您当前的位置是： 服务器安全资讯网>服务器安全>邮件安全>

Exchange服务器安全性原理浅析

来源：   时间:2008-06-29  作者：  点击：次  责任编辑：Flyfox
TAG:   服务器 原理 安全性 Exchan 浅析   服务器安全应急处理中心:让您的服务器更安全!  进入安全讨论社区 

一些用来保护Exchange服务器最有效的技术是最基本的，但是，你可能会发现，只有这些最基本的技术还不够。应该结合使用基本的和高级的安全技术。我们会回顾基本的技术，并讨论一些高级技术…… 　　在许多公司中， email很快成为了重要的应用程序，不过邮件服务器必须连接Internet才能收发email。可能你也知道，Internet绝不安全。想破坏你服务器的人经常上Internet，所以安全运行Exchange服务器的秘诀之一就是不给那些人任何机会破坏你的服务器。本文讲述一些帮助你保护 Exchange服务器安全的技术。

　　我在防御什么?

　　你可能想知道，通常Exchange服务器上没有保密数据，恶意用户想对邮件服务器造成什么样的损失呢?但是还是有很多攻击活动发生。最普通的攻击Exchange服务器的形式称为DoS攻击，它将大量邮件发给服务器，直到服务器超载、停止运行。

　　安全被破坏之后，黑客就可以窃取信息了。黑客可以冲进服务器，获得进入保密数据文件夹的权限，黑客也可能用包检漏程序和截取包的方式窃取信息。

　　最后，还要防止欺骗。欺骗就是黑客伪装成合法用户，虽然欺骗可以窃取信息，但是它也可以用来散布错误信息。例如，欺骗程序很容易以合法用户的名义发送邮件，这些邮件可能说，"我走了"、"公司总裁是个大笨蛋"、"如果没有满足我的要求，下午2点公司将会发生爆炸"，可以看出，欺骗的危害相当大。还好，有防止这三种破坏的技术。

　　基础

　　一些用来保护Exchange服务器最有效的技术是最基本的，但是，你可能会发现，只有这些最基本的技术还不够。应该结合使用基本的和高级的安全技术。我们会回顾基本的技术，并讨论一些高级技术。

　　Windows NT

　　Exchange服务器是运行在Windows NT中的，因为Exchange使用很多Windows NT的安全功能，所以确保Windows NT尽可能安全很重要。 Windows NT复杂得足够用一本书来讲述安全问题，但是篇幅有限，只想让你记住几个问题。

　　首先，确保所有的和Exchange文件相关的盘使用NTFS格式，好多黑客试图攻击NT服务器的时候会通过网络共享进入系统，虽然你不能阻止网络共享，但是要记住文件权限(通过NTFS指定)为服务器带来额外的安全。当文件权限和共享权限不同时， Windows NT会用更严格的权限管理。例如，如果有一个未授权用户获得了网络共享的权限，如果他对网络共享的权限是最高级别的，但是对文件只能读不能写，NT就能察觉出这个矛盾，只允许用户有只读权限，因为它是这两个权限中最严格的。

　　服务包

　　服务包更能增强安全性，Windows NT服务包发布之后，微软一直在寻找安全漏洞。这些安全漏洞是通过微软FTP站点提供的补丁弥补的，新补丁会包括以前的所有补丁，本文写作的时候， Windows NT服务包是Service Pack 5，最新的Exchange 5.5服务包是Service Pack2。

　　加密

　　不是所有的服务包都是平等的，TechNet的服务包是40位加密，这是美国政府允许的最大限度。不用说，40位密码很难破解。但是，如果你在美国或者加拿大的话，就可以获得128位加密。必须连接到在美国或加拿大登记的计算机才能下载128位加密服务包，因为有时美国和加拿大不能下载高加密服务包，可以直接向微软定购光盘，不贵的。

　　病毒保护

　　和保护其他程序一样要保护Exchange服务器不受病毒袭击，很多情况下，猖獗的病毒是email引起的。例如，收到笑话的人把邮件发给他的20个最好的朋友，你的朋友也可能把它转发给更多人。如果这封邮件的附件有病毒，几百个人几小时内就会被病毒感染。

　　每个好的网络管理员都知道，每个工作站的病毒软件需要及时更新，但是这还是给人为的错误留有余地。例如，你要打开感染病毒的email附件，病毒程序会让你选择删除病毒、修复病毒、删除文件或根本不去管它。如果用户忽略了病毒警告，杀毒软件其实就没用了。

　　幸好，有一个方法可以摆脱这种事情的发生，安装运行在Exchange服务器上的杀毒软件，在邮件到达接收者手中前扫描邮件病毒。如果软件发现了病毒，它就立刻隔离该文件。有些杀毒软件甚至警告发送病毒的人，如Symantec公司的Norton杀毒软件。

服务帐号

　　你可能知道，Exchange服务器使用服务帐号和Windows NT安全系统交互的，这个服务帐号有个巨大的安全漏洞，因为它有太多干预Exchange的权利。可惜，不能禁止服务帐号或减少它的权利，所以最好另想办法。

　　安装Exchange的时候，选择不明显的用户名，例如，可以使用不和你一起工作好朋友的名字。

　　除非你非常清楚在做什么，否则不要重命名现有的服务帐号。这么做会导致Exchange工作不正常。

　　应该为帐号使用密码，Internet上有很多破解密码的程序，其中一些把你的密码(从登记中提取出来的)和字典中的词比较，有些用户尝试所有可能的组合。所以，越长、越晦涩、加密，密码就越好，最好的密码混用大写和小写符号和数字。

　　Internet连接

　　到现在为止，向你展示的都是基本的保护Exchange的技术，但是，因为最强的威胁来自Internet，保证Internet连接的安全也是不错的主意。

　　代理服务器

　　使用代理服务器是保护网络不受Internet用户袭击的好方法，代理服务器需要多个Windows NT服务器。就是说服务器必须有两个网卡，一个连接Internet，另一个连接你的网络。所有和Internet传送的数据都要通过代理服务器，使用代理服务器的优点就是Internet用户只能看见你的网络的IP地址--服务器的地址。所有其他的IP地址都被代理服务器屏蔽，不会传到Internet 上。从Internet上的外部用户来看，从你的网络中发出的数据都像是从代理服务器中发出的一样，因为所有的IP地址都是隐藏的，使用TCP/IP调用进入网络就很难。有了代理服务器，就有了禁止不同的TCP/IP端口和协议的能力，只打开需要的端口和协议，减少了使用TCP/IP组件用户攻击网络的危险。

上一篇：Exchange服务器的备份与安全保护说明 下一篇：如何让邮件服务器安全又高效