浅析Exc hange邮件系统的安 全性维护

 　随着计算机网络的飞速发展，通过互联网开展商务活动已经成为企业不可或缺的行为。与网络商务活动息息相关的邮件系统，在提供给企业诸多方便的时候，自身面临着严峻的安全问题。因此，为企业搭建安全可靠的邮件系统是经济发展的必然要求。本文就Exchange邮件系统的安全性维护做一个浅议析。 
　　一、引言 
　　Exchange是微软研发的消息与协作系统，多被用来构建企业邮件系统。该系统既可以提供企业内部的访问，还能够提供企业外部的访问。电脑病毒、垃圾邮件、非法窃取等恶意攻击行为，严重威胁着企业邮件系统的正常运行，作为网络维护人员，对企业邮件系统进行严密的保护是不可推卸的责任。具体的工作内容包括以下三个方面： 
　　第一，将邮件服务器放置在企业内部网络，使用防火墙，对过往数据进行筛选与分析，防止外部用户非法访问邮件服务器，达到企业邮件系统的保护作用。 
　　第二，对用户与邮件服务器之间的往来数据进行加密，防止黑客非法窃取企业信息，达到保护用户通信内容的作用。 
　　第三，运用“服务器角色”的功能对所有邮件进行防病毒处理。Exchange Server系统有一个“服务器角色”的功能，由5个服务器组合而成，它们是：邮箱服务器、客户端访问服务器、集线器传输服务器（又称为中心传输服务器）、统一消息服务器和边缘传输服务器。边缘传输服务器为Exchange组织提供防病毒和反垃圾邮件保护，由防火墙和TMG组成，防火墙是第一道防线，TMG是第二道防线。 
　　二、针对企业外部邮件的安全维护 
　　TMG是Forefront Threat Management Gateway的简称。TMG可以提供多种保护，比如：URL筛选、入侵防御、反恶意软件检查、HTTP/HTTPS检查。TMG将这些功能集成到一个软件系统中，在保证员工自如使用网络的同时，可以有效降低维护成本与操作复杂性。 
　　植根于Web之上的传播方式是非法软件最常用、最广泛流行的方式，为了有效防范非法软件的侵入，TMG通过扫描HTTP、HTTPS和控制访问URL地址类别，实现维护邮件安全的效果。 
　　1、HTTP扫描 
　　TMG中的Forefront Endpoint Protection反病毒引擎，可以进行Web非法软件扫描，通过设置站点扫描、处理时间超时拒绝访问、压缩文件嵌套超层拒绝访问、文件大小超量拒绝访问等配置，达到实现扫描非法软件，清除病毒的安全维护目的。 
　　2、HTTPS扫描 
　　HTTPS是加了密的HTTP传输方式，加密的结果导致传输内容无法鉴别，转为通过设置标准端口TCP443而实现传输。大部分防火墙对TCP443是开放的，不做安全检查。因此，只要使用标准端口TCP443进行传输，往往会被认作正常文件，这就为木马等非法软件有隙可乘。在TMG中，设置了HTTPS扫描检查功能，可以有效阻拦木马、间谍类非法软件的传播，可以提高企业网络的整体安全性。 
　　3、过滤URL地址类别 
　　在TMG中，内置了91种URL地址类别，依据MRS数据库，评估网络站点的类别与安全等级，通过设置阻止或允许访问，可以有效杜绝钓鱼网站的威胁。 
　　在针对外部邮件安全维护方面，TMG引入网络入侵保护系统（NIS），可以根据数据包的特征码，对入侵与漏洞加以判定与阻止。可以对协议通信与传输端口进行合并检查，再配以TMG原有的安全访问控制功能，可以有效保证企业网络信息的安全。 
　　三、针对企业内部邮件的安全维护 
　　“堡垒往往从内部被攻破”。在企业内部，由于各种原因，也存在着不可轻言安全的不稳定因素。为了避免不必要的尴尬与损失，在企业内部，可以采取邮件加密的方式，实现邮件的安全维护。 
　　1、保护访问方式的通信安全 
　　Exchange 2010为客户提供的访问方式被称作OWA（Outlook Web App）。在默认状态下，客户端访问服务器使用自签名证书来实现通信，通过为Exchange 2010客户端访问服务器申请Web服务器证书，替换掉默认状态下的自签名证书，从而实现客户端与服务器之间的数据安全传输。该操作比较简单，客户端在浏览器地址栏中输入HTTPS：//服务器名/OWA，就可以对邮箱进行加密访问。 
　　2、对发送的邮件进行签名与加密 
　　Exchange 2010通过使用S/MIME（安全/多用途Interact邮件扩展）来实现对邮件进行签名与加密。 
　　（1）数字签名。数字签名是具有法律意义的签名，是传统签名的数字表现方式，具有不可否认、验证身份的法律效果，其最简单的表现形式是对邮件文本进行签名验证操作。 
　　（2）邮件加密。加密犹如上锁，通过更改信息而使邮件不可阅读或无法使用，是保障邮件的保密与数据完整的前提下，对邮件实行的保护措施。与数字签名相比较，邮件加密的使用不是很普遍。 
　　（3）SMTP协议。当邮件在两个及以上邮件服务器之间传送的时候，使用SMTP协议，可以防止邮件被窃取与还原；通过申请同一个证书颁发机构颁发的证书，将该证书用于SMTP服务，获取并使用加密的SMTP传输方式，可以更好地防止假冒身份与篡改数据的恶性行为发生。 
　　3、使用Forefront Protection防范邮件病毒 
　　在Exchange 2010中，通常多使用Forefront Protection for Exchange Server（以下简称Forefront for Exchange）对邮件进行防病毒处理。 
　　Forefront for Exchange集成了业界领先的防病毒引擎，可以有效检索与拒绝病毒和垃圾文件，共有12种防病毒引擎可供使用，并可以同时最多开启5种引擎，可以实现扫描不间断、自动更新程序，从而有效对抗不安全因素的威胁。 
　　Forefront for Exchange可以在优化服务器、保护邮件的时候，不干扰计算机的正常工作，网络管理员可以轻松完成服务器配置、扫描引擎、更新数据库、信息报告等工作。在Exchange 2010中，Forefront for Exchange安装了高阶层的内容筛选器，可以自动更新，可以更加有效地检测、识别、拦截、消灭病毒及危险文件。 
　　四、结论 
　　企业邮件系统具有自身特点，其安全问题是一个综合性较强的问题，作为企业网络安全维护人员，应立足于全局，建设具有综合评估体系的网络安全系统，才能有效保障企业网络的运行安全，从而有为提升企业的竞争力做出贡献。 
　　参考文献 
　　[1]王姗姗，付位刚.安全局域网环境下安全邮件系统的设计与实现[J].北京电子科技学院学报，2008（2）. 
　　[2]徐祗祥.组建与维护企业邮件系统[J].科学技术文献出版社，2007（8）. 
　　（作者单位：西安秦华天然气有限公司）