E2K716TransportSecurityandMessageProtection

1、传送安全与消息保护传送安全与消息保护第2页 安全通信 边缘传输服务器角色集线器传输服务器角色反垃圾邮件 抗病毒议程议程第3页 安全通信安全通信 Exchange Server 2007 引入了安全的企业内部网邮件将Outlook用作客户端，在您的企业内部传输邮件，从客户到服务器到服务器，将自动进行严格的Kerbero鉴权及加密，而无需进行管理。 传给因特网的邮件将比先前的版本有所加强，使用“机会TLS”特性，在任何可能的时候自动地使用 TLS （传输层安全）加密。 来自因特网的邮件将同样得到加强，在每台Exchange服务器上自动安装TLS 证明，从而对更多的消息进行传输加密 概述第4页 安全

2、通信安全通信 共同的Kerberos鉴定和授权 使用TLS加密提供机密性和完整性 自动进行，不需任何配置 不依靠PKI, 自动安装并由Active Directory进行维护 Exchange 2003服务器使用Kerberos鉴权，缺省设置为不加密集线器传输服务器之间的安全通信第5页 安全通信安全通信 直接信赖服务器证明鉴定和用户证明鉴定 通过“订阅”EdgeSync进行自动配置和密钥管理 Exchange Server 2007 Hub Transport 和 Edge Transport 服务器角色将自动安装SSL证明 可以使用自签名证明集线器传输服务器和边缘传输服务器之间的安全通信第6

3、页 安全通信安全通信 服务器和服务器之间的连接需经过鉴权和加密邮箱服务器和集线器传输服务器将使用加密的RPC通过Kerberos进行鉴权自动进行，不需任何配置使用IPSec以保证使用CCR的集群邮箱的日志传输安全 集线器传输服务器和其它Exchange Server 2007服务器之间的安全通信第7页 安全通信安全通信 传输层的安全性内置于多数的MTA中, 包括Exchange 2000 Server至Exchange Server 2007Exchange Server 2007 提供更多情境下的自动TLS密码套件:RC4或3DES带有SHA1 Exchange Server 2007的新内

4、容:“机会 TLS”如果远端站点发出STARTTLS,将使用TLS进行加密，使用缺省的签名证明发送连接器可以要求使用TLS进行加密如果发送连接器设置为“使用TLS进行基本鉴权”，将执行证明确认检查（对服务器进行鉴权）外围设备到外围设备的安全通行第8页 企业级SMTP邮件服务器不需要AD (活动目录), 需要端口25和50636地址重写,中继控制, 智能主机, TLS具有三层结构体系的企业可升级性有害消息检测和背压 尖端的保护特性内置了业界领先的反垃圾邮件技术及来自Hotmail的数据可通过Exchange进行管理 - EdgeSync允许管理周围AD连接的服务器边缘传输服务器角色边缘传输服务器

5、角色消息保护角色第9页 边缘传输服务器角色边缘传输服务器角色 支持网络分离不需要和活动目录(AD)的连接加入工作组的Windows服务器; 可以作为外围网络的域/森林, 用于管理 (由MSIT完成)EdgeSync服务用于向Edge服务器发布AD数据 Recipient data stored as hash values, provides immunity if Edge Transport server role is compromised 能够从因特网洪灾和攻击中恢复Exchange反垃圾邮件连接限制, 发送者tarpitting, 背压 支持因特网MTA特性, 如地址重写设计用于外

6、围部署第10页 边缘传输服务器角色边缘传输服务器角色 有害消息检测停止处理已知会使系统发生崩溃的消息 SMTP 背压保持低的接收速率来保证传输的最小速率 用于队列的ESE数据库高可用的消息第11页 集线器传输服务器角色集线器传输服务器角色 策略控制的路由提供机密性及防窜改的通信保护以防止信息的泄漏和不兼容PKI及证明的部署/体验不是必要的保持您需要的通信的兼容性使用户遵守管理策略安全特性概述第12页 Exchange反垃圾邮件反垃圾邮件连接过滤连接过滤实时阻隔列表全局接受/拒绝及例外列表SMTP过滤层过滤层发送者和接收者过滤发送者IDSMTP Tarpitting 内容过滤 到来的到来的Int

7、ernet 电子电子- 邮件邮件 第13页 Exchange反垃圾邮件（续）反垃圾邮件（续） 连接过滤连接过滤实时阻隔列表全局接受/拒绝及例外列表SMTP过滤层过滤层发送者和接收者过滤发送者IDSMTP Tarpitting 内容过滤内容过滤Outlook安全列表集合Anti-Spam/Anti-Phishing SCL 每个用户/OU Spam 选择全球域支持计算猜谜确认隔离及垃圾邮件报告内容过滤 到来的到来的Internet 电子电子- 邮件邮件 第14页 Exchange反垃圾邮件反垃圾邮件反垃圾邮件特性Exchange Server 2003 Exchange Server 2003

8、SP1Exchange Server 2003 SP2Exchange Server 2007IP允许和拒绝列表 是 是IP DNS 阻挡列表是是IP 安全列表 (aka Bonded Sender)是发送者过滤是 是发送者ID否是是接收者过滤是是内容过滤(Smartscreen智能屏幕)是是内容过滤更新(Smartscreen智能屏幕)两周一次Intra计算猜谜确认是协议分析数据采集是协议分析发送者信誉是开放代理确认 是动态垃圾数据更新服务是每用户/OU Spam 设置是管理隔离是自动DNS阻挡列表是产品版本对比第15页 反垃圾邮件反垃圾邮件 IP 允许列表, IP 拒绝列表在接收消息内容之

9、前将对连接进行阻挡或允许支持公共拒绝和允许列表提供者覆盖所有其它反垃圾特性接收链分析 - 可以配置为在邮件中继之后运行 要求接收消息头 Microsoft IP 信誉服务发送者信誉建立来自Hotmail数据通过 Microsoft Update 进行分发(仅64bit)连接过滤第16页 反垃圾邮件反垃圾邮件 通过Sender-ID兼容域识别假邮件通过Purported Responsible Address (PRA)算法来识别可能的发送者向域名服务器(DNS)询问发送者ID记录，将返回可接收的发送邮件服务器的IP地址检查接收到的IP是否包含在可接收的IP地址列表中拒决接收来自列表之外的其它I

10、P的邮件 管理可以配置为 丢弃消息标记并忽略- 用于内容过滤发送者-ID过滤第17页 反垃圾邮件反垃圾邮件 接收者过滤 EdgeSync在边缘传输服务器角色上维护一张接收者列表 多森林部署要求地址与“订阅了”边缘传输服务器的森林同步 发送者过滤 您可以阻挡已知的SMTP地址或SMTP域和您的组织之间的通信邮件过滤第18页 反垃圾邮件反垃圾邮件 发送者信誉(aka协议分析) 在本地从特定服务器上看到的连接和消息中了解 建立服务器本地信誉及阻止目标垃圾邮件的侵袭 基于平均垃圾邮件比例, 开放代理检查, 协议异常协议过滤 (续) 第19页 反垃圾邮件反垃圾邮件 机器学习根据消息的特征产生一个垃圾邮件

11、信任级别(SCL)值 认证的域信誉识别好的域和坏的域捕获使用该发送者ID的垃圾邮件 Spam签名阻止特定的垃圾的活动有效地对抗小的垃圾邮件 Outlook E-mail邮戳确认预先解决的猜谜确认增加了Outlook电子邮件的传输能力 Outlook安全列表集合内容过滤第20页 反垃圾邮件反垃圾邮件 反钓鱼邮件 多数危险的phishing 袭击/控告集中来自Hotmail，有大量的第三方信誉服务通过 Microsoft Update 提供给Edge（仅64bit）在Edge Transport服务器角色具有Phishing信任级别邮戳，OWA/Outlook 2007用其提供垃圾邮件夹用户服务链

12、路被禁用内容被“摧毁” 自定义权重列表文件好的和“顽皮的”词影响过滤器设置的分数很少进行调整内容过滤第21页 反垃圾邮件反垃圾邮件 作为Exchange Enterprise CAL的一部分 定期更新垃圾邮件过滤更新在Microsoft Update中发布不许管理者进行Edge Transport服务器更新如果需要可以支持WSUS 更新包括以下内容: 日常IMF 内容过滤更新多种当日IP信誉更新多种当日垃圾邮件签名更新 ForeFront 保护服务第22页 反垃圾邮件反垃圾邮件 配置设置对SCL级别的行动设置 Remote Edge Server 列表每个-接收者/OU 反垃圾邮件配置能够配置

13、例外/忽略的接收者 诊断和监听垃圾邮件邮戳直观的Exchange Management Console UI（用户界面）用于多数任务 通过MOM的事件、告警和报告ExBPA 工具帮助IT Pros 跟踪最好的实例反垃圾邮件管理第23页 反垃圾邮件反垃圾邮件 根据分配给消息的垃圾邮件信任等级(SCL)制定行动 可以设定基于每个接收者的阕值SCL 阕值的改进第24页 反垃圾邮件反垃圾邮件 为每个用户的邮箱配置SCL垃圾邮件夹阕值 :使用Exchange Management Shell中的Set-Mailbox 配置以下内容的删除、拒绝、隔离阕值:内容过滤器配置用户邮箱SCL 垃圾邮件夹阕值 第2

14、5页 反垃圾邮件反垃圾邮件 在Exchange的先前版本, SCL阕值存储为XEXCH50 BLOB中的条目 在Exchange Server 2007中,SCL邮戳将存储为消息的x-header 转移到X-header将允许第三方代理的相互作用，以及内部的传输规则操作 为了和Exchange Server 2003进行互操作, Exchange Server 2007将把 x-header SCL邮戳转换为XEXCH50的条目SCL 邮戳x-ms-exchange-organization-scl第26页 反垃圾邮件反垃圾邮件 超过设定SCL的消息将被发送到Spam Quarantine S

15、tore（垃圾邮件隔离存储区）Exchange Server 2007邮箱 重发及搜索作为NDR传输, 允许“重发” 功能查看/搜索 通过Outlook / OWA查看/搜索隔离邮件消息以原始的格式存放于邮件系统 隔离区由管理员进行管理，用户不能查看为终端用户提供OWA/Outlook垃圾邮件夹垃圾邮件的隔离第27页 反垃圾邮件反垃圾邮件 性能计数器 每个SCL级别的垃圾邮件数目隔离、删除及拒绝的消息总数 收集在Exchange Server 2007 Server MOM中 报告阻止列表的命中率最高数目垃圾的发送域, 最高数目垃圾的发送IP最高目标域/接收者监视垃圾邮件的活动第28页 反垃圾

16、邮件反垃圾邮件MOM发送者ID数目报告举例第29页 反垃圾邮件反垃圾邮件MOM发送者ID时间图例第30页 抗病毒抗病毒 边缘传输服务器角色:过滤入/出传输 集线器传输服务器角色在邮箱之间过滤电子邮件，即使它们位于统同一服务器 邮箱服务器角色现有设施的支持:邮箱的病毒扫描 (VSAPI 2.5) “有毒”消息并非有毒 可扩展的代理框架可以提供第三方提供商的集成点。新的Exchange Server 2007能力:被管理的 MIME 解析和组构内容传输编码(Base64, QP, Uuencode, BinHex)被管理的 TNEF 和RTF 解析和组构被管理的iCalendar/vCard解析和

17、组构概述第31页 抗病毒抗病毒 Forefront包含在Enterprise CAL 扫描基础设施第三方抗病毒提供商将在今年提供支持: Symantec Trend Micro Kasperksy GFI McAfeeVSAPI能够扫描存贮的消息使用抗病毒邮戳将不必要的重新扫描减至最小支持方案第32页 抗病毒抗病毒 支持边缘传输服务器角色, 集线器传输服务器角色和邮箱服务器角色 64bit兼容 支持多达 50个存储组和Exchange数据库 拥有11种本地化语言巴西葡萄牙语、繁体中文、简体中文、英语、法语、德语、意大利语、日语、韩语、西班牙语及俄语用于Exchange Server的Micro

18、soft Forefront 安全性 第33页 用于用于Exchange Server的的Microsoft Forefront 安全性安全性 利用DNSIAS逻辑 Do Not re-Scan If Already Scanned（如已经扫描过则不重新扫描）如已经扫描过，则不使用 相同引擎 和 相同样式文件 重新扫描经过边缘传输服务器角色或集线器传输服务器角色扫描过的电子邮件在进行路由传输或存储时将不重新进行扫描 将AV扫描的日常开销减至最低从而使得邮件系统获得最佳性能显著低降低了扫描对存储的影响可以将其关闭，允许在所有点进行扫描支持抗病毒传输邮戳 第34页 用于用于Exchange Ser

19、ver的的Microsoft Forefront 安全性安全性 对存储区进行周期性的新病毒特征的扫描将提供又一层的安全保护 增量背景扫描综合了安全和性能考虑 各类背景扫描选项扫描所有消息仅扫描过去1, 2, 3, 4, 5, 7, 30 天的消息仅扫描有附件的消息仅扫描以前从未扫描过的消息增量背景扫描第35页 抗病毒抗病毒 VSAPI保留了适当的位置来连接存储区扫描 Web Services API 用于日常维护 VSAPI 的增强:支持传输病毒邮戳 背景扫描 可配置为仅扫描新的条目，更容易被访问存储区扫描第36页 抗病毒扫描基础结构抗病毒扫描基础结构 Microsoft和许多的抗病毒ISV可以为 Exchange Server 2007提供抗病毒产品 代理基础结构提供到现有抗病毒引擎的方便路径(本地代码)，通过 COM 互操作性连入Edge Transport服务器角色 SDK包含抗病毒举例访问RAW MIME访问高级别MailItem对象允许方便地解析消息部件/属性第37页 抗病毒扫描基础结构抗病毒扫描基础