新聞中心

2019-12-06
Exchange 2019資安管理 補漏洞打造安全防護網點閱數:6122
文章出處:網管人/ 顧武雄
發表時間:2019/11/18
 
郵件伺服器除了系統本身要有完善的安全防護機制以及近乎牢不可破的架構設計外,更重要的還得做好所有人員的基礎資訊安全教育。而Exchange Server 2019可協助企業IT部門鞏固好技術面的安全基礎,讓IT人員有更多時間專注於做好內部人員的教育訓練。

 

現今資訊科技產業已是物聯網、大數據和AI發展為首的年代,想想看這對於發展郵件平台相關解決方案的廠商而言有何關聯呢?是否有機會善用這些新技術來徹底強化郵件平台的功能,甚至於翻轉大家對於它傳統的刻板印象呢?

所謂大數據和AI的科技應用,其目的就是希望能夠更精準地發現問題、解決問題、預防問題。因此,當將它們發揮在郵件平台的發展時也是一樣的,不外乎就是用以強化訊息流的安全以及提升訊息協同合作的效率。首先,在安全方面舉例說明,對外這將使得帶有惡意程式碼或詐欺的E-mail,難有通過訊息篩選器而進入到用戶信箱的機會,對內則阻擋可能帶有組織敏感資訊的E-mail發送至Internet。在協同合作方面,從郵件的收發、連絡人、會議到資源預約的管理,其實也都可以在結合AI技術的應用上,讓管理上更加有智慧與靈活。

Exchange Server一直以來都是郵件平台領域的主流產品,且早在雲端大數據還尚未在市場上被炒熱以前,Microsoft便已經開始懂得善用這項技術,協助組織透過智慧篩選服務(Filtering Agent)把關所有進入到內網中的每一封E-mail,讓每一位用戶的信箱接受到惡意訊息的可能性降到最低。而最新版本的Exchange Server 2019不只繼續善用雲端大數據來篩選垃圾郵件,更在結合內建Malware Agent的使用下,幫助組織直接篩選掉任何有夾帶惡意附件的E-mail。

關於事前的防護需要,Exchange除了有第一線的對外安全防禦措施外,也提供敏感資訊的外流保護功能,這包括了郵件發送的審核機制、資料外洩防護(DLP)以及可整合ADRMS服務的加密保護等等。而對於事後的稽核與採證,則提供郵件探索、保留等合規性管理(Compliance)的功能,這些都是後續將會探討的重點。

透過本文的實戰講解,首先學習如何透過Exchange內網信箱伺服器與DMZ邊際伺服器的整合部署,打造出一個既簡易又能有效防護垃圾郵件、病毒以及各種惡意訊息危害的安全網。最後,則特別介紹如何善用新安全功能,來補強管理人員連線伺服器的漏洞疑慮。

Edge Transport硬體與網路需求

Exchange Server 2019可與舊版Exchange Server在相同Active Directory的架構中共存運行,這些版本包括Exchange Server 2013累計更新21(CU21)和Exchange Server 2016累計更新11(CU11)或更新版本,並且也相容於其中現行的Edge Transport Server部署。

 

部署Edge Transport Server所採用的作業系統必須是Windows Server 2019 Standard或Datacenter版本,並且可選擇安裝在Server Core或完整的桌面環境內,而其所需的硬體需求可參考表1說明。

 

另外,在網路和目錄伺服器需求部分,可以參考表2說明。

 

Edge Transport系統需求

除了主機硬體與網路的需求外,在系統需求面部分,首先必須設定兩項與DNS有關的配置。如圖1所示,第一是主機DNS尾碼,由於此主機無須加入至內網的Active Directory內,因此這個尾碼必須與內網的Active Directory尾碼相同。第二則是在內網的DNS記錄中新增一筆對應的A記錄,如此一來,內網的信箱伺服器才能夠以DNS完整名稱方式來連接Edge Transport主機。等到後續確認內網的信箱伺服器能夠與DMZ的Edge Transport主機連接與同步資料後,還得再新增一筆MX記錄來指向Edge Transport主機的A記錄,這樣才能夠讓所有來自Internet的E-mail,都可以先通過Edge Transport的安全篩選。

圖1  主機DNS尾碼設定。

接著開啟Windows PowerShell介面,如圖2所示執行「Install-WindowsFeature ADLDS」命令,安裝Active Directory輕量型目錄服務。另外,此項功能也可以從「伺服器管理員」介面來安裝。

圖2  安裝ADLDS功能。

最後,還必須連結到以下的官方網址,來下載並安裝Visual C++相關套件。

‧Visual C++ Redistributable for Visual Studio 2012 Update 4下載網址:https://www.microsoft.com/download/details.aspx?id=30679

設定本機防火牆

關於Edge Transport伺服器的部署,由於一般是將它安裝在DMZ網路內,並不需要直接連線內部網路中的Active Directory,因此在伺服器上的郵件收發配置和收件者資訊,都會儲存在本機的AD LDS服務資料庫內。

而Edge Transport伺服器與內部Exchange信箱伺服器的同步機制,便需要透過Edge訂閱功能(Edge Subscription)從Active Directory複寫同步至AD LDS,而它們之間的連線方式則使用了Secure LDAP的50636/TCP埠口。除此之外,由於它在後續正式運作後,將作為收發Internet郵件的主機,因此還必須在邊際防火牆和本機防火牆的配置中加入SMTP埠口(TCP 25)的開啟設定。

接著,就一同來學習如何正確配置Edge Transport伺服器的本機防火牆設定。首先,從開始功能選單中開啟「設定」頁面,再按下〔Update & Security〕按鈕,開啟「Windows Security」頁面。如圖3所示,與Windows安全有關的主要管理功能都集中於此,點選「Firewall & network protection」繼續。

圖3  Windows安全管理。

隨後,在「Firewall & network protection」頁面內,點選下方的「Advanced settings」超連結,來開啟「Windows Defender Firewall with Advanced Security」管理介面。如圖4所示,接著在「Inbound Rules」節點頁面中,點選「Actions」窗格內的「New Rule」功能。

圖4  防火牆進階管理。

在接下來開啟的「Rule Type」頁面中選取「Port」並按下〔Next〕按鈕。然後,如圖5所示,在「Protocol and Ports」頁面中先點取「TCP」再選取「Specific local ports」並輸入「25」,最後按下〔Next〕按鈕。

圖5  設定協定與埠口。

接著,在「Action」頁面中選取「Allow the connection」設定,並按下〔Next〕按鈕。而「Profile」頁面中,勾選欲套用此規則的網路設定,建議三者都勾選。最後,在「Name」頁面內輸入一個規則識別名稱,然後按下〔Finish〕按鈕。

還記得前面提到過,Edge Transport的同步機制將會使用到Secure LDAP的50636/TCP埠口,因此還必須繼續完成第二筆的「Inbound Rules」設定,並且在完成新增後進一步開啟屬性頁面,來修改如圖6所示的「Scope」設定,讓唯一選定的內網Exchange Server能夠透過此埠口與此Edge Transport伺服器進行連線,最後按下〔OK〕按鈕。

圖6  允許IP範圍設定。

開始安裝Edge Transport

完成所有準備工作後,就可以開始安裝Edge Transport伺服器。如同之前的版本,Exchange Server 2019的Edge Transport伺服器安裝方式,可以選擇從執行圖形介面的Setup.exe程式,並透過勾選「邊際傳輸角色」選項來安裝,或是在EMS介面中如圖7所示執行以下的命令參數進行安裝。必須注意的是,此角色無法與信箱伺服器角色安裝在同一個作業系統內:

.\Setup /mode:install /roles:ET /IAcceptExchangeServerLicenseTerms

圖7  完成安裝Edge Transport。
 

連接與測試Edge Transport

完成Edge Transport的安裝後,接下來如圖8所示透過執行以下命令參數來產生Edge訂閱檔案,其中存放的路徑可以任意選定現行已存在的資料夾位置:

New-EdgeSubscription -FileName "C:\Data\EdgeSubscriptionInfo.xml"

圖8  建立Edge訂閱檔案。

緊接著,將上一步驟中所產生的Edge訂閱檔案,複製到內網Exchange信箱伺服器的磁碟中,再開啟EMS介面,如圖9所示執行以下命令參數,以完成匯入的操作:

New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path "C:\ Data\EdgeSubscriptionInfo.xml" -Encoding Byte -ReadCount 0)) -Site "Default-First-Site-Name"

圖9  匯入Edge訂閱檔案。

成功地匯入Edge訂閱檔案於內網的Exchange信箱伺服器之後,可以立即執行「Test-EdgeSynchronization -FullCompareMode」命令,觀察一下同步的測試是否成功。

如圖10所示,如果在FailureDetail欄位中出現「The LDAP server is unavailable」的錯誤訊息,就表示防火牆的設定可能有誤,或者兩台主機之間的網路連線有問題,必須在此故障排除後才能夠繼續接下來的操作。

圖10  測試與Edge的連線同步。

成功完成Edge訂閱檔的匯入與連線同步測試後,便可以到「Exchange系統管理中心」網站,點選至「郵件流程」→「傳送連接器」頁面,查看系統自動建立的兩則連接器設定,分別是輸出與輸入的連接設定,此時需要停用或修改原有的傳送連接器設定,以便讓對外郵件的傳遞與接收,都能夠經由Edge Transport服務來完成。

關於EdgeSync服務對於不同資料類型的同步排程,分別是配置資料(Configuration Data)為3分鐘一次,收件者資料(Recipient Data)與拓樸資料皆為5分鐘一次。若想要異動上述預設配置,可以透過Set-EdgeSyncServiceConfig命令來修改,而若是隨時想要手動立即啟動同步任務,則可以執行Start-EdgeSynchronization命令。

最後,建議測試一下對於Internet的E-mail發送,觀察是否能夠從內部網路的信箱伺服器成功轉送到Edge Transport伺服器,而觀察的工具就是透過Get-Queue命令,或是位於「Exchange Toolbox」→「Queues Viewer」的圖形操作介面中。

Edge Transport郵件黑白名單配置

針對在伺服端垃圾郵件管理的部分,基本上可區分成三個階段進行篩選,第一階段是最外層的連線篩選(Connection Filtering)功能,因此目前僅能使用在Edge Transport伺服器內,它主要先進行寄件者IP位址的黑名單(IP Block List)與白名單(IP Allow List)識別。

這部分除了可以讓管理員以手動輸入的方式,來輸入所要允許與拒絕特定的寄件伺服器的IP位址或範圍外,也可採用在IP允許清單提供者或IP封鎖清單提供者設定中,來指定所要參照Internet上的RBL(Real-time Spam Black Lists)主機,例如zen.spamhaus.org,不過有些需要額外支付費用。

圖11所示便是透過Add-IPBlockListProvider命令參數成功新增黑名單參照主機的範例,緊接著嘗試執行Set-IPBlockListProvider命令參數來修改其設定,這其中zen.spamhaus.org便是參照主機的網域,而RejectionResponse參數則是設定當收到由黑名單主機所發送的E-mail,將在退信的同時自動附加在此所描述的回應文字。但必須注意,回應的文字輸入必須是ASCII碼,否則會出現範例中的錯誤訊息:

Add-IPBlockListProvider -Name Spamhaus -LookupDomain zen. spamhaus.org -AnyMatch $true -Enabled $true -RejectionResponse "IP address is listed by Spamhaus (https://www.spamhaus.org/lookup/)"

圖11  新增與設定黑名單參照主機。
 

在黑名單參照主機設定好的幾天後,建議到「C:\Program Files\Microsoft\Exchange Server\V15\scripts」路徑下執行「.\Get-AntispamTopRBLProviders.ps1」來查看是否有相關運行的紀錄檔案

除此之外,關於提供者參照設定,企業組織也可以將這個黑名單資料庫建置在組織內的DNS伺服器紀錄裡,如此便可以讓整個企業的分公司與各分點進行黑白名單的參考。

必須注意的是,一旦寄件伺服器的IP位址被定義為白名單的時候,那麼從這裡所寄送過來的郵件將直接被視為合法郵件,因此將會直接越過第二層與第三層的篩選器檢查。

如果想要搜索黑名單資料庫所輸入的IP位址是否在選定的黑名單資料庫內,可以參考如圖12所示所執行的命令參數:

Test-IPBlockListProvider "Spamhaus" -IPAddress 118.161.57.25

圖12  搜索黑名單資料庫。

如果想要自行手動新增IP黑名單位址,可以如圖13所示參考以下命令參數的用法,值得注意的是,還可以設定有效日期,這樣一旦到期後該IP位址便會自動被解禁:

Add-IPBlockListEntry -IPRange 10.10.10.1 -ExpirationTime "2019/10/10 23:59"

圖13  新增IP黑名單。

上述範例中的IPRange設定,除了可以是單一IP位址外,也可輸入像是「10.10.10.1-10.10.10.5」或「192.168.10.0/24」。如果後續想要移除選定的IP黑名單清單(例如1),只要執行「Remove-IPBlockListEntry 1」命令即可。

 

封鎖寄件者

在第二階段的SMTP篩選中,主要是針對寄件者篩選(Sender Filtering)、收件者篩選(Recipient Filtering)、寄件者識別碼篩選(Sender ID)以及寄件者信譽檢查(Sender Reputation)。接下來,將以寄件者篩選的配置為例。

對於那些未知的外部郵件是否為垃圾郵件,原則上只要Exchange Server的垃圾郵件智慧篩選器,搭配黑名單參照主機的資料庫,便可以自動篩選掉絕大多數的垃圾郵件,但是若對於那已知道的垃圾郵件寄件者名單,肯定就得設定封鎖在先。

現在就來看看以下這個常見的封鎖範例。如圖14所示,在EMS命令介面內,透過執行其中的Set-SenderFilterConfig命令與參數,首先讓Exchange傳輸服務協助組織新增封鎖來自user1@contoso.com與user2@contoso.com兩位寄件者的E-mail,且不會影響現行的寄件者封鎖清單,然後再封鎖來自test.com網域的所有來信,以及封鎖fake.com.cn網域與子網域的所有來信。

圖14  封鎖寄件者。

緊接著,若想要隨時知道目前究竟封鎖了哪一些寄件者名單,只要執行以下列命令範例即可:

Get-SenderFilterConfig | FL Blocke dSenders,BlockedDomains,BlockedDo mainsAndSubdomains

假若還想要封鎖空白主旨的E-mail,則加入「-BlankSenderBlockingEnabled $true」參數設定。

E-mail內容智慧篩選管理

根據外來E-mail的內容來決定郵件的接收、拒絕、刪除以及隔離的判斷,是由第三階段的內容篩選功能(Content Filter Agent)來負責處理,而它的依據則是SCL(Spam Confidence Level)的評分,也就是垃圾郵件信賴等級,而它將會在準備進入組織的每一封E-mail標頭中加入此戳記。

如圖15所示,在EMS命令介面中執行「Get-ContentFilterConfig | FL SCL*」命令後,便可以發現在預設的狀態下目前僅有SCLRejectThreshold功能已被啟用(True),而且是設定為7分。也就是說,如果根據Exchange傳輸服務的智慧篩選器(Intelligent Message Filter),判定寄送進來的E-mail的SCL分數高達7分時,將會自動拒絕此郵件的接收。

圖15  預設SCL設定。

至於針對來源郵件進行的刪除(SCLDeleteThreshold)與隔離(SCLQuarantineThreshold)功能,儘管預設都設定為9分,但這兩項功能並沒有啟用,因此接下來對這個預設值做一點調整。在開始之前,須注意刪除閾值必須大於拒絕閾值,而拒絕閾值又必須大於隔離閾值,否則設定時會出現錯誤訊息。

結合隔離信箱的使用

前面曾提及針對SCL的評分結果,除了可依據分數將它們進行接收、拒絕、刪除外,還可以選擇轉入隔離信箱內,以便讓相關有存取權限的人員能夠開啟該信箱,來查看是否有被誤判為垃圾的郵件,因此如圖16所示執行以下三道命令參數:

Set-ContentFilterConfig -Quaran tineMailbox Quarantine@lab04.com Set-ContentFilterConfig -SCLDelete Enabled $true -SCLDelete Thres hold 9 -SCLRejectEnabled $true -SCLRejectThreshold 7 -SCL QuarantineEnabled $true-SCL QuarantineThreshold 5

Get-ContentFilterConfig | FL SCL*

圖16  設定隔離信箱與SCL。

首先,完成隔離信箱的設定再修改SCL設定,其中刪除的SCL設定為9分,拒絕的分數為7分,而隔離的分數則修改為5分。最



上一則   |   回上頁   |   下一則