在許多公司中，email很快成為了重要的應用程序，不過郵件服務器必須連接Internet才能收發email。可能你也知道，Internet絕不安全。想破壞你服務器的人經常上Internet，所以安全運行Exchange服務器的秘訣之一就是不給那些人任何機會破壞你的服務器。本文講述一些幫助你保護Exchange服務器安全的技術。

我在防御什么?

你可能想知道，通常Exchange服務器上沒有保密數據，惡意用戶想對郵件服務器造成什么樣的損失呢?但是還是有很多攻擊活動發生。最普通的攻擊Exchange服務器的形式稱為DoS攻擊，它將大量郵件發給服務器，直到服務器超載、停止運行。

安全被破壞之后，黑客就可以竊取信息了。黑客可以沖進服務器，獲得進入保密數據文件夾的權限，黑客也可能用包檢漏程序和截取包的方式竊取信息。

最后，還要防止欺騙。欺騙就是黑客偽裝成合法用戶，雖然欺騙可以竊取信息，但是它也可以用來散布錯誤信息。例如，欺騙程序很容易以合法用戶的名義發送郵件，這些郵件可能說，"我走了"、"公司總裁是個大笨蛋"、"如果沒有滿足我的要求，下午2點公司將會發生爆炸"，可以看出，欺騙的危害相當大。還好，有防止這三種破壞的技術。

基礎

一些用來保護Exchange服務器最有效的技術是最基本的，但是，你可能會發現，只有這些最基本的技術還不夠。應該結合使用基本的和高級的安全技術。我們會回顧基本的技術，并討論一些高級技術。

Windows NT

Exchange服務器是運行在Windows NT中的，因為Exchange使用很多Windows NT的安全功能，所以確保Windows NT盡可能安全很重要。 Windows NT復雜得足夠用一本書來講述安全問題，但是篇幅有限，只想讓你記住幾個問題。

首先，確保所有的和Exchange文件相關的盤使用NTFS格式，好多黑客試圖攻擊NT服務器的時候會通過網絡共享進入系統，雖然你不能阻止網絡共享，但是要記住文件權限(通過NTFS指定)為服務器帶來額外的安全。當文件權限和共享權限不同時，Windows NT會用更嚴格的權限管理。例如，如果有一個未授權用戶獲得了網絡共享的權限，如果他對網絡共享的權限是最高級別的，但是對文件只能讀不能寫，NT就能察覺出這個矛盾，只允許用戶有只讀權限，因為它是這兩個權限中最嚴格的。

服務包

服務包更能增強安全性，Windows NT服務包發布之后，微軟一直在尋找安全漏洞。這些安全漏洞是通過微軟FTP站點提供的補丁彌補的，新補丁會包括以前的所有補丁，本文寫作的時候，Windows NT服務包是Service Pack 5，最新的Exchange 5.5服務包是Service Pack2。

加密

不是所有的服務包都是平等的，TechNet的服務包是40位加密，這是美國政府允許的最大限度。不用說，40位密碼很難破解。但是，如果你在美國或者加拿大的話，就可以獲得128位加密。必須連接到在美國或加拿大登記的計算機才能下載128位加密服務包，因為有時美國和加拿大不能下載高加密服務包，可以直接向微軟定購光盤，不貴的。

病毒保護

和保護其他程序一樣要保護Exchange服務器不受病毒襲擊，很多情況下，猖獗的病毒是email引起的。例如，收到笑話的人把郵件發給他的20個最好的朋友，你的朋友也可能把它轉發給更多人。如果這封郵件的附件有病毒，幾百個人幾小時內就會被病毒感染。

每個好的網絡管理員都知道，每個工作站的病毒軟件需要及時更新，但是這還是給人為的錯誤留有余地。例如，你要打開感染病毒的email附件，病毒程序會讓你選擇刪除病毒、修復病毒、刪除文件或根本不去管它。如果用戶忽略了病毒警告，殺毒軟件其實就沒用了。

幸好，有一個方法可以擺脫這種事情的發生，安裝運行在Exchange服務器上的殺毒軟件，在郵件到達接收者手中前掃描郵件病毒。如果軟件發現了病毒，它就立刻隔離該文件。有些殺毒軟件甚至警告發送病毒的人，如Symantec公司的Norton殺毒軟件。

服務帳號

你可能知道，Exchange服務器使用服務帳號和Windows NT安全系統交互的，這個服務帳號有個巨大的安全漏洞，因為它有太多干預Exchange的權利。可惜，不能禁止服務帳號或減少它的權利，所以最好另想辦法。

安裝Exchange的時候，選擇不明顯的用戶名，例如，可以使用不和你一起工作好朋友的名字。

除非你非常清楚在做什么，否則不要重命名現有的服務帳號。這么做會導致Exchange工作不正常。

應該為帳號使用密碼，Internet上有很多破解密碼的程序，其中一些把你的密碼(從登記中提取出來的)和字典中的詞比較，有些用戶嘗試所有可能的組合。所以，越長、越晦澀、加密，密碼就越好，最好的密碼混用大寫和小寫符號和數字。Internet連接

到現在為止，向你展示的都是基本的保護Exchange的技術，但是，因為最強的威脅來自Internet，保證Internet連接的安全也是不錯的主意。

代理服務器

使用代理服務器是保護網絡不受Internet用戶襲擊的好方法，代理服務器需要多個Windows NT服務器。就是說服務器必須有兩個網卡，一個連接Internet，另一個連接你的網絡。所有和Internet傳送的數據都要通過代理服務器，使用代理服務器的優點就是Internet用戶只能看見你的網絡的IP地址--服務器的地址。所有其他的IP地址都被代理服務器屏蔽，不會傳到Internet上。從Internet上的外部用戶來看，從你的網絡中發出的數據都像是從代理服務器中發出的一樣，因為所有的IP地址都是隱藏的，使用TCP/IP調用進入網絡就很難。有了代理服務器，就有了禁止不同的TCP/IP端口和協議的能力，只打開需要的端口和協議，減少了使用TCP/IP組件用戶攻擊網絡的危險。

Exchange體系結構

我們已經解釋過，最好的保護Exchange服務器的方法是保護NT，對Internet屏蔽你的網絡。但是，無論你怎樣阻止和過濾，總是有人溜進來的可能。還有另一種簡單的保護Exchange的方法。

首先，需要另一個Exchange服務器，只用來做SMTP路由。把這個Exchange放在另一臺閑置服務器上，讓新服務器成為網絡的一部分。讓它作為Internet郵件連接器，所有的郵箱和公共目錄都在其他的服務器上。

新服務器會把郵件發送到相應的郵箱中，如果有人發動DoS攻擊，只需關閉保護服務器即可，攻擊不會影響到其他的包括郵箱和公共目錄的服務器。因為內部數據不和直接連接到Internet的服務器發生關系，所以這樣配置Exchange也是防止信息盜竊和欺騙的好方法。

你可能想知道這種技術到底有多有效，畢竟，安全服務器也是要通過TCP/IP協議連接到Internet的。同樣地，其他服務器可能也使用TCP/IP。所以，你會懷疑黑客是否會通過代理服務器進入保護服務器，它們可能進入其他的Exchange服務器。

我們剛講的技術有用是因為它可以用在網絡的不同段。防火墻堵住大部分TCP/IP端口，正因為如此，想偷郵件、欺騙帳號、發起DoS攻擊可能通過SMTP調用獲得進入服務器的權限。即使它們進入服務器，Exchange也不用SMTP在本地服務器之間通信。它們用RPC(遠程過程調用)，因為這樣，你的服務器就可以有不承認SMTP通信的郵件箱和公共目錄，因此數據就可以不受這樣的攻擊。

Exchange內部的安全設置

在Exchange內部也有好多參數需要調整，例如，DoS攻擊向服務器發送大量郵件，阻塞服務器。雖然用保護服務器隔離了SMTP數據但也不能讓保護服務器總受DoS攻擊。阻止這種攻擊的一種方法是設置進入的消息數量。

打開Exchange管理器，"管理"→"站點"→"配置服務器"→"Server Recipients"(服務器接收者)。然后，在文件菜單中，選擇接收者，單擊Properties(屬性)。在屬性頁中，選擇"Limits"(限制)標簽，可以設置每個用戶的最大入站信息量。為大部分用戶設置小一些，為經常接收大附件的用戶設置大些。

結論

電子郵件系統通常是Internet用戶的目標，所以保護Exchange服務器不受Internet攻擊非常重要。本文解釋了一些可以提高Exchange安全的技術。