Exchange 2007 安全管理面面觀

顧武雄台灣微軟特約資深講師[email protected]

Exchange 2007安全管理面面觀

Exchange Server 2007 系列課程課程名稱時間Exchange 2007 系統最佳化建置指引 10/4

Exchange 2007 安全管理面面觀 10/11

Exchange 2007 郵件稽核管理實務 10/18

Exchange 2007 整合 Outlook 2007 活學活用 10/25

Exchange 2007 管理工具活用秘訣 11/8

Exchange 2007 SP1 全新功能應用 11/22

Exchange 2007 遠端存取控管 12/6

使用 Exchange 2007 打造行動通訊平台 12/20

Exchange 2007 高可用性架構部署 1/3

Exchange 2007 災害重建指引 1/17

Level 200

預備知識

• 熟悉 Windows Server 2003

• 了解 Active Directory 架構

• 正在使用或準備導入 Exchange 2007

課程大綱• 垃圾郵件防禦法• 邊際伺服器的建置• 郵件病毒防治法• 資料庫備份還原法• 其它

–整合 Data Protection Manager 2007 資料保全–整合 Operations Manager 2007 保全監控

• Q&A

垃圾郵件防禦重點Enterprise network

OtherSMTP

Servers

MailboxMailbox

Mailbox

RoutingRouting HygieneHygiene RoutingRouting PolicyPolicy

Voice Voice MessagingMessaging

Client Access

PBX or PBX or VoIPVoIP

PublicPublicFoldersFolders

Fax-inFax-in

ApplicationsApplicationsOWAOWA

ProtocolsProtocolsActiveSync, POP, ActiveSync, POP, IMAP, RPC / HTTP …IMAP, RPC / HTTP …

ProgrammabilityProgrammabilityWeb services, Web services, Web PartsWeb Parts

Unified Unified Messaging Messaging

EdgeEdgeTransportTransport

HubHubTransportTransport

INTERNET

Exchange 垃圾郵件篩選

• Edge 與 Hub 角色提供

• 預設 Hub 沒有安裝–執行 install-AntispamAgents.ps1 安裝

–安裝後須重新啟動 Exchange Transport 服務

AntiSpam

• Content Filtering – 內容關鍵字篩選、 SCL 分數設定• IP Allow List – 允許的寄件 IP 設定• IP Allow List Providers - 允許的寄件 IP 提供者設定• IP Block List – 拒絕的寄件 IP 設定• IP Block List Provider - 拒絕的寄件 IP 提供者設定• Recipient Filtering – 企業收信者篩選• Sender Filtering – 寄件者篩選• Sender ID – 寄件者識別碼比對• Sender Reputation – 寄件者信譽檢查

Anti-Spam 篩選流程

Connection FilteringConnection Filtering

SMTP FilteringSMTP Filtering

Content Content FilteringFiltering

OutlookOutlookMailboxMailbox

InboxInbox

Junk E-mailJunk E-mail

IncomingInternet

E-mail

寄件者來源 IP 篩選器

• 伺服端手動配置清單IP 允許清單IP 封鎖清單

• 設定參考外部或企業黑白名單資料庫IP 允許清單提供者IP 封鎖清單提供者

企業黑名單資料庫應用

• 如果欲封鎖的 IP 為 61.59.116.27 ，則 DNS 設定為27.116.59.61.cogate.com.tw A 127.0.0.2

寄件者識別碼篩選器SenderID Filter

如何在 DNS 上設定 SPF 記錄

• 在 DNS 中新增 TXT 記錄• SPF 記錄範例

v=spf1 mx mx:mail.cogate.com.tw –all

• 線上產生 SPF 記錄http://www.anti-spamtools.org/SenderIDEmailPolicyTool/Default.aspx

寄件者信譽分析Sender Reputation Level （ SRL ）• 寄件者 Open proxy 連線測試

• HELO/EHLO analysis

• 反查 DNS 記錄

• 從特定的寄件者分析訊息上的 SCL 分數

Content Filtering

• 郵件內容關鍵字篩選• 可設定不套用篩選器的收件者清單• 三個層級的 SCL 分數設定

–拒絕、刪除、隔離

SCL 評分結果（ Spam Confidence Level ）• 傳送到使用者 Outlook 信箱或 Junk Email 資料夾• 傳送到指定的垃圾郵件隔離信箱• 退信，不回傳 NDR• 接收並且刪除此郵件，傳送假的 SMTP ”OK”給寄

件伺服器，以防止相同的工作階段中重新嘗試傳送。

關於 Junk Mail SCL 設定

• 目前不提供圖形介面設定需使用 Exchange Management Shell

• 可以設定組織或個別使用者信箱的 Junk Mail SCL

預設預設 Junk Junk Email SCL=8Email SCL=8 ！！

設定個別使用者設定個別使用者Junk Email Junk Email SCLSCL

• 當寄件者信件 SCL 分數超過設定時隔離–可以透過命令或圖形介面設定–必須是 Exchange 2007 使用者信箱

• 多重 SCL 分級設定注意事項–隔離分級值 > Junk Email–拒絕分級值 > 隔離分級值 –刪除分級值 > 拒絕分級值

• 不會產生未傳遞報告（ NDR ）• 隔離信箱由管理員所管制，無使用者檢視

–使用者需由 OWA/Outlook 的垃圾郵件資料夾來檢視

關於 SCL 與隔離信箱設定

垃圾郵件篩選器設定

Outlook 2007 新垃圾郵件反制

• 自動關閉釣魚郵件內容中的連結與功能• 傳送 Email 時，以郵戳標示協助識別正常的郵件• 自動新增寄送的對象至寄件者安全清單• 拒絕特定的頂層網域郵件• 拒絕特定編碼的郵件

Outlook E-mail Postmark Validation

• 如果標頭郵戳確認，即表示非垃圾郵件• 協助快速識別合法信件，減少誤判為垃圾郵件• Outlook 2007 與 Exchange 2007 預設啟用此功能

郵件戳記何時不會使用

• Outlook 2007 中關閉郵件戳記功能

• 全域通訊清單 (GAL) 收件者–包括外部電子郵件地址清單

Outlook 如何查看 SCL 分數• 在開啟指定的郵件之後，點選位在 [ 選項 ] 中的箭頭符號



• Q&A

Edge Server 的用途

• DMZ區防堵垃圾郵件、病毒、內容過濾

• 透過 EdgeSync 同步企業白名單資訊

安全白名單集合Safelist Aggregation

• 每一位使用者可以有多 1024筆的安全名單• 可手動同步特定使用者安全名單• 自動同步至 Edge Server• Outlook 使用者安全清單集合來源

安全寄件者與安全收件者安全網域外部聯絡人清單

手動同步特定手動同步特定使用者安全設使用者安全設定名單！定名單！

EdgeSync 的運作

建置 Edge Server 系統需求

• Windows Server 2003 R2

• Microsoft .NET Framework Version 2.0

• Windows PowerShell

• Active Directory Application Mode (ADAM) SP1

• 加裝 NDP20-KB918995-X86.exe修正程式。–下載網址： http://go.microsoft.com/fwlink/?linkid=74465 。

建置 Edge Server 步驟

• 自訂安裝，勾選 Edge Transport server role

• 開啟 Exchange 命令主控台，執行以動作–New-EdgeSubscription -Filename c:\edgesync.xml

–將 edgesync.xml檔案複製到 Hub 傳輸伺服器

• 在 Hub 傳輸伺服器完成新增 Edge訂閱設定

• 執行 Start-EdgeSynchronization進行第一次同步

Edge 的 Email 附件篩選功能

• 篩選檔案名稱或副檔名

• 封鎖指定的 MIME類型

• 可設定處理動作–封鎖整封郵件

–只讓郵件主旨與本文通過，去除附件檔案



• Q&A

郵件病毒防治重點Enterprise network

OtherSMTP

Servers

MailboxMailbox

Mailbox

RoutingRouting HygieneHygiene RoutingRouting PolicyPolicy

Voice Voice MessagingMessaging

Client Access

PBX or PBX or VoIPVoIP

PublicPublicFoldersFolders

Fax-inFax-in

ApplicationsApplicationsOWAOWA

ProtocolsProtocolsActiveSync, POP, ActiveSync, POP, IMAP, RPC / HTTP …IMAP, RPC / HTTP …

ProgrammabilityProgrammabilityWeb services, Web services, Web PartsWeb Parts

Unified Unified Messaging Messaging

EdgeEdgeTransportTransport

HubHubTransportTransport

INTERNET

關於 Exchange 防毒規劃• 每一部 Edge 、 Hub 、 Mailbox 伺服器皆須安裝• 須同時安裝兩種防毒軟體

–針對 Exchange 所設計，例如 Forefront for Exchange–針對一般檔案伺服器所設計

• 檔案伺服器防毒系統須設定排除–基本排除設定 – 信箱伺服器所有資料庫與交易記錄檔案路徑 –其它每個伺服器角色皆須設定，包括 Quorum disk 、 File share witness–可參考 Technet文章 - File-Level Antivirus Scanning on Exchange 2007

–網址： http://technet.microsoft.com/en-us/library/bb332342.aspx

取得信箱資料庫路徑

取得交易記錄檔路徑

取得公用資料夾資料庫路徑

Forefront Security for Exchange• 受保護的伺服器角色

Edge ServerHub Transport ServerMailbox server

• 關鍵特色即時掃瞄內外傳送的信件自動進行病毒郵件的記錄、刪除、清除、隔離保護 Exchange Store 不遭破壞提供最多九大掃毒引擎有效防止單點失敗的問題

Available in the Enterprise CAL

Forefront Security for Exchange

• 全新病毒檢測技術In-Memory ScanningMulti-Threaded ScanningAV Transport Stamp SupportIncremental Background ScanningEfficient Worm RemovalCluster Support

Forefront 管理介面

使用 Forefront 可能遭遇的問題

• 問題描述–使用者無法傳送帶有 RAR壓縮分割的檔案

–RAR壓縮分割檔會被視為檔案損毀

• 解決方法–在一般選項設定中將 [ 刪除毀損的壓縮檔案 ] 設定取消

Exchange 2007 Anti-Virus 協力廠商

• Symantec

• TrendMicro

• Kasperksy

• GFI

• McAfee

如何測試郵件病毒

• 下載病毒測試檔案加入 Email附件中–http://www.eicar.org/anti_virus_test_file.htm

• 自製病毒測試檔–X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-

ANTIVIRUS-TEST-FILE!$H+H*



• Q&A

• 設定 Windows Backup排程備份 Exchange Store–還原整個資料庫（信箱 or公用資料夾）

• 建立復原儲存群組（ RSG ）–還原撥號音資料庫–還原單一信箱–還原信箱中特定條件的郵件

信箱伺服器的基本備份

• 現有線上資料庫不可在掛載狀態–除非有結合 RSG

• 載入備份檔（如果系統有重建）• 選擇最新一次的備份記錄• 完成還原、掛載資料庫

基本資料庫的還原法

• 使用 Exchange 命令主控台–New-StorageGroup 建立復原儲存群組 –New-MailboxDatabase 建立資料庫

• 使用資料庫復原管理介面–經由 Exchange 管理主控台 \ 工具箱

• 命令使用 Restore-Mailbox• 圖形介面使用工具箱 \ 資料庫復原管理

使用命令與圖形介面

其它還原語法範例

• 還原所有可用信箱Get-MailboxStatistics –database 'RSG\Mailbox Database' | restore-mailbox

• 還原 A 使用者到 B 使用者信箱資料夾Restore-Mailbox -RSGMailbox 'John Smith' -RSGDatabase 'RSG\Mailbox

Database' -id 'Allison Brown' -TargetFolder 'JSmith Email'

• 還原特定日期範圍內的資料Restore-Mailbox -RSGMailbox 'John Smith' -RSGDatabase 'RSG\Mailbox

Database‘ -StartDate '02/02/05' –EndDate '02/05/05'

復原儲存群組的使用



• Q&A

關於 Operations Manager 2007

• 簡稱 SCOM 2007 ，是 MOM 2005 的更新版

• 端點對端點的服務監控

• 集中監控企業 IT 服務的各項運作

• 與微軟專家知識庫的整合

• 各類產品與架構分析報表的提供

• 集中管理 Windows 安全稽核

• 即時遠端工具連線的故障排除

SCOM 與 Exchange

• 提供 MAPI登入診斷功能

• 模擬前端（ Client Access ）連線登入交易

• 電子郵件傳送診斷測試（ Mail Flow ）

• 資料庫、交易記錄檔的狀態與成長大小的即時監示

• Exchange 所有相依服務的即時監控

• 提供各種針對 Exchange 所設計的報表

關於 Data Protection Manager 2007

• 簡稱 DPM 2007 ，前一版是 DPM 2006

• 以增量、位元組層級的方式迅速建立不同時間點的資料異動備份

• 可以跨WAN 的連線來建立陰影複製備份。

• 檔案伺服器的備份，使用者可以自行還原

DPM 與 Exchange

• 備份還原儲存群組、資料庫、單一信箱• 可針對 LCR 、 SCC 、 CCR 架構備份• 可設定排程備份與頻寬節流

更多參考資訊…• TechNet

www.microsoft.com/taiwan/technet• Exchange Server 2007

www.microsoft.com/exchange• TechNet 技術論壇

www.microsoft.com/taiwan/technet/forum• MVP Community社群網站

www.microsoft.com/taiwan/community• MS Exchange Team Blog

http://msexchangeteam.com/• Exchange 2007 online Help

http://www.microsoft.com/technet/prodtechnol/exchange/E2k7/ZH-TW/Help/ExchHelp/cb24ddb7-0659-4d9d-9057-52843f861ba8.mspx?mfr=true

http://www.microsoft.com/taiwan/technet

http://www.microsoft.com/taiwan/windowsvista

http://www.microsoft.com/taiwan/community

http://www.microsoft.com/taiwan/community

http://msexchangeteam.com/

大俠好禮相贈！• 回答以下兩個問題傳送至 [email protected]

–如何以手動命令的方式同步 Outlook白名單至 Edge ？–如何以命令方式來還原特定的使用者信箱郵件？

• 前兩位答對者免費贈送以下四本書籍–Exchange Server 2007電光石火問答精選集–SharePoint Server 2007疑雲揭露精選集–Windows Vista 密技實戰問答–最新一期 NetAdmin網管人雜誌

• 請記得留下寄送住址與公司、姓名

Exchange 2007 安全管理面面觀

Documents

Transcript of Exchange 2007 安全管理面面觀