Exchange 2007 安全管理面面觀

Exchange 2007安全管理面面觀 顧武雄台灣微軟特約資深講師 jovi@cogate.com.tw

Exchange Server 2007 系列課程

預備知識 • 熟悉Windows Server 2003 • 了解Active Directory架構 • 正在使用或準備導入Exchange 2007 Level 200

課程大綱 • 垃圾郵件防禦法 • 邊際伺服器的建置 • 郵件病毒防治法 • 資料庫備份還原法 • 其它 • 整合Data Protection Manager 2007資料保全 • 整合Operations Manager 2007保全監控 • Q&A

垃圾郵件防禦重點 Hub Transport Edge Transport I N T E R N E T Unified Messaging Client Access Enterprise network OtherSMTPServers PBX or VoIP Hygiene Routing Routing Policy Applications OWA Voice Messaging Protocols ActiveSync, POP, IMAP, RPC / HTTP … Mailbox Fax-in Programmability Web services, Web Parts Mailbox Public Folders

Exchange 垃圾郵件篩選 • Edge與Hub角色提供 • 預設Hub沒有安裝 • 執行install-AntispamAgents.ps1安裝 • 安裝後須重新啟動Exchange Transport服務

AntiSpam • Content Filtering –內容關鍵字篩選、SCL分數設定 • IP Allow List –允許的寄件IP設定 • IP Allow List Providers -允許的寄件IP提供者設定 • IP Block List –拒絕的寄件IP設定 • IP Block List Provider - 拒絕的寄件IP提供者設定 • Recipient Filtering –企業收信者篩選 • Sender Filtering –寄件者篩選 • Sender ID –寄件者識別碼比對 • Sender Reputation –寄件者信譽檢查

Anti-Spam 篩選流程 Incoming Internet E - mail Connection Filtering SMTP Filtering Content Filtering Inbox Outlook Mailbox Junk E-mail

寄件者來源IP篩選器 • 伺服端手動配置清單 • IP允許清單 • IP封鎖清單 • 設定參考外部或企業黑白名單資料庫 • IP允許清單提供者 • IP封鎖清單提供者

企業黑名單資料庫應用 • 如果欲封鎖的IP為61.59.116.27，則DNS設定為 • 27.116.59.61.cogate.com.tw A 127.0.0.2

寄件者識別碼篩選器SenderID Filter

如何在DNS上設定SPF記錄 • 在DNS中新增TXT記錄 • SPF記錄範例 • v=spf1 mx mx:mail.cogate.com.tw –all • 線上產生SPF記錄 • http://www.anti-spamtools.org/SenderIDEmailPolicyTool/Default.aspx

寄件者信譽分析Sender Reputation Level （SRL） • 寄件者Open proxy連線測試 • HELO/EHLO analysis • 反查DNS記錄 • 從特定的寄件者分析訊息上的SCL分數

Content Filtering • 郵件內容關鍵字篩選 • 可設定不套用篩選器的收件者清單 • 三個層級的SCL分數設定 • 拒絕、刪除、隔離

SCL 評分結果（Spam Confidence Level） • 傳送到使用者Outlook信箱或Junk Email資料夾 • 傳送到指定的垃圾郵件隔離信箱 • 退信，不回傳NDR • 接收並且刪除此郵件，傳送假的SMTP ”OK”給寄件伺服器，以防止相同的工作階段中重新嘗試傳送。

關於Junk Mail SCL設定 • 目前不提供圖形介面設定 • 需使用Exchange Management Shell • 可以設定組織或個別使用者信箱的Junk Mail SCL 預設Junk Email SCL=8！設定個別使用者Junk Email SCL

當寄件者信件SCL分數超過設定時隔離 可以透過命令或圖形介面設定必須是Exchange 2007 使用者信箱多重SCL分級設定注意事項隔離分級值 > Junk Email 拒絕分級值 > 隔離分級值刪除分級值 > 拒絕分級值不會產生未傳遞報告（NDR）隔離信箱由管理員所管制，無使用者檢視使用者需由OWA/Outlook的垃圾郵件資料夾來檢視關於SCL與隔離信箱設定

垃圾郵件篩選器設定

Outlook 2007新垃圾郵件反制 • 自動關閉釣魚郵件內容中的連結與功能 • 傳送Email時，以郵戳標示協助識別正常的郵件 • 自動新增寄送的對象至寄件者安全清單 • 拒絕特定的頂層網域郵件 • 拒絕特定編碼的郵件

Outlook E-mail Postmark Validation • 如果標頭郵戳確認，即表示非垃圾郵件 • 協助快速識別合法信件，減少誤判為垃圾郵件 • Outlook 2007 與 Exchange 2007 預設啟用此功能

郵件戳記何時不會使用 • Outlook 2007中關閉郵件戳記功能 • 全域通訊清單(GAL)收件者 • 包括外部電子郵件地址清單

Outlook如何查看SCL分數 • 在開啟指定的郵件之後，點選位在[選項]中的箭頭符號

EdgeServer的用途 • DMZ區防堵垃圾郵件、病毒、內容過濾 • 透過EdgeSync同步企業白名單資訊

安全白名單集合Safelist Aggregation • 每一位使用者可以有多1024筆的安全名單 • 可手動同步特定使用者安全名單 • 自動同步至Edge Server • Outlook 使用者安全清單集合來源 • 安全寄件者與安全收件者 • 安全網域 • 外部聯絡人清單手動同步特定使用者安全設定名單！

EdgeSync的運作

建置Edge Server系統需求 • Windows Server 2003 R2 • Microsoft .NET Framework Version 2.0 • Windows PowerShell • Active Directory Application Mode (ADAM) SP1 • 加裝NDP20-KB918995-X86.exe修正程式。 • 下載網址：http://go.microsoft.com/fwlink/?linkid=74465。

建置Edge Server步驟 • 自訂安裝，勾選Edge Transport server role • 開啟Exchange命令主控台，執行以動作 • New-EdgeSubscription -Filename c:\edgesync.xml • 將edgesync.xml檔案複製到Hub傳輸伺服器 • 在Hub傳輸伺服器完成新增Edge訂閱設定 • 執行Start-EdgeSynchronization進行第一次同步

Edge的Email附件篩選功能 • 篩選檔案名稱或副檔名 • 封鎖指定的MIME類型 • 可設定處理動作 • 封鎖整封郵件 • 只讓郵件主旨與本文通過，去除附件檔案

郵件病毒防治重點 Hub Transport Edge Transport I N T E R N E T Unified Messaging Client Access Enterprise network OtherSMTPServers PBX or VoIP Hygiene Routing Routing Policy Applications OWA Voice Messaging Protocols ActiveSync, POP, IMAP, RPC / HTTP … Mailbox Fax-in Programmability Web services, Web Parts Mailbox Public Folders

關於Exchange防毒規劃 • 取得信箱資 • 料庫路徑 • 每一部Edge 、Hub 、Mailbox伺服器皆須安裝 • 須同時安裝兩種防毒軟體 • 針對Exchange所設計，例如Forefront for Exchange • 針對一般檔案伺服器所設計 • 檔案伺服器防毒系統須設定排除 • 基本排除設定 – 信箱伺服器所有資料庫與交易記錄檔案路徑 • 其它每個伺服器角色皆須設定，包括Quorum disk、File share witness • 可參考Technet文章 - File-Level Antivirus Scanning on Exchange 2007 • 網址： http://technet.microsoft.com/en-us/library/bb332342.aspx • 取得交易記 • 錄檔路徑 • 取得公用資料 • 夾資料庫路徑

Forefront Security for Exchange • 受保護的伺服器角色 • Edge Server • Hub Transport Server • Mailbox server • 關鍵特色 • 即時掃瞄內外傳送的信件 • 自動進行病毒郵件的記錄、刪除、清除、隔離 • 保護Exchange Store不遭破壞 • 提供最多九大掃毒引擎 • 有效防止單點失敗的問題 • Available in the Enterprise CAL

Forefront Security for Exchange • 全新病毒檢測技術 • In-Memory Scanning • Multi-Threaded Scanning • AV Transport Stamp Support • Incremental Background Scanning • Efficient Worm Removal • Cluster Support

Forefront管理介面

使用Forefront可能遭遇的問題 • 問題描述 • 使用者無法傳送帶有RAR壓縮分割的檔案 • RAR壓縮分割檔會被視為檔案損毀 • 解決方法 • 在一般選項設定中將[刪除毀損的壓縮檔案]設定取消

Exchange 2007 Anti-Virus 協力廠商 • Symantec • TrendMicro • Kasperksy • GFI • McAfee

如何測試郵件病毒 • 下載病毒測試檔案加入Email附件中 • http://www.eicar.org/anti_virus_test_file.htm • 自製病毒測試檔 • X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

必要的資料庫備份法則 信箱伺服器的基本備份 • 設定Windows Backup排程備份Exchange Store • 還原整個資料庫（信箱or公用資料夾） • 建立復原儲存群組（RSG） • 還原撥號音資料庫 • 還原單一信箱 • 還原信箱中特定條件的郵件

Windows Backup的使用 基本資料庫的還原法 • 現有線上資料庫不可在掛載狀態 • 除非有結合RSG • 載入備份檔（如果系統有重建） • 選擇最新一次的備份記錄 • 完成還原、掛載資料庫

建立復原儲存群組 • 使用Exchange命令主控台 • New-StorageGroup 建立復原儲存群組 • New-MailboxDatabase建立資料庫 • 使用資料庫復原管理介面 • 經由Exchange管理主控台\工具箱

信箱還原範例 使用命令與圖形介面 • 命令使用Restore-Mailbox • 圖形介面使用工具箱\資料庫復原管理

其它還原語法範例 • 還原所有可用信箱 Get-MailboxStatistics –database 'RSG\Mailbox Database' | restore-mailbox • 還原A使用者到B使用者信箱資料夾 Restore-Mailbox -RSGMailbox 'John Smith' -RSGDatabase 'RSG\Mailbox Database' -id 'Allison Brown' -TargetFolder 'JSmith Email' • 還原特定日期範圍內的資料 Restore-Mailbox -RSGMailbox 'John Smith' -RSGDatabase 'RSG\Mailbox Database‘ -StartDate '02/02/05' –EndDate '02/05/05'

復原儲存群組的使用

關於Operations Manager 2007 • 簡稱SCOM 2007，是MOM 2005的更新版 • 端點對端點的服務監控 • 集中監控企業IT服務的各項運作 • 與微軟專家知識庫的整合 • 各類產品與架構分析報表的提供 • 集中管理Windows安全稽核 • 即時遠端工具連線的故障排除

SCOM與Exchange • 提供MAPI登入診斷功能 • 模擬前端（Client Access）連線登入交易 • 電子郵件傳送診斷測試（Mail Flow） • 資料庫、交易記錄檔的狀態與成長大小的即時監示 • Exchange 所有相依服務的即時監控 • 提供各種針對Exchange所設計的報表

關於Data Protection Manager 2007 • 簡稱DPM 2007，前一版是DPM 2006 • 以增量、位元組層級的方式迅速建立不同時間點的資料異動備份 • 可以跨WAN的連線來建立陰影複製備份。 • 檔案伺服器的備份，使用者可以自行還原

DPM與Exchange • 備份還原儲存群組、資料庫、單一信箱 • 可針對LCR 、 SCC 、CCR架構備份 • 可設定排程備份與頻寬節流

Exchange 2007 安全管理面面觀