Những bổ sung cho Exchange Server 2007 - Phần 2: Bảo vệ mặc định

Trước khi bắt đầu, hãy chú ý rằng bài này được dựa trên phiên bản Beta
của Windows Server 2008 và Exchange Server 2007 SP1 chính vì vậy nó
có thể sẽ có một số tính năng bị thay đổi hoặc được bỏ đi trong các phiên
bản cuối cùng của sản phẩm.

Việc tính toán đáng tin cậy

Microsoft nói rằng Exchange Server 2007 là một thiết kế dành cho bảo mật. Exchange 2007
được thiết kế và được phát triển theo một nguyên tắc chặt chẽ của chu trình phát triển phần mềm
tính toán với độ bảo mật được tin cậy cao - Trustworthy Computing Security Development
Lifecycle (TWC), chu trình này được đưa ra lần đầu tiên vào tháng 10 năm 2002. Cùng với thời
gian, Microsoft đã thay đổi rất nhiều bên trong chu trình phát triển này và các cải thiện có liên
quan đến vấn đề bảo mật được xây dựng trong Exchange Server 2007. Microsoft nói rằng
Exchange Server 2007 có nhiều ưu điểm bảo mật hơn các phiên bản Exchange trước đó của
Microsoft.

Bảo mật mặc định

Microsoft đã cố gắng bảo vệ Exchange Server 2007 bằng các công nghệ bảo mật đang tồn tại.
Mộtmục tiêu trong kế hoạch bảo mật là mỗi bit lưu lượng quan trọng sẽ đều được mã hóa một
cách mặc định. Ngoại trừ với các vấn đề truyền thông Server Message Block (SMB) cluster và
một số truyền thông hợp nhất thư tín Unified Messaging (UM), Microsoft đã đạt được mục tiêu
này. Exchange Server 2007 là hệ thống thư tín đầu tiên của Microsoft mà người dùng có thể sử
dụng các chứng chỉ tự ký. Thêm vào đó, Exchange Server 2007 sử dụng Kerberos cho các vấn đề
truyền thông đặc biệt, Secure Sockets Layer (SSL) và các công nghệ mã hóa khác.

Chứng chỉ

Exchange 2007 sử dụng các chứng chỉ X.509 để thiết lập Transport Layer Security (TLS) an toàn


Các chứng chỉ được sử dụng để mã hóa session SMTP cho các máy chủ Hub Transport và cho
Unified Messaging (UM) IP gateway.

AutoDiscover

Các chứng chỉ được sử dụng để mã hóa sự truyền thông giữa máy khách và máy chủ truy cập
client - Client Access Server (CAS).

Các ứng dụng truy cập client

Exchange Server 2007 sử dụng các chứng chỉ để mã hóa sự truyền thông giữa Client Access
Server và các client như Outlook 2007 (Outlook Anywhere aka RPC trên HTTPS), Microsoft
Outlook Web Access (OWA) và Exchange ActiveSync.

Với mục đích bảo mật, Microsoft khuyên người dùng nên sử dụng các chứng chỉ được tạo bởi
chính quyền chứng ch
ỉ bên trong của chính bản thân họ hoặc của nhóm chứng chỉ thuộc nhóm
thứ ba trong thương mại nếu trong trường hợp bạn có nhiều client truy cập Exchange Server
2007 từ các máy tính thành viên không trong miền.

Bộ kết nối thư tín

Exchange Server 2007 sử dụng một số bộ kết nối (connector) để tiếp sóng cho lưu lượng từ
nguồn tới máy chủ đích. Exchange Server 2007 sử dụng hai kiểu connector khác nhau. Một cho
lưu lượng đi vào, cách này có thể được cấu hình trên mỗi Exchange Server 2007 và một số
connector cho lưu lượng mail đi ra.

Exchange Server 2007 hỗ trợ rất nhiều cơ chế chứng thực khác nhau để bảo vệ sự truyền tải thư
tín, hay bảo vệ sự chứng thực hoặc cả hai.

Microsoft Forefront

Microsoft Forefront là một giải pháp chống virus và spam của Microsoft, đây là giải pháp được
cung cấp cho các sản phẩm của Microsoft như Exchange Server 2007, Microsoft Sharepoint
Portal Server, Microsoft Windows clients và các sản phẩm khác. Một giải pháp cho Microsoft
Exchange là Microsoft Forefront Edge Security. Bạn có thể sử dụng Forefront Edge Security trên
Microsoft Edge Transport Server và Hub Transport Servers, tuy nhiên tốt hơn hết bạn nên sử
dụng Forefront Edge Server Security trong DMZ trên các máy chủ Microsoft Edge Transport.

Các chức năng của bảo mật Microsoft Forefront
• Cung cấp sự bảo mật lớp thông qua Multiple Scan Engine Management để bảo vệ các hệ
thống thư tín.

• Cung cấp các tùy chọn cho việc quét một cách tinh vi với nhiều bổ sung và linh động:

• Quét “trong bộ nhớ“ để tối thiểu hóa sự ảnh hưởng trên các máy chủ Exchange nhằm bảo
đảm sự tối ưu và hiệu quả.

• Quét theo yêu cầu, lập lịch trình và thời gian thực đối với các nhóm lưu trữ và cơ sở dữ
liệu.

• Bảo vệ toàn bộ cho Outlook Web Access.

• Quét SMTP và Exchange Information Store để củng cố vấn đề bảo vệ và hiệu lực.

• Quét thư tín MTA cho tất cả các thư tín được định tuyến qua Exchange MTA Connectors
(X.400, MS Mail, CC Mail, …).

• Có cả tích hợp API quét virus được Microsoft cho phép trong Exchange 2000 và 2003.


2007 có hai file cấu hình SCW cần phải cài đặt trên máy chủ nơi muốn chạy nó.

Với Hub Transport server
scwcmd register /kbname:Ex2007KB /kbfile:"%programfiles%\Microsoft\Exchange
Server\scripts\Exchange2007.xml

Với Edge Transport server
scwcmd register /kbname:Ex2007EdgeKB /kbfile:"%programfiles%\Microsoft\Exchange
Server\scripts\ Exchange2007Edge.xm

Kết luận

Trong phần này, chúng tôi đã giới thiệu cho các bạn về cách Exchange Server 2007 an toàn được
như thế nào, Edge Transport Servers là gì và các kỹ thuật Anti Spam và Antivirus có thể cải tiế
n
hơn nữa vấn đề bảo mật như thế nào. Trong phần ba của loạt bài này chúng tôi sẽ tiếp tục giới
thiệu cho các bạn cách bảo đảm việc truy cập client đối với Exchange Server 2007 và một số
thay đổi hình cần thiết trong cấu hình Exchange Server 2007.
Những bổ sung cho Exchange Server 2007 - Phần 3: Bảo vệ truy cập Email
máy khách Trước khi bắt đầu, các bạn hãy chú ý rằng bài này được dựa trên
phiên bản beta của Windows Server 2008 và Exchange Server 2007 SP1,
chính vì vậy mà một số tính năng rất có thể bị thay đổi hoặc gỡ bỏ trong các phiên bản cuối cùng
của sản phẩm.
Bài báo này sẽ giới thiệu một cách nhìn tổng quan mức cao về vấn đề bảo mật các kiểu email
máy khách khác nhau như POP3, IMAP4, OWA và Outlook Anywhere (cũng được biết đến như
RPC trên HTTP(S).

POP3

POP3 (Post Office Protocol version 3) là một giao thức tương đối cũ có nhiệm vụ lấy email từ

IMAP4/SSL 993 (TCP)
IMAP4 có hoặc không có
TLS
143 (TCP)
POP3/SSL 995 (TCP)
POP3 có hoặc không có TLS 110 (TCP)
Bảng 1
OWA

Outlook Web Access (OWA) được bảo vệ một cách mặc định. Như bất kỳ các dịch vụ máy
khách của Exchange, Outlook Web Access cũng được bảo vệ bằng một chứng chỉ được gán như
nhau và việc truy cập HTTPS được kích hoạt một cách mặc định. Tuy nhiên với tài khoản
Administrator thì nên sử dụng chứng chỉ của chính nó cho việc truy cập OWA từ một Certificate
Authority (CA) bên trong được tin cậy hoặc từ một CA của nhóm thứ ba tin cậy. Exchange
Server 2007 Outlook Web Access có một số thiết lập bảo mật bổ sung. Một số trong các thiết lập
bảo mật này là phần của gói bảo mật Outlook Web Access bổ sung như đã được giới thiệu trong
Exchange Server 2003. Hầu hết các thiết lập của công cụ này (và một số thiết lập bổ sung) hiện
được cung cấp một cách mặc định trong Exchange Server 2007. Ngoài ra Exchange Server 2007
còn có một số tính năng bảo mật:
• Chia đoạn Outlook Web Access
• Phiên bản dành cho máy khách đầy đủ và một phần
• Hạn chế truy cập vào Outlook Web Access đối với một số người dùng nào đó
• Tùy chỉnh việc tích hợp Microsoft Office Sharepoint
• Kiểm soát Direct Access đối với vấn đề chia sẻ máy chủ file.
• Khóa truy cập đối với các kiểu file nào đó.
Outlook Anywhere

Outlook Anywhere, trước đây được biết đến với tên RPC trên HTTPS trong phiên bản Exchange
Server 2003, tính năng này cung cấp cách truy cập một cách đầy đủ nhất của Outlook 2007 trên
HTTPS từ bên ngoài của mạng. Do việc bảo mật Outlook Anywhere cũng tương tự với OWA


Anti-SPAM

Exchange Server 2007 có thể được tích hợp các tính năng chống spam cho role Hub Transport
Server và role Edge Transport Server. Bạn phải kích hoạt các tính năng chống spam trên Hub
Transport Server thông qua Exchange Management Shell (EMS).

Exchange Server 2007 cung cấp các tính năng chống spam dưới đây:
• Sự kết hợp các danh sách bộ lọc Junk mail của Outllook
• Dịch vụ IP Reputation
• Thông tin người gửi
• ID người gửi
• Lọc mail thông qua địa chỉ mail gửi đến
• Ngăn chặn thư rác
• Lọc mail theo nội dung
• SMTP Tarpitting
Bạn có thể sử dụng Forefront Edge Security để cung cấp thêm một số tính năng chống spam bổ
sung khác.

Antivirus

Bạn nên sử dụng bộ quét chống virus trình khách đề có thể quét các file truy cập theo yêu cầu
như Forefront Client Security. Trên trình chủ, bạn nên sử dụng một giải pháp chống virus trung
tâm như Microsoft Forefront Edge Security mà đã được chúng tôi đề cập đến trong phần thứ hai
của loạt bài này.

Kết luận

Trong phần ba của lo
ạt bài này, chúng tôi đã giới thiệu cho các bạn về cách bảo mật vấn đề truy