服务器管理丁作必须规范严谨,尤其在不是只有一位管理员的时候,11常管理工作包括:
服务器的定时重启。每台服务器保证每周重新启动一次。重新启动Z示要进行复查, 确认服务器已经启动了,确认服务器上的各项服务均恢复正常。对于没何启动起来或服务未 能及时恢复的情况要采取相应措施。前者可请求托管商的相关工作人员帮忙手丁?重新启动, 必要时可要求让连接上显示器确认是台已启动起来;际者需要远程登陆上服务器进行原因杳 找并根据原因尝试恢复服务。
服务器的安全、性能检査,每服务器至少保证每周登陆两次粗略检査两次。每次检
杳的结果要求进行登记在册。如需要使用…些工具进行检查,可肓接在e:tools 杳找到相 关T具。对于临时需要从网络上找的T具,首先将IE的安全级别调整到高,然后在网络上 进行查找,不要去任何不明站点下载,尽量选择如华军、天空等人型网站进行下载,下载后 确保当前杀毒软件U升级到最新版木,升级完毕后对下载的软件进行一次杀毒,确认正常示
方能使用。对于下载的新工具对以麻维护需要使用的话,将该工具保存到e:tools下,并在 该目录中的readme.txt文件中做好相应记录,记录该工具的名称,功能,使用方法。并且在 该文件夹屮的3?文件夹屮保留一份该工具的winni「压缩文件备份,设置解压密码。
3?服务器的数据备份工作,每服务器-至少保证每刀备份一次系统数据,
3?服务器的数据备份工作,
每服务器-至少保证每刀备份一次系统数据,
系统备份采用
ghost方式,对于ghost文件I占I定存放在e:ghost文件目录卞,文件名以备份的口期命名,如 O824.gho,每服务器至少保证每两周备份一次丿也川程序数据,每服务器至少保证每月备份一 次用户数据,备份的数据固定存放在e:databak文件夹,针对备种数据再建立对应的子文件 夹,如serv-u用八数据放在该文件夹下的servu文件夹下,iis站点数据存放在该文件夹下的
iis文件夹下。
4.服务器的监控工作,每天正常工作期间必须保证监视所有服务器状态,一旦发现服 务停止要及时采取相丿卫措施。对于发现服务停止,忡先检杳该服务器上同类世的服务是杳屮 断,如所有同类型的服务部己屮断及时登陆服务器杳看相关原I大I并针对该原因尝试重新开启 对应服务。
5?服务器的相关日志操作,每服务辭保证每月对相关LI志进行一次清理,清理前对应 的各项日志如应用程序日志、安全日志、系统日志等都应选择“保存日志駕所有的日志文件 统一保存在e:logs下,丿卫丿IJ程序口志保存在e:logsapp屮,系统程序口志保存在e:logssys屮, 安全口志保存在e:logssec屮。对于另外其他一些应用程序的口志,也按照这个方式进行处 理,如ftp的日志保存在e:logsftp中。所有的备份日志文件都以备份的日期命名,如evto对于不是单文件形式的LI志,在对应的记录位置下建立一个以口期命名的文 件夹,将这些文件存放在该文件夹屮。
6?服务器的补丁修补、应用程序更新工作,对于新出的漏洞补丁,应川程序方面的安 全更新-?定要在发现的第一时间给每服务器打上应用程序的补丁。
7.服务器的隐患检查工作,主要包括安全隐患、性能等方曲。每服务器必须保证每月 重点的单独检去一次。每次的检杳结果必须做好记录。
8?不定时的相关工作,每服务器由于应用软件更改或其他某原因需要女装新的应用程 序或卸载W川穆序等操作必须知会所冇管理员。
9.定期的管理密码更改工作,每服务器保证至少每两个月更改一次密码,对于SQL服 务器由于如果SQL采用混合验证更改系统管理员密码会影响数据库的使用则不予修改。
相关建议:对每服务器设立一个服务器管理记载,管理员每次野陆系统都应该在此中进 行详细的记录,共需要记录以下几项:登入时河,退出时间,登入时服务器状态[包含不明 进稈记录,端口连接状态,系统帐号状态,内存/CPU状态],详细操作情况记录[详细记录 下管理员登陆系统际的每一步操作。无论是远稈登陆操作还是物理接触操作都要进行记录, 然际将这些记录按照务服务器归档,按时间顺序報理好文档。
对于数据备份、服务器定时重启等操作建议将服务器分纟R,例如分成四纟每月的周六 晚备份一组服务器的数据,每周的某一天定时去重启一组的服务器,这样对于工作的开展比 较方便,这些属于固定性的工作。另外有些T作可以同步进行,如每月一次的数据备份、安 全检查和管理员密码修改工作,先进行数据备份,然示进行安全检查,再修改密码。对于需 要的即时操作如服务器补丁稈序的安装、服务器不左时的故障维护等工作,这些属于即时性 的工作,但是原则上即时性的工作不能影响固定工作的安排°
用Win 2003架设邮件服务器方案
2007-01-23 22:03:10|分类:默认分类|标签:|了号大中小订阅
很多企业局域网内都架设邮件服务器,川于进行公文发送和工作交流。但使川仪业的企业邮件系统软件 盂要大最的资金投入,这对于很多金业來说足无法承受的。其实我们町以通过Windows Server 2003提供 的POP3服务和SMTP服务架设小型邮件服务器來满足我们的需要。
一、安装POP3和SMTP服务组件
安装POP3服务组件
以系统管理员身份登录Windows Server 2003系统。依次进入“控制Ul(板一>添加或删除程序一>添加删 除Windows组件”,在弹出的“Windows组件向导”对话框中选中“电孑邮件服务”选项,点击“详细信息”按钮, 可以看到该选项包括两部分内容:POP3服务和POP3服务Web管理。为方便用户远程Web方式管理邮 件服务器,建议选屮“POP3服务Web管理”。
安装SMTP服务组件
选屮“应用程宇服务器”选项,点击“详细信息”按钮,接若在“Internet信息服务(IIS) ”选项屮杳看详细 信息,选屮“SMTP Service”选项,最后点击“确定”按钮。此外,如果用户需要对邮件服务器进行远程Web 管理,一定要选中“万维网服务”中的“远程管理(HTML) ”组件。完成以上设置后,点击“下一步”按钮,系 统就开始安装配置POP3和SMTP服务了。
二、 配置POP3服务器
1 .创建邮件域
点击“开始-管理工具-POP3服务”,弹出POP3服务控制台窗口。选中左栏中的POP3服务后,点 击右栏屮的“新域”,弹出“添加域”对话框,接肴在“域名”栏屮输入邮件服务?器的域名,也就是邮件地址“@” 后面的部分,如“”,最后点击“确池”按钮’其屮“”为在Internet I:注册的域名,并H该域名在DNS 服务器中设置了 MX邮件交换记录,解析到Windows Server 2003邮件服务器IP地址上。
2.创建用户邮箱
选屮刚才新建的“”域,在右栏屮点击“添加邮箱”,弹出添加邮箱对话框,在“邮箱名”栏中输入邮件 用户名,然后设置用户密码,最后点击“确定”按钮,完成邮箱的创建。
三、 配置SMTP服务器
完成POP3服务器的配置后,就可开始配買SMTP服务器了。点击“开始一>程序一>管理丁?具-Internet 信息服务(IIS)管理器”,在“IIS管理器”窗I I中右键点击“默认SMTP虚拟服务器”选项,在弹出的菜单中选 中“属性”,进入“默认SMTP虚拟服务器”窗口,切换到“常规”标签页,在“IP地址”下拉列表框中选中邮件服 务器的IP地址即可。点击“确定”按钮,这样一个简单的邮件服务器就架设完成了。
完成以上设置后,用户就可以使用邮件客户端软件连接邮件服务器进行邮件收发工作了。在设置邮件 客户端软件的SMTP和POP3服务器地址时,输入邮件服务器的域名“”即可。
四、 远程Web管理
Windows Server 2003还支持对邮件服务器的远程Web管理。在远端客户机屮,运行IE浏览?器,在
地址栏中输入“https: //服务器IP地址:8098”,将会弹出连接对话框,输入管理员用户名和密码,点击“确 定”按钮,即可登录Web管理界面。
第一章项目背景及意义
E-Mail 背景
E-Mail的安全隐患
1.2.1邮件的隐私性
1.2.2邮件的真实性
123邮件的认证性
1.2.4邮件的安全性
第二章先决条件和组织准备
2.1邮件服务器的运行环境
2.2邮件服务器的安装架设
第三章邮件安全管理与分析
3.1Win Mail Server 身份认证
3.2Win Mail Serve「传输加密
PGP 17
S/MIME
3.3垃圾邮件过滤
3.4邮件病毒过滤
3.5安全审计
LI志的审计
3.5.2主机的审计
3.5.3网络的审计
第四章个人心得
第五章结语
参考文献
第-?章项n背景及意义
随着网络通讯技术的不断发展,E-mail使川得越来越频繁,它是Internet屮最为流 行的一种通信形式,是一种通过网络与H他川户进行联系的简便、迅速、廉价的现代通讯方 式。它不但可以传送文本,还可以传递多媒体信息,如图像、声咅等.但是,同时也带来了 它的安全问题,垃圾邮件,邮件病毒,数据侦听,身份认证等问题口益严重,哄至导致公司 或企业严重的经济损失。所以,我们必须在邮件服务器上做好防备T作,让邮件发送的过程 屮不会插入第三者。电了邮件同氏它通信形式一样。通过电了邮件发送任何机密信息Z前先 要进行判断,这点很重要。因为在收到电了邮件Z前,它经过了许多服务器传送,他人很可 能拦截并阅读您的电了邮件。因此,我们要使川安全性措施来保护电了邮件的机密性和安全 性。
电了邮件的普及和丿M用,伴随而来的电了邮件安全方面问题也越來越多的引起人们的关 注。我们已经认识到电了邮件川户所面临的安全性风险变得口益严重。病毒、蠕虫、垃圾邮 件、网页仿冒欺诈、间谍软件和一系列更新、更复杂的攻击方法,使得电了邮件通信和电了 邮件基础结构的管理成为了一种更加具冇风险的行为。本论文通过电了邮件形成技术过程、 安全技术现状、电了邮件安全因素、技术提高安全性的主要途径等方面来研究一下。
E-Mail 背景
电子邮件,简称电邮,来自英文单词Electronic mail (即E-mail),是指通过网络传输 介质电了通讯系统进行书耳、发送和接收的信件。电了邮件是Internet上最早使川的服务Z 一,在互联网口益发展的今天,E-mail已经成为了现在企业界不可少的沟通T具。下面是E ■Mail的简单通讯过程。(图1.1)
客户端通过pop「
客户端通过pop「 服务器来接收A发 来的邮件
SMTP
E-mail服务器 、、POP3】
E-mail传送及接收图a
发送者通过s\np发送一份、 邮件给B,必须通过E?Mail SMTP服务器来发送
图1」
客户端A
E-Mail的安全隐患
1.2.1邮件的隐私性
电了邮件是通过网络介质来传播的,当你在internet ±发送邮件的时候,它是通过明 文封装来传输的,很容易受到来白网络上的监听。攻击者只要使用简单的监测软件(如超级 网管)就能截获网络上传输的数据包,获得邮件的内容,这使我们的隐私受到了威胁。
1.2.2邮件的真实性
电了邮件在发送过稈屮如果被人截取到了,那就意味着你的电子邮件真实性的问题, 会不会是被人改了再发送过来的,而且攻击者这样做往往是有目的的,这样有时候会给双方 造成很大的误会和损失。
1.2.3邮件的认证性
既然黑客能够截取并修改我们的电了邮件,那么,他会不会把发信人的名字改成别人 的名字呢,例如:A发给B—封信,C是黑客,他想让B不知道这封信是A发的,就改了 发信人的名字为D,当B接到信的时候,往往就会认为这封信是D发给他的。这个例了也 说明了,邮件如果没冇身份认证冇可能会产生张冠亍戴的事情,这样冇时也会造成重大损失。
1.2.4邮件的安全性
所有邮件都是通过邮件服务器来转发的,因此,邮件服务器的安全问题变得严峻起 来,黑客的攻山、病毒的感染、发件人的群发,乱发(垃圾邮件)等等问题部要求邮件服务 器必需要有一个安全稳定的运行环境。随着网络技术的快速发展,这些问题都上升为邮件系 统的核心技术问题。
第二章先决条件和组织准备
2.1邮件服务器的运行环境
每一种邮件服务器都有它运作的需求,Win maik U-maik Send-mail> Exchange等部有它 们不同的运行平台需求,需求的程度和Mail服务器的功能有关,下面以Win Mail來说明一 下,Win Mail Server是大多数中、小企业所使用的Mail服务器,最新版本为Win Mail Server 4.4,它的功能比较全,也支持Web mail访问方式,要安装Win mail必需具备以下条件:
要用来做Mail服务器的服务器最少要达到中等服务器需求。
Mail服务器必需运行Windows操作系统。
该操作系统必需安装IIS 6.0或以上版木。
该操作系统最好安装.NET Framework 2.0或以上版木。
该操作系统必需安装PHP扩展访问。
该操作系统时间必需和internet上的时间相同。
2.2邮件服务器的安装架设
当邮件服务器的运行环境符合需求ZfTi,就可以开始安装Win Mail Server?,安装过程如
WinmailSERVERv V騁使用肮71 I-il Server安養
Winmail
SERVER
v V
騁使用肮71 I-il Server安養
图2.2.1软件会检测系统是否符合Win Mail Server的安
比程序将安装Wimail fl<11 Strvtr 4 3到您的计算机 中?
强烈建议您在继续安装N前关闭其他所吉正在运行的程 序,以遅免安装过程中可能产生的相弐沖突
单击[下一步】继幼安範或单击〔取刚退岀安装程序
图 2.2.2
叩 安裝
叩 安裝■ VirvKil l -I |x在继续安裝之前"诸阅读下面的重要信息 诸细问渎下面的便用许可协议 > 您必须在纸续安装Z前接受本协议 至拓用户软件许可协议 许可: -I |x 华黄商务网络科技有限公司"将本软件程序的使用权授予您.但您必 步向本公司作以下保证:不在本协议规定的条款之外 > 使用.拷贝.修 改、相贺或转让本系统戒更中的任一部份. 您俣证: 1.只在一台机黯上使用本系统; 议? <上一步(1)|下一步@)>〕 I0 <上一步(1)|下一步@)>〕 I0 丄*、2z ,^r 图2.2.3接受条款 帖)安裳? Yintcxl Nul Server 在樂续安集N前,诘先SJ读下面的重要信息 准备好后,单击rr一步】 Yiwwtil Bail Server 乂安全易用全功定的郎件眼务鹫玫件.不仅支 ^2nP/P0P3/II!AP/¥ 运行环境 d 图2.2.4运行说明 用尸<5且 语辐入侮的佰JB 用戶名称Q): 公 司Q): acJcx 图2.2.5填耳用户名 僧丘捷-Ywl lUil Sarrwr 逢择目标文件矣 址惟备辂V^il Strver安获到剛里 丿茸严—3 S…“文帜十tr |E \Progrs Pil?髯\D?&ic 安我本软件至少需要4 1 MB您盘空间 <上_步Q) I下一怖00 l! 诩W?| 炉r^y— 图2.2.6选择目录 Vail ServerP鞭筠零程序□ ?5mra遙择刎件桁准备尬郸删件 Vail Server P鞭筠零程序□ ?5mra 遙择刎件桁准备尬郸删件 当前恳顶至少需要51 1 ?B轲余谢2主间 <上 步@) |下一步Q) > | 逢痒空准备安峡的爼件;点敏不想安曲呦件?惟各好后卑击【下一步】織 图2.2.7选择纽.件 昭环-Vimail Mui Server 豐欝备在安镀Virncil ? 职务38荽型: 「单號运行 当配总文件已存正时: 「昭療WIHt e俣目廉頁A己爰 快隨方式: V在?而创能快建方式 厂在快逮启动栏创連快捷方式 -=? : r C上二步Q) 1 L 下一步 QP > | 9lrt? ■ a “,徑羊-加■二严..卜 图2.2.8选择任务 用户值@: ZN>nH目的目*:■ AProcrs 7il?s\N 用户值@: Z N>nH 目的目*: ■ AProcrs 7il?s\N L 〔安湛】序. 3击【上一步】迈回更改刚才的设誉 Sil 昨仗”. eXMLTIt e is^n ?□ 如 ■录用户IBP45 c1 安笊? Yiw^il R nr备安爹 安狱程厚已矗釜好贰 IhsM fi.a Server劲燈的计U机叽 图2.2.9按安装完成安装 安装完成Z丿丘,把光标移到任务管理器上,会显示WinMail Mail Server is running.,这 说明邮件服务器已经在运行,双击可以打开邮件服务器管理T具:如图(2.2.10) 图2.2.10邮件服务器管理器 ::系统设置D t> A>n更改岳碍 仓授权信魁Q ::系统设置 D t> A> n更改岳碍 仓授权信魁 Q)域名应畫 (V用尸和姐 系统状态O系妖曰志 <幣肋 ◎系统眼务 fiSHTTP 设 g 助邮件过谑 Internet 设2E 矗邮件网关 ?计划任务 0爲级设査 Q公共邮件夹 ^JSSUTLS 证书 f■防炳亟设査 匕短消JS通知 U不妖备份 图2.2.11登录麻能看到备项功能 第三章邮件安全管理与分析 3.1Win Mail Server 身份认证 原来安装好的Win mail用WEB浏览器浏览的效果如下图:(341) cP Winmail c P Winmail 文儈? miai (v) ma> 鞄摘op O =it?i ? J「: 鼓事 《■莫 MtttQ) I ? "! ?『! ?"■」’ 图 3.1.1 数字签名采用具有法律总义的传统签名的数字形式,它使用的技术是公开密钥加密技术和报 文分解函数相结合,提供的安全功能包括有: 身份认证 认可性 数据完整性 CA是Certificate Authority的缩写,是认证屮心的意思。为了保证客户2间的网上传 递信息的安全性、真实性、可靠性、完隸性和不可抵赖性,就需要对客户的少份真实性进行 验证。 安装CA证书服务使用户无法冒充他人发信,安装流程如下: 打开控制面板——添加或删除程序——添加删除Windows组件——钩上证书服务——下 一步开始安装 CA M AM?SK CA ?a. 2 -4 111C ? 广介业儿■ CH?) 「沁根eg) 广 ttSA* CAtt) ca ftwatr 金w覺aa ca. ca iK?w. 厂 W0?x?t±w 厂 W0?x?t±w Ft*4o?wi專并阿聲 It CA的公用名称C) aj^?S?6SQ): ri iRNGM 入跖KS CA的(!■? K 和IC"?a 图3.1.3写上CA的公丿IJ名称 阳件 设!I 血玉g)| r特存fl庄共享文悴奂 图3.1.4证书数据悴路径 Microsoft证书服务 要完成安装 > 证书服务必须暂时停止Internet信息服务。您要现在停止服务码 图345点堤” 图3.1.6放入系统光盘,安装过稈中 ffli crosoft证书服务 图3.1.7到此安装完成 0 2JZJ £ ■ C? □ a E~?聊务1C互用&尊 A 3电运E务 1*J Viero&tfl SQL S $ El g b| SOL Strwr ftSWefJfJ Iatem?t d]| 糾A用用程序41 曰卫Bt Q?KURtt "A/ Aut^iiscov^ ± i rrs £ E?.So Q EKCh?M< jf、屮 Exdnreb I 丄■iCTtMft-l VURU ?!S 出丈件q 沧作3) ) ■口 d)袒肪qp 受膏证Wg… 話安全性 ? Exdnreb 丄 llCTtMft- "OAB ?A| or. X PqUy V tsve^ 3 Utu£i?a.k A CrrtSrr .CtrtC*atro | ? Ca 皿 oil: 丿?■pn?Q_ch if witmsww a 湊用□壇壕或感名援园強 A 拒绝忖殳it的山冋? im花证趣 ▲ y 允许9[名访河艮舷 MJlidihO 安金MOI =3胃翳靶上范全咏初用客匣二 申 | ISATI 艇整I主H录I文档 HTTT > 目定义加 I 0 m 图 3.1.8 -lai x文件足)逅倫砂格式? -lai x 文件足)逅倫砂格式? 羽肋op US证书向耳 巌隽S8迁书 以下是为网站分配证弟的方法. 遶择此网站使用的方法 a豹蜒鱼◎】! r分配现有证利?. C从巒钥曾理钢备份文件导入证弟Q)? 「从文件导入证韦a)? c将远程巌务聘站点的证祜复制或務动到比站点a)? <上一步@)|下一步a) >1 取消 r 7 3比##*3> 2 at孑疋:k 图 3.1.9 要使用E-mail服务器WEB页面通过SSL安全通道来访问,要在IIS是安装服务器证书! 选择安装证书示会生成一个txt文件,如图 BEGIN NEW CERTIFICATE REQUEST MIID0TCCAqICAQAwXjELMAkGA1UEBhMCQ04xDzANBgNUBAgeBl5/Thx3ATEPHA0G A1UEBx4GXn9d3l4CMQOwCwYDUQQKEwRpbnRuMQi A1UEAxbFbWlUd3MwgZ8u>OQVJKoZIhUCNAQEBBQADgVOAHIGJAoGBAHt1bluAcJqk TDh3dX2*c31eUTPXnWHKDgF80?XDDqUR*2WJ1n1nBDQX/7P5drUxeGf:0Jo1(1CFE* 2UQdmzqoGX/QhY8ZCTU1xDoyogNUoiDaTsH2ULNsaoCp8eiJFo8KLLI RAYJKoZIhucNAQkPBDcwNTA0BggqhkiG9w0DAglCAlAwDgVlKoZlhucNAuQCAgCA MAcGBSsOAwIHMAoGCCqGSIb3DQMHM8MGA1UdJQQNNAoGCCsGAQUFBuHBHIH9Bgor BgEEAYI3DQlCMVHuMIHrAgEBHloATQBpAGMncgBuAHNAbwBnAHQAIABSAFHAQQAg AFHAQvj8oAGEAbgBuAGUAbAAgAEMAcgB5AHAAdftBuAGcAcgBhAHAAaABpAGHAinBQ AHIAbvj82AGkAZABlAHIDgYkAAAAAAAAAAAAAAAAAAAAAAnAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAADAN8gkqhkiG9w06AQUFAA0BgQBy983pnSVQn4sKixLV6/03bID8 SLuKUahntKZZbTOFSoCXaEdSFZgSjeqKZczqlZuXiKSKotcKaSkKfOqURQhludVHZ a0X8fEFPkrzr5VtTCdCLDLarEHafb0XKuSEKT6hH91Z/dH44jHDTSpqncHlpTTU8 pu3ZQxz7aEUZHMyPZA? END NEW CERTIFICATE REQUEST 图 3.1.10 Vicroi?f< ■lerc^iolt Et>lw 丈悴 a> >?(Y) ES) IAO ■肋 QP 览址 8)f^hUy^/lT2 I16 166 13/c?r tirv/4*faolt pBicrcsQft 览址 8)f^hUy^/lT2 I 16 166 13/c?r tirv/4*faolt p 欢迎 d £]便用此网站为想的Meb浏更藝.电子邮件客户蟻衣具他程序申歯一个证书.通过使用证书.想可以问連过 Web通信的人确认恋的身粒.签書并加密邮件,并且.根18址申溝的证书的妾型.埶行其他安全任务? d £] 有关证书眼务的详细信息.it卷阅证书駅务文栏逡抒一个任务:申请一个证书豊看拴3证书里it的状态 下敦一个CA证苏证书健实CRL图3?1 有关证书眼务的详细信息.it卷阅证书駅务文栏 逡抒一个任务: 申请一个证书豊看拴3证书里it的状态 下敦一个CA证苏证书健实CRL 图3?1?"在CA服务器上申请一个证书,把刚刚生成的certreq.txt内容写到证书申请上 winks 星交一个证书申诵或埃订申请 娶建交一个保存的申试列CA.在夂保存的申请"惟中帖贴一个由外部原(如Heb服务器)生成的base-64 绸码的OK荻PKCS #10证书申询戒PKCS <7集订申请? 虫迩:更宿人的戈仟. Bs64埸函的 证书*诵 (CK Jft PKCS 910 政PKC5 f7): 图3.1.12点提交屮请,这时CA服务器上会有一个挂起的证书 文件a)FT删Q)#M0)扩良Q)?& 出二adMqp血证鞘舷机构诧堆)■I用?TJ 文件a) FT 删Q) #M0) 扩良Q)?& 出二adMqp 血证鞘舷机构诧堆) ■I用?TJ证书 _|舷的证书 _| 的 图3413点颁发证书,我们就可以在证书首页卜?载到我们的服务器证书了 HS证书向号 处理挂起的请求遇过检索包含证书成发机构啊应的文件乘处理挂起的证书话求. 输入包含证书须发机构呃1?的文件的路径和名称. 路径和文件名(Z):|1 \Docwents gd Sottings\mnks\廩面\cortn刊 c?r 图3.1.14接着到IIS±导入证书,这样以品要访问邮件服务器就必需通过安全通道来访问 了如下图: 玄幷, ma(i> stQfi 紗?w xa Mhv 和僵二5?. m忍目f?亠■ ?PC£i3rtff)J!£M£r?ltTV GSU ■吞tttfll. C 沖妳壮隽AJMIH > tttfll. C 沖妳壮隽AJMIH > nr Z nwn”"?Knr inwtw 4l?tflJT?n: ? z■”〃 ?w w? ?3433 H"严严"7汕图 3.1.15登录邮件服务器,试发一下邮件,同时开着超级网管侦测软件Winmail■AWMtft Xatmet卜 IZZZad b atXA?i 轨⑨" ?3433 H"严严"7汕 图 3.1.15 登录邮件服务器,试发一下邮件,同时开着超级网管侦测软件 Winmail ■AWMtft Xatmet 卜 IZZZ ad b atXA?i 轨⑨" ^?naQ 彳 AW? 翥 e?z> (BeaMiR 畑" A High performance cJlc 0< 」?环介 Q 穹用?" pm 今?■冃Q 个 AMUt. ?丿 XtB| ■夕] <9^0 com [ ■ 」|■血M0gt J 乞.「MtfGJMZ?:兰M?LM=J 海心邑“c ? / y *^0 3 = ■△心丽竝~32JIV口 ■ ■ ■ if := a a 厂 亦■ ^xwttxn 图3.1.16开始发送邮件 数据内容 数据内容 ?fix {/*鑛侄瑋錄桶〃女由h澈闊厶培*/wor...彳 l;}.red{/*鐸园孩鑽動砒浣搅〃鑿聊/cold. ? 图 3.1.17 会得到像这样的乱码文件! SSL加密能不让第三者侦听到我们所发邮件的内容! 我们也可以川Win Mail自带的SSL证书,在管理工具可以找到,如图: 沁“ h <2 ?Ki?a::SS5LSif 节e WTT ? "mt4 哄 沁“ h <2 ?Ki?a ::SS5LSif 节 e WTT ? "mt 4 哄 ■计 if (Q £Rd"實 (>?■ n M?an Tbbw “ ? *)心占.A ■用戶08 ?WNIPTW ?給音& ■用户她?空 0么貝X" ?titre wj terv?r n (M u a or:巳鼻M 图 3.1.18 3.2Win Mail Server 传输加密 安全电了邮件技术是指在源和目标计算机之间建立一条逻辑链路连接,其屮经过的 线路不予考虑,保证了邮件在从发出到接收的幣个过程屮,内容保密,无法修改,并且不可 否认(privacy, integrity, non-repudiation),其减少了邮件传递过稈屮环节,保证了电子 邮件的安全性。目前,在Internet ±,有两套成型的端到端的安全电子邮件标准:PGP和 S/MIMEo 3.2.1 PGP PGP是Pretty Good Privacy的简称,是一种长期在学术界和技术圈内得到广泛使用的邮 件安全标准。其特点是通过单向散列算法对邮件进行签名,以保证邮件内容无法修改,使用 公钥和私钥技术保证邮件内容保密并且不可否认。发信人与收信人的公钥都放在公开的地 方,如FTRWEB站点,而公钥木身地权威性,则可以由第三方、特别是收信人很熟悉或信 任的第三方进行签名和认证,没有统一的集中的机构进行公钥和私钥的签发。即在PGP系 统屮,信任刚是双方Z间的盲接关系,或是通过第三者、笫四者等的间接关系,但任意两方 Z间全都是对等的,整个信任关系构成网状的结构,这就是所谓的Web of Trust T o 凶PGP加密发E-Mail 凶 Key Geneiation Piogiess Key generation can invoke mdtipie etep2 Some of these 刘合ps m削 leqijie teveial mnutes io compteie Ke^ gene Genetatmg Key Generating Subkey Cunent $Utu$ Done Owrafi pco^rets: 图3.2.1先用PGPd成自己的密钥对 Filt Edit Vitw Keys Server Groxipx Help a|? j > ce u a Truxtl Size Description T7777 2048/1024 DH/DSS k?y p■话 User ID DSS exportable 2048/1024 DH/DSS key pH User ID DSS exportable i <1、红 Cxi ■ohon^Qniink、indo.? < "二 小红 Gi ?ohon^Qrtdnks irt 3 % 二—I 图3.2.2密钥对已生成 图3.2.3导出公钥 Encodinc File(s)... 图3.2.4用收件人的公钥进行数字签名。 这样,就可以通过发件箱上的插入数字签名选项来发送邮件了。 3.2.2 S/MIME S/MIME 是 Secure Multi —Part Inter Mail Extension 地简称。它是 PEM (Privacy Enhanced Mail)和MIME (Internet邮件地附件标准)发展来的。和PGP —样,S/MIME也利用单向 散列算法和私钥与公钥的加密体系。与PGP不同主要有两点:1,它的认证机制依赖层次 结构的证书和认证机构,所以下一级的纽织和个人的证书市上一级的组织负责认证,而最上 --级的组织(根证书)之间是相互认证的,整个信任关系基本是树形状的,这就是Tree of Trust。英次,S/MIME将信件内容加密签名丿订作为特殊的附件传送。S/MIME的证书格式也 采用X.509,但与一般浏览器网上购物使用的SSL证书还有一定差异,支持的厂商相对少 一些。在国外,Derision免费向个人提供S/MIME电了邮件证书;在国内也有公司提供支持 该标准的产品。而在客户端这,Netscape Messenger和Microsoft Outlook部绘支持S/MIME 在Win Mail中起用S/MIME这样也可以通过S/MIME发邮件! 3.3垃圾邮件过滤 设置SMTP过滤限制 防止无限制转发。所谓无限制转发,就是任何人都可以使川您的服务器发送邮件。邮件系统 安装完成示,…定要检杳是否己经启用了发信认证功能,以防止别人借用您的机器来转发邮 件。在“SMTP设置”?>“基木参数”屮设置。发件人和认证用户必须一致:发件人和认证用户 必须是同一邮箱帐号。可以有效防止系统内没有权限外发的用户借用有权限外发的帐号来发 邮件。 ::SMTPiftflQif | ::SMTPiftfl Qif | 畀*■底 I I 收件人I I /!任主Han 1 xed/ehjj Qtf | 外I ?N失 F 启WKO/5T d¥Eff士mu处RS?饌血) ▽ &件人OU证用P0?一ft P以#*烦中感WE机证 R7 待 K T?F W种 R7 待 K T?F W种3D成■? * 15 启冃 ZSl/TLS ild& JB用 >in/inw ?令 图3.3.1发件人/收件人过滤 ■?e8t larn ?t ■?e8t larn ?t 笈停人■名? F: SMTP设麗 图 3.3.2 2^99 sm ?it I弄倉期51时人Ft | 2^99 sm ?it I弄倉期51时人Ft |收件人垃"I九|么任主flan | meld/ihuj位酒|外:邮代長I rjuwl ifttt 養-fttifr!*- / ?事握LIT 4>> E用/撲止IU山貳KU功童 ::SMTPift? 1) SMTP高级过滤 P尤许IUL ?令中岀&2堆址9UL IBM O) P FTP iiae ? 3?代堆址的■砒 P 110 DRS检豊心■郎炜壇址中的诚名 P ■仟最燥斬育件时"彷融018蓦苦存在 p Kzuj/iHu 主nW的▲ teu K 记录 b c?匚二I SEismn ip 览w F兰!JJL主住烹9? ■松交歿件乂心 > < P JFffi -HUjO/DLO lilt-中列地 KIUVEKLO 的主札& P E用 STI Sander Policy Ite?rrsrk)苕 jf P UIL ra ?令与a处?的 TK? Tftttlt-? P Is* ?CTT TO g号/!岁中 TO/Cr/?eliv?xe?T?/Re 图 3.3.3 2) 邮件过滤 过滤规则过滤。用八可以根据实际收到的邮件情况,来决泄对某些邮件进行过滤。可以通过 分析邮件屮发件人,收件人,抄送,主题,Received,邮件头,邮件内容是否满足设定的 规则。用户可以通过Web Mail来增加,删除及修改自己的过滤规则。在用户Web Mail的 “配置箱”?>“邮件过滤”屮设置。 图 3.3.4 ?< 2箇件没有耒冷的件在时異食"■件JO! ?8A £S ?< 2箇件没有耒冷的件在时異食"■件 JO! ?8A £S MLr□ mgp in陨iliiMMK om)3C9 11 os 6 sff Kb2 SpamAssassin过滤。SpamAssassin使用匹配规则来标识可能是垃圾邮件的邮件,采用 了一种概率统计的、基于分数的方法来对消息分类,SpamAssassin还使川了称为白动筛选 (auto-white listing)的统计技术,来了解您收到邮件的特征,并使用它来调整垃圾邮件的 分数。点卅启用垃圾邮件过滤功能,邮件系统将会启用Spam Assassin来检杳接收到的邮 件,如果被判断为垃圾邮件的邮件会「I动将其转存“垃圾邮件”邮 SpamAssassm^M^^t E用瞬累用] 当SpamAssassinM件过海启用昭 降件劇治辂用2垃剝跆的邯件目动友到这个文枠中并且曾砂 啪賣宅I締目动辂茎*曲. 图 3.3.5 垃圾邮件隔离垃圾邮件隔离为被标识为垃圾邮件的邮件和不应传递到组织内用 户邮箱的邮件提供临时存储位置。垃圾邮件隔离功能在内容筛选处理期间是可用的。被标识 为垃圾邮件的邮件在未送达报告(NDR)中反转,并在组织内传递到垃圾邮件隔离邮箱。管 理员可以管理传递到垃圾邮件隔离邮箱的邮件,也可以采取适当的操作,例如,删除邮件, 或在反垃圾邮件筛选屮允许标记为误报的邮件路由到他们的预期收件人。 例如Exchange 2007环境启用两层反垃圾邮件隔离功能。第一,管理员可以访问位于外围 网络的反垃圾邮件隔离邮箱。通过使川Outlook,管理员时以访问垃圾邮件隔离邮箱来搜索 邮件、将邮件发送到预期收件人或拒绝并删除邮件。具有管理员定义为边界线的SCL分级 的邮件可以被发送到Outlook屮用户的垃圾邮件文件夹。将边界线邮件转换为纯文木以便 获得额外保护,然示再将其发送到用户的垃圾邮件文件夹。 收件人筛选 使丿IJ Win Mail服务,现在可以启用收件人筛选代理来执行收件人查询,从而 可以阻止发送到不存在的用户或仅内部通讯组列表的邮件。另外,在Win Mail Server中, 可以在每个入站接收连接器上配置缓送间隔。 发件人ID发件人ID通过检查发件人IP地址并将该IP地址与发件人公共域名系统 (DNS)服务器屮的发件人ID记录进行比较,验证是否毎个电了邮件部来|j邮件声称来H 的Internet域。发件人的公共DNS服务器上的发件人ID记录是发送方策略框架(SPF) 记录。SPF定义IP地址,该 IP地址被授权可为SPF记录驻留的域发送邮件。接收系统查询SPF记录并返冋“Pass” 状态时,接收系统有不会被合法发件人欺骗的更高保证。可以指定发件人ID代理如何处理 临时错误,例如,执行SPF查询时出现的DNS故障。 发件人信誉发件人信誉使用专利Microsoft技术来计算未知发件人的可信度。发件人信誉 从简单邮件传输协议(SMTP)会话、邮件内容、发件人ID验证和一般发件人行为收集分 析数据,并创建发件人特征的历史记录。发件人信誉使用该知识来确定是否应该将发件人临 时添加到阻止发件人列表屮。 IP信誉服务 由Win Mail向客户提供的IP阻止列表。除了其他实时阻止列表服务,管理 员可以选择实现并使用IP信誉服务。 3.4邮件病毒过滤 Win Mail能与操作系统上装的杀毒软件(支持几乎所冇的杀毒引擎)进行整合, 扫描来往邮件,侑效的隔离和清除带毒邮件。也可以“防病毒设置”亠“防病毒引擎”屮设置使 用何种方式来检测试病毒邮件。 曲?■引事| I血?如|r 曲?■引事| I血?如|r Ilf ? IrttMWv Aotl*? 图341在使川命令行程序的下面,可以选屮操作系统里安装的杀毒软件的程序。::防■參尤许EHfr「■ F 的* TM)UTkiWM 图341在使川命令行程序的下面,可以选屮操作系统里安装的杀毒软件的程序。 ::防 ■參尤许EHfr「■ F 的* TM)UTkiWM 两 o (D ?和tn p 血H氏 的 r P rile “■? Ut fll?B rn? ?■? ? ceo aw nu> File as? ? Cfd CTL fll?B File ? >Vi Vtyt?l Bwitc ■cri." File CXSXD wilMv<>4l?ty File ? ix ? D心《1Q? M19M ▼i】?― nr s” rtla ? ■》? MN fil?t Fi 1?■■? ? 411 rax fii File —? ? eye STS fll*B h】?■■? ? 01V filet File — ■ ^4 rw r*“ Fil? ?■? ? >et KMT fll?B Ftl?■■? 】■ ? D?S】? ?m IIP T^e C1X iHulMrUa?ty WO S? ?uiic/r-widt ?611 rl”rO?W 图 3.4.2 ::防侑壽设Jf 隱?■引?I 咋I ■告 P £ ■件宣W.雄 P !S?件包含开合牧吃事曲则件 強如 P Jt嗟■甘■种◎则看P妄i£il,■注丛嘶* 图 3.4.3 利用ISA防火墙进行过滤, 安全套接层(SSL)桥接支持 ■出 0J Kcretatl Um?< S?cw、 ■出 0 J Kcretatl Um?< S?cw、 y z?!?<* WWi ■2 ?e》>?<¥> ■■(!>o - 0 世 W 03 《上一金Q) |下一歩9 >| ?XI JSFHtai 穹..nnnm仙 /F^y" /ws?\ winA?a^#?Fns; x*dt 图 3.4.4 为了进行经过身份验证和加密的客户端访|nj, ISA Server通过使用SSL到SSL的桥接提 供了端到端的安全和丿M川层筛选。这意味着,在加密数据到达Win Mail服务器Z前将对该 数据进行检查。ISA Server防火墙将解密SSL流,然后执行状态检杳,Z后重新加密数 据,并将它转发到已发布的Web服务器。状态检查是工作于网络层的防火墙体系结构。不 像静态数据包筛选(它基于数据包头中的信息对数据包进行检杳),状态检杳将跟踪穿过所 冇防火墙接口的每个连接,并确保它们是冇效的。 3.5安全审计 3.5.1 □志的审计 II志的审计目的是要收集日志,通过SNMP、SYSLOG. OPSEC或者其他的I I志接口从各 种网络设备、服务器、川户电脑、数据库、丿迸川系统和网络安全设备中收集口志,进行统一 管理、分析和报警。 n累垛信忌 a肉舷世昼 用眼用户和组 国御系统状态 日。舷日志 SI SYSTM 咏折日志) 鱼J SBTP 悯 Secure SMTP ?御 POP3 鱼 Secure POP3 ?働 INAP 应 Stcure IMAP 也QVIUI歙列日志) j r 应 YZBRAIL ::系统日志*JSYSTBI係统日志) 创 SMTT j§|Secure S?TP 鱼| POP3Secure POP3 刮 IMAP ::系统日志 *JSYSTBI係统日志) 创 SMTT j§|Secure S?TP 鱼| POP3 Secure POP3 刮 IMAP Secure FTP^Jatwik Secure FTP RSISADRIM ?衲肋 图 3.5.2主机的审计 主机的审计通过在服务器、用户电脑或其他审计对彖屮安装客户端的方式来进行审计, 可达到审计安全漏洞、审计合法和非法或入侵操作、监控上网行为和内容以及向外拷贝文件 行为、监控用户非丁?作行为等日的。根据该定义,事实上主机审计已经包括了主机口志审计、 主机漏洞扫描产品、主机防火墙和主机IDS/IPS的安全审计功能、主机上网和上机行为监 控等类型的产品。 3.5.3网络的审计 网络的审计通过旁路和串接的方式实现对网络数据包的捕获,而且进行协议分析和还原,对 达到审计服务器、用户电脑、数据库、应用系统的审计安全漏洞、合法和非法或入侵操作、 监控上网行为和内容、监控用户非工作行为等日的。根据该定义,事实上网络审计己经包括 了网络漏洞扫描产品、防火墙和IDS/IPS屮的安全审计功能、互联网行为监控等类型的产 针对典熨网络坏境下的备个审计对彖的安全审计需求,结合以上的安全审计解决方案,我们 可以得岀以下审计对象和解决方案表。 表审计对象和解决方案表 TOC \o "1-5" \h \z 网络设备 1 HYPERLINK \l "bookmark6"E-mail服务器 1 1 1 用户电脑 1 1 1 数据库 1 1 1 我们可以看到这三种审计方案Z间的关系:口志审计的目的是口志收集和分析,它要以其他 审计对彖生成的口志为基础。而主机审计和网络审计这两种解决方案就是生成口志的最重要 的技术方法。主机审计和网络审计的方案各有优缺点, 我们要集合三种审计的优缺点,对E?mail服务器进行每天的维护与检测,这样才能做到按 部就班,一U出现问题就能很快杏出原因并解决! 第四章个人心得 这些口了通过到网上搜索资料,整理资料。做实验,我已经深深的体会到邮件服务器的安全 在口常生活屮是多少的重要,它是大,屮金业里不可缺少的重要因索,要学好和做出邮件服 务器的安全不是件容易的事,要经过深入的研究,实践,他不但是邮件的安全,还有网络的 安全,服务器的安全也是它必不可少的支柱。 第五章结语 邮件服务器的安全管理方案在现在网络上已经形成了一种必不可少的因素,大多数企业和只 它机构的主要通讯都是通过E-mail来完成,E?mail的方便,性同时也带来了它的安全,性,就 因为他是通过SMTP在网络发送,虽然有OSI七层系统的封装,可是网络的开放性往往会 产生很多漏洞。黑客们就是利川这些漏洞来进行攻击,盗取,破坏,假冒的,所以我们要通 过安全的手段来把邮件服务器的安全搞好,让E-mail发件者能行个好冇网络mail环境,能 防止企业带来不必要的损失。 参考文献 .李思齐.书名:《服务器配置全攻略》 清华大学出版社 ?雷咏梅,赵霖.书名:《计算机网络信息安全保密技术》清华大学出版社 . Winmail 公司.网址:/ Magic Winmail Server