保护 Exchange 通信安全

当提高网络的安全保护时，您不仅需要检查计算机本身的安全性，还要检查计算机之间互相传输的数据是否安全。对于任何系统，最好的入手点是检查它有哪些可用功能，还需要什么功能，并考虑每个功能构成的风险。

在本指南中，我们假定您需要以下功能：a) 通过 Internet 发送和接收电子邮件，b) 使用 Outlook Web Access 通过 Internet 访问 Exchange。如果您不需要这些功能，那么可以锁定更多的系统功能。反之，如果您需要 POP3 和 IMAP4 功能，那么就需要开放系统环境以便实现这些功能。

本指南中建议的前端/后端服务器环境允许您通过 Internet 发送邮件，还允许通过 Internet 访问 Exchange。本章介绍如何保护通信安全，并且还分析如何保护客户端的通信安全。

注意：使用 ISA Server 附带的 Exchange 远程过程调用 (RPC) 应用程序过滤器也可以通过 Internet 访问 Outlook。不过，本指南不介绍这种访问 Exchange 的方法。请参阅本章“更多信息”一节列出的“配置与保护 Microsoft Exchange 2000 Server和客户端安全”白皮书和《Microsoft Exchange 2000 Server 托管系列文章》（微软出版社，ISBN: 0-7356-1829-1 和 0-7356-1830-5）。

保护 Outlook 2002 中的通信安全

在 Outlook 2002 中，您可以采取许多方法来提高通信安全。它们包括：

• 对 Outlook 2002 和 Exchange 服务器之间的 MAPI 连接进行加密
• 通过 S/MIME 证书对邮件进行签名和加密

对 Outlook 2002 和 Exchange 服务器之间的 MAPI 连接进行加密

Windows 2000 的内置安全功能可以为 RPC 通信提供 128 位加密。由于 MAPI 连接通过 RPC 进行，因此您可以利用这种内置安全功能来提高对 Outlook 2002 客户端到 Exchange 服务器之间连接的安全保护。

若要对 Outlook 2002 到 Exchange 服务器之间的 MAPI 连接启用 RPC 加密，请执行以下步骤：

1. 在 Outlook 2002 中，单击“工具”，然后单击“电子邮件帐户”。
2. 单击“下一步”。
3. 确保选中了 Exchange 服务器，然后单击“更改”。
4. 单击“其他设置”。
5. 单击“高级”选项卡。
6. 选中“使用网络时”。
7. 单击“确定”。
8. 单击“下一步”。
9. 单击“完成”。

注意：在 Outlook 2002 中设置用户配置文件时，也可以指定该设置。

RPC 加密只对从 MAPI 客户端到 Exchange 服务器之间的数据进行加密。它不对邮件本身进行加密。

对邮件进行签名和加密

Outlook 2002 在向内部或外部收件人发送邮件时，可对邮件进行签名和加密。使用这种加密功能时，需要具有证书。如果您要向 Internet 收件人发送签名和/或加密过的电子邮件，那么需要使用第三方软件供应商提供的认可证书（也称为数字标识）。

您在客户端上安装了证书之后，就可以开始使用 S/MIME 发送经过签名和加密的邮件了。只有获得其他用户的公钥后，才可以给他们发送加密邮件。您可以先让其他用户给您发送一个签名邮件，然后将该用户添加到您的联系人列表。现在，您就获得了他们的公钥。

注意：有关对邮件进行签名和加密的详细信息，请参阅知识库文章 Q286159：“Encryption and Message Security Overview”（加密与邮件安全性概述）。

密钥管理服务

如果您希望在 Exchange 组织内部，用户之间日常发送的邮件都是经过签名和加密的邮件，那么您应当考虑使用 Exchange 2000 提供的密钥管理服务。该服务使用 Windows 2000 证书服务，不仅具有公钥访问功能，还能够对私钥进行安全的集中式访问。这可以帮助客户顺利地访问经过签名和加密的邮件，并允许他们把这些邮件发送给全球通讯簿 (GAL) 中所有其他启用安全保护的收件人。

注意：如果您在使用密钥管理服务器的同时，使用从属于一个第三方证书颁发机构 (CA) 的 CA，那么您可以将密钥管理服务与 Internet 上的其他服务集成。

保护 OWA 通信安全

起初看来，与 OWA 的通信非常简单。只需通过 Web 浏览器与 OWA 服务器通信，就可发送电子邮件。一般通过端口 80 发送电子邮件，如果通信安全，也可使用端口 443 发送邮件。但是，情况远非看起来那么简单。当客户端通过端口 80 或 443 连接到前端服务器时，这些前端服务器需要与它们所在域中的域控制器进行通信以便验证用户身份。它们还需要与 Exchange 后端服务器通信，以便实际访问适当邮箱或公用文件夹中的信息。

将 OWA 前端服务器放置在周边网络（也称为 DMZ）之中，并且把后端服务器放置在内部防火墙之内，通过这种方法 OWA 前端服务器就可以得到保护。但是，为保证这种方法发挥作用，需要在内部防火墙上打开大量的端口。

使用 ISA Server 保护 OWA 安全

为尽量减少在内部防火墙上打开的端口数量，您可以使用应用层防火墙，比如 Microsoft Internet Security and Acceleration (ISA) Server。ISA Server 使您可以将 SMTP 服务器和 OWA 前端服务器都放置在防火墙后面。利用服务器发布和 Web 发布规则，ISA Server 对外模仿内部服务器，而不将这些服务器放在 DMZ 中。

注意：有关用于前端服务器与其他服务器之间通信的端口列表，请参见本章末尾“更多信息”一节列出的“Exchange 2000 前端和后端拓扑”白皮书。

下图显示 Internet 上向 OWA 客户端发布 OWA 服务器的 ISA Server：

图1 安全的防火墙结构

注意：在该配置中，OWA 前端服务器的外部 DNS 项目需要引用在 ISA Server 上发布的 IP 地址，而不是 OWA 前端服务器的地址。

注意：如果无法为布置 ISA Server 改变现有的两道防火墙结构，您可以将 ISA Server 放置在当前的内部防火墙之内，并将 TCP 端口 443 向 ISA Server 开放。

防火墙有助于保护您的服务器避免遭到攻击。但是，您还需要保护在服务器之间传输的数据。当 Internet 上的 Web 浏览器客户端使用 HTTP 通过 OWA 访问 Exchange 时，将出现以下情况：