Если вы пропустили предыдущие части этой статьи, то, пожалуйста, прочитайте:
- Укрепление Exchange Server 2007 – часть 1: вводные шаги.
- Укрепление защиты Exchange Server 2007 - часть 2: безопасен по умолчанию
Перед тем, как мы начнем, пожалуйста, обратите внимание, что эта статья основывается на бета версии операционной системы Windows Server 2008 и Exchange Server 2007 SP1, поэтому существует возможность того, что некоторые возможности изменятся или исчезнут вовсе в финальных версиях этих продуктов.
Я не буду касаться тех же самых тем, которые раскрыл Руи Сильва (Rui Silva) в своем цикле статей под названием Укрепление Exchange Server 2007. В этом цикле статей приводится информация, касающаяся лишь Exchange Server 2007 и Windows Server 2008. Если вы хотите получить дополнительную информацию об обеспечении безопасности среды, обучении пользователей и многом другом, то я рекомендую также прочитать статьи Руи.
В этой статье я расскажу об обеспечении безопасности для различных типов почтовых клиентов, таких как POP3, IMAP4, OWA и Outlook Anywhere (также известном, как RPC по HTTP(S).
POP3
POP3 (Post Office Protocol или почтовый офисный протокол, версия 3) – это относительно старый протокол для получения электронных сообщений с сервера электронных сообщений Exchange Server. Начиная с Exchange Server 2003, Exchange поддерживает POP3, но протокол отключен по умолчанию. Это же справедливо и для Exchange Server 2007, поэтому вы должны изменить тип запуска для этого протокола на Automatic (автоматически). Одно из важных изменений в POP3 доступе к Exchange Server 2007 заключается в том, что не разрешены незашифрованные сессии. Exchange Server 2007 использует сертификат для обеспечения безопасности при передаче сообщения. В результате вы должны настроить свой почтовый клиент для доступа к Exchange Server по безопасному соединению. Неплохо бы заменить сертификат после установки Exchange на доверительный сертификат из центра сертификации (Certificate Authority) или на сертификат из CA (Certificate Authority) сторонних производителей. Как вы можете знать, для настройки доступа POP3, вы должны использовать оболочку управления Exchange Management Shell (EMS). Начиная с Exchange Server 2007 SP1, элементы управления POP3 стали частью консоли управления Exchange Management Console (EMC).
IMAP4
IMAP4 (Internet Message Access Protocol или протокол доступа к интернет сообщениям, версия 4) – это также относительно старый протокол. IMAP4 – это наследник протокола POP3 с некоторыми улучшениями.
Начиная с Exchange Server 2003, Exchange поддерживает IMAP4, но протокол также отключен по умолчанию. Это же справедливо и для Exchange Server 2007, поэтому вы должны изменить тип запуска для этого протокола на Automatic (автоматически). Одно из важных изменений в IMAP4 доступе к Exchange Server 2007, заключается в том, что не разрешены незашифрованные сессии. Exchange Server 2007 использует сертификат для обеспечения безопасности передачи сообщения. В результате вы должны настроить свой почтовый клиент для доступа к Exchange Server по безопасному соединению.
Порты, используемые POP3 и IMAP4
| Протокол | Порт по умолчанию |
|---|---|
| IMAP4/SSL | 993 (TCP) |
| IMAP4 с или без TLS | 143 (TCP) |
| POP3/SSL | 995 (TCP) |
| POP3 с или без TLS | 110 (TCP) |
OWA
Outlook Web Access (OWA или веб доступ к Outlook) – также защищен по умолчанию. Как и любые другие клиентские службы Exchange, Outlook Web Access также защищен сертификатом, и HTTPS доступ активирован по умолчанию. Рекомендуется также, чтобы для учетной записи администратора использовался свой собственный сертификат для доступа к OWA из внутреннего доверительного центра сертификации (Certificate Authority или CA) или из доверительного CA сторонних разработчиков. Exchange Server 2007 Outlook Web Access обладает некоторыми дополнительными настройками безопасности. Некоторые из этих настроек безопасности являются частью дополнительного пакета безопасности для Outlook Web Access, который впервые появился с Exchange Server 2003. Большинство настроек из этого набора (а также некоторые дополнительные) теперь присутствуют в Exchange Server 2007. Exchange Server 2007 обладает дополнительными возможностями по безопасности:
- сегментация Outlook Web Access
- Outlook Web Access полный клиент и облегченная версия
- Ограничение доступа к Outlook Web Access для определенных пользователей
- Настройка Microsoft Office Sharepoint Integration
- Контроль прямого доступа к общим папкам на файловых серверах
- Блокирование доступа к файлам определенного типа
Outlook Anywhere
Outlook Anywhere, ранее известный, как RPC по HTTPS в Exchange Server 2003, обеспечивает полный доступ Outlook 2007 по HTTPS из внутренних сетей. Т.к. обеспечение безопасности для Outlook Anywhere аналогично OWA, то нет необходимости подробно о нем рассказывать.
Exchange Active Sync (EAS)
Exchange Active Sync обеспечивает доступ для почтовых, а чаще для мобильных клиентов, таких как смартфоны, PDA (Personal Digital Assistants или персональные цифровые помощники) и мобильные телефоны. EAS активирован по умолчанию. Также есть возможность настроить параметры EAS с помощью политик Exchange Active Sync. С помощью политик вы можете осуществлять следующие действия:
- Запрашивать пароли для мобильных клиентов
- Запрашивать буквенно-цифровые пароли
- Разрешить или запретить загрузку вложений
- Разрешить доступ к документам служб Windows Sharepoint
- Разрешить удаление данных с украденных или утерянных устройств
- Активировать шифрование на устройстве
ISA Server 2006
Вы можете использовать ISA Server 2006 (Internet Security and Acceleration Server) для обеспечения дополнительного уровня безопасности для доступа к Exchange Server 2007. С помощью Outlook Web Access (OWA), Outlook Anywhere и Exchange Active Sync (EAS). С помощью ISA Server 2006 вы можете безопасно опубликовать все эти клиенты сервера Exchange Server. ISA Server 2006 обеспечивает дополнительную безопасность в виде моста HTTPS к HTTP, проверке ссылок (Link Inspection), фильтрации содержимого (Content filtering), предварительной аутентификации пользователей и многого другого.
Управление обновлениями
Очень важно постоянно обновлять ваши клиенты для обмена сообщениями, а также лежащую в их основе операционную систему. Вы должны использовать WSUS (службы обновления сервера Windows Server Updates Services) или другое программное обеспечение для управления обновлениями.
Anti-SPAM (Антиспам)
Exchange Server 2007 может использовать интегрированные антиспам возможности для роли Hub Transport Server и роли Edge Transport Server. Вы должны активировать антиспам возможности на сервере Hub Transport Server с помощью оболочки управления Exchange Management Shell (EMS).
Exchange Server 2007 предоставляет следующие антиспам возможности:
- Ведение списка отфильтрованных почтовых адресов
- Служба репутации IP
- Репутация отправителя
- ID отправителя
- Фильтрация адресата
- Карантин спама
- Фильтрация содержимого
- Фильтрация соединений
- SMTP Tarpitting
Вы можете использовать Forefront Edge Security для получения некоторых дополнительных антиспам возможностей.
Антивирус
Вы должны использовать антивирусный сканнер на стороне клиента, который сканирует доступ к файлам по требованию, как Forefront Client Security. На стороне сервера вы должны использовать централизованное антивирусное решение, как Microsoft Forefront Edge Security, о чем упоминалось во второй части этой статьи.
Заключение
В этой части этой статьи мы рассказали о том, как обеспечить безопасность клиентского доступа для различных клиентов, таких как POP3, IMAP4, OWA и Outlook Anywhere. Пожалуйста, обратите внимание, что в этой статье мы не смогли сфокусироваться на всех улучшениях в безопасности и новых возможностей для безопасности сервера Exchange Server 2007.
Если вы пропустили предыдущие части этой статьи, то, пожалуйста, прочитайте:
- Укрепление Exchange Server 2007 – часть 1: вводные шаги.
- Укрепление защиты Exchange Server 2007 - часть 2: безопасен по умолчанию
