1、安全指南(例文)E_change 2021 安全指南適用于：E_change Server 2021 SP3, E_change Server 2021 SP2上一次修改主題：20_-03-08本指南為負責保證 E_change Server 2021 部署安全性的 IT 管理員而編寫，專用于幫助 IT 管理員了解和管理 E_change 所安裝在的整體安全環(huán)境。過去，E_change 團隊針對每個版本的 E_change 都發(fā)布了單獨的安全性強化指南，用以提供有關權限和安全性的信息。此方法對于在運行 E_change 2021 安裝程序后鎖定服務和目錄很有意義。但是，從 E_change S

2、erver 20_7 起，E_change 安裝程序僅啟用所安裝服務器角色需要的服務，而不再先安裝 E_change，然后再對其進行安全性強化。這種設計旨在幫助您提高默認情況下的安全性。因此，E_change 2021 不需要進行任何鎖定或強化，這與早期版本的 E_change 不同，在早期版本中，IT 管理員必須執(zhí)行多個過程來鎖定運行 E_change 的服務器。適用范圍E_change 2021 遵循“ 安全開發(fā)生命周期 (SDL)”原則而開發(fā)。針對每項功能和組件都進行了安全性審核。經(jīng)過慎重選擇的默認設置可以確保部署更具安全性。本指南旨在向管理員介紹與安全性相關的功能以及可能影響安全性考量

3、因素的功能。本指南鏈接到 E_change 2021 文檔中與安全性相關的主題。這些主題列在“附錄 1：其他與安全性相關的文檔”中。本指南將不介紹任何與強化 dows Server 操作系統(tǒng)相關的操作步驟。目錄 新增功能 E_change 2021 安全開發(fā)生命周期 Getting Secure-Best Practices Staying Secure-Best Practices 網(wǎng)絡端口的使用及防火墻的強化 限制參數(shù)和客戶端限制策略 基于角色的訪問控制 Active Directory E_change 服務器帳戶 文件系統(tǒng) 服務 證書 NTLM 注意事項 雙重身份驗證 聯(lián)合 Secur

4、e/Multipurpose Inter Mail E_tensions (S/MIME) 服務器角色注意事項 附錄 1：其他與安全性相關的文檔 新增功能E_change 2021 包括以下新增的安全性功能：· 基于角色的訪問控制E_change 2021 包含一個新的基于角色的訪問控制模型，通過該模型，貴組織可以精細地管理分配給不同利益干系人（例如收件人管理員、服務器管理員、記錄和發(fā)現(xiàn)管理員以及組織管理員）的權限。· 限制策略E_change 2021 針對郵箱、客戶端訪問和傳輸服務器引入了限制機制，以保護貴組織免受拒絕服務攻擊的侵害并減輕此類攻擊的影響。· 聯(lián)

5、合委派E_change 2021 引入了新的聯(lián)合委派功能，您可以通過這些功能允許用戶安全地與外部組織的用戶進行協(xié)作。通過聯(lián)合委派，用戶可以與外部聯(lián)合組織的用戶共享其日歷和聯(lián)系人信息。該功能還使跨林協(xié)作成為可能，并且無需設置并管理 Active Directory 信任關系。· 信息權限管理E_change 2021 引入了新的信息保護和控制功能，使您既可以在多個層次保護敏感的郵件內(nèi)容，同時又保證組織能夠對受保護的內(nèi)容進行解密、搜索以及應用郵件策略。· 無安全配置向導在 E_change 2021 中，安裝程序會進行必要的配置更改，以便僅安裝并啟用特定 E_change 服務

6、器角色所需要的服務，同時將通信限定于每種服務器角色上運行的服務和進程所需要的端口。這樣，就無需再使用“安全配置向導”(SCW) 等工具來配置這些設置。E_change 2021 安全開發(fā)生命周期在 20_2 年初， 引入了可信任計算計劃。自引入可信任計算后， 和 E_change 團隊的開發(fā)流程始終致力于開發(fā)能幫助您獲得更高安全性的軟件。有關詳細信息，請參閱 可信任計算。在 E_change 2021 中，可信任計算是在以下四個核心領域中實現(xiàn)的：· 設計安全 設計和開發(fā) E_change 2021 時要遵照 可信任計算安全開發(fā)生命周期。創(chuàng)建更加安全的郵件系統(tǒng)的第一步是設計威脅模型并在

7、設計時測試每個功能。多個與安全相關的改進功能內(nèi)置在編碼過程和實踐中。生成時間工具將檢測緩沖區(qū)溢出和其他潛在的安全性威脅。沒有任何系統(tǒng)會保證完全的安全。但是，通過將安全設計原則包含到整個設計流程中，E_change 2021 比早期的版本更加安全。· 默認安全性E_change 2021 的一個目標是開發(fā)一個在默認情況下對大多數(shù)網(wǎng)絡通信都進行加密的系統(tǒng)。除“服務器消息塊”(SMB) 通信和一些“統(tǒng)一消息”(UM) 通信外，這一目標已經(jīng)實現(xiàn)。通過使用自簽名_證書、Kerberos 協(xié)議、安全套接字層 (SSL) 和其他行業(yè)標準加密技術，幾乎所有 E_change 2021 數(shù)據(jù)都在網(wǎng)絡上

8、得到保護。此外，基于角色的安裝使得可以在安裝 E_change 2021 時使用某個特定的、合適的服務器角色僅安裝服務及與這些服務相關的權限。在早期版本的 E_change 中，必須為所有功能安裝所有服務。· 反垃圾郵件和防病毒功能E_change 2021 包含一套反垃圾郵件代理，這些代理運行于外圍網(wǎng)絡中的邊緣傳輸服務器角色上，同時也可以安裝在內(nèi)部網(wǎng)絡中的集線器傳輸服務器角色上。新增 Forefront Protection 2021 for E_change Server 作為 解決方案使防病毒功能得到進一步改進。· 部署安全 在開發(fā) E_change 2021 時，在

9、 IT 生產(chǎn)環(huán)境中已部署了該預發(fā)行版本。基于來自該部署的數(shù)據(jù)， E_change 服務器最佳實踐分析p 工具已更新為掃描實際的安全配置，預先部署和后期部署的最佳實踐均已記錄在 E_change 2021 幫助中。過去，要在核心文檔完成后才會記錄并交付權限管理。但是，我們知道權限管理并不是一個附加過程。它應當納入 E_change 2021 部署的總體規(guī)劃與部署中。因此，我們簡化了權限文檔流程，將其整合到核心文檔中，以便在管理員規(guī)劃和部署管理模型時為其提供無縫的上下文環(huán)境。E_change 2021 具有基于角色的新權限模型，使您能夠為管理員和用戶授予精細化的權限，使他們能夠以所需的最小權限執(zhí)行

10、任務。· 通信現(xiàn)在 E_change 2021 已經(jīng)發(fā)行，E_change 團隊致力于及時更新軟件并通知給您。通過使用 Update 使您的系統(tǒng)保持最新狀態(tài)，可以確保在您的組織中安裝最新的安全更新。E_change 2021 還包含反垃圾郵件更新。此外，通過訂閱 技術安全通知，也可以跟蹤 E_change 2021 中的最新安全問題。實現(xiàn)安全性 - 最佳實踐有些基本的最佳實踐可以幫助您創(chuàng)建和維護更加安全的環(huán)境。通常，定期運行分析p 工具并及時更新軟件和防病毒特征是優(yōu)化 E_change 2021 環(huán)境以保證安全性的最有效方法。設置與安裝建議以下最佳實踐將幫助您創(chuàng)建更加安全的 E_ch

11、ange 2021 環(huán)境：· 委派安裝對于組織內(nèi)安裝的第一臺 E_change 2021 服務器，用來運行安裝程序的帳戶必須是“Enterprise Administrators”組的成員。所用帳戶將添加到由 E_change 2021 安裝程序創(chuàng)建的“組織管理”角色組中。通過委派安裝，可以允許不屬于“組織管理”角色組的管理員安裝后續(xù)的服務器。有關更多詳細信息，請參閱設置 E_change 2021 Server 和委派安裝。· 文件系統(tǒng)權限E_change 2021 安裝程序將針對 E_change 二進制文件和數(shù)據(jù)所在的文件系統(tǒng)分配所需的最低權限。不得對文件系統(tǒng)上根文件

12、夾和 Program Files 文件夾的“訪問控制列表”(ACL) 進行任何更改。· 安裝路徑我們建議您將 E_change 2021 二進制文件安裝在非系統(tǒng)磁盤（非操作系統(tǒng)安裝卷）上。E_change 數(shù)據(jù)庫和事務日志可能會迅速增長，因此必須放置在大小適合于所需容量和性能的非系統(tǒng)卷上。許多由不同 E_change 組件生成的其他日志（例如傳輸日志）也與 E_change 二進制文件存儲在相同的安裝路徑中，并且可能會顯著增長，具體取決于所用配置和消息環(huán)境。在 E_change 2021 中，許多日志文件的最大大小和日志文件夾可占用的最大存儲空間都是可以配置的，默認情況下設置為 25

13、0 MB。為防止可能因磁盤空間不足而發(fā)生系統(tǒng)中斷，我們建議您針對每種服務器角色評估日志記錄要求，并根據(jù)需要配置日志記錄選項和日志文件存儲位置。· 阻止舊版Outlook 客戶端您可以根據(jù)需要配置 Outlook 客戶端阻止功能，以阻止舊版的 Outlook 客戶端。某些 E_change 2021 功能（例如“Outlook 保護規(guī)則”和“個人存檔”）不支持舊版的 Outlook 客戶端。有關 Outlook 客戶端阻止功能的詳細信息，請參閱為郵件記錄管理配置 Outlook 客戶端阻止。· 取消SMTP 地址與用戶名的聯(lián)系默認情況下，E_change 基于郵箱用戶的用戶名

14、生成電子郵件地址和別名。許多組織會創(chuàng)建額外的電子郵件地址策略來取消用戶電子郵件地址與用戶名的聯(lián)系，從而提高安全性。例如，如果用戶 Ben Smith 的用戶名為 bsmith，域為 contoso.，則由默認電子郵件地址策略產(chǎn)生的主電子郵件地址為 bsmithcontoso.。您可以創(chuàng)建其他電子郵件地址策略，使生成的電子郵件地址不使用用戶的別名或用戶名。例如，創(chuàng)建一個使用模板 g.sdomain 以 Firstname.Lastnamedomain 格式生成電子郵件地址的電子郵件地址策略。對于用戶 Ben Smith，該策略將生成地址 Ben.Smithcontoso.。或者，您也可以在創(chuàng)建或

15、啟用郵箱時指定與用戶名不同的別名，從而取消電子郵件地址與用戶名的聯(lián)系。注意：如果用戶的主 SMTP 地址與帳戶上的 UPN 不匹配，用戶將無法使用其電子郵件地址來登錄 Office Outlook Web ，必須提供 DOMAINusername 格式的用戶名。使用 Outlook 時，如果在 Outlook 連接 Autodiscover 服務時系統(tǒng)提示輸入憑據(jù)，用戶必須提供 DOMAINusername 格式的用戶名。UpdateUpdate 是一項服務，它所提供的下載與 dows Update 提供的下載相同，此外，它還提供其他 程序的最新更新。它可以幫助您提高服務器的安全性，確保服務器

16、具有最佳的性能。Update 的一個關鍵功能是 dows 自動更新。此功能會自動安裝對于您的計算機的安全和可靠性很關鍵的高優(yōu)先級更新。如果沒有這些安全更新，計算機更易于遭受來自網(wǎng)絡黑客和惡意軟件的攻擊。接收 Update 的最可靠的方法是通過使用 dows 自動更新讓更新自動傳送到您的計算機。可以在注冊 Update 時打開“自動更新”。dows 接著會分析p 計算機上安裝的 軟件是否存在它所需要的任何當前和過去的高優(yōu)先級更新，然后會自動下載并安裝這些更新。此后，當您連接到 Inter 時，dows 會重復此更新過程，以獲取任何新的高優(yōu)先級更新。若要啟用 Update，請參閱 Update。U

17、pdate 的默認模式要求每個 E_change 服務器都連接到 Inter 以接收自動更新。如果您運行的服務器未連接到 Inter，則可以安裝 dows Server 更新服務 (WSUS) 來管理向組織中的計算機分發(fā)更新的操作。然后可以配置內(nèi)部 E_change 計算機上的 Update 來聯(lián)系內(nèi)部 WSUS 服務器以獲取更新。有關詳細信息，請參閱 dows Server Update Services 3.0。WSUS 并不是唯一可用的 Update 管理解決方案。有關 安全發(fā)行、過程、通信和工具的詳細信息，請參閱 安全更新指南。E_change 2021 不再需要執(zhí)行的任務不必再安裝或

18、運行以下工具：· 對于 IIS 7，不需要使用 URLScan 安全工具。在早期版本的 E_change 中，通常需要安裝 URLScan 等 IIS 工具來保證 IIS 安裝的安全性。E_change 2021 需要使用 dows Server 2021，該軟件中包含 IIS 7。起初由 UrlScan 提供的許多安全功能現(xiàn)在都可以從 IIS 7 請求篩選功能中獲得。· 您不再需要安裝 E_change 最佳實踐分析p 工具。在早期版本的 E_change 中，通常需要在安裝軟件前安裝并運行 E_change 最佳實踐分析p 工具，并且此后也需要定期運行該工具。而 E_c

19、hange 2021 安裝程序中包含 E_change 最佳實踐分析p 工具組件，安裝期間將會運行這些組件。在安裝軟件前，將不需要運行 E_change 最佳實踐分析p 工具。· 不再需要使用“安全配置向導”(SCW) 或者 SCW 的 E_change 模板。E_change 2021 安裝程序僅安裝特定 E_change 服務器角色所需要的服務，并將創(chuàng)建高級安全 dows 防火墻規(guī)則，以便僅開放該服務器角色的服務和進程所需要的端口。完成此項操作不再需要運行“安全配置向導”(SCW)。與 E_change Server 20_7 不同，E_change 2021 不附帶 SCW 模

20、板。保持安全性 - 最佳實踐以下的最佳實踐建議將幫助您保持 E_change 2021 環(huán)境的安全性。及時更新軟件如上一部分中所述，運行 Update 是一種最佳做法。除了在所有服務器上運行 Update 之外，及時更新所有客戶端計算機并保證在組織中所有計算機上及時更新防病毒軟件也非常重要。除了 軟件外，還應確保為組織中運行的所有軟件運行最新的更新。反垃圾郵件更新E_change 2021 還使用 Update 基礎結構來使反垃圾郵件篩選器保持最新狀態(tài)。默認情況下，使用手動更新時，管理員必須訪問 Update 來下載和安裝內(nèi)容篩選器更新。內(nèi)容篩選器更新數(shù)據(jù)每兩周更新一次，用戶可進行下載。從 U

21、pdate 進行的手動更新包括 IP 信譽服務或垃圾郵件簽名_數(shù)據(jù)。IP 信譽服務和垃圾郵件簽名_數(shù)據(jù)只能通過 Forefront Security for E_change Server 反垃圾郵件自動更新來獲得。有關如何啟用 Forefront 反垃圾郵件自動更新的詳細信息，請參閱了解反垃圾郵件更新。運行防病毒軟件電子郵件系統(tǒng)傳遞的病毒、蠕蟲和其他惡意內(nèi)容是大多數(shù) E_change 管理員要面對的一種具有破壞性的實體。因此，必須對所有郵件系統(tǒng)進行防御性防病毒部署。本部分提供有關部署 E_change 2021 防病毒軟件的最佳實踐建議。選擇防病毒軟件供應商時，應額外注意 E_change

22、2021 中的兩點重要變化：· 自 E_change Server 20_7 起， E_change 基于 64 位體系結構構建。· E_change 2021 具有傳輸代理功能。這兩點變化意味著，防病毒軟件供應商必須提供專用于 E_change 2021 的軟件。針對早期版本的 E_change 而編寫的防病毒軟件在 E_change 2021 中可能無法正常工作。要使用深度防御方法，我們建議您在 SMTP 網(wǎng)關或郵箱的宿主 E_change 服務器處部署專門為郵件系統(tǒng)設計的防病毒軟件，此外還要在用戶桌面上部署防病毒軟件。您可以在愿意承受的成本與風險之間找到適當?shù)钠胶恻c，

23、以決定要使用哪些類型的防病毒軟件以及在哪些位置部署該軟件。例如，某些組織在 SMTP 網(wǎng)關處運行防病毒郵件軟件，在 E_change 服務器上運行文件級防病毒掃描，并在用戶桌面上運行防病毒客戶端軟件。這種方式將在客戶端專門針對郵件提供保護。其他組織可能選擇在 STMP 網(wǎng)關處運行防病毒郵件軟件，在 E_change 服務器上運行文件級防病毒掃描，在用戶桌面上運行防病毒客戶端軟件，以及在 E_change 郵箱服務器上運行與 E_change 病毒掃描應用程序編程接口 (VSAPI) 2.5 兼容的防病毒軟件，這樣需要承受更高的成本，但也因此提高了安全性。在邊緣傳輸服務器和集線器傳輸服務器上運行

24、防病毒軟件基于傳輸?shù)姆啦《拒浖鳛閭鬏敶矶鴮崿F(xiàn)，或者包括傳輸代理。傳輸代理負責處理傳輸事件，與 E_change 早期版本中的事件接收器相似。有關更多詳細信息，請參閱了解傳輸代理。注意：未通過傳輸路由的郵件不受專門針對傳輸進行的病毒掃描的保護，例如公用文件夾中的項目、已發(fā)送郵件和日歷項目，這些都只能在郵箱服務器上進行掃描。第三方開發(fā)人員可以編寫自定義的傳輸代理程序，以利用基礎的 MIME 分析p 引擎進行可靠的傳輸級防病毒掃描。有關 E_change 防病毒和反垃圾郵件合作伙伴的列表，請參閱獨立軟件供應商。此外，F(xiàn)orefront Protection for E_change Server

25、 是與 E_change 2021 緊密集成的防病毒軟件包，用于為 E_change 環(huán)境提供額外的防病毒保護。有關詳細信息，請參閱適用于 E_change Server 的 Forefront Protection 2021。郵件防病毒軟件的最重要位置是組織中的第一道防線。這是外部郵件進入您的郵件環(huán)境所必經(jīng)的 SMTP 網(wǎng)關。在 E_change 2021 中，第一道防線是邊緣傳輸服務器。如果在 E_change 前使用非 E_change SMTP 服務器或網(wǎng)關接收入站電子郵件，應在非 E_change SMTP 主機上實施足夠的反垃圾郵件和防病毒功能。在 E_change 2021 中，

26、所有郵件都要經(jīng)過集線器傳輸服務器路由。這其中包括從 E_change 組織外部發(fā)送或接收的郵件、在 E_change 組織內(nèi)部發(fā)送的郵件， 以及發(fā)件人郵箱與收件人郵箱位于同一郵箱服務器的郵件。為了更好地在組織內(nèi)部防御病毒爆發(fā)并部署第二道防線，我們還建議您在集線器傳輸服務器上運行基于傳輸?shù)姆啦《拒浖Ｔ卩]箱服務器上運行防病毒軟件除了在傳輸服務器上執(zhí)行病毒掃描外，運行在郵箱服務器上的 E_change 病毒掃描 API (VSAPI) 掃描解決方案也是許多組織中的重要安全屏障。如果符合以下任一條件，則應考慮運行 VSAPI 防病毒解決方案：· 貴組織尚未部署完善而可靠的桌面防病毒掃描產(chǎn)品

27、。· 貴組織希望可以通過掃描郵箱數(shù)據(jù)庫來提供額外的保護。· 您的組織已開發(fā)對 E_change 數(shù)據(jù)庫進行編程訪問的自定義應用程序。· 您的用戶社區(qū)會經(jīng)常將郵件發(fā)布到公用文件夾中。使用 E_change VSAPI 的防病毒解決方案直接在 E_change 信息存儲進程內(nèi)運行。VSAPI 解決方案很可能是可以防御在繞過標準客戶端和傳輸掃描的同時將受感染的內(nèi)容放到 E_change 信息存儲中的攻擊工具的僅有解決方案。例如，VSAPI 是用于掃描通過 CDO（協(xié)作數(shù)據(jù)對象）、WebDAV 和 E_change Web 服務 (EWS) 提交到數(shù)據(jù)庫的數(shù)據(jù)的唯一解決方

28、案。此外，當病毒爆發(fā)時，通過 VSAPI 解決方案通常可以最快地從受感染的郵件數(shù)據(jù)庫中刪除和消除病毒。E_change 服務器和文件系統(tǒng)防病毒軟件如果通過部署文件系統(tǒng)防病毒軟件來保護 E_change 服務器，應考慮以下事項：· 必須從文件系統(tǒng)防病毒掃描程序排除 E_change 郵箱和公用文件夾數(shù)據(jù)庫所在的 E_change 服務器目錄。有關詳細信息，請參閱 E_change 2021 上的文件級防病毒掃描。· 文件系統(tǒng)防病毒掃描程序僅保護文件。要保護電子郵件，還應考慮實施支持 E_change 的防病毒或郵件安全產(chǎn)品（例如包括 Forefront 在內(nèi)的產(chǎn)品）或者合適的

29、合作伙伴或第三方產(chǎn)品。有關反垃圾郵件和防病毒保護的詳細信息，請參閱了解反垃圾郵件和防病毒功能。有關詳細信息，請參閱 Forefront Protection 2021 for E_change Server：Overview。· 必須及時更新防病毒和反垃圾郵件簽名_，才能有效地實施保護。· 應定期審核防病毒和反垃圾郵件軟件或服務所提供的報告，以確保保護功能已經(jīng)啟用并且正在按需工作，并迅速發(fā)現(xiàn)意外事件，采取任何必要的措施。使用 E_change 托管服務E_change 托管服務改進了垃圾郵件和病毒篩選功能，也可以將垃圾郵件和病毒篩選作為其中的一項服務提供。E_change

30、托管服務是包含四個不同托管服務的服務組：· 托管篩選，幫助組織防御以電子郵件為載體的惡意軟件 · 托管存檔，幫助組織滿足合規(guī)性及文檔保留的要求 · 托管加密，幫助組織加密數(shù)據(jù)以保護機密數(shù)據(jù) · 托管連續(xù)性，幫助組織在斷電期間以及之后繼續(xù)訪問電子郵件 這些服務與在內(nèi)部管理的所有內(nèi)部部署 E_change 服務器相集成。有關詳細信息，請參閱 Forefront Online Protection for E_change。使用附件篩選在 E_change 2021 中，可以通過附件篩選功能在邊緣傳輸服務器上應用篩選器，以控制用戶接收的附件。在當今的環(huán)境中，許

31、多附件類型都包含有害的病毒或不適宜的資料，這些內(nèi)容可能會通過破壞重要文檔或公開敏感信息而使用戶計算機或組織遭受重大損失，因此，附件篩選變得日益重要。可以使用下列類型的附件篩選來控制通過邊緣傳輸服務器傳入或傳出組織的附件：基于文件名或文件擴展名篩選 可以通過指定要篩選的準確文件名或文件擴展名來篩選附件。BadFilename.e_e 是準確文件名篩選器的示例。_.e_e 是文件擴展名篩選器的示例。基于文件MIME 內(nèi)容類型篩選 還可以通過指定要篩選的 MIME 內(nèi)容類型來篩選附件。MIME 內(nèi)容類型可以指示附件類型：JPEG 圖像、可執(zhí)行文件、 Office E_cel 2021 文件或一些其他

32、文件類型。內(nèi)容類型以 type/subtype 形式表示。例如，JPEG 圖像內(nèi)容類型表示為 image/jpeg。如果附件符合上述篩選條件之一，則可以配置對附件執(zhí)行下列操作：· 阻止整個郵件和附件 · 去除附件但允許郵件通過 · 以靜默方式刪除郵件和附件 有關更多詳細信息，請參閱了解附件篩選。注意：不能使用附件篩選器代理來根據(jù)附件內(nèi)容對附件進行篩選。您可以使用傳輸規(guī)則來檢查郵件和附件內(nèi)容并采取適當?shù)拇胧鐒h除或拒絕郵件，或者對郵件和附件進行 IRM 保護。有關詳細信息，請參閱了解傳輸規(guī)則。使用 Forefront Protection for E_chang

33、e Server 進行文件篩選Forefront Protection for E_change Server 提供的文件篩選功能包括 E_change 2021 附帶的附件篩選器代理中未提供的高級功能。例如，可以掃描容器文件（即包含其他文件的文件）是否存在沖突文件類型。Forefront Protection for E_change Server 篩選可以掃描下列容器文件并操作嵌入文件：· PKZip (.zip) · GNU Zip (.gzip) · 自解壓的壓縮文件存檔 (.zip) · 壓縮文件 (.zip) · 存檔 (.jar)

34、 · TNEF (mail.dat) · 結構化存儲（.doc, ._ls, . 等）· MIME (.eml) · SMIME (.eml) · UUEncode (.uue) · Uni_ 磁帶存檔 (.tar) · RAR 存檔 (.rar) · MACBinary (.bin) 注意：E_change 2021 附帶的附件篩選器代理可以檢測文件類型，即使這些文件已經(jīng)重命名也無妨。附件篩選還可以通過對壓縮的 Zip 或 LZH 文件中的文件執(zhí)行文件擴展名匹配，來確保壓縮的 Zip 和 LZH 文件中不包含被阻

35、止的附件。Forefront Protection for E_change Server 文件篩選還具有其他功能，可以確定被阻止的附件是否在容器文件中進行了重命名。您還可以按文件大小篩選文件。另外，還可以將 Forefront Protection for E_change Server 配置為隔離篩選的文件或基于 E_change 文件篩選器匹配來發(fā)送電子郵件通知。有關詳細信息，請參閱 使用 Forefront Security for E_change Server 保護 E_change 組織。運行 E_change 最佳實踐分析p 工具E_change 最佳實踐分析p 工具是可以定期

36、運行來幫助驗證 E_change 環(huán)境是否安全的最有效工具之一。E_change 最佳實踐分析p 工具可以自動檢查 E_change 部署，并確定其配置是否符合 最佳實踐。在 E_change 2021 中，E_change 最佳實踐分析p 工具作為 E_change 安裝程序的一部分安裝，并且可以從 E_change 管理控制臺 (EMC) 的“工具”部分運行。如果有適當?shù)木W(wǎng)絡訪問權限，E_change 最佳實踐分析p 工具可以檢查所有 Active Directory 域服務 (AD DS) 服務器和 E_change 服務器。E_change 最佳實踐分析p 工具具有權限繼承檢查功能。此

37、外，它還可以通過測試來驗證 RBAC 權限。這包括通過測試確保所有用戶都可以訪問 E_change 控制面板 (ECP)、由 E_change 安裝程序創(chuàng)建的所有默認 RBAC 角色均配置正確并且 E_change 組織內(nèi)至少存在一個管理帳戶。網(wǎng)絡端口的使用及防火墻的強化dows Server 2021 包括高級安全 dows 防火墻，這是默認情況下啟用的有狀態(tài)數(shù)據(jù)包檢查防火墻。高級安全 dows 防火墻提供以下功能：· 篩選傳入或傳出計算機的 IP 版本 4 (IPv4) 和 IP 版本 6 (IPv6) 通信。默認情況下，將阻止所有傳入通信，除非通信是對計算機先前傳出請求的應答（

38、請求的通信），或者通過創(chuàng)建相應規(guī)則而專門允許該通信。默認情況下，將允許所有傳出通信，除非服務強化規(guī)則阻止標準服務以非常規(guī)的方式進行通信。您可以選擇基于端口號、IPv4 或 IPv6 地址、應用程序路徑和名稱、計算機上所運行服務的名稱或者其他標準來允許通信。· 使用 IPsec 協(xié)議驗證網(wǎng)絡通信的完整性、對發(fā)送和接收方計算機或用戶進行身份驗證并（可選）對通信進行加密以確保機密性，從而保護傳入或傳出計算機的網(wǎng)絡通信的安全。根據(jù)設計，E_change 2021 應在啟用高級安全 dows Server 防火墻的情況下運行。E_change 安裝程序將創(chuàng)建所需的防火墻規(guī)則，以允許 E_cha

39、nge 服務和進程進行通信。它僅創(chuàng)建特定服務器角色上安裝的服務和進程所需要的規(guī)則。有關為每種 E_change 2021 服務器角色創(chuàng)建的網(wǎng)絡端口使用和防火墻規(guī)則的更多詳細信息，請參閱 E_change 網(wǎng)絡端口參考。在 dows Server 2021 和 dows Server 2021 R2 中，高級安全 dows 防火墻允許您指定端口針對哪些進程或服務開放。這樣做會更安全，因為它將對端口的使用限制在規(guī)則中指定的進程或服務。E_change 2021 安裝程序將創(chuàng)建指定了進程名稱的防火墻規(guī)則。在某些情況下，也會出于兼容目的而創(chuàng)建其他不局限于進程的規(guī)則。您可以禁用或刪除不局限于進程的規(guī)則，

40、而保留同樣由 E_change 2021 安裝程序創(chuàng)建并局限于特定進程的對應規(guī)則（如果您的部署支持這些規(guī)則）。可以通過規(guī)則名稱中的詞 (GFW) 來辨別不局限于進程的規(guī)則。我們建議您在禁用不局限于進程的規(guī)則前在環(huán)境中充分測試這些規(guī)則。下表列出了由 E_change 安裝程序創(chuàng)建的 dows 防火墻規(guī)則，其中包括每個服務器角色上開放的端口。dows 防火墻規(guī)則規(guī)則名稱服務器角色端口MSE_changeRPCEPMap (GFW) (TCP-In) 所有角色 RPC-EPMap MSE_changeRPC (GFW) (TCP-In) 客戶端訪問、集線器傳輸、郵箱、統(tǒng)一消息 動態(tài) RPC MSE_

41、change - IMAP4 (GFW) (TCP-In) 客戶端訪問 143, 993 (TCP) MSE_change - POP3 (GFW) (TCP-In) 客戶端訪問 110, 995 (TCP) MSE_change - OWA (GFW) (TCP-In) 客戶端訪問 5075, 5076, 5077 (TCP) MSE_changeMailbo_Replication (GFW) (TCP-In) 客戶端訪問 808 (TCP) MSE_changeIS (GFW) (TCP-In) 郵箱 6001, 6002, 6003, 6004 (TCP) MSE_changeTran

42、sportWorker (GFW) (TCP-In) 集線器傳輸 25, 587 (TCP) SESWorker (GFW) (TCP-In) 統(tǒng)一消息 任意 UMService (GFW) (TCP-In) 統(tǒng)一消息 5060, 5061 (TCP) UMWorkerProcess (GFW) (TCP-In) 統(tǒng)一消息 5065, 5066, 5067, 5068 重要提示：修改某項 E_change 2021 服務所用的默認端口時，還必須修改相應的高級安全 dows 防火墻的防火墻規(guī)則，以允許通過您決定使用的非默認端口進行通信。當您更改某項服務所用的默認端口時，E_change 2021

43、 并不會更改防火墻規(guī)則。限制參數(shù)和客戶端限制策略E_change 2021 包括傳輸服務器、客戶端訪問服務器和郵箱服務器角色的限制參數(shù)，用以控制與各協(xié)議相關的不同連接參數(shù)。E_change 2021 還包括客戶端限制策略，用以控制客戶端訪問服務器上的負載。這些限制參數(shù)和策略可以幫助您控制負載并保護 E_change 2021 服務器免受針對不同協(xié)議的拒絕服務攻擊的侵害。傳輸服務器的限制參數(shù)在 E_change 2021 傳輸服務器上，郵件限制參數(shù)在服務器以及發(fā)送和接收連接器上實施，用以控制郵件處理速率、SMTP 連接速率和 SMTP 會話超時值。這些限制參數(shù)共同保護傳輸服務器，避免其因接受并傳

44、遞大量郵件而負載過重，使其免受惡意 SMTP 客戶端和拒絕服務攻擊的侵害。您可以使用 Set- - TransportServer cmdlet 在 E_change 2021 傳輸服務器上配置以下限制策略。傳輸服務器限制參數(shù)參數(shù)描述Ma_ConcurrentMailbo_DeliveriesMa_ConcurrentMailbo_Deliveries參數(shù)指定集線器傳輸服務器在將郵件傳遞給郵箱時可以同時打開的最大傳遞線程數(shù)。集線器傳輸服務器上的存儲驅動程序負責向郵箱服務器傳入郵件或從其傳出郵件。此限制對于向 E_change 組織中的任何郵箱傳遞郵件適用。默認值20 個傳遞線程 Ma_Conc

45、urrentMailbo_SubmissionsMa_ConcurrentMailbo_Submissions參數(shù)指定集線器傳輸服務器在從郵箱接收郵件時可以同時打開的最大傳遞線程數(shù)。集線器傳輸服務器上的存儲驅動程序負責向郵箱服務器傳入郵件或從其傳出郵件。此限制對于從 E_change 組織中的任何郵箱接收新郵件適用。默認值20 個提交線程 Ma_ConnectionRatePerMinuteMa_ConnectionRatePerMinute參數(shù)指定集線器傳輸服務器或邊緣傳輸服務器可以打開新入站連接的最大速率。這些連接可以指向服務器上存在的任何接收連接器。默認值每分鐘 1,20_個連接。Ma_

46、OutboundConnectionsMa_OutboundConnections參數(shù)指定集線器傳輸服務器或邊緣傳輸服務器可以同時打開的最大并發(fā)出站連接數(shù)。借助安裝在服務器上的發(fā)送連接器，可進行出站連接。Ma_OutboundConnections參數(shù)指定的值適用于傳輸服務器上的所有發(fā)送連接器。默認值1,000 個連接。如果輸入“無限制”值，則不限制出站連接數(shù)。此外，也可以使用 EMC 配置該值。Ma_PerDomainOutboundConnectionsMa_PerDomainOutboundConnections參數(shù)指定面向 Inter 的集線器傳輸服務器或邊緣傳輸服務器可以向任何一個遠

47、程域打開的最大連接數(shù)。借助安裝在服務器上的發(fā)送連接器，可進行到遠程域的出站連接。默認值每個域 20 個連接。如果輸入“無限制”值，則不限制每個域的出站連接數(shù)。此外，也可以使用 EMC 配置該值。PickupDirectoryMa_MessagesPerMinuteMa_PerDomainOutboundConnections參數(shù)指定針對“分揀”目錄和“重播”目錄的郵件處理速率。每個目錄都可以按照 PickupDirectoryMa_MessagesPerMinute參數(shù)指定的速率獨立處理郵件文件。默認值默認情況下，“分揀”目錄每分鐘可以同時處理 100 封郵件，“重播”目錄每分鐘可以同時處理

48、100 封郵件。“分揀”目錄和“重播”目錄每 5 秒鐘掃描一次新郵件文件，每分鐘掃描 12 次。此 5 秒鐘的輪詢間隔不可配置。這意味著每個輪詢間隔期間可以處理的最大郵件數(shù)等于為 PickupDirectoryMa_MessagesPerMinute參數(shù)指定的值除以 12 (PickupDirectoryMa_MessagesPerMinute/12)。默認情況下，每個 5 秒鐘的輪詢間隔最多只能處理 8 封郵件。發(fā)送連接器的限制參數(shù)發(fā)送連接器上可使用以下限制參數(shù)。可以使用 Send- - Connector cmdlet 配置這些參數(shù)。發(fā)送連接器限制參數(shù)參數(shù)描述ConnectionInact

49、ivityTimeOutConnectionInactivityTimeOut參數(shù)指定到目標郵件傳遞服務器的已打開 SMTP 連接在關閉前可以保持空閑的最長時間。默認值10 分鐘。SmtpMa_MessagesPerConnectionSmtpMa_MessagesPerConnection參數(shù)指定此發(fā)送連接器服務器可通過每個連接發(fā)送的最大郵件數(shù)。默認值20 封郵件 接收連接器的限制參數(shù)可以針對 E_change 2021 傳輸服務器上的接收連接器配置以下限制參數(shù)，以控制連接參數(shù)，例如非活動超時、最大連接數(shù)以及連接期間允許的 SMTP 協(xié)議錯誤數(shù)。可以使用 Set- - ReceiveConn

50、ector cmdlet 配置這些參數(shù)。接收連接器限制參數(shù)參數(shù)描述ConnectionInactivityTimeOutConnectionInactivityTimeOut參數(shù)指定到郵件傳遞服務器的已打開 SMTP 連接在關閉前可以保持空閑的最長時間。在集線器傳輸服務器上的默認值5 分鐘。在邊緣傳輸服務器上的默認值1 分鐘。ConnectionTimeOutConnectionTimeOut參數(shù)指定到郵件傳遞服務器的 SMTP 連接可以保持打開狀態(tài)的最長時間（即使郵件傳遞服務器正在傳輸數(shù)據(jù)）。在集線器傳輸服務器上的默認值10 分鐘。在邊緣傳輸服務器上的默認值5 分鐘。ConnectionTi

51、meout 參數(shù)指定的值必須大于 ConnectionInactivityTimeout 參數(shù)指定的值。Ma_InboundConnectionMa_InboundConnection參數(shù)指定此接收連接器允許同時建立的最大入站 SMTP 連接數(shù)。默認值5,000 Ma_InboundConnectionPercentagePerSourceMa_InboundConnectionPercentagePerSource參數(shù)指定接收連接器允許同時從單個郵件傳遞服務器建立的最大 SMTP 連接數(shù)。該值以接收連接器上的可用剩余連接百分比表示。接收連接器允許的最大連接數(shù)由 Ma_InboundConne

52、ction參數(shù)定義。默認值2 Ma_InboundConnectionPerSourceMa_InboundConnectionPerSource參數(shù)指定接收連接器允許同時從單個郵件傳遞服務器建立的最大 SMTP 連接數(shù)。默認值100 個連接 Ma_ProtocolErrorsMa_ProtocolErrors參數(shù)指定接收連接器在關閉與郵件傳遞服務器的連接前允許出現(xiàn)的 SMTP 協(xié)議錯誤的最大數(shù)量。默認值5 個錯誤 POP3 服務的限制參數(shù)以下限制參數(shù)適用于客戶端訪問服務器上的 E_change POP3 服務。可以使用 Set- - POPSettings cmdlet 配置這些參數(shù)。有關詳

53、細信息，請參閱設置 POP3 的連接限制。POP3 服務限制參數(shù)參數(shù)描述Ma_mandSizeMa_mandSize參數(shù)指定單個命令的最大大小。可能的值從 40 個字節(jié)到 1024 個字節(jié)。默認值40 個字節(jié)。Ma_ConnectonFromSingleIPMa_ConnectionFromSingleIP參數(shù)指定特定的服務器從單個 IP 地址接受的連接數(shù)。可能的值從 1 到 25,000。默認值2,000 個連接 Ma_ConnectionsMa_Connections參數(shù)指定特定的服務器將接受的連接總數(shù)。這包括通過身份驗證和未通過身份驗證的連接。可能的值從 1 到 25,000。默認值2,

54、000 個連接。Ma_ConnectionsPerUserMa_ConnectionsPerUser參數(shù)指定客戶端訪問服務器將從特定用戶接受的最大連接數(shù)。可能的值從 1 到 25,000。默認值16 個連接。PreAuthenticationConnectionTimeOutPreAuthenticatedConnectionTimeout參數(shù)指定在關閉未經(jīng)過身份驗證的空閑連接之前要等待的時間。可能的值從 10 秒到 3,600 秒。默認值60 秒。IMAP4 服務的限制參數(shù)以下限制參數(shù)適用于客戶端訪問服務器上的 E_change IMAP4 服務。可以使用 Set- - IMAPSettin

55、gs cmdlet 配置這些參數(shù)。有關詳細信息，請參閱設置 IMAP4 的連接限制。IMAP4 服務限制參數(shù) 參數(shù)描述AuthenticationConnectionTimeOutAuthenticatedConnectionTimeout參數(shù)指定在關閉經(jīng)過身份驗證的空閑連接之前要等待的時間。可能的值從 30 秒到 86400 秒。默認值1,800 秒。Ma_mandSizeMa_mandSize參數(shù)指定單個命令的最大大小。默認大小為 40 字節(jié)。可能的值從 40 個字節(jié)到 1024 個字節(jié)。默認值40 個字節(jié)。Ma_ConnectionFromSingleIPMa_ConnectionFro

56、mSingleIP參數(shù)指定特定的服務器從單個 IP 地址接受的連接數(shù)。可能的值從 1 到 25,000。默認值2,000 個連接 Ma_ConnectionsMa_Connections 參數(shù)指定特定服務器接受的總連接數(shù)。這包括通過身份驗證和未通過身份驗證的連接。可能的值從 1 到 25,000。默認值2,000 個連接 Ma_ConnectionsPerUserMa_ConnectionsPerUser參數(shù)指定客戶端訪問服務器將從特定用戶接受的最大連接數(shù)。可能的值從 1 到 25,000。默認值16 個連接。PreAuthenticatedConnectionTimeOutPreAuthen

57、ticatedConnectionTimeout參數(shù)指定在關閉未經(jīng)過身份驗證的空閑連接之前要等待的時間。可能的值從 10 秒到 3600 秒。默認值60 秒。客戶端限制策略在 E_change 2021 中，可以使用客戶端限制策略來管理客戶端訪問服務器的性能，管理工作可以通過控制參數(shù)來實現(xiàn)，例如每個客戶端訪問協(xié)議的并發(fā)連接數(shù)、客戶端會話可用于運行 LDAP 操作的時間百分比、RPC 操作以及客戶端訪問操作。軟件包含一個默認的客戶端限制策略，通常情況下足以管理客戶端訪問服務器上的負載。您也可以修改默認策略參數(shù)或創(chuàng)建符合部署要求的自定義策略。限制策略可用于以下用戶組及訪問方法：· 匿名訪問 · 跨內(nèi)部部署訪問 (CPA) · E_chang