Exchange2003的设定及安全管理
生活随笔
收集整理的這篇文章主要介紹了
Exchange2003的设定及安全管理
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
郵件服務向來是企業的核心業務.郵件的重要性對于企業來說是不言而喻的.而Exchange2003的郵件設置各選項也較多,如何根據企業內部需求正確地應用這些設置是一項長久而又復雜的事情.以前就其高可用性寫了一篇集群方面的文章( [url]http://waringid.blog.51cto.com/65148/72065[/url]),有興趣的可以參考下.但是郵件系統不僅僅是高可用就行了,還要涉及到安全,防病毒,防垃圾郵件及特殊化的定制.所以結合個人的經驗及應用體會寫成這篇文章,因為水平所限,如有不當或是不完善之處,還請指正. 這篇文章不涉及Exchagne2003安裝方面的東西,如果你對它的安裝有困難,可以參考([url]http://waringid.blog.51cto.com/65148/73387[/url])這篇文章.這里會講到利用第三方的軟件實現郵件的防病毒及防垃圾郵件的功能.當然這些軟件不能和Linux下的相比(費用較高),如果你想了解Linux下的郵件系統及防病毒和防垃圾郵件相關請參考:LADP方面( [url]http://waringid.blog.51cto.com/65148/79648[/url])和MYSQL方面([url]http://waringid.blog.51cto.com/65148/58144[/url]).還會講到怎樣根據企業要求限制用戶郵件大小及存儲限制等.如果你對郵件系統比較關注,那么一起加入吧. 郵件顯示名的設定: 一個運行良好的郵件系統不只是實現其郵件收發的功能,還應體現在其便捷性及易操作性上.因為使用郵件客戶端的用戶不可能都是計算機高手.就像Windows和Linux的相比性一樣,雖然Linux在各方面比Windows要強,但不可否認的是Windows占據了桌面電腦的大部份市場.而規劃良好的郵件顯示名可以使用戶更加方便快捷.看看下面這張圖就可能明白了. 各企業可以根據自己情況來定義郵件顯示名的設定.一般推薦的方式是:部門代碼+地區代碼+用戶名.各代碼則需先規劃好.
下圖是建立用戶的情況:
存儲組的管理: 系統在建立之初會自動建立第一個存儲組用來存諸相關用戶的郵件及公用文件夾,但通常其名稱和數據及日志的存放路徑并不符合企業的管理規定.最好是按地區來命名存儲組,然后在存儲組下建立以各部門代碼為名稱的郵件存儲.然后分離存儲數據和日志.如圖示:
確認系統啟動的服務及建立用戶時選取相應的存儲:
限制郵件中繼: 如果服務器開放了郵件中繼并且未加驗證的話,那么你會發現你的郵件隊列中經常會存在大量未知的鏈接,時間久了后還可能會被列入垃圾郵件黑名單中.在Linux中很容易禁用中繼,那么在Exchange中則需按下面的方法.在 Exchange 系統管理器的左窗格中的服務器中,然后展開要配置的 Exchange Server。展開協議,展開 SMTP。右鍵單擊默認 SMTP 虛擬服務器,然后單擊屬性。單擊訪問選項卡以顯示訪問控制選項。單擊中繼按鈕。在中繼限制對話框中,確保允許計算機進行轉發的選項被設置為 Only the list below(僅限以下列表),在其中加入自己公司郵件地址的公網域名。除非您對該虛擬服務器使用 POP3 和 IMAP4 客戶端,否則請清除 Allow all computers which successfully authenticate to relay, regardless of the list above(允許所有成功通過身份驗證的計算機中繼,無論它是否在上面的列表中)框,然后單擊確定。在 SMTP 虛擬服務器屬性對話框中,單擊確定。
設定相應的SMTP最大連接數及刷新時間:
SMTP外發郵件大小設定:
郵件在服務器上的存儲限定:
全局的郵件大小及收件人個數設定:
針對單用戶的收件人個數設定: 說到這里,你會發現針對郵件的大小一共有三個地方可以設定.分別是"SMTP連接器","全局設定","用戶設定".經過測試發現這里的沖突的檢測原則是:"用戶設定">"SMTP連接器">"全局設定".如果你的全局設定中設置最大收件人為2個的話,在發郵件是如果收件人多于2個則會出現下面的提示: 郵件防病毒: ScanMail Suite for Microsoft Exchange提供了更加有效的高性能郵件服務器安全--連續五年獲得郵件服務器防病毒市場第一名。*除了攔截病毒、垃圾郵件、網絡釣魚和內容過濾之外,新版本還提供了針對間諜軟件和零時差威脅的高級保護。不論您是安裝Exchange Server 2000、2003或新的2007版,ScanMail均為您的Exchange提供了優化的環境。掃描效率的提高和更加緊密的集成可以減少對IT、基礎設施的影響和降低管理成本--使企業獲得豐厚的投資回報。相關介紹:[url]http://cn.trendmicro.com/cn/products/enterprise/scanmail-for-microsoft-exchange/[/url].如圖: 防垃圾郵件: 作為管理員,如何防止垃圾郵件攜帶惡意軟件進入企業,需要付出許多的努力。而GFI公司的Mail Essential Exchange軟件可幫助管理員高效的管理企業的電子郵件服務器.當然你如果覺得開源系統下的東西更好用那又另當別論.Mail Essentials可以有兩種安裝方式:SMTP網關模式或者直接安裝在Exchange郵件服務器上。兩種安裝方式都有自己的優點和缺點。SMTP網關模式是把ME安裝在一臺獨立的網關服務器上,因此運行的是獨立的郵件服務器軟件。網關模式允許把反垃圾郵件功能分配到一臺獨立的、功能比較弱的服務器上,讓Exchange服務器專注于運行Exchange。
Anti-SPAM configuration(反垃圾郵件配置) Anti-SPAM(反垃圾郵件)有十個不同的參數或規則來檢查垃圾郵件。可以在右邊窗口區域內雙擊每條規則來進行配置,也可以在左邊窗口區域內選擇該規則,然后選擇"properties"(屬性)。我們在下面將討論每個規則,它們的作用,以及它們是如何防范垃圾郵件的。規則使用的順序也是可以設定的。 每條規則的屬性都被分成幾個表單。有些表單,比如Actions表單在每條規則中都是一樣的。配置過程類似這樣:按照需要選擇使用每條規則,仔細進行配置,并規定在發現符合該規則的垃圾郵件之后應該采取什么行動。 首先打開Sender Policy Framework(發件人策略架構)。這是在11.0版本中新出現的功能。它通過檢查偽造發件人來確定垃圾郵件。Sender Policy Framework功能是一個團體防范垃圾郵件的工作。SPF要求發送者在SPF記錄中公開自己的郵件服務器。當郵件到達時,GFI可以檢查并確定發件人是否是偽造的。可以在Sender Policy Framework網站上找到更多關于SPF的信息。在配置好SPF后,ME將提示設置perimeter server參數,以幫助SPF工作。在這個示例中,我們已經在perimeter server(網關)上安裝了GFI,所以不需要再進行設置。 General Tab讓SPF可以工作在不同的層上。把滑塊拖動到頂端,能夠設置讓SPF不要阻攔信息,這樣就關閉了該規則。相反,把滑塊拖動到底端,則會阻攔任何沒有通過SPF測試的郵件。GFI推薦中級設置,該設置會阻攔那些偽造發件人的郵件。
Directory Harvesting(帳號收集) 這一規則檢查那些發往電子郵件服務器中,不存在的收件人的電子郵件。這通常是帳號收集***的一個信號,目的是發現特定服務器上的郵件地址。在我的環境中,我們收到大量的垃圾郵件,這些垃圾郵件都是發給已經離開公司的員工的。使用這一過濾規則能夠幫助我們直接把這些郵件處理掉,以免我們還要在以后對它們進行處理,判斷它們是否合法。可以在"general"(常規)表單中激活這一功能。使用該功能需要AD或者LDAP連接到DC。
Custom Blacklist(自定義黑名單) 可以使用該功能為已知的域或者電子郵件創建一個自定義的黑名單 Bayesian filter(貝葉斯規則過濾) 主要的垃圾郵件過濾功能。Bayesian過濾在缺省狀態下是關閉的。GFI推薦至少每周要使用一次該過濾功能,起碼直到有3000封郵件通過這一過濾。在這一訓練期結束后,就可以正式使用該過濾功能了。
DNS blacklist(DNS黑名單) 可以檢查發送郵件服務器是否是那些被已知的、多個黑名單組織管理服務器。該功能需要正確配置DNS服務器。如果黑名單配置正確而DNS服務器配置有錯誤的話,就會出現一個暫停,電子郵件處理速度會變得非常慢。所以配置的時候要非常謹慎,可以使用測試按鈕來測試連接。可以使用多個列表,但是每個列表都會延長電子郵件處理時間。 Spam URI Real-time Block(垃圾郵件URL實時阻止) 列表規則檢查電子郵件,查看郵件中是否包含了已知的、來自于垃圾郵件制造者的URL和URN。可以針對每個列表選擇多個檢查列表。和DNS黑名單一樣,選擇越多的檢查列表,郵件處理時間也越長。 如果你正在為怎樣限制內網用戶收發外網郵件的事情苦惱,可以參考以下文章:[url]http://www.5dmail.net/html/2003-10-31/20031031205516.htm[/url]或是[url]http://www.msexchange.org/tutorials/MF009.html[/url]. 郵件系統的管理是一項長久的事情,在企業需求多變的今天更是如此.沒有任何一款產品能保證100%的完美.所以即使是設定好了一切,也不能掉以輕心.只要時時小心謹慎并積極關注新的技術發展趨勢.相信可以讓你和系統運得更加穩定.
下圖是建立用戶的情況:
存儲組的管理: 系統在建立之初會自動建立第一個存儲組用來存諸相關用戶的郵件及公用文件夾,但通常其名稱和數據及日志的存放路徑并不符合企業的管理規定.最好是按地區來命名存儲組,然后在存儲組下建立以各部門代碼為名稱的郵件存儲.然后分離存儲數據和日志.如圖示:
確認系統啟動的服務及建立用戶時選取相應的存儲:
限制郵件中繼: 如果服務器開放了郵件中繼并且未加驗證的話,那么你會發現你的郵件隊列中經常會存在大量未知的鏈接,時間久了后還可能會被列入垃圾郵件黑名單中.在Linux中很容易禁用中繼,那么在Exchange中則需按下面的方法.在 Exchange 系統管理器的左窗格中的服務器中,然后展開要配置的 Exchange Server。展開協議,展開 SMTP。右鍵單擊默認 SMTP 虛擬服務器,然后單擊屬性。單擊訪問選項卡以顯示訪問控制選項。單擊中繼按鈕。在中繼限制對話框中,確保允許計算機進行轉發的選項被設置為 Only the list below(僅限以下列表),在其中加入自己公司郵件地址的公網域名。除非您對該虛擬服務器使用 POP3 和 IMAP4 客戶端,否則請清除 Allow all computers which successfully authenticate to relay, regardless of the list above(允許所有成功通過身份驗證的計算機中繼,無論它是否在上面的列表中)框,然后單擊確定。在 SMTP 虛擬服務器屬性對話框中,單擊確定。
設定相應的SMTP最大連接數及刷新時間:
SMTP外發郵件大小設定:
郵件在服務器上的存儲限定:
全局的郵件大小及收件人個數設定:
針對單用戶的收件人個數設定: 說到這里,你會發現針對郵件的大小一共有三個地方可以設定.分別是"SMTP連接器","全局設定","用戶設定".經過測試發現這里的沖突的檢測原則是:"用戶設定">"SMTP連接器">"全局設定".如果你的全局設定中設置最大收件人為2個的話,在發郵件是如果收件人多于2個則會出現下面的提示: 郵件防病毒: ScanMail Suite for Microsoft Exchange提供了更加有效的高性能郵件服務器安全--連續五年獲得郵件服務器防病毒市場第一名。*除了攔截病毒、垃圾郵件、網絡釣魚和內容過濾之外,新版本還提供了針對間諜軟件和零時差威脅的高級保護。不論您是安裝Exchange Server 2000、2003或新的2007版,ScanMail均為您的Exchange提供了優化的環境。掃描效率的提高和更加緊密的集成可以減少對IT、基礎設施的影響和降低管理成本--使企業獲得豐厚的投資回報。相關介紹:[url]http://cn.trendmicro.com/cn/products/enterprise/scanmail-for-microsoft-exchange/[/url].如圖: 防垃圾郵件: 作為管理員,如何防止垃圾郵件攜帶惡意軟件進入企業,需要付出許多的努力。而GFI公司的Mail Essential Exchange軟件可幫助管理員高效的管理企業的電子郵件服務器.當然你如果覺得開源系統下的東西更好用那又另當別論.Mail Essentials可以有兩種安裝方式:SMTP網關模式或者直接安裝在Exchange郵件服務器上。兩種安裝方式都有自己的優點和缺點。SMTP網關模式是把ME安裝在一臺獨立的網關服務器上,因此運行的是獨立的郵件服務器軟件。網關模式允許把反垃圾郵件功能分配到一臺獨立的、功能比較弱的服務器上,讓Exchange服務器專注于運行Exchange。
Anti-SPAM configuration(反垃圾郵件配置) Anti-SPAM(反垃圾郵件)有十個不同的參數或規則來檢查垃圾郵件。可以在右邊窗口區域內雙擊每條規則來進行配置,也可以在左邊窗口區域內選擇該規則,然后選擇"properties"(屬性)。我們在下面將討論每個規則,它們的作用,以及它們是如何防范垃圾郵件的。規則使用的順序也是可以設定的。 每條規則的屬性都被分成幾個表單。有些表單,比如Actions表單在每條規則中都是一樣的。配置過程類似這樣:按照需要選擇使用每條規則,仔細進行配置,并規定在發現符合該規則的垃圾郵件之后應該采取什么行動。 首先打開Sender Policy Framework(發件人策略架構)。這是在11.0版本中新出現的功能。它通過檢查偽造發件人來確定垃圾郵件。Sender Policy Framework功能是一個團體防范垃圾郵件的工作。SPF要求發送者在SPF記錄中公開自己的郵件服務器。當郵件到達時,GFI可以檢查并確定發件人是否是偽造的。可以在Sender Policy Framework網站上找到更多關于SPF的信息。在配置好SPF后,ME將提示設置perimeter server參數,以幫助SPF工作。在這個示例中,我們已經在perimeter server(網關)上安裝了GFI,所以不需要再進行設置。 General Tab讓SPF可以工作在不同的層上。把滑塊拖動到頂端,能夠設置讓SPF不要阻攔信息,這樣就關閉了該規則。相反,把滑塊拖動到底端,則會阻攔任何沒有通過SPF測試的郵件。GFI推薦中級設置,該設置會阻攔那些偽造發件人的郵件。
Directory Harvesting(帳號收集) 這一規則檢查那些發往電子郵件服務器中,不存在的收件人的電子郵件。這通常是帳號收集***的一個信號,目的是發現特定服務器上的郵件地址。在我的環境中,我們收到大量的垃圾郵件,這些垃圾郵件都是發給已經離開公司的員工的。使用這一過濾規則能夠幫助我們直接把這些郵件處理掉,以免我們還要在以后對它們進行處理,判斷它們是否合法。可以在"general"(常規)表單中激活這一功能。使用該功能需要AD或者LDAP連接到DC。
Custom Blacklist(自定義黑名單) 可以使用該功能為已知的域或者電子郵件創建一個自定義的黑名單 Bayesian filter(貝葉斯規則過濾) 主要的垃圾郵件過濾功能。Bayesian過濾在缺省狀態下是關閉的。GFI推薦至少每周要使用一次該過濾功能,起碼直到有3000封郵件通過這一過濾。在這一訓練期結束后,就可以正式使用該過濾功能了。
DNS blacklist(DNS黑名單) 可以檢查發送郵件服務器是否是那些被已知的、多個黑名單組織管理服務器。該功能需要正確配置DNS服務器。如果黑名單配置正確而DNS服務器配置有錯誤的話,就會出現一個暫停,電子郵件處理速度會變得非常慢。所以配置的時候要非常謹慎,可以使用測試按鈕來測試連接。可以使用多個列表,但是每個列表都會延長電子郵件處理時間。 Spam URI Real-time Block(垃圾郵件URL實時阻止) 列表規則檢查電子郵件,查看郵件中是否包含了已知的、來自于垃圾郵件制造者的URL和URN。可以針對每個列表選擇多個檢查列表。和DNS黑名單一樣,選擇越多的檢查列表,郵件處理時間也越長。 如果你正在為怎樣限制內網用戶收發外網郵件的事情苦惱,可以參考以下文章:[url]http://www.5dmail.net/html/2003-10-31/20031031205516.htm[/url]或是[url]http://www.msexchange.org/tutorials/MF009.html[/url]. 郵件系統的管理是一項長久的事情,在企業需求多變的今天更是如此.沒有任何一款產品能保證100%的完美.所以即使是設定好了一切,也不能掉以輕心.只要時時小心謹慎并積極關注新的技術發展趨勢.相信可以讓你和系統運得更加穩定.
轉載于:https://blog.51cto.com/waringid/85313
總結
以上是生活随笔為你收集整理的Exchange2003的设定及安全管理的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: [Think]故事几则
- 下一篇: 与崇洋媚外的程序员的辩论