上傳人：7***

認(rèn)證信息

認(rèn)證類型：個(gè)人認(rèn)證

認(rèn)證主體：雷**（實(shí)名認(rèn)證）

IP屬地：湖北

IP屬地：湖北 上傳時(shí)間：2022-03-03 格式：DOC 頁(yè)數(shù)：31 大小：1.09MB 積分：25 舉報(bào) 版權(quán)申訴

1、在 Exchange2003 環(huán)境中抑制和阻止通過(guò)電子郵件傳輸?shù)牟《井a(chǎn)品版本：審閱者：最新動(dòng)態(tài)：作者：發(fā)布日期：Exchange Server 2003Exchange 產(chǎn)品開(kāi)發(fā)組John Speare2004 年 5 月版權(quán)所有本文檔中的信息（包括引用的 URL 和其他 Internet 網(wǎng)站）如有變更，恕不另行通知。除非特別聲明，本文檔中提及的示例公司、組織、產(chǎn)品、域名、電子郵件地址、徽標(biāo)、人物、地點(diǎn)和事件純屬虛構(gòu)，無(wú)意與任何真實(shí)的公司、組織、產(chǎn)品、域名、電子郵件地址、徽標(biāo)、人物、地點(diǎn)或事件有任何關(guān)聯(lián)，也不應(yīng)進(jìn)行這方面的推斷。遵守所有適用的版權(quán)法是用戶的責(zé)任。 Microsoft 的專利、

2、專利申請(qǐng)、商標(biāo)、版權(quán)或其他知識(shí)產(chǎn)權(quán)可能涉及本文檔中的版權(quán)問(wèn)題。除非 Microsoft 的書(shū)面許可協(xié)議做出了明確規(guī)定，提供本文檔并不意味著賦予您這些專利、專利申請(qǐng)、商標(biāo)、版權(quán)或其他知識(shí)產(chǎn)權(quán)的任何許可。 2004 Microsoft Corporation. 保留所有權(quán)利。Microsoft、Active Directory、Outlook、Windows、Windows NT 和 Windows Server 2003 是 Microsoft Corporation 在美國(guó)和/或其他國(guó)家/地區(qū)的注冊(cè)商標(biāo)或商標(biāo)。本文檔中提到的真實(shí)公司和產(chǎn)品名稱可能是其各自所有者的商標(biāo)。感謝項(xiàng)目編輯：Alison

3、 Hirsch參與編輯：Lee Ross參與編寫(xiě)：Ross Smith IV技術(shù)審核：Alan Abrahams、Simon Attwell、Karim Batthish、Rich Benack、Tom Frankum、Chris Graham、Harry Katz、Dennis Morgan、Michael Nelte、Ross Smith IV、Michael Surkan、Mark Swift圖形設(shè)計(jì)：Kristie Smith制作：Joe Orzech、Sean Pohtilla目錄 簡(jiǎn)介1推薦的操作和配置3了解惡意軟件和 Microsoft 安全布告3臺(tái)式機(jī)客戶端的配置4配置 Win

4、dows 防火墻或其他個(gè)人防火墻軟件4執(zhí)行相應(yīng)的步驟以保護(hù) Outlook5保護(hù) Outlook Web Access7最終用戶知識(shí)培訓(xùn)8Exchange 服務(wù)器配置9在 SMTP 網(wǎng)關(guān)或郵箱服務(wù)器上部署防病毒軟件9限制對(duì) SMTP 的匿名訪問(wèn)10可選配置13鎖定 TCP 端口 2513使用 IPSec 鎖定 TCP 端口 2513創(chuàng)建阻止 TCP 25 策略14禁止不安全的 Outlook 版本訪問(wèn) Exchange17運(yùn)行 Internet Security and Acceleration Server SMTP 篩選器18使用限定的通訊組19病毒攻擊發(fā)生時(shí)應(yīng)采取的措施21了解 Wind

5、ows 防火墻的“啟動(dòng)，無(wú)例外”模式功能21清理 Exchange 環(huán)境21阻止 Internet 郵件流22阻止內(nèi)部郵件流23隔離和清理受感染的服務(wù)器23應(yīng)用防病毒軟件更新25清理用戶工作站25重新建立用戶對(duì)郵箱的訪問(wèn)權(quán)限26重新建立郵件流連接26輔助功能26簡(jiǎn)介通過(guò)電子郵件傳輸?shù)牟《竞腿湎x(chóng)已成為一種許多 Microsoft Exchange 管理員必須抵御的破壞性事實(shí)。創(chuàng)建本文檔是為了幫助并引導(dǎo) Exchange 管理員增強(qiáng) Exchange 環(huán)境以抵御通過(guò)電子郵件傳輸?shù)牟《竞腿湎x(chóng)的能力。本文檔包含一些實(shí)用的操作步驟。但是，其主要目的是將 Exchange 產(chǎn)品組的一組建議與在 M 網(wǎng)站上

6、的某些位置中已存在的詳細(xì)實(shí)施信息結(jié)合起來(lái)。 如果您是負(fù)責(zé)郵件流實(shí)施的郵件管理員，則本文檔對(duì)您來(lái)說(shuō)很重要，因?yàn)槠渲械慕ㄗh和信息有助于您向客戶提供更高級(jí)別的服務(wù)。如果您是郵件系統(tǒng)體系結(jié)構(gòu)設(shè)計(jì)師，則該信息在您規(guī)劃郵件系統(tǒng)拓?fù)浣Y(jié)構(gòu)和解決方案時(shí)很有用。如果您是臺(tái)式機(jī)管理員，請(qǐng)仔細(xì)閱讀本文章，以了解有關(guān)為客戶維護(hù)無(wú)病毒計(jì)算環(huán)境的建議。如果您是郵件系統(tǒng)組的成員，那么您選擇的防病毒軟件應(yīng)該與部署在臺(tái)式機(jī)上的整體防病毒解決方案相適應(yīng)。如果您是 Microsoft Active Directory 目錄服務(wù)的網(wǎng)絡(luò)或防火墻管理員，在了解了本文檔中的建議后，也會(huì)受益匪淺。本文檔分成三個(gè)主要的部分： 推薦的操作和配置：

7、此部分所提供的應(yīng)實(shí)施建議有助于使電子郵件環(huán)境中的病毒和蠕蟲(chóng)的影響降至最低。 可選配置：此部分討論一些優(yōu)先級(jí)較低的配置建議或備用的配置建議，如果您無(wú)法實(shí)現(xiàn)第一部分的所有建議，則應(yīng)實(shí)現(xiàn)此部分所提供的建議。 病毒攻擊發(fā)生時(shí)應(yīng)采取的措施：此部分提供了一組應(yīng)對(duì)病毒發(fā)作的建議以及推薦的步驟。在病毒實(shí)際爆發(fā)之前，閱讀此部分并制定一個(gè)計(jì)劃很重要。本文檔提供了一組建議以及指向詳細(xì)實(shí)施信息的鏈接。本文檔每個(gè)子部分的開(kāi)頭都簡(jiǎn)短描述了推薦的操作或配置。在該描述之后，提供了一組建議，以及具體實(shí)施這些建議所需參考的資源列表。如果特定的詳細(xì)實(shí)施信息未在別處提供，則本文檔即提供相應(yīng)的詳細(xì)信息。推薦的操作和配置此部分所提供的建

8、議有助于阻止和抑制通過(guò)電子郵件傳輸?shù)牟《镜膫鞑?。這些建議涉及以下內(nèi)容： 了解惡意軟件和 Microsoft 安全布告 配置臺(tái)式機(jī)客戶端，包括防火墻 執(zhí)行必要的步驟以幫助保護(hù) Outlook 執(zhí)行必要的步驟以幫助保護(hù) Outlook Web Access 培訓(xùn)最終用戶，使之對(duì)惡意軟件保持警惕 配置 Exchange 服務(wù)器注意本文檔假設(shè)您組織中的所有臺(tái)式計(jì)算機(jī)上均運(yùn)行了防病毒軟件。因此，本文檔不討論防病毒軟件在客戶端臺(tái)式機(jī)上的部署。但是，要討論在 Exchange 服務(wù)器環(huán)境中運(yùn)行防病毒軟件的策略。了解惡意軟件和 Microsoft 安全布告惡意軟件（也稱為電腦病毒 (malware)）有許多類

9、。本文檔中的惡意軟件通常指的是通過(guò)電子郵件傳輸?shù)膼阂廛浖约白鳛椴《竞腿湎x(chóng)自傳播的惡意軟件。了解用于各種類型的惡意軟件的基本術(shù)語(yǔ)對(duì)您閱讀本文檔很有幫助?；玖私饬瞬煌愋偷膼阂廛浖螅瑧?yīng)訪問(wèn) Microsoft Security Bulletin Search 網(wǎng)站，驗(yàn)證組織中運(yùn)行的所有 Microsoft 軟件都是最新的。建議 了解如何區(qū)分病毒、蠕蟲(chóng)、特洛伊木馬等惡意軟件。 了解如何使 Microsoft 軟件及時(shí)補(bǔ)充最新更新。這是在幫助抑制和阻止病毒的過(guò)程中，所能執(zhí)行的最重要的操作之一。資源 有關(guān)惡意軟件類型的定義的詳細(xì)信息，請(qǐng)?jiān)L問(wèn)“Defining Malware: FAQ”網(wǎng)站 (

10、有關(guān)安全布告，請(qǐng)?jiān)L問(wèn)“Microsoft Security Bulletin Search”網(wǎng)站 (臺(tái)式機(jī)客戶端的配置Microsoft Windows 和 Microsoft Office Outlook 的最新版本和 Service Pack 包含許多安全增強(qiáng)功能和病毒防御增強(qiáng)功能。例如，從 Outlook2002 開(kāi)始，即包含并默認(rèn)啟用附件阻止和對(duì)象模型保護(hù)功能。WindowsXP Service Pack2 (SP2) 的網(wǎng)絡(luò)屬性頁(yè)中內(nèi)置了 Windows 防火墻（以前稱為“Internet 連接防火墻”）。在某些情況下，功能可以通過(guò)更新應(yīng)用于早期版本的 Microsoft 軟件。但是

11、，為了維護(hù)一個(gè)安全的環(huán)境，建議您運(yùn)行最新版本的 Windows 和 Outlook。此部分給出了特定于 Windows 和 Outlook 的客戶端更新建議，并提供了指向更深入的詳細(xì)實(shí)施信息的鏈接。除了使 Windows 和 Outlook 保持最新以外，使組織中的防病毒簽名保持最新也很重要。此外，對(duì)組織中的軟件實(shí)施主動(dòng)的更新管理解決方案也極其重要。有關(guān) Microsoft 軟件的更新管理的詳細(xì)信息，請(qǐng)參閱 Understanding Patch and Update Management: Microsofts Software Update Strategy (配置 Windows 防火墻

12、或其他個(gè)人防火墻軟件WindowsXP SP2 包含 Windows 防火墻（以前稱為“Internet 連接防火墻”），該防火墻使得用戶只須選中一個(gè)復(fù)選框，即可阻止很少使用的端口上的通信。在客戶端計(jì)算機(jī)上運(yùn)行 Windows 防火墻或其他第三方個(gè)人防火墻軟件，對(duì)于幫助抑制或阻止許多病毒至關(guān)重要。例如，當(dāng) MyDoom 蠕蟲(chóng)感染了某一臺(tái)計(jì)算機(jī)時(shí)，TCP 端口 3127 到 3198 將響應(yīng)入站請(qǐng)求。這為攻擊者制造了一個(gè)潛在的機(jī)會(huì)，使其能夠連接到該計(jì)算機(jī)，并將該計(jì)算機(jī)用作代理來(lái)訪問(wèn)網(wǎng)絡(luò)資源。在客戶端計(jì)算機(jī)上安裝并配置防火墻將使此類蠕蟲(chóng)無(wú)法發(fā)揮作用。注意Windows 提供了三種不同的防火墻解決方

13、案。Internet 連接防火墻和基本防火墻是 Windows Server2003 中的路由和遠(yuǎn)程訪問(wèn)服務(wù)的組件。WindowsXP 和 WindowsXP SP1 包含 Internet 連接防火墻，該防火墻是控制面板中的一項(xiàng)功能，可用來(lái)對(duì)允許從 Internet 進(jìn)入您網(wǎng)絡(luò)的通信設(shè)置限制。Windows 防火墻指的是 WindowsXP SP2 中包含的防火墻。默認(rèn)情況下，Internet 連接防火墻在 WindowsXP 和 WindowsXP SP1 中是禁用的。默認(rèn)情況下，在 Windows XPSP2 中，Windows 防火墻對(duì)所有連接都是啟用的。此外，Windows 防火墻現(xiàn)

14、在可以通過(guò)組策略對(duì)象 (GPO) 來(lái)管理，這使管理員可以基于移動(dòng)計(jì)算機(jī)的位置來(lái)配置不同級(jí)別的保護(hù)。例如，考慮一臺(tái)便攜式計(jì)算機(jī)連接到企業(yè)域的情況。相對(duì)于便攜式計(jì)算機(jī)連接到公共無(wú)線 Internet 訪問(wèn)點(diǎn)的情況，這種情況的端口限制可能要少一些。數(shù)百個(gè)應(yīng)用程序使用不同的端口進(jìn)行通信。認(rèn)識(shí)到這一點(diǎn)很重要。一些應(yīng)用程序定義它們自己的端口，例如即時(shí)消息、對(duì)等文件共享和通信軟件，以及行業(yè)應(yīng)用程序。運(yùn)行 Windows 防火墻或其他個(gè)人防火墻軟件可能導(dǎo)致這些應(yīng)用程序失敗。請(qǐng)確保認(rèn)真閱讀所有防火墻文檔。在組織中部署配置之前，應(yīng)先測(cè)試配置。建議 將所有 Windows 客戶端升級(jí)到 WindowsXP SP2，

15、或者部署其他第三方個(gè)人防火墻軟件。 開(kāi)發(fā)一組標(biāo)準(zhǔn)的允許端口。如果您部署的是 WindowsXP Windows 防火墻，應(yīng)分別針對(duì)“域”和“移動(dòng)”情況定義所允許的端口。 將防火墻配置部署到所有客戶端。如果您部署的是 WindowsXP Windows 防火墻，應(yīng)通過(guò)組策略對(duì)象來(lái)部署客戶端配置。資源 有關(guān)更新為 WindowsXP SP2 中的 Windows 防火墻的詳細(xì)信息，請(qǐng)參閱 Changes to Functionality in Microsoft WindowsXP Service Pack2 ( 有關(guān)使用組策略對(duì)象在企業(yè)中部署和配置 Windows 防火墻的詳細(xì)信息，請(qǐng)參閱 De

16、ploying Windows Firewall Settings for Microsoft WindowsXP with Service Pack2 (執(zhí)行相應(yīng)的步驟以保護(hù) Outlook前面已提到，升級(jí)到最新版本的 Outlook 以及定期獲得更新，可以為客戶端臺(tái)式機(jī)提供最新的 Outlook 病毒防護(hù)。 附件阻止和對(duì)象模型保護(hù)是 Outlook 中的重要功能，有助于抑制或阻止病毒的傳播。此部分說(shuō)明這兩個(gè)功能如何保護(hù) Outlook 客戶端，并說(shuō)明了哪些版本的 Outlook 可以通過(guò)更新來(lái)獲得這兩項(xiàng)功能。注意雖然此部分討論了如何將安全更新應(yīng)用于早期版本的 Outlook，但是應(yīng)認(rèn)識(shí)到的

17、一點(diǎn)是，Outlook2000 Service Pack 3 (SP3) 是 Microsoft 產(chǎn)品支持服務(wù) (PSS) 所支持的最早的 Outlook 版本。有關(guān) Office 和 PSS 支持的詳細(xì)信息，請(qǐng)?jiān)L問(wèn)“Office 系列產(chǎn)品支持生命周期常見(jiàn)問(wèn)題解答”網(wǎng)站 (Outlook 中的附件阻止功能病毒編寫(xiě)者用來(lái)傳播病毒的一種常見(jiàn)方法是將病毒包含在附件中。例如，可以通過(guò)將可執(zhí)行程序 (.exe) 附加到電子郵件中來(lái)傳遞病毒。在某些情況下，可以通過(guò)將病毒嵌入到宏中來(lái)傳遞病毒，這時(shí)，病毒以安全文檔（如 Microsoft Word 或 Excel 文件）的形式呈現(xiàn)在用戶面前。 對(duì)于通過(guò)電子郵

18、件傳播的病毒而言，附件阻止功能是最有效的威懾之一。默認(rèn)情況下，Outlook2003 和 Outlook2002 包含附件阻止功能以防御此類病毒。要在 Outlook2000、Outlook98 和 Outlook97 上啟用附件阻止功能，必須根據(jù)要保護(hù)的版本下載并安裝相應(yīng)的安全更新。默認(rèn)情況下，Outlook 的支持版本的最新 Service Pack 阻止 71 類附件。 附件阻止功能對(duì)于今天的所有電子郵件客戶端都是必不可少的。但是，還必須指導(dǎo)用戶不要打開(kāi)來(lái)自未知發(fā)件人的附件。有關(guān)用戶培訓(xùn)的詳細(xì)信息，請(qǐng)參閱本文檔后面的“最終用戶知識(shí)培訓(xùn)”。對(duì)象模型保護(hù)“對(duì)象模型保護(hù)”保護(hù)對(duì)以下對(duì)象的訪問(wèn)：

19、Outlook 中的通訊簿數(shù)據(jù)、郵件中的收件人數(shù)據(jù)以及通過(guò)編程方式發(fā)送的電子郵件。對(duì)象模型保護(hù)適用于 Outlook 對(duì)象模型和簡(jiǎn)單 MAPI。對(duì)象模型保護(hù)啟用后，當(dāng)任何應(yīng)用程序試圖通過(guò)郵箱配置文件發(fā)送電子郵件時(shí)，用戶都會(huì)收到相應(yīng)的提示。當(dāng)非 Outlook 進(jìn)程試圖訪問(wèn)通訊簿時(shí)，也會(huì)發(fā)生這種情況。用戶可以設(shè)置固定的時(shí)間間隔，使指定的進(jìn)程按照此間隔訪問(wèn)對(duì)象模型或 Outlook 通訊簿。對(duì)象模型保護(hù)無(wú)法阻止用戶發(fā)送病毒，而只能阻止自動(dòng)進(jìn)程訪問(wèn)對(duì)象模型和通訊簿。了解這一點(diǎn)很重要。 默認(rèn)情況下，在 Outlook2003 和 Outlook2002 中安裝并啟用對(duì)象模型保護(hù)。要在 Outlook2

20、000 或 Outlook98 中啟用對(duì)象模型保護(hù)，必須根據(jù)要保護(hù)的版本下載相應(yīng)的安全更新。對(duì)象模型保護(hù)未包含在 Outlook97 安全更新中。建議 升級(jí)到 Outlook2003，或者，如果運(yùn)行 Outlook2002，應(yīng)確保其安裝了最新的 Service Pack 和更新。 如果您運(yùn)行的是 Outlook2003 或 Outlook2002 之外的 Outlook 版本，應(yīng)下載并部署用于 Outlook2000 或 Outlook98 的安全更新。如果您運(yùn)行的是 Outlook97，應(yīng)升級(jí)到支持對(duì)象模型保護(hù)的 Outlook 版本。Outlook2000 SP3（包含安全更新）是 Mic

21、rosoft 支持的最早 Outlook 版本。資源 有關(guān) Outlook2003 和 Outlook2002 中的對(duì)象模型保護(hù)和附件阻止功能的詳細(xì)信息，請(qǐng)?jiān)L問(wèn)“How Outlook helps to protect your computer from viruses”網(wǎng)站 ( 有關(guān)自定義 Outlook2000 或 Outlook98 安全更新的詳細(xì)信息，請(qǐng)?jiān)L問(wèn)“Customizing the Outlook98/2000 E-mail Security Update”網(wǎng)站 ( 有關(guān)部署和管理 Outlook 安全更新的詳細(xì)信息，請(qǐng)?jiān)L問(wèn)“Microsoft Office Resource

22、 Kit Toolbox”網(wǎng)站 ( 有關(guān)保護(hù) Outlook98 的詳細(xì)信息，請(qǐng)參閱以下資源： Outlook98 更新：電子郵件安全性 ( Outlook98 更新：Java 權(quán)限安全性 ( Outlook 98 E-mail Security Update International Releases ( 有關(guān)保護(hù) Outlook2000 的詳細(xì)信息，請(qǐng)參閱以下資源： Outlook2000 SR1: Extended E-mail Security Update ( Microsoft Outlook2000 SR1 E-mail Security Update for MultiLan

23、guage Pack ( Microsoft 知識(shí)庫(kù)文章 263297“OL 2000：有關(guān) Outlook 電子郵件安全更新的管理員信息”( Office2000 更新：Service Pack 3 (SP3)，其中包含 Outlook2000 擴(kuò)展的電子郵件安全更新。這是 PSS 支持的最早 Office 版本 (保護(hù) Outlook Web Access如果在組織中使用 Outlook Web Access，應(yīng)檢查附件阻止功能和 Internet Explorer 安全區(qū)域配置。Outlook Web Access 中的附件阻止功能在 Exchange2000 Service Pack2

24、(SP2) 中，Outlook Web Access 引入了按文件類型和多用途 Internet 郵件擴(kuò)展 (MIME) 類型阻止附件的功能。默認(rèn)方式下，在 Outlook Web Access2003 和 Outlook Web Access for Exchange2000 中啟用附件阻止功能。使用此默認(rèn)配置，用戶可以發(fā)送任何類型的附件，但不會(huì)收到危險(xiǎn)的文件類型，如 .exe、.bat 和 .vbs 文件。Outlook Web Access 中的默認(rèn)阻止文件類型列表包含 Outlook 2003 使用的默認(rèn)列表，外加 XML 文件和特定的 MIME 類型。Outlook Web Acce

25、ss 中的附件阻止功能是通過(guò)注冊(cè)表在 Exchange 服務(wù)器上配置的。該配置可以作為組策略對(duì)象 (GPO) 部署，以確保一致性。 如果您允許用戶從 Internet 通過(guò) Outlook Web Access 訪問(wèn)郵箱，您可能不擁有訪問(wèn)郵件的計(jì)算機(jī)的管理控制權(quán)。在某些情況下，例如，當(dāng)用戶通過(guò) Internet 訪問(wèn) Outlook Web Access 時(shí)，您可能希望限制用戶從此類計(jì)算機(jī)上下載任何附件的能力。在這種情況下，可以在 Exchange 前端服務(wù)器上設(shè)置注冊(cè)表項(xiàng)，以便當(dāng)計(jì)算機(jī)通過(guò)特定的前端服務(wù)器訪問(wèn) Exchange 時(shí)，在 Outlook Web Access 中阻止所有附件。I

26、nternet Explorer 安全區(qū)域配置由于 Outlook Web Access 是在 Internet Explorer 中運(yùn)行的應(yīng)用程序，因此，考慮 Internet Explorer 在抵御病毒的環(huán)境中的配置很重要。建議您根據(jù)客戶端需求所允許的功能來(lái)配置 Internet Explorer 安全區(qū)域。至少，應(yīng)按照默認(rèn)配置來(lái)部署 Internet Explorer6.0 SP1，也就是對(duì) Internet 區(qū)域設(shè)置中等安全級(jí)別，對(duì) Intranet 區(qū)域設(shè)置中低安全級(jí)別。 在設(shè)計(jì)和開(kāi)發(fā) Outlook Web Access 以及帶 S/MIME 控件的 Outlook Web Ac

27、cess 時(shí)，對(duì)基于 Web 的漏洞，如跨站點(diǎn)腳本運(yùn)行、IFRAME 操作以及其他已知的、基于 HTML 的惡意活動(dòng)，已嚴(yán)加注意。具體地說(shuō)，Outlook Web Access 只運(yùn)行和顯示已知的、安全的 HTML 元素、屬性和樣式信息，從而阻止以事前未知的方式惡意地使用 HTML。運(yùn)行帶 S/MIME 控件的 Outlook Web Access 還為郵件附件增加了額外的一層安全保護(hù)。與使用不帶 S/MIME 控件的 Outlook Web Access 下載的郵件附件相比，使用 S/MIME 控件下載的郵件附件可以更徹底地刪除（刪除后，內(nèi)存地址空間為零或空）。Exchange2003 SP

28、1 版的 Outlook Web Access S/MIME 控件安裝程序是 Microsoft Windows Installer 文件。因此，它可以通過(guò) Microsoft Systems Management Server (SMS) 或其他企業(yè)管理程序來(lái)部署。 注意由于 S/MIME 控件是可安裝的組件，因此可能不是在所有的部署方案中都能夠運(yùn)行，例如，在公用網(wǎng)亭或者其他不能集中管理客戶端計(jì)算機(jī)的方案中就不能運(yùn)行 S/MIME 控件。 建議您運(yùn)行帶 S/MIME 控件的 Outlook Web Access。S/MIME 控件只能運(yùn)行在 Internet Explorer6（或更高版本）

29、和 Windows2000（或更高版本）上。S/MIME 控件不能運(yùn)行在其他 Web 瀏覽器或早期的操作系統(tǒng)上。前面已提到，組織中運(yùn)行的所有軟件的更新管理是抵御病毒和蠕蟲(chóng)的一個(gè)極其重要的部分。Internet Explorer 更新是通過(guò) Windows Update 管理的。使 Windows 保持最新，還可以獲得 Internet Explorer 的最新更新。建議 部署 Exchange2003 版的 Outlook Web Access 以及最新版本的 Internet Explorer。 默認(rèn)文件和 MIME 類型阻止列表可能對(duì)于您的組織已足夠。但是，您可能希望檢查、更新和部署 Ou

30、tlook Web Access 的阻止文件和 MIME 類型。應(yīng)保持 Outlook Web Access 中的被阻止文件類型與 Outlook 中的被阻止文件類型的一致性。 在某些情況下，如果您無(wú)法控制通過(guò) Internet 訪問(wèn) Outlook Web Access 的計(jì)算機(jī)，應(yīng)考慮阻止所有附件。 為組織中的 Internet Explorer 定義正確的安全級(jí)別，并在臺(tái)式機(jī)上部署標(biāo)準(zhǔn)化配置。 在通過(guò) Outlook Web Access 訪問(wèn)郵件的所有客戶端上部署 Outlook Web Access S/MIME 控件，即便您的組織不使用 S/MIME 也是如此。資源 有關(guān)部署和升級(jí)

31、到 Exchange2003 和 Outlook Web Access 的詳細(xì)信息，請(qǐng)參閱“Exchange Server2003 部署指南”( 有關(guān)部署 Internet Explorer 的詳細(xì)信息，請(qǐng)?jiān)L問(wèn)“Microsoft Internet Explorer6.0 Administration Kit Service Pack1”網(wǎng)站 ( Internet Explorer”。 有關(guān)檢查和更新 Outlook Web Access 中的被阻止文件和 MIME 類型的詳細(xì)信息，請(qǐng)參閱“Exchange2003 安全強(qiáng)化指南”( 有關(guān)在 Outlook Web Access 中阻止來(lái)自前端

32、服務(wù)器連接的所有附件的詳細(xì)信息，請(qǐng)參閱 Microsoft 知識(shí)庫(kù)文章 823486“用于 Exchange Server2003 Outlook Web Access 的管理設(shè)置和注冊(cè)表項(xiàng)設(shè)置”( 有關(guān)了解、配置和部署 Internet Explorer 中的安全區(qū)域的詳細(xì)信息，請(qǐng)?jiān)L問(wèn)“Microsoft Internet Explorer6.0 Administration Kit Service Pack1”網(wǎng)站 (最終用戶知識(shí)培訓(xùn)通常，病毒和蠕蟲(chóng)是通過(guò)未經(jīng)請(qǐng)求的電子郵件（也稱垃圾郵件）進(jìn)入網(wǎng)絡(luò)的。指導(dǎo)用戶如何有效地處理垃圾郵件有助于減少病毒和蠕蟲(chóng)進(jìn)入您組織的機(jī)會(huì)。垃圾郵件通常是針對(duì)您的

33、用戶采用的社會(huì)工程策略的結(jié)果。例如，用戶收到的垃圾郵件中可能包含與下列內(nèi)容類似的放棄聲明：如果您希望自己的姓名從此郵件列表中刪除，應(yīng)答復(fù)此郵件并在主題行中輸入“刪除”一詞。 雖然一些聲譽(yù)良好的公司將這視為合法工具，但它通常是一種確認(rèn)電子郵件地址有效的方式。如果確認(rèn)有效，該地址將被再次使用。該地址被確認(rèn)有效后，很有可能出售給其他垃圾郵件制造者。應(yīng)將用戶的培訓(xùn)重點(diǎn)放在附件上。幫助他們了解哪些類型的附件可以放心地打開(kāi)。幾乎每一種通過(guò)電子郵件傳輸?shù)牟《径加匈囉谟脩舸蜷_(kāi)某些類型的惡意附件才能啟動(dòng)病毒。某些文件格式（例如，通過(guò)密碼保護(hù)起來(lái)的 .zip 文件）可能是允許的文件類型，防病毒文件掃描程序無(wú)法對(duì)其

34、進(jìn)行掃描。此外，用戶應(yīng)該了解雙擴(kuò)展名附件，例如帶 .jpg 擴(kuò)展名的可執(zhí)行程序 (Filename.exe.jpg)，此類程序以 .jpg 文件的形式通過(guò)附件阻止功能的檢查，但是可能包含惡意代碼。 注意用戶培訓(xùn)不能取代在臺(tái)式機(jī)上運(yùn)行防病毒客戶端軟件。建議 指導(dǎo)用戶如何抵御垃圾郵件和病毒。資源 有關(guān)用戶可以采取哪些措施來(lái)抵御垃圾郵件、病毒和蠕蟲(chóng)的詳細(xì)信息，請(qǐng)參閱 Fighting unwanted e-mail (spam) (Exchange 服務(wù)器配置在 Exchange 環(huán)境中必須解決的兩個(gè)主要配置領(lǐng)域是：部署防病毒軟件；確保 TCP 端口 25 不作為開(kāi)放中繼向病毒提供。 檢查配置建議之

35、前，應(yīng)謹(jǐn)記下面幾個(gè)重要的策略建議： 不要在 Exchange 服務(wù)器上運(yùn)行電子郵件客戶端。如果在運(yùn)行 Exchange 的計(jì)算機(jī)上運(yùn)行電子郵件客戶端，并且該客戶端被感染，則受感染的客戶端將成為受感染的郵件服務(wù)器。 同樣，不要通過(guò) Exchange 計(jì)算機(jī)瀏覽 Internet。通常，減少攻擊渠道的最佳辦法是盡量減少在 Exchange 服務(wù)器上運(yùn)行的應(yīng)用程序。 在 Exchange 服務(wù)器上隨時(shí)補(bǔ)充 Microsoft 推出的最新安全更新。 按照“Exchange Server2003 安全強(qiáng)化指南”( 中的建議，鎖定 Exchange 服務(wù)器。在 SMTP 網(wǎng)關(guān)或郵箱服務(wù)器上部署防病毒軟件至

36、少，必須在簡(jiǎn)單郵件傳輸協(xié)議 (SMTP) 網(wǎng)關(guān)或駐留郵箱的 Exchange 服務(wù)器上部署專為郵件系統(tǒng)設(shè)計(jì)的防病毒軟件。下面的“資源”部分列出的兩個(gè)資源說(shuō)明了在規(guī)劃郵件系統(tǒng)防病毒部署的過(guò)程中可以使用的策略，以及可以使用的不同類型的郵件掃描方法。選擇防病毒軟件的類型以及部署該軟件的位置時(shí)，應(yīng)在可以承受的開(kāi)銷以及愿意承擔(dān)的風(fēng)險(xiǎn)之間進(jìn)行權(quán)衡。 例如，某些組織在 SMTP 網(wǎng)關(guān)運(yùn)行防病毒郵件軟件，在 Exchange 服務(wù)器上運(yùn)行防病毒文件級(jí)別的掃描，而在用戶臺(tái)式機(jī)上運(yùn)行防病毒客戶端軟件。這種方法在網(wǎng)關(guān)提供特定于郵件系統(tǒng)的保護(hù)，在郵件服務(wù)器上提供常規(guī)的文件級(jí)保護(hù)，并在客戶端上提供保護(hù)。其他組織可能采取

37、同樣的方案，并在 Exchange 郵箱服務(wù)器上運(yùn)行與 Exchange VSAPI2.5 兼容的防病毒軟件，這樣，在獲得更高安全性的同時(shí)，也可能承擔(dān)更大的開(kāi)銷。建議 在臺(tái)式機(jī)上運(yùn)行客戶端防病毒軟件。如果在網(wǎng)關(guān)或 Exchange 服務(wù)器上運(yùn)行專門(mén)為郵件系統(tǒng)設(shè)計(jì)的防病毒軟件（可以分析并掃描 MIME），則在臺(tái)式機(jī)上運(yùn)行文件級(jí)別的掃描程序已足夠。 至少，應(yīng)在 SMTP 網(wǎng)關(guān)或駐留郵箱的 Exchange 服務(wù)器上部署專為郵件系統(tǒng)設(shè)計(jì)的防病毒軟件。要實(shí)施最全面的保護(hù)，應(yīng)在掃描入站 MIME 郵件的網(wǎng)關(guān)運(yùn)行防病毒軟件，而在使用 VSAPI2.5 的 Exchange 服務(wù)器上運(yùn)行掃描程序。資源 有關(guān)

38、規(guī)劃防病毒軟件策略的信息，請(qǐng)參閱“Exchange Server2003 安全強(qiáng)化指南”( 有關(guān)可以在 Exchange 郵件環(huán)境中運(yùn)行的不同類型的防病毒軟件的描述，請(qǐng)參閱 Microsoft 知識(shí)庫(kù)文章 823166“與 Exchange Server2003 配合使用的防病毒軟件概述”( 有關(guān)為何不建議在 Exchange 服務(wù)器上運(yùn)行郵件客戶端的詳細(xì)信息，請(qǐng)參閱 Microsoft 知識(shí)庫(kù)文章 266418“XCCC: Microsoft Does Not Recommend Installing Exchange2000 Server and Outlook2000 or Later

39、on the Same Computer”( 有關(guān)作為 Microsoft 合作伙伴的防病毒軟件供應(yīng)商的詳細(xì)信息，請(qǐng)?jiān)L問(wèn)“Exchange Partners: Antivirus”網(wǎng)站 (限制對(duì) SMTP 的匿名訪問(wèn)默認(rèn)情況下，Exchange2003 設(shè)置在匿名 SMTP 訪問(wèn)的安全模式下。匿名中繼或開(kāi)放中繼是禁用的，因此從組織提交到 Exchange2003 的未通過(guò)身份驗(yàn)證的郵件不以解析的形式顯示在 Outlook 客戶端上。因此，限制對(duì) SMTP 的匿名訪問(wèn)在默認(rèn)情況下是部分實(shí)現(xiàn)的，因?yàn)槟涿欣^被禁用。但是，內(nèi)部匿名 SMTP 訪問(wèn)未被禁用。此部分提供檢查和驗(yàn)證中繼配置并進(jìn)一步限制內(nèi)部

40、匿名 SMTP 訪問(wèn)的建議。匿名中繼在 SMTP 虛擬服務(wù)器上禁用匿名中繼至關(guān)重要。當(dāng)某人使用您的 Exchange 服務(wù)器向外部域發(fā)送郵件時(shí)，便發(fā)生了中繼。開(kāi)放中繼使得發(fā)送垃圾郵件的某人可以使用您的外部 SMTP 服務(wù)器代表其發(fā)送郵件。此活動(dòng)可能導(dǎo)致您的網(wǎng)關(guān)服務(wù)器作為垃圾郵件中繼在 Internet 阻止列表中列出。默認(rèn)配置下的 Exchange 僅允許已通過(guò)身份驗(yàn)證的用戶中繼郵件。只有已通過(guò)身份驗(yàn)證的用戶能夠使用 Exchange 向外部域發(fā)送郵件。如果修改默認(rèn)中繼設(shè)置，以便允許未通過(guò)身份驗(yàn)證的用戶中繼郵件，或者，允許開(kāi)放中繼支持（即允許任何用戶通過(guò)連接器將郵件中繼到某個(gè)域），則未經(jīng)授權(quán)的

41、用戶或惡意蠕蟲(chóng)將能夠使用您的 Exchange 服務(wù)器發(fā)送垃圾郵件。您的服務(wù)器可能出現(xiàn)在阻止列表中，從而無(wú)法向合法的遠(yuǎn)程服務(wù)器發(fā)送郵件。要阻止未經(jīng)授權(quán)的用戶使用您的 Exchange 服務(wù)器中繼郵件，至少應(yīng)使用默認(rèn)的中繼限制。 如果您有合理的理由允許中繼，應(yīng)遵循相應(yīng)的準(zhǔn)則以確保實(shí)施方案具備必要的安全性。實(shí)現(xiàn)這一點(diǎn)的主要方法是保留全部拒絕默認(rèn)設(shè)置，而只添加將接受其中繼郵件的 IP 地址，并禁止已通過(guò)身份驗(yàn)證的用戶訪問(wèn)。 檢查內(nèi)置帳戶（本地管理員）和其他用戶是如何在網(wǎng)關(guān)服務(wù)器上使用的。您不可能對(duì)所有類型的中繼都使用內(nèi)置帳戶。如果允許中繼，則中繼可能被一組已知的用戶或計(jì)算機(jī)使用。建議只對(duì)明確的用戶和

42、計(jì)算機(jī)或 IP 地址授予中繼權(quán)限。配置明確的中繼權(quán)限將有助于進(jìn)一步增強(qiáng)服務(wù)器的安全性。惡意用戶可以使用強(qiáng)力攻擊來(lái)試圖獲得內(nèi)置帳戶或 Internet 上的用戶帳戶的密碼，以便可以將您的服務(wù)器用作垃圾郵件代理。因此，建議不要對(duì)可以從 Internet 訪問(wèn)到的計(jì)算機(jī)使用默認(rèn)設(shè)置，因?yàn)樵撛O(shè)置允許任何已通過(guò)身份驗(yàn)證的計(jì)算機(jī)中繼。建議禁用該設(shè)置。匿名 SMTP 訪問(wèn)Exchange2003 顯示未通過(guò)身份驗(yàn)證的郵件的實(shí)際 SMTP 地址，而不是顯示其出現(xiàn)在全局地址列表 (GAL) 中的顯示名，從而使客戶端用戶具備了識(shí)別帶欺騙性質(zhì)的郵件的能力。但是，建議在所有內(nèi)部 Exchange 服務(wù)器上禁用匿名 S

43、MTP 訪問(wèn)。Outlook 對(duì)未通過(guò)身份驗(yàn)證（或可能具有欺騙性質(zhì)）的郵件的行為是很難以把握的。只有觀察細(xì)致且經(jīng)驗(yàn)豐富的用戶才能識(shí)別出表示發(fā)件人未通過(guò)身份驗(yàn)證的實(shí)際 SMTP 地址。因此，禁用匿名訪問(wèn)功能確保了只有已通過(guò)身份驗(yàn)證的用戶才能在組織內(nèi)部提交郵件。此外，要求身份驗(yàn)證還迫使 Internet 模式（郵局協(xié)議版本 3 或 POP3，或者 Internet 郵件訪問(wèn)協(xié)議版本 4rev1，或 IMAP4）下的 Outlook Express 和 Outlook 等客戶端程序在發(fā)送郵件之前，先通過(guò)身份驗(yàn)證。建議 檢查中繼配置。相應(yīng)地配置所有的 SMTP 虛擬服務(wù)器，以便只允許明確的用戶、計(jì)算機(jī)

44、或 IP 地址中繼到其他組織。 對(duì)所有已通過(guò)身份驗(yàn)證的計(jì)算機(jī)禁用中繼功能。 在所有內(nèi)部 Exchange 服務(wù)器上禁用匿名 SMTP 訪問(wèn)。資源 有關(guān)保護(hù) SMTP 中繼和路由安全的信息，請(qǐng)參閱“Exchange Server2003 傳輸和路由指南”( 中的“保護(hù) Exchange 服務(wù)器”。 有關(guān)如何控制中繼的詳細(xì)信息，請(qǐng)參閱 Microsoft 知識(shí)庫(kù)文章 304897：“XIMS：Microsoft SMTP 服務(wù)器在第三方測(cè)試中可能顯示為能夠接受并中繼電子郵件”(可選配置此部分中的建議很重要。但是，沒(méi)有上一部分中的建議重要。如果您遵循上一部分中的準(zhǔn)則，那么遵循這些可選的配置準(zhǔn)則將提供

45、額外的一層病毒傳播防護(hù)。 鎖定 TCP 端口 25隨著病毒和蠕蟲(chóng)越來(lái)越復(fù)雜，SMTP（通常是端口 25）成為了一種越來(lái)越常見(jiàn)的惡意軟件傳輸途徑?？梢哉f(shuō)明這種復(fù)雜性的一個(gè)示例是 w32.hllw.gaobot.dk worm。該蠕蟲(chóng)是特洛伊木馬，它在受害人的計(jì)算機(jī)上安裝 SMTP 郵件服務(wù)片段。這使得蠕蟲(chóng)可以從該計(jì)算機(jī)發(fā)送垃圾郵件。要禁止此類蠕蟲(chóng)和病毒發(fā)揮作用，可以相應(yīng)地配置網(wǎng)絡(luò)，以便只允許 SMTP 通信在 Exchange 服務(wù)器、域控制器以及其他要求 SMTP 的計(jì)算機(jī)之間傳輸。 由于限制 SMTP 通信所涉及到的管理開(kāi)銷，因此，您可能僅當(dāng)臺(tái)式計(jì)算機(jī)上未運(yùn)行或無(wú)法運(yùn)行個(gè)人防火墻時(shí)，才考慮此

46、實(shí)施方法。在臺(tái)式機(jī)上同時(shí)運(yùn)行個(gè)人防火墻和防病毒軟件有助于您的網(wǎng)絡(luò)遠(yuǎn)離大多數(shù)蠕蟲(chóng)和病毒，或者至少削弱其影響，使得在某一臺(tái)計(jì)算機(jī)感染后可以更容易地將其刪除。使用 IPSec 鎖定 TCP 端口 25在一個(gè)環(huán)境中，只有某些系統(tǒng)偵聽(tīng)并響應(yīng) TCP 端口 25 上的請(qǐng)求。在 Microsoft 環(huán)境中，通常只有運(yùn)行 Internet 信息服務(wù) (IIS) 的服務(wù)器以及域控制器和 Exchange 服務(wù)器使用 TCP 端口 25。在其他所有系統(tǒng)上禁止偵聽(tīng) TCP 端口 25 時(shí)，您就可以通過(guò)刪除惡意代碼可能使用的一個(gè)攻擊矢量來(lái)增強(qiáng)環(huán)境的安全性。此部分提供了設(shè)置 Internet 協(xié)議安全 (IPSec)

47、以阻止 TCP 端口 25 的一組常規(guī)步驟。IPSec 是 Windows Server 操作系統(tǒng)中包含的一組技術(shù)，它使管理員可以基于篩選器執(zhí)行特定的操作，例如，身份驗(yàn)證、阻止通信，以及加密通信（“所有通信都在 TCP 25 上發(fā)生”）。這些步驟基于 Windows Server2003 Security Guide（英文）和“Exchange Server2003 安全強(qiáng)化指南”中所定義的體系結(jié)構(gòu)。此外，這些步驟還假定所有工作站都在域中一個(gè)名為 Workstations 的中心組織單位中。如果您未按照 Windows Server2003 Security Guide 和“Exchange

48、Server2003 安全強(qiáng)化指南”中的部署建議配置體系結(jié)構(gòu)，則應(yīng)將此步驟用作測(cè)試和構(gòu)建您自己的 IPSec 策略的基礎(chǔ)。無(wú)論在哪一種情況下，都建議您在部署 IPSec 策略之前先完成測(cè)試。認(rèn)識(shí)到部署策略對(duì)您組織的潛在影響是很重要的。按前面所指出的進(jìn)行實(shí)施后，該策略將阻止進(jìn)出 Workstation 組織單位中的所有計(jì)算機(jī)的所有 SMTP 通信。如果您的組織使用 IMAP 或 POP 作為電子郵件傳遞協(xié)議，這些客戶端將不會(huì)工作。此外，如果禁用 SMTP，則其他應(yīng)用程序（如行業(yè)工具和自動(dòng)郵件傳遞程序）也可能失敗。注意通過(guò)組策略實(shí)現(xiàn)的 IPSec 策略是可繼承的，但是它們不合并。如果應(yīng)用了多個(gè) I

49、PSec 組策略，則最后一個(gè)應(yīng)用于計(jì)算機(jī)的組策略將生效。創(chuàng)建阻止 TCP 25 策略必須完成下面的所有任務(wù)，才能創(chuàng)建通過(guò) IPSec 和組策略阻止 TCP 端口 25 的策略。1. 創(chuàng)建基礎(chǔ)組策略對(duì)象。2. 創(chuàng)建篩選器列表。3. 創(chuàng)建阻止操作。4. 創(chuàng)建并指派 IPSec 策略。5. 將 IPSec 組策略應(yīng)用于其他組織單位（可選）。注意指定命名約定的步驟是以粗斜體文字描述的。在完成這些步驟時(shí)，請(qǐng)注意后續(xù)步驟中引用了前面步驟中指定的策略、描述和篩選器（同樣以粗斜體表示）。 創(chuàng)建基礎(chǔ)組策略對(duì)象用來(lái)執(zhí)行此步驟的帳戶必須是將要運(yùn)行該策略的域中的 Domain Admins 安全組的成員。創(chuàng)建基礎(chǔ)組策

50、略對(duì)象1. 打開(kāi)“Active Directory 用戶和計(jì)算機(jī)”管理單元。2. 用鼠標(biāo)右鍵單擊 Workstations 組織單位，然后選擇“屬性”。3. 選擇“組策略”選項(xiàng)卡。4. 單擊“新建”，然后將組策略命名為 Block TCP25 Policy。創(chuàng)建篩選器列表必須創(chuàng)建一個(gè)阻止入站 SMTP 連接請(qǐng)求的篩選器列表和一個(gè)阻止出站 SMTP 連接請(qǐng)求的篩選器列表。創(chuàng)建入站 SMTP 篩選器列表1. 在“組策略編輯器”中，依次展開(kāi)“計(jì)算機(jī)配置”、“Windows 設(shè)置”和“安全設(shè)置”。2. 用鼠標(biāo)右鍵單擊“IP 安全策略，在 Active Directory”，然后選擇“管理 IP 篩選器

51、表和篩選器操作”。此時(shí)將顯示“管理 IP 篩選器表和篩選器操作”屬性頁(yè)。3. 在“管理 IP 篩選器列表”選項(xiàng)卡上，單擊“添加”。此時(shí)將顯示“IP 篩選器列表”頁(yè)。4. 在“名稱”字段中，輸入 Inbound TCP 25。在“描述”字段中，輸入 This filter responds to inbound requests on TCP 25，然后單擊“添加”。5. 在“歡迎使用 IP 篩選器向?qū)А表?yè)上，單擊“下一步”。6. 在“IP 篩選器描述和鏡像屬性”頁(yè)上，輸入篩選器描述，然后單擊“下一步”。 注意如果不在此處輸入描述，將來(lái)使用網(wǎng)絡(luò)診斷工具 (netdiag.exe) 進(jìn)行故障排除時(shí)

52、，將不會(huì)顯示該篩選器的名稱。7. 在“IP 通信源”頁(yè)上，選擇“任何 IP 地址”，然后單擊“下一步”。8. 在“IP 通信目標(biāo)”頁(yè)上，選擇“我的 IP 地址”，然后單擊“下一步”。9. 在“IP 協(xié)議類型”頁(yè)上，選擇“TCP”，然后單擊“下一步”。10. 在“IP 協(xié)議端口”頁(yè)上，選擇“從任意端口”和“到此端口”，然后在打開(kāi)的字段中輸入 25。單擊“下一步”。11. 在完成頁(yè)上，單擊“完成”。在“IP 篩選器列表”頁(yè)上，單擊“確定”。創(chuàng)建出站 SMTP 篩選器列表 步驟與創(chuàng)建入站 SMTP 篩選器列表的步驟相同，但有以下例外：a. 在步驟 4 中，在“名稱”字段中輸入 Outbound TCP 25。在“描述”字段中，輸入 This filter responds to outbound requests on TCP 25。b. 在步驟 7 中，在“IP 通信源”頁(yè)上，選擇“我的 IP 地址”。c. 在步驟 8 中，在“IP 通信目標(biāo)”頁(yè)上，選擇“任何 IP 地址”。創(chuàng)建阻止操作在前面的步驟中，您定義了兩個(gè)篩選器。要使這些篩選器阻止目標(biāo)計(jì)算機(jī)上的 SMTP 通信，必須指定要在這些篩選器上執(zhí)行的操作。以下步驟說(shuō)明了如何指定阻止操作。創(chuàng)建阻止操作1. 在“組策略編輯器”中，依次展開(kāi)“計(jì)算機(jī)配置”、“Windows 設(shè)置”和“安全設(shè)置”。2. 用鼠標(biāo)右鍵