本文介绍如何在 Microsoft Exchange Server 2003 和 Microsoft Exchange 2000 Server 中使用传输层安全 (TLS) 协议来增强简单邮件传输协议 (SMTP) 通讯的安全。
在 SMTP 上使用传输层安全 (TLS) 协议可以提供基于证书的身份验证,并可以通过使用对称加密密钥提高数据传输的安全性。在对称密钥加密(又称共享的机密)中,使用同一密钥加密和解密邮件。TLS 应用基于散列的消息身份验证代码 (HMAC)。HMAC 将散列算法与共享密钥结合使用,以帮助确保数据在传输过程中不会被修改。共享密钥附加在要进行散列运算的数据后面。这可帮助提高散列的安全性,因为双方必须使用同一共享密钥来验证数据是否可信。
X.509 服务器证书是一种数字形式的标识,它一般由证书颁发机构 (CA) 颁发,并包含标识信息、有效期、公钥、序列号和颁发者的数字签名。通过提高密钥对的加密级别(从 40 位(默认)到 128 位)可以帮助保护通讯的安全。位数越多,对项目进行解密就越困难。由于出口限制,128 位密钥强度的加密特性只在美国和加拿大可用。
有关更多详细信息,请访问以下 Internet 工程任务组 (IETF) Web 站点,并查看下列 Requests for Comments (RFC) 文档:
| %26#8226; | RFC 2246:“The TLS Protocol Version 1.0”
http://www.ietf.org/rfc/rfc2246.txt |
| %26#8226; | RFC 2104:“HMAC:Keyed-Hashing for Message Authentication”
http://www.ietf.org/rfc/rfc2104.txt |
在配置虚拟服务器以要求基本身份验证时,强烈建议您同时使用 TLS 加密。如果不进行加密,用户名和密码会很容易被截取。尝试获得访问权限的用户必须 使用您设置的同一加密级别;否则,邮件将被退回并生成一份未送达报告 (NDR)。
TLS 可帮助保护传出邮件,但它并不能保护从客户端到服务器的通信。这些客户端具体包括 Microsoft Outlook Web Access (OWA)、POP3 和 IMAP4。要解决此问题,您可以在 Outlook Web Access 中启用安全套接字层 (SSL)。您还可以建议 POP3 或 IMAP4 用户使用支持 SSL 与 POP3 和 IMAP4 一起使用的客户端;例如,Microsoft Outlook Express。
如何使客户端要求传输层安全加密
要使客户端要求 TLS 加密,请按照下列步骤操作:
| 1. | 创建和管理密钥证书。为此,请按照下列步骤操作: | a. | 在服务器上安装 X.509 服务器证书。 有关 X.509 证书的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 319574 HOW TO:Use Certificates with Virtual Servers in Exchange 2000 Server | | b. | 启动 Exchange 系统管理器。 | | c. | 展开 Exchange Server,单击“协议”,单击“SMTP”,右键单击“SMTP 虚拟服务器”,然后单击“属性”。 | | d. | 单击“访问”选项卡,然后单击“证书”,以便为 SMTP 虚拟服务器设置新的密钥证书并管理已安装的密钥证书。 |
|
| 2. | 为服务器设置 TLS 加密级别。为此,请按照下列步骤操作: | a. | 启动 Exchange 系统管理器。 | | b. | 右键单击“SMTP 虚拟服务器”,然后单击“属性”。 | | c. | 单击“访问”选项卡,然后单击“身份验证”。 | | d. | 依次单击以选中“基本身份验证”复选框和“需要 TLS 加密”复选框,然后单击“确定”。 |
|
如果您对本文有任何疑问或者建议,请到讨论区发表您的意见:
>>
论坛入口 <<
上一篇:HOW TO:排除Exchange Server 2003传输问题 下一篇:Exchange 2003配置连接筛选以使用实时阻止列表
【文章评论】
【收藏本文】
【推荐好友】
【打印本文】
【我要投稿】 【论坛讨论】
更多相关文章
|
