǔ)組用來(lái)存諸相關(guān)用戶的郵件及公用文件夾,但通常其名稱和數(shù)據(jù)及日志的存放路徑并不符合企業(yè)的管理規(guī)定.最好是按地區(qū)來(lái)命名存儲(chǔ)組,然后在存儲(chǔ)組下建立以各部門代碼為名稱的郵件存儲(chǔ).然后分離存儲(chǔ)數(shù)據(jù)和日志.如圖示:
確認(rèn)系統(tǒng)啟動(dòng)的服務(wù)及建立用戶時(shí)選取相應(yīng)的存儲(chǔ):
限制郵件中繼: 如果服務(wù)器開放了郵件中繼并且未加驗(yàn)證的話,那么你會(huì)發(fā)現(xiàn)你的郵件隊(duì)列中經(jīng)常會(huì)存在大量未知的鏈接,時(shí)間久了后還可能會(huì)被列入垃圾郵件黑名單中.在Linux中很容易禁用中繼,那么在Exchange中則需按下面的方法.在 Exchange 系統(tǒng)管理器的左窗格中的服務(wù)器中,然后展開要配置的 Exchange Server。展開協(xié)議,展開 SMTP。右鍵單擊默認(rèn) SMTP 虛擬服務(wù)器,然后單擊屬性。單擊訪問選項(xiàng)卡以顯示訪問控制選項(xiàng)。單擊中繼按鈕。在中繼限制對(duì)話框中,確保允許計(jì)算機(jī)進(jìn)行轉(zhuǎn)發(fā)的選項(xiàng)被設(shè)置為 Only the list below(僅限以下列表),在其中加入自己公司郵件地址的公網(wǎng)域名。除非您對(duì)該虛擬服務(wù)器使用 POP3 和 IMAP4 客戶端,否則請(qǐng)清除 Allow all computers which successfully authenticate to relay, regardless of the list above(允許所有成功通過(guò)身份驗(yàn)證的計(jì)算機(jī)中繼,無(wú)論它是否在上面的列表中)框,然后單擊確定。在 SMTP 虛擬服務(wù)器屬性對(duì)話框中,單擊確定。
設(shè)定相應(yīng)的SMTP最大連接數(shù)及刷新時(shí)間:
SMTP外發(fā)郵件大小設(shè)定:
郵件在服務(wù)器上的存儲(chǔ)限定:
全局的郵件大小及收件人個(gè)數(shù)設(shè)定:
針對(duì)單用戶的收件人個(gè)數(shù)設(shè)定: 說(shuō)到這里,你會(huì)發(fā)現(xiàn)針對(duì)郵件的大小一共有三個(gè)地方可以設(shè)定.分別是"SMTP連接器","全局設(shè)定","用戶設(shè)定".經(jīng)過(guò)測(cè)試發(fā)現(xiàn)這里的沖突的檢測(cè)原則是:"用戶設(shè)定">"SMTP連接器">"全局設(shè)定".如果你的全局設(shè)定中設(shè)置最大收件人為2個(gè)的話,在發(fā)郵件是如果收件人多于2個(gè)則會(huì)出現(xiàn)下面的提示: 郵件防病毒: ScanMail Suite for Microsoft Exchange提供了更加有效的高性能郵件服務(wù)器安全--連續(xù)五年獲得郵件服務(wù)器防病毒市場(chǎng)第一名。*除了攔截病毒、垃圾郵件、網(wǎng)絡(luò)釣魚和內(nèi)容過(guò)濾之外,新版本還提供了針對(duì)間諜軟件和零時(shí)差威脅的高級(jí)保護(hù)。不論您是安裝Exchange Server 2000、2003或新的2007版,ScanMail均為您的Exchange提供了優(yōu)化的環(huán)境。掃描效率的提高和更加緊密的集成可以減少對(duì)IT、基礎(chǔ)設(shè)施的影響和降低管理成本--使企業(yè)獲得豐厚的投資回報(bào)。相關(guān)介紹:[url]http://cn.trendmicro.com/cn/products/enterprise/scanmail-for-microsoft-exchange/[/url].如圖: 防垃圾郵件: 作為管理員,如何防止垃圾郵件攜帶惡意軟件進(jìn)入企業(yè),需要付出許多的努力。而GFI公司的Mail Essential Exchange軟件可幫助管理員高效的管理企業(yè)的電子郵件服務(wù)器.當(dāng)然你如果覺得開源系統(tǒng)下的東西更好用那又另當(dāng)別論.Mail Essentials可以有兩種安裝方式:SMTP網(wǎng)關(guān)模式或者直接安裝在Exchange郵件服務(wù)器上。兩種安裝方式都有自己的優(yōu)點(diǎn)和缺點(diǎn)。SMTP網(wǎng)關(guān)模式是把ME安裝在一臺(tái)獨(dú)立的網(wǎng)關(guān)服務(wù)器上,因此運(yùn)行的是獨(dú)立的郵件服務(wù)器軟件。網(wǎng)關(guān)模式允許把反垃圾郵件功能分配到一臺(tái)獨(dú)立的、功能比較弱的服務(wù)器上,讓Exchange服務(wù)器專注于運(yùn)行Exchange。
Anti-SPAM configuration(反垃圾郵件配置) Anti-SPAM(反垃圾郵件)有十個(gè)不同的參數(shù)或規(guī)則來(lái)檢查垃圾郵件。可以在右邊窗口區(qū)域內(nèi)雙擊每條規(guī)則來(lái)進(jìn)行配置,也可以在左邊窗口區(qū)域內(nèi)選擇該規(guī)則,然后選擇"properties"(屬性)。我們?cè)谙旅鎸⒂懻撁總€(gè)規(guī)則,它們的作用,以及它們是如何防范垃圾郵件的。規(guī)則使用的順序也是可以設(shè)定的。 每條規(guī)則的屬性都被分成幾個(gè)表單。有些表單,比如Actions表單在每條規(guī)則中都是一樣的。配置過(guò)程類似這樣:按照需要選擇使用每條規(guī)則,仔細(xì)進(jìn)行配置,并規(guī)定在發(fā)現(xiàn)符合該規(guī)則的垃圾郵件之后應(yīng)該采取什么行動(dòng)。 首先打開Sender Policy Framework(發(fā)件人策略架構(gòu))。這是在11.0版本中新出現(xiàn)的功能。它通過(guò)檢查偽造發(fā)件人來(lái)確定垃圾郵件。Sender Policy Framework功能是一個(gè)團(tuán)體防范垃圾郵件的工作。SPF要求發(fā)送者在SPF記錄中公開自己的郵件服務(wù)器。當(dāng)郵件到達(dá)時(shí),GFI可以檢查并確定發(fā)件人是否是偽造的。可以在Sender Policy Framework網(wǎng)站上找到更多關(guān)于SPF的信息。在配置好SPF后,ME將提示設(shè)置perimeter server參數(shù),以幫助SPF工作。在這個(gè)示例中,我們已經(jīng)在perimeter server(網(wǎng)關(guān))上安裝了GFI,所以不需要再進(jìn)行設(shè)置。 General Tab讓SPF可以工作在不同的層上。把滑塊拖動(dòng)到頂端,能夠設(shè)置讓SPF不要阻攔信息,這樣就關(guān)閉了該規(guī)則。相反,把滑塊拖動(dòng)到底端,則會(huì)阻攔任何沒有通過(guò)SPF測(cè)試的郵件。GFI推薦中級(jí)設(shè)置,該設(shè)置會(huì)阻攔那些偽造發(fā)件人的郵件。
Directory Harvesting(帳號(hào)收集) 這一規(guī)則檢查那些發(fā)往電子郵件服務(wù)器中,不存在的收件人的電子郵件。這通常是帳號(hào)收集***的一個(gè)信號(hào),目的是發(fā)現(xiàn)特定服務(wù)器上的郵件地址。在我的環(huán)境中,我們收到大量的垃圾郵件,這些垃圾郵件都是發(fā)給已經(jīng)離開公司的員工的。使用這一過(guò)濾規(guī)則能夠幫助我們直接把這些郵件處理掉,以免我們還要在以后對(duì)它們進(jìn)行處理,判斷它們是否合法。可以在"general"(常規(guī))表單中激活這一功能。使用該功能需要AD或者LDAP連接到DC。
Custom Blacklist(自定義黑名單) 可以使用該功能為已知的域或者電子郵件創(chuàng)建一個(gè)自定義的黑名單 Bayesian filter(貝葉斯規(guī)則過(guò)濾) 主要的垃圾郵件過(guò)濾功能。Bayesian過(guò)濾在缺省狀態(tài)下是關(guān)閉的。GFI推薦至少每周要使用一次該過(guò)濾功能,起碼直到有3000封郵件通過(guò)這一過(guò)濾。在這一訓(xùn)練期結(jié)束后,就可以正式使用該過(guò)濾功能了。
DNS blacklist(DNS黑名單) 可以檢查發(fā)送郵件服務(wù)器是否是那些被已知的、多個(gè)黑名單組織管理服務(wù)器。該功能需要正確配置DNS服務(wù)器。如果黑名單配置正確而DNS服務(wù)器配置有錯(cuò)誤的話,就會(huì)出現(xiàn)一個(gè)暫停,電子郵件處理速度會(huì)變得非常慢。所以配置的時(shí)候要非常謹(jǐn)慎,可以使用測(cè)試按鈕來(lái)測(cè)試連接。可以使用多個(gè)列表,但是每個(gè)列表都會(huì)延長(zhǎng)電子郵件處理時(shí)間。 Spam URI Real-time Block(垃圾郵件URL實(shí)時(shí)阻止) 列表規(guī)則檢查電子郵件,查看郵件中是否包含了已知的、來(lái)自于垃圾郵件制造者的URL和URN。可以針對(duì)每個(gè)列表選擇多個(gè)檢查列表。和DNS黑名單一樣,選擇越多的檢查列表,郵件處理時(shí)間也越長(zhǎng)。 如果你正在為怎樣限制內(nèi)網(wǎng)用戶收發(fā)外網(wǎng)郵件的事情苦惱,可以參考以下文章:[url]http://www.5dmail.net/html/2003-10-31/20031031205516.htm[/url]或是[url]http://www.msexchange.org/tutorials/MF009.html[/url]. 郵件系統(tǒng)的管理是一項(xiàng)長(zhǎng)久的事情,在企業(yè)需求多變的今天更是如此.沒有任何一款產(chǎn)品能保證100%的完美.所以即使是設(shè)定好了一切,也不能掉以輕心.只要時(shí)時(shí)小心謹(jǐn)慎并積極關(guān)注新的技術(shù)發(fā)展趨勢(shì).相信可以讓你和系統(tǒng)運(yùn)得更加穩(wěn)定.
轉(zhuǎn)載于:https://blog.51cto.com/waringid/85313
總結(jié)
以上是生活随笔為你收集整理的Exchange2003的设定及安全管理的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: [Think]故事几则
- 下一篇: 与崇洋媚外的程序员的辩论