2012年3月13日 星期二

架設Exchange 郵件系統安全性閘道器 --邊際傳輸伺服器整合 Forefront Protection 2010 for Exchange Server

電子郵件一向是企業組織在傳統網路環境上最普遍使用的訊息傳遞溝通機制,不過電子郵件在現代的網際網路上所面臨的風險威脅亦相當不少,常見的郵件服務的攻擊類型如下圖所示
mail_attacks

所以為了確保電子郵件的安全性,在企業組織架設子電子郵件系統時,於架構上大多採用二層式的架構,亦即提供了前端與後端伺服器,前端郵件伺服器主要是做為郵件保護與篩選服務,將企業不想要或有安全性疑慮的郵件加以攔截過濾掉,換言之,前端伺服器扮演著郵件安全性閘道器的用途,而後端伺服器通常則提供了郵件信箱與存取的服務。
微軟的Exchange 郵件系統的安全性保護伺服角色為邊際傳輸角色,但Exchange邊際傳輸角色預設上只有提供防垃圾郵件的保護功能,並不夠完備,如果能夠安裝 Forefront Protection 2010 for Exchange Server, 則不僅可以強化防垃圾郵件保護功能,更可以掃瞄與過濾存在惡意程式的郵件,大幅提升Exchange 系統的安全性保護能力,本文將說明如何架設一部 Exchange邊際傳輸整合Forefront Protection 2010 for Exchange Server的Exchange郵件安全性閘道器。
mail_security_architecture

安裝邊際傳輸伺服角色

安裝邊際傳輸伺服角色的條件與準備

  • 獨立伺服器 設定DNS網域尾碼
  • 安裝 .Net Framework功能
  • 讓邊際傳輸伺服器可以相互解析到集線傳輸伺服器 (使用DNS或Hosts檔 ,並且邊際傳輸與集線傳輸二部均需新增)

安裝邊際傳輸伺服角色

一旦完成上述的準備工作後,接下來的Exchange邊際傳輸伺服角色的安裝工作就相當直覺而容易,您只需要啟動Exchange 2010 SP1的安裝精靈程式,依序一直按下一步,等出現如下圖的伺服器角色選取畫面上,核選『邊際傳輸伺服器角色』和『自動安裝Exchange Server需要的Windows Server角色及功能』,精靈程式就會檢查所需條件並完成安裝。
ets_install1

建立Edge Subscription File (邊際傳輸伺服器)

接下來,您需要透過一個訂閱的過程來建立一個由Active Directory單向複製Exchange 收件者及組態至邊際輸伺服器 輕量型目錄服務的機制。

您需要在邊際傳輸伺服器上使用Exchange命令列管理工具 (Exchange Management Shell;EMS) 執行下列命令先產生訂閱檔案

New-EdgeSubscription –filename “C:\EdgeSubscriptionFile.xml”

ets_create_subscription

將訂閱檔匯入至集線傳輸伺服器 (集線傳輸伺服器)

將上一個步驟產生的訂閱檔案訂閱檔案拿到集線傳輸伺服器上,使用Exchange Management Console (EMC)管理工具將此檔案匯入以便完成整個訂閱工作。

hts_import_subscription

手動的執行Edge 訂閱服務的同步複製工作(集線傳輸伺服器)

一旦在邊際傳輸伺服器和集線傳輸伺服器上完成了上述的訂閱工作後,爾後集線傳輸伺服器將會每隔四小時透過EdgeSync這個服務,同步將Exchange組態及收件者資料複製至邊際傳輸伺服器上,不過為了讓這項同步立即生效, 管理員可以在集線傳輸伺服器上利用Start-EdgeSynchronization指令手動的執行立即同歩複製這項工作,然後再使用Test-EdgeSynchronization -FullcompareMode 指令來進一步檢查同步狀態以確認其是否已成功的傳輸必要組態資訊。

ets_start_edgesynchronization

ets_Test_EdgeSynchronization

變更訂閱設定

管理員日後若需要變更訂閱設定(如傳送連接器、接連接器與公用網域),您並無法直接在邊際傳輸伺服器上變更這些組態  (將會出現一個如下圖的錯誤方塊),而是需要在集線傳輸伺服器上的管理工具變更,,然後再執行start-edgesynchronization命令來手動立即傳輸後才會生效 。
ets_change_error
例如訂閱時會產生了二個傳送連接器:
(1) edgesync-default-first-time-name to internet
(2) edgesync-inbound to default-first-site name
分別代表(1)集線傳輸伺服器如何將內部員工的郵件送至邊際傳輸伺服器將來篩選並送至網際網路 (2)邊際傳輸伺服器將篩選通過的網際網路郵件如何傳送至集線傳輸伺服器,不過在edgesync-inbound to default-first-site name連接器中的智慧主機設定為 "--"代表為所有在 default-first-site-name這個Active Directory站台的邊際傳輸伺服器,如果您的邊際傳輸伺服器並無法利用DNS系統來查詢到Active Directory站台的邊際傳輸伺服器則您需要自行變更傳送連接器- edgesync-inbound to default-first-site name的內容,將智慧主機設為線傳輸伺服器的IP位址,以避免產生DNS的錯誤而無法順利的將篩選通的郵件送入集線傳輸伺服器。

hts_change_sendconnector

邊際傳輸角色與集線傳輸伺服器的流量

另一項需要留意的是若邊際傳輸角色與集線傳輸伺服器之間有架設防火牆,請在防火牆上放行必要的流量 (SMTP和Secure LDAP)

etd_hts_traffic

安裝 Forefront Protection 2010 for Exchange Server

安裝 Forefront Protection 20101 for Exchange Server非常簡單,只要在邊際傳輸伺服器上利用Forefront TMG安裝精靈即可快速完成安裝工作:

  1. 啟動Forefront TMG光碟,於出現的安裝精靈上,按一下最下方的『安裝Microsoft Forefront Protection for Exchange Server(S)』 。
    fpe2010_install1
  2. 接下來的連續安裝畫面,請接受授權合約,提醒將重新啟動Exchange Transport服務並接受或變更預設安裝目錄 。
    fpe2010_install2
  3. 為了順利更新各種定義檔,如有必要您需要設定代理伺服器。
    fpe2010_install3
  4. 決定是否立即啟用垃圾防護。
    fpe2010_install4
  5. 決定是否使用Microsoft Update進行更新 。
    fpe2010_install5
  6. 最,請選取是否加入客戶經驗改進計劃、確認安裝資訊、然後開始進行安裝並完成安裝。
    fpe2010_install6

檢查與確認 Forefront Protection 2010 for Exchange Server是否正常運作

一旦依序安裝了邊際傳輸角色與Forefront Protection 2010 for Exchange Server後,您需要一步檢查以確認所需要的安全性功能是否已正常運作中,建議的做法如下:

  1. 啟動『Microsoft Forefront Protection 2010 for Exchange Server 管理主控台』管理工具。
  2. 從右側樹狀目錄中,按一下『儀表板』,先檢查儀表板上是否有任何警告(黃色)或錯誤(紅色)的訊息。
  3. 為了確認所有防毒引擎是否均為最新更新狀態並啟用正常使用中,所以您需要按一下中間窗格的『引擎』區塊並點選『引擎摘要』連結。
    fpe2010_1
  4. 請留意出現的引擎摘要對話方塊上的『使用中』和『已啟用更新』這二個欄位是否為『是』的狀態。
    fpe2010_engsummary

    Kaspersky 無法更新的問題
    一個管理人員常遭遇到的錯誤是卡巴斯基( Kaspersky)防毒無法更新的問題,這是因為內建於TMG光碟中的Forefront Protection 2010 for Exchange Server的Kaspersky更新引擎太舊,卡巴斯基網站上已不再支援此一舊版本的更新,所以您必需手動的更新您的卡巴斯基引擎為8版之後,它應讓就可以正常的更新。
    1. 請由右側網域下載 localenginemapping.cab 檔案 ( http://go.microsoft.com/fwlink/?LinkId=196982)
    2. 將下載回來的 localenginemapping.cab檔案拷貝至 C:\Program Files (x86)\Microsoft Forefront Protection for Exchange Server\Data\Engines\metadata 目錄下 (原先舊的檔案可直接加以覆蓋或備份一份)

  5. 接下來,請繼續確認優質垃圾郵件防護功能是否已啟動,您需要先由左側的樹狀目中一下『郵件原則』以進入郵件原則設定,然後再按一下『垃圾郵件防護功能-->設定』項目,則可於中間窗格內檢查是否已啟動了這項優質垃圾郵件防護功能。
    fpe2010_antispam1

測試郵件

接下來將實際使用OWA或Outlook來傳送一份有電腦病毒附件的郵件以及由網際網路寄送一封垃圾郵件來看看Forefront Protection 20101 for Exchange Server是否成功的攔截並做適當的處理。
首先,測試病毒的郵件。

  1. 我們將實際使用OWA或Outlook來傳送一份有電腦病毒附件的郵件以便觀察和確認您的Forefront Protection 2010 for Exchange Server可以成功的攔掉這一封有病毒的郵件,不過您需要一個病毒碼,這只需要到EICAR.org網址(http://www.eicar.org/86-0-Intended-use.html),即可取得測試用途的EICAR signature 病毒碼。
  2. 請用任何文書編輯器創造一個文字檔案,其內有拷貝如下的一行病毒簽署碼 (記得您需要先停用機器上的防毒軟體即時偵測功能以避免被視為正的必病毒檔而無法使用) :

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

  3. 接下來使用OWA或outlook 對外送出一封電子郵件,內含上述的檔案為其附件並且透過Exchange Server寄送出去。
    fpe2010_sendvirus
  4. 接下來請稍待一會,再度使用『Microsoft Forefront Protection 2010 for Exchange Server 管理主控台』管理工具,並按一下『事件』或『隔離』,
    fpe2010_event
    fpe2010_qu
  5. 由上圖可知,Forefront Protection 2010 for Exchange Server已成功的攔截此一有病毒簽署的郵件並將之隔離,等待管理員更進一步的處理。
  6. 緊接下來,您還需要測試Forefront Protection 2010 for Exchange Server的垃圾郵件防護功能,相同的,您可以先至Gtube.net網站 (http://gtube.net/),寫一封郵件內含下面一行 (記住此為獨立一行,不能有空白與Line Break的),然後從任何其它網域將郵件寄送到Exchange 系統的這部邊際傳輸伺服器:

    XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X

  7. 一旦寄出此郵件之後,正常的情況下,Forefront Protection 2010 for Exchange Server將會直接拒絕此信,所以您的信箱將會收到一封說明郵件無法送達的郵件。
  8. 為了實際測試Forefront Protection 2010 for Exchange Server,您可以自行把實際收到來自網際網路的垃圾郵件轉寄到您的Exchange系統,以便觀察Forefront Protection for Exchange Server垃圾郵件防護功能是否會攔截這些郵件並做何種處理 (拒絕、丟棄或隔離),不過由於預設上最重要的內容篩選(Content Filter)垃圾郵件方法並未啟用其事件記錄功能,所以您無法由事件記錄中看到被內容篩選法所過濾的郵件,因此為了能夠檢視所處理的垃圾郵件,強烈建議您需要從您可以藉由『原則管理-->通用設定-->進階選項』設定途徑來啟動內容篩選事件記錄功能。
    fpe2010_enable_cflog
  9. 最後,請檢視『事件』與『隔離』查看已被攔截下來的郵件。
    fpe2010_event2
    fpe2010_quaran