強化Exchange安全設定與應用 精誠恆逸資訊 講師 趙驚人
大綱 Exchange 2003的安全性管理設定 Exchange 2003如何拒絕垃圾郵件 Exchange Server的防毒程式介面
Exchange 2003的安全性管理設定
企業憑證伺服器的部署(一) 憑證伺服器的用途 網頁伺服器憑證、使用者憑證… 數位簽章和加密 以下服務必須有憑證 RPC over HTTP OWA +SSL OMA +SSL Exchange Server ActiveSync +SSL
企業憑證伺服器的部署(二) 建立企業根憑證伺服器的步驟 安裝網際網路服務(IIS) 安裝Certificate Services 憑證服務網頁註冊支援 在憑證授權單位管理程式中加入『Exchange使用者憑證範本』 憑證處理要求 企業憑證伺服器允許自動發行憑證 人工審核憑證請求
如何安裝與設定企業的 『根憑證伺服器』
SMTP伺服器的安全管制 轉送限制 存取控制的驗證 安全通訊 提交權限 轉送權限 匿名存取 基本驗證 整合式基本驗證 申請SMTP伺服器憑證 安全通道
SMTP 閘道之安全規劃實例(一) SMTP 閘道伺服器已設定為『允許所有通過驗證的電腦轉送』,但仍然發現許多轉送的現象 解決方案 被字典攻擊法、暴力破解法、等破解帳戶和密碼 解決方案 供收外面郵件的SMTP 只使用匿名存取,避免駭客破解帳號、密碼 僅可提交,完全禁止轉寄 僅供員工使用的SMTP 使用整合式基本驗證 (內部) 基本驗證加TLS (外部) 帳戶、密碼應符合複雜性需求 絕對不可帳戶和密碼相同或者無密碼
SMTP 閘道之安全規劃實例(二) 若一台電腦欲規劃為一內一外的SMTP閘道,且一片網卡Bind兩個以上IP或兩片網卡,則應Disable SMTP Socket Pooling IIS 6.0 Resource Kit Tools Metabas Explorer IIS 5.0 或IIS 4.0 http://download.microsoft.com/download/iis50/Utility/5.0/NT45/EN-US/MtaEdt22.exe
SMTP閘道的安全性
POP3/IMAP4的安全性設定 存取控制 安全通訊 數位簽章與加密 連線控制 基本驗證 簡單驗證及安全性階層 POP3 SSL 使用TCP 995 port IMAP4 SSL使用TCP 993 port 數位簽章與加密 Exchange 2003的POP3伺服器必須安裝憑證 Exchange 2003的IMAP4伺服器必須安裝憑證 用戶端必須安裝憑證 連線控制
POP3/IMAP4的安全性
OWA的安全性設定(一) 通訊傳輸層加密 表單型驗證機制 https://<FQDN>/exchange 要求128 bits加密 表單型驗證機制 Cookie 驗證逾時 『公用或公共電腦 』:預設的Timeout值是15 分鐘 『私人電腦 』:預設的Timeout值是24小時 ESM系統管理群組預設系統管理群組伺服器通訊協定HTTPExchange虛擬伺服器內容啟用表單型驗證
OWA的安全性設定(二) 數位簽章與加密 限制附件檔下載 身份識別與資料傳送加密 安裝個人數位憑證 安裝OWA的S/MIME 控制元件 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA 數值:DisableAttachments 數值內容為DWORD:0 所有附件檔均允許 數值內容為DWORD:1 所有附件檔均不允許 數值內容為DWORD:2 則直接連接Back-End時,允許存取附件檔
OWA的安全性 OWA+SSL加密
OWA的安全性 表單式登入驗證
OWA的安全性 數位簽章與加密
OWA的安全性設定(三) 下載OWAadmin OWA Admin工具可設定所有OWA相關的安全性 管理者一定要使用SSL進行連線 https://伺服器的FQDN/OWAadmin
MAPI用戶端的安全性設定 RPC over HTTP 快取模式 數位簽章與加密
RPC over HTTP 後端伺服器 ROH 前端及 RPC 代理伺服器 GC/DC TCP:593,6001-6002,6004 ISA Server 後端伺服器 ROH 前端及 RPC 代理伺服器 TCP:593,6004 TCP:443 伺服器 埠號 (服務) 後端伺服器 593 (end point mapper) 6001 (Store) 6002 (DS referral) 6004 (DS proxy) DC 593 and 6004 GC GC/DC
GC或DC的設定 必須是Windows Server 2003 通用類別目錄伺服器(GC)及網域控制站(DC) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters 數值名稱:NSPI interface protocol sequences 數值資料:ncacn_http:6004 重新開機
ROH代理伺服器的部署(一) 只要作業平台是Windows 2003,就能擔任Exchange Server 2003的『RPC over HTTP』的RPC代理伺服器 必須安裝『RPC OVER HTTP元件』 申請及安裝網頁伺服器憑證 RPC代理伺服器存取驗證的方法 基本驗證(使用純文字傳送密碼)』
ROH代理伺服器的部署(二) HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\RpcProxy 數值名稱:ValidPorts 數值資料: Exchange Server的電腦名稱:593;Exchange Server電腦名稱:6001-6002;Exchange Server電腦名稱:6004;GC電腦名稱:593;GC電腦名稱:6004;DC電腦名稱:593;DC電腦名稱:6004; Exchange Server的FQDN:593;Exchange Server的FQDN:6001-6002;Exchange Server的FQDN:6004;GC的FQDN:593;GC的FQDN:6004;DC的FQDN:593;DC的FQDN:6004
ROH Server端的設定 ROH元件安裝
ROH Server端的設定 GC、DC設定
ROH Server端的設定 ROH憑證申請
ROH Server端的設定 ROH機碼設定
ROH Server端的設定 ROH安全設定
ROH的用戶端的部署(一) 必須為Outlook 2003 必須為 設定Outlook 2003的『郵件設定檔』 Windows XP SP1以上版本+Q331320 Windows XP SP2 Windows Server 2003 設定Outlook 2003的『郵件設定檔』 在其他設定中連線透過網際網路連線Exchange選取『使用HTTP連線到我的Exchange信箱』 連線設定 使用這個URL連線到我的Exchange Proxy伺服器輸入RPC 代理伺服器的FQDN 驗證設定為『基本驗證』 預設上被系統強制使用SSL的連結(HTTPS)
ROH的用戶端的部署(二) 必須申請及安裝『使用者憑證』!!!!!!!!!!!!! 可用於『數位簽章』『加密』 『ROH』 申請及安裝『使用者憑證』的步驟 https://<憑證伺服器的FQDN>/CertSrv 憑證範本— 使用者 安裝這個憑證
ROH用戶端的設定 使用者憑證的申請與安裝
ROH用戶端的設定 Outlook 2003的設定程序
Outlook 2003的數位簽章及加密
OMA的安全性設定 伺服器端 手機 PPC 安裝憑證 要求SSL 128Bits加密 PIN密碼 支援WAP 2.0 https://<FQDN>/oma PPC 可以直接使用web的方式安裝憑證 支援HTML
Exchange ActiveSync的安全性 SSL PPC在執行Exchange Activesync SSL傳送時,會自動檢查是否有憑證,若沒有則將使連線失敗 DisableCertChk.exe 可以使系統忽略此檢查http://download.microsoft.com/download/b/7/2/b72862f9-946e-489b-b8ea-1234a6eb597c/DisableCertChk.EXE 若是PPC 2002 則必須使用AddRootCert.exe http://download.microsoft.com/download/2/d/7/2d7b95ca-6329-45a2-a248-bff51bd7650b/AddRootCert.EXE 若是Windows Mobile 2003的系統,則使用標準的申請方式 https://or http://<公司的CA FQDN>/CertSrv PIN
OMA連線
通訊群組寄件者的限制 可限制僅來自驗證的使用者 可限制僅相自某些指定的寄件者 限制郵件大小
通訊群組寄件者的限制
阻絕拒絕服務攻擊 限制SMTP Gateway的輸入連接數 限制每次連線的郵件數目 限制每封郵件的收件者數目
如何防止郵件炸彈 SMTP 虛擬伺服器 SMTP 連結器 通用設定 使用者 將郵件大小限制為(KB): 允許的大小 此設定僅針對出去此SMTP的郵件之限制 通用設定 傳送的郵件大小 接收的郵件大小 收件者限制 使用者 此設定將覆寫通用設定
阻絕網址假冒 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ MsExchangeTransport/Parameters/1 Value name:ResolveP2 Data type:REG_DWORD Demo 欄位 值 (十進位) from: (寄件者) 2 To: 和 CC: (收件者和複本收件者) 16 REPLY TO: 32 Demo
MIME 的限制 名稱 限制大小 描述 Nesting Levels 30 每一封信的MIME part之巢狀數 Body parts 250 Maximum number of body parts in any given message. Message ID header Size 1877bytes Message-ID header的最大值 Subject header size 2000 bytes 信件標頭的主旨大小限制 MIME header size 2000bytes Content-Type、Content-Description、Content-Disposition、Content-Transfer-Encoding、Content-ID、Content-Base、Content-Location
如何防止阻絕式攻擊
Exchange 2003如何拒絕垃圾郵件
何謂SPAM? 不請自來的電子郵件 不請自來的商業郵件 大量的廣告色情郵件 新聞群組的重複張貼 標題與內容均相同
SPAM對企業日常運作所造成的影響力 影響公司網路的頻寬與效能 降低使用電子郵件的滿意度 降低大家對電腦之可信賴度 帶來惱人的電腦病毒和駭客 PROBLEM ~50% of all email now, up from 8% in 2001 Growing substantially month to month Cost to business $10B/yr in US (2002) Massive attention from the public, industry groups, & legislators Upshot Huge and growing cost to business & consumers Internal pain highest at Hotmail Major threat to trustworthy computing At Risk: Trusted use of email by consumers & businesses At Risk: The future of email for e-commerce Messenger SPAM Control Stop at the Source: Scripts hunt down SPAM offenders so that Operations can turn off spam abusing accounts Has reduced SPAM support calls dramatically Get users to use existing Privacy settings to control SPAM: UI in MSN Messenger and Windows Messenger guides users to learn about and set Privacy Settings Hotmail SPAM Control FY03 Timeframe: Deployed Brightmail server-side in Oct ’02 Brightmail optimizations throughout the year Image blocking of unknown senders implemented “Report As Spam” program (125k users opted in) MSN9 Timeframe: Add’l MSR Server-side Filters Deployed “Report As Spam” button in HM & MSN UI’s To empower MSN users with the ability to report spam To decrease Spam by distributing user complaints to spam-fighting systems Manual filter updates Mail Icons? Others? Post MSN9 Timeframe: Automated filter updates HM Direct Challenge/Response System MS Block List to prevent namespace mining & stop spam abuse through open proxies Others?
SPAM的基本運作和作業流程 1.Spammer取得你的Email地址: 使用 Web Spider或 Troller / Crawler * 購買郵件名單(mailing list) 進行字典攻擊取得名單 Embedded Web-Beacons 2.Spammer 寄出全球百萬封垃圾信 使用『open proxies』 或暑『open relays』 使用錯誤的主旨和身份識別 同時從多個位址寄出垃圾信 DO IT AGAIN – Some Work Only 15 Hrs Month 4.部份垃圾郵件傳送至使用者的信箱中 SPAMMER低成本,賺大錢 3.大部份的ISP和企業嘗試拒絕垃圾信 利用過濾SPAM軟體 安全清單和拒絕名單 Challenge和 Response 成功地減少 80%以上的SPAM
Exchange 2003的Anti-SPAM技術 連線篩選 收件者篩選 寄件者篩選 智慧型郵件篩選 Outlook 2003垃圾郵件的篩選
過濾垃圾郵件的基本流程 Exchange Server 2003 閘道伺服器 Exchange Server 2003 後端伺服器 儲存區閾值 使用者 信箱 垃圾郵件 連線篩選 網際網路 收件者篩選 是 否 寄件者篩選 安全的 寄件者 封鎖的 寄件者 智慧型郵件 篩選器 (閘道閾值) 是 否 是 否 收件匣 垃圾 收件匣
連線篩選
連線篩選
如何自行建立DNS-Base RBL 參考RBL (Real-Time Block List) Provider 自行建立RBL EMS通用設定郵件傳遞內容 顯示名稱 提供者的DNS尾碼 要傳回的自訂錯誤訊息 傳回狀態碼 自行建立RBL 將欲拒絕的IP加至DNS A記錄裡,例如192.168.1.80 DNS裡的設定為 80.1.168.192.cms.com.tw A 127.0.0.2
收件者篩選
寄件者篩選
智慧型郵件過濾器的作業模式 1 2 3 4 成千上萬個Hotmail 用戶自願和微軟公司對SPAM作鬥爭 垃圾郵件 正常的信件 1 成千上萬個Hotmail 用戶自願和微軟公司對SPAM作鬥爭 2 Feedback Loop Servers 這些用戶提供服務中心數百萬封垃圾信做處理 3 011001 微軟的智慧垃圾信過濾器 這些信件教導智慧過濾器如何去過濾這些信件 依據世界主要的信箱提供業者的垃圾信樣本 超過 100K以上的垃圾信特性作為判斷是否為垃圾信 4 在信件到達個人收件匣之前,智慧型郵件過濾器針對每一封信的『垃圾信可能性』評等(1~9等級)
Exchange智慧型郵件篩選器 採用啟發式分析法(Heuristics-based)判斷郵件為 未經請求的商業郵件(unsolicited commercial e-mail) 垃圾郵件(junk e-mail) 合法的郵件(legitimate e-mail) 每一封信均經過SPAM信賴評等(SCL;SPAM Confidence Level) 0表示較不可能為垃圾郵件 若為1~9,則數字越大,垃圾郵件的可能性就越高 具有適應環境的能力 能夠減少誤判率 增加過濾的能力
Exchange智慧型郵件篩選器 資料參考 IMF軟體安裝後 http://www.microsoft.com/exchange/techinfo/security/imfoverview.asp IMF軟體安裝後 套用至SMTP虛擬伺服器 ESM系統管理群組…伺服器通訊協定SMTP智慧型郵件篩選『選取欲套用的SMTP虛擬伺服器』 若設封存,則預設路徑為 ..\Exchsrvr\Mailroot\VSI n\UceArchive 上列中的小寫n,為虛擬伺服器的代號
Exchange智慧型郵件篩選器
Exchange智慧型郵件篩選器 閘道封鎖組態 資訊儲存庫垃圾郵件組態 管制門檻可設為 1~9 超過或等於門檻則可刪除、封存、拒絕 管制門檻可設為1~9 超過或等於門檻且未在Outlook 2003的『安全寄件者名單』則放入『垃圾郵件』資料夾 低於門檻,但是在拒絕者名單中,則放入『垃圾郵件』資料夾 若是使用非Outlook 2003,則要放入『垃圾郵件』資料夾的郵件,將直接放入收件匣
安裝智慧型郵件篩選器
Outlook 2003垃圾郵件的篩選
智慧型郵件篩選器的運作實況
智慧郵件篩選比率分析(一) 總數:10,019封垃圾信 期間:60天
智慧郵件篩選比率分析(二)
Exchange Server的防毒程式介面
File Level Scanner 應排除的掃瞄管制範圍 Exchange Server 的IFS M磁碟 預設的路徑為 Exchsrvr\Mdbdata Exchange MTA 檔案目錄 預設為 Exchsrvr\Mtadata Exchsrvr\server_name.log Exchsrvr\Mailroot virtual server 資料夾 SRS(Site Replication Service ) Exchsrvr\Srsdata IIS的系統檔目錄 %SystemRoot%\System32\Inetsrv
File Level Scanner on-demand或者memory resident應排除 edb .stm (on Exchange 2000 Server) .log 包含Checkpoint (.chk) 的目錄
MAPI VS. File Level Scanner MAPI Scanner的優點 能夠防止郵件型病毒如 Melissa、So-Big、Klez… 不會直接掃瞄Exchange資料庫和交易檔,因此不會影響它們 MAPI Scanner的缺點 信件在使用者打開之前無法確保已被掃瞄過 無法掃瞄outbound的郵件 無法提供Exchange Single Instance的好處
病毒應用程式介面(一) Virus Application Programming Interface VAPI 1.0 VAPI 2.0 Virus API (VAPI) 、Antivirus API (AVAPI)、 Virus Scanning API (VSAPI) 對MAPI、POP3、IMAP4、OWA等用戶端均有效 VAPI 1.0 Exchange 5.5 SP3 On-Demand:打開信件前掃瞄 VAPI 2.0 Exchange 2000 SP1 proactive-based:在存入mailbox store前掃瞄 On-Demand
病毒應用程式介面(二) VAPI 2.5 Front-End Server Exchange 2003 Proactive-Base On-Demand 沒有mailbox store,可掃瞄 可以回覆寄件者且表明病毒的種類和特性 可以直接刪除病毒檔案 Front-End Server 可充當防毒牆,在進入Back-End Server的mailbox Store前先掃瞄過濾病毒信 可與Exchange智慧型郵件篩選整合