Exchange 2007 安全管理面面觀
description
Transcript of Exchange 2007 安全管理面面觀
顧武雄台灣微軟特約資深講師[email protected]
Exchange 2007安全管理面面觀
Exchange Server 2007 系列課程課程名稱 時間Exchange 2007 系統最佳化建置指引 10/4
Exchange 2007 安全管理面面觀 10/11
Exchange 2007 郵件稽核管理實務 10/18
Exchange 2007 整合 Outlook 2007 活學活用 10/25
Exchange 2007 管理工具活用秘訣 11/8
Exchange 2007 SP1 全新功能應用 11/22
Exchange 2007 遠端存取控管 12/6
使用 Exchange 2007 打造行動通訊平台 12/20
Exchange 2007 高可用性架構部署 1/3
Exchange 2007 災害重建指引 1/17
Level 200
預備知識
• 熟悉 Windows Server 2003
• 了解 Active Directory 架構
• 正在使用或準備導入 Exchange 2007
課程大綱• 垃圾郵件防禦法• 邊際伺服器的建置• 郵件病毒防治法• 資料庫備份還原法• 其它
–整合 Data Protection Manager 2007 資料保全–整合 Operations Manager 2007 保全監控
• Q&A
垃圾郵件防禦重點Enterprise network
OtherSMTP
Servers
MailboxMailbox
Mailbox
RoutingRouting HygieneHygiene RoutingRouting PolicyPolicy
Voice Voice MessagingMessaging
Client Access
PBX or PBX or VoIPVoIP
PublicPublicFoldersFolders
Fax-inFax-in
ApplicationsApplicationsOWAOWA
ProtocolsProtocolsActiveSync, POP, ActiveSync, POP, IMAP, RPC / HTTP …IMAP, RPC / HTTP …
ProgrammabilityProgrammabilityWeb services, Web services, Web PartsWeb Parts
Unified Unified Messaging Messaging
EdgeEdgeTransportTransport
HubHubTransportTransport
INTERNET
Exchange 垃圾郵件篩選
• Edge 與 Hub 角色提供
• 預設 Hub 沒有安裝–執行 install-AntispamAgents.ps1 安裝
–安裝後須重新啟動 Exchange Transport 服務
AntiSpam
• Content Filtering – 內容關鍵字篩選、 SCL 分數設定• IP Allow List – 允許的寄件 IP 設定• IP Allow List Providers - 允許的寄件 IP 提供者設定• IP Block List – 拒絕的寄件 IP 設定• IP Block List Provider - 拒絕的寄件 IP 提供者設定• Recipient Filtering – 企業收信者篩選• Sender Filtering – 寄件者篩選• Sender ID – 寄件者識別碼比對• Sender Reputation – 寄件者信譽檢查
Anti-Spam 篩選流程
Connection FilteringConnection Filtering
SMTP FilteringSMTP Filtering
Content Content FilteringFiltering
OutlookOutlookMailboxMailbox
InboxInbox
Junk E-mailJunk E-mail
IncomingInternet
寄件者來源 IP 篩選器
• 伺服端手動配置清單IP 允許清單IP 封鎖清單
• 設定參考外部或企業黑白名單資料庫IP 允許清單提供者IP 封鎖清單提供者
企業黑名單資料庫應用
• 如果欲封鎖的 IP 為 61.59.116.27 ,則 DNS 設定為27.116.59.61.cogate.com.tw A 127.0.0.2
寄件者識別碼篩選器SenderID Filter
如何在 DNS 上設定 SPF 記錄
• 在 DNS 中新增 TXT 記錄• SPF 記錄範例
v=spf1 mx mx:mail.cogate.com.tw –all
• 線上產生 SPF 記錄http://www.anti-spamtools.org/SenderIDEmailPolicyTool/Default.aspx
寄件者信譽分析Sender Reputation Level ( SRL )• 寄件者 Open proxy 連線測試
• HELO/EHLO analysis
• 反查 DNS 記錄
• 從特定的寄件者分析訊息上的 SCL 分數
Content Filtering
• 郵件內容關鍵字篩選• 可設定不套用篩選器的收件者清單• 三個層級的 SCL 分數設定
–拒絕、刪除、隔離
SCL 評分結果( Spam Confidence Level )• 傳送到使用者 Outlook 信箱或 Junk Email 資料夾• 傳送到指定的垃圾郵件隔離信箱• 退信,不回傳 NDR• 接收並且刪除此郵件,傳送假的 SMTP ”OK”給寄
件伺服器,以防止相同的工作階段中重新嘗試傳送。
關於 Junk Mail SCL 設定
• 目前不提供圖形介面設定需使用 Exchange Management Shell
• 可以設定組織或個別使用者信箱的 Junk Mail SCL
預設預設 Junk Junk Email SCL=8Email SCL=8 !!
設定個別使用者設定個別使用者Junk Email Junk Email SCLSCL
• 當寄件者信件 SCL 分數超過設定時隔離–可以透過命令或圖形介面設定–必須是 Exchange 2007 使用者信箱
• 多重 SCL 分級設定注意事項–隔離分級值 > Junk Email–拒絕分級值 > 隔離分級值 –刪除分級值 > 拒絕分級值
• 不會產生未傳遞報告( NDR )• 隔離信箱由管理員所管制,無使用者檢視
–使用者需由 OWA/Outlook 的垃圾郵件資料夾來檢視
關於 SCL 與隔離信箱設定
垃圾郵件篩選器設定
Outlook 2007 新垃圾郵件反制
• 自動關閉釣魚郵件內容中的連結與功能• 傳送 Email 時,以郵戳標示協助識別正常的郵件• 自動新增寄送的對象至寄件者安全清單• 拒絕特定的頂層網域郵件• 拒絕特定編碼的郵件
Outlook E-mail Postmark Validation
• 如果標頭郵戳確認,即表示非垃圾郵件• 協助快速識別合法信件,減少誤判為垃圾郵件• Outlook 2007 與 Exchange 2007 預設啟用此功能
郵件戳記何時不會使用
• Outlook 2007 中關閉郵件戳記功能
• 全域通訊清單 (GAL) 收件者–包括外部電子郵件地址清單
Outlook 如何查看 SCL 分數• 在開啟指定的郵件之後,點選位在 [ 選項 ] 中的箭頭符號
課程大綱• 垃圾郵件防禦法• 邊際伺服器的建置• 郵件病毒防治法• 資料庫備份還原法• 其它
–整合 Data Protection Manager 2007 資料保全–整合 Operations Manager 2007 保全監控
• Q&A
Edge Server 的用途
• DMZ區防堵垃圾郵件、病毒、內容過濾
• 透過 EdgeSync 同步企業白名單資訊
安全白名單集合Safelist Aggregation
• 每一位使用者可以有多 1024筆的安全名單• 可手動同步特定使用者安全名單• 自動同步至 Edge Server• Outlook 使用者安全清單集合來源
安全寄件者與安全收件者 安全網域 外部聯絡人清單
手動同步特定手動同步特定使用者安全設使用者安全設定名單!定名單!
EdgeSync 的運作
建置 Edge Server 系統需求
• Windows Server 2003 R2
• Microsoft .NET Framework Version 2.0
• Windows PowerShell
• Active Directory Application Mode (ADAM) SP1
• 加裝 NDP20-KB918995-X86.exe修正程式。–下載網址: http://go.microsoft.com/fwlink/?linkid=74465 。
建置 Edge Server 步驟
• 自訂安裝,勾選 Edge Transport server role
• 開啟 Exchange 命令主控台,執行以動作–New-EdgeSubscription -Filename c:\edgesync.xml
–將 edgesync.xml檔案複製到 Hub 傳輸伺服器
• 在 Hub 傳輸伺服器完成新增 Edge訂閱設定
• 執行 Start-EdgeSynchronization進行第一次同步
Edge 的 Email 附件篩選功能
• 篩選檔案名稱或副檔名
• 封鎖指定的 MIME類型
• 可設定處理動作–封鎖整封郵件
–只讓郵件主旨與本文通過,去除附件檔案
課程大綱• 垃圾郵件防禦法• 邊際伺服器的建置• 郵件病毒防治法• 資料庫備份還原法• 其它
–整合 Data Protection Manager 2007 資料保全–整合 Operations Manager 2007 保全監控
• Q&A
郵件病毒防治重點Enterprise network
OtherSMTP
Servers
MailboxMailbox
Mailbox
RoutingRouting HygieneHygiene RoutingRouting PolicyPolicy
Voice Voice MessagingMessaging
Client Access
PBX or PBX or VoIPVoIP
PublicPublicFoldersFolders
Fax-inFax-in
ApplicationsApplicationsOWAOWA
ProtocolsProtocolsActiveSync, POP, ActiveSync, POP, IMAP, RPC / HTTP …IMAP, RPC / HTTP …
ProgrammabilityProgrammabilityWeb services, Web services, Web PartsWeb Parts
Unified Unified Messaging Messaging
EdgeEdgeTransportTransport
HubHubTransportTransport
INTERNET
關於 Exchange 防毒規劃• 每一部 Edge 、 Hub 、 Mailbox 伺服器皆須安裝• 須同時安裝兩種防毒軟體
–針對 Exchange 所設計,例如 Forefront for Exchange–針對一般檔案伺服器所設計
• 檔案伺服器防毒系統須設定排除–基本排除設定 – 信箱伺服器所有資料庫與交易記錄檔案路徑 –其它每個伺服器角色皆須設定,包括 Quorum disk 、 File share witness–可參考 Technet文章 - File-Level Antivirus Scanning on Exchange 2007
–網址: http://technet.microsoft.com/en-us/library/bb332342.aspx
取得信箱資 料庫 路徑
取得交易記 錄檔路徑
取得公用資料 夾資料庫路徑
Forefront Security for Exchange• 受保護的伺服器角色
Edge ServerHub Transport ServerMailbox server
• 關鍵特色即時掃瞄內外傳送的信件自動進行病毒郵件的記錄、刪除、清除、隔離保護 Exchange Store 不遭破壞提供最多九大掃毒引擎有效防止單點失敗的問題
Available in the Enterprise CAL
Forefront Security for Exchange
• 全新病毒檢測技術In-Memory ScanningMulti-Threaded ScanningAV Transport Stamp SupportIncremental Background ScanningEfficient Worm RemovalCluster Support
Forefront 管理介面
使用 Forefront 可能遭遇的問題
• 問題描述–使用者無法傳送帶有 RAR壓縮分割的檔案
–RAR壓縮分割檔會被視為檔案損毀
• 解決方法–在一般選項設定中將 [ 刪除毀損的壓縮檔案 ] 設定取消
Exchange 2007 Anti-Virus 協力廠商
• Symantec
• TrendMicro
• Kasperksy
• GFI
• McAfee
如何測試郵件病毒
• 下載病毒測試檔案加入 Email附件中–http://www.eicar.org/anti_virus_test_file.htm
• 自製病毒測試檔–X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-
ANTIVIRUS-TEST-FILE!$H+H*
課程大綱• 垃圾郵件防禦法• 邊際伺服器的建置• 郵件病毒防治法• 資料庫備份還原法• 其它
–整合 Data Protection Manager 2007 資料保全–整合 Operations Manager 2007 保全監控
• Q&A
• 設定 Windows Backup排程備份 Exchange Store–還原整個資料庫(信箱 or公用資料夾)
• 建立復原儲存群組( RSG )–還原撥號音資料庫–還原單一信箱–還原信箱中特定條件的郵件
信箱伺服器的基本備份
• 現有線上資料庫不可在掛載狀態–除非有結合 RSG
• 載入備份檔(如果系統有重建)• 選擇最新一次的備份記錄• 完成還原、掛載資料庫
基本資料庫的還原法
• 使用 Exchange 命令主控台–New-StorageGroup 建立復原儲存群組 –New-MailboxDatabase 建立資料庫
• 使用資料庫復原管理介面–經由 Exchange 管理主控台 \ 工具箱
• 命令使用 Restore-Mailbox• 圖形介面使用工具箱 \ 資料庫復原管理
使用命令與圖形介面
其它還原語法範例
• 還原所有可用信箱Get-MailboxStatistics –database 'RSG\Mailbox Database' | restore-mailbox
• 還原 A 使用者到 B 使用者信箱資料夾Restore-Mailbox -RSGMailbox 'John Smith' -RSGDatabase 'RSG\Mailbox
Database' -id 'Allison Brown' -TargetFolder 'JSmith Email'
• 還原特定日期範圍內的資料Restore-Mailbox -RSGMailbox 'John Smith' -RSGDatabase 'RSG\Mailbox
Database‘ -StartDate '02/02/05' –EndDate '02/05/05'
復原儲存群組的使用
課程大綱• 垃圾郵件防禦法• 邊際伺服器的建置• 郵件病毒防治法• 資料庫備份還原法• 其它
–整合 Data Protection Manager 2007 資料保全–整合 Operations Manager 2007 保全監控
• Q&A
關於 Operations Manager 2007
• 簡稱 SCOM 2007 ,是 MOM 2005 的更新版
• 端點對端點的服務監控
• 集中監控企業 IT 服務的各項運作
• 與微軟專家知識庫的整合
• 各類產品與架構分析報表的提供
• 集中管理 Windows 安全稽核
• 即時遠端工具連線的故障排除
SCOM 與 Exchange
• 提供 MAPI登入診斷功能
• 模擬前端( Client Access )連線登入交易
• 電子郵件傳送診斷測試( Mail Flow )
• 資料庫、交易記錄檔的狀態與成長大小的即時監示
• Exchange 所有相依服務的即時監控
• 提供各種針對 Exchange 所設計的報表
關於 Data Protection Manager 2007
• 簡稱 DPM 2007 ,前一版是 DPM 2006
• 以增量、位元組層級的方式迅速建立不同時間點的資料異動備份
• 可以跨WAN 的連線來建立陰影複製備份。
• 檔案伺服器的備份,使用者可以自行還原
DPM 與 Exchange
• 備份還原儲存群組、資料庫、單一信箱• 可針對 LCR 、 SCC 、 CCR 架構備份• 可設定排程備份與頻寬節流
Q&A
更多參考資訊…• TechNet
www.microsoft.com/taiwan/technet• Exchange Server 2007
www.microsoft.com/exchange• TechNet 技術論壇
www.microsoft.com/taiwan/technet/forum• MVP Community社群網站
www.microsoft.com/taiwan/community• MS Exchange Team Blog
http://msexchangeteam.com/• Exchange 2007 online Help
http://www.microsoft.com/technet/prodtechnol/exchange/E2k7/ZH-TW/Help/ExchHelp/cb24ddb7-0659-4d9d-9057-52843f861ba8.mspx?mfr=true
大俠好禮相贈!• 回答以下兩個問題傳送至 [email protected]
–如何以手動命令的方式同步 Outlook白名單至 Edge ?–如何以命令方式來還原特定的使用者信箱郵件?
• 前兩位答對者免費贈送以下四本書籍–Exchange Server 2007電光石火問答精選集–SharePoint Server 2007疑雲揭露精選集–Windows Vista 密技實戰問答–最新一期 NetAdmin網管人雜誌
• 請記得留下寄送住址與公司、姓名