Microsoft Exchange Server有多种方式可以保护电子邮件数据的安全,主要分为两类:一是传输加密,即保护两台机器之间的连接,从而保护会话中的邮件内容;二是邮件加密,即保护邮件自身安全,确保只有收信人能正确阅读,而不必理会连接问题。
传输加密
传输加密又叫会话加密,保护的是邮件数据传送所依靠的协议。主要有三种传输加密方式:加密消息API(Encrypted Messaging API,MAPI)、安全套接层(Secure Sockets Layer,SSL)或传输层安全(Transport Layer Security,TLS),以及IPsec。
如果需要在Microsoft Outlook和Exchange服务器之间建立安全的会话,则需要激活MAPI协议的加密。MAPI在客户端和服务器之间使用远程过程调用(RPC),默认情况下,RPC并不加密,但是在Outlook用户配置里可以激活128位RPC加密。需要注意的是,该设置仅提供了相对较低的加密级别,只保护Exchange和Outlook之间的MAPI传输,并不保护通过其它邮件服务器发送的电子邮件传输。
SSL和TLS属于类似的协议,都提供应用层的加密。主要的差别在于,SSL必须先在某个端口建立SSL通讯,而TLS可以建立在不安全的连接上。Exchange目前只支持SMTP连接上的TLS,但是支持POP3、IMAP、NNTP、HTTP上的SSL(Exchange的TLS并不完善,不能在同一虚拟机上同时处理安全的和不安全的连接)。
IPsec是一套IP扩展,提供了IP通讯的认证和加密。从Windows 2000以后,Windows系统均内置了IPsec支持。虽然IPsec在激活和管理上比其它方式要复杂,但是也具有更好的灵活性。由于IPsec属于操作系统的功能,因此可以保护任何应用(不像SSL和TLS,需要应用程序支持其标准)。使用Windows IPsec,只需要创建适当的组策略对象(GPOs),并在AD上添加到合适的容器中,建立必须的IPsec过滤器和行为,所以,IPsec适合保护前后端服务器之间的连接。
如果电子邮件在传输中要经过多个节点,则每个节点都需要安全保护,否则极可能泄露数据。在每个节点都受到保护的情况下,电子邮件可以在线路中保证安全传输,但是在发送和接收方之间的每个节点上,邮件本身仍然不是加密的。
如要了解Exchange上如何保护不同协议安全的更多信息,请浏览Exchange Server 2003技术文档库中的“Exchange Server 2003和Exchange 2000 Server的前端和后端拓扑指南”(http://www.microsoft.com/ exchange/library)。
邮件加密
相反,邮件加密技术相对简单许多:用只有接收方知道的密钥加密邮件数据即可。不管邮件采用何种传输方式,都能确保只有接收方才可以阅读。目前两种最常用的消息加密标准分别是PGP和Secure MIME(S/MIME)。
PGP。PGP和开源的GNU Privacy Guard(GPG)都提供比S/MIME灵活的消息加密手段,与S/MIME不同的是,PGP和GPG不需要一个公共密钥架构(PKI),用户自己管理自己的数字证书列表(称作密钥串)。因此,用户在Outlook中使用PGP必须安装第三方的插件,而且,据我了解,在Microsoft Outlook Web Acess(OWA)中还不能校验PGP签名的邮件(或查看PGP加密的邮件)。根据我的经验,PGP非常适合独立用户,但不适合在企业内推广。
S/MIME。S/MIME是Internet Engineering Task Force(IETF)认可的方式,用于格式化和交换数字签名及加密的电子邮件。S/MIME需要完善的PKI部署。Exchange/Outlook通过证书认证(CA)和活动目录(AD)串联工作,让Windows中的用户注册并获得自己的证书,用于加密其电子邮件。Outlook即可在必要时获得企业内其他用户的证书。如果要在企业外部用户中使用S/MIME,则需要确保正确配置PKI,这部分内容不在本文介绍范围内。
S/MIME工作流程如下(PGP流程类似):
1、 发送方在客户端编写电子邮件;
2、 提交电子邮件时,根据指定的公钥和私钥对(接收方的公钥和发送方的私钥)加密消息并签名;
3、 消息通过中间节点,而外界无法查看、篡改和变动数字签名;
4、 接收方收到电子邮件,客户端自动检查数字签名的合法性,然后应用私钥解密邮件。
这个过程是不是真的这样完美呢?S/MIME确实有两大限制。
首先,如前所述,S/MIME需要一个PKI环境,管理发送方和接收方的公钥和私钥,Exchange 2003和Exchange 2000,分别对应Windows 2003和Windows 2000,都可以创建适合S/MIME所必需的数字证书PKI架构,该PKI架构与AD整合,用户可以轻松管理自己的私钥,并获得企业内其它用户的公钥。Outlook客户端支持S/MIME,Exchange 2003版本的OWA提供了OWA用户的S/MIME扩展支持。
其次,电子邮件在提交到Exchange消息库服务之前即被加密。也就是说,这些邮件在网络传输中,通过各个节点服务器时,以及保存在邮箱里,都是加密形式。这种方式限制了所有有用的功能,比如不能按照服务器端的规则扫描邮件内容。S/MIME还会影响邮件的健康检测以及邮件保留和归档的策略。由于邮件在提交到Exchange服务器之前被加密,所以使用Exchange的公司无法检查加密的邮件。
使用S/MIME,应该需要一个规避风险的软件解决方案,这些软件通常会获得所有用户证书,在邮件离开公司前进行扫描,并使用适当的证书加密必须的邮件。
对于S/MIME邮件加密过程也需要审计。必须对证书库的管理权限进行很好的控制,因为证书库是天然的攻击目标。最后,要做好备份、恢复和归档,正确处理邮件安全的复杂情况。例如,必须备份证书,能够重建PKI,归档在系统中仍然存在的旧的和过期的证书。
关于部署S/MIME的更多信息,请访问Exchange Server 2003技术文档库“Exchange Server 2003的消息安全指南”。
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |