Những bổ sung cho Exchange Server 2007 - Phần 3: Bảo vệ truy cập
Email máy khách
Trước khi bắt đầu, các bạn hãy chú ý rằng bài này được dựa trên phiên bản
beta của Windows Server 2008 và Exchange Server 2007 SP1, chính vì vậy m
à
một số tính năng rất có thể bị thay đổi hoặc gỡ bỏ trong các phiên bản cuối
cùng của sản phẩm.

Bài báo này sẽ giới thiệu một cách nhìn tổng quan mức cao về vấn đề bảo mật
các kiểu email máy khách khác nhau như POP3, IMAP4, OWA và Outlook
Anywhere (cũng được biết đến như RPC trên HTTP(S).

POP3

POP3 (Post Office Protocol version 3) là một giao thức tương đối cũ có nhiệm
vụ lấy email từ một máy chủ mail như Exchange Server. Trước đây với
Exchange Server 2003, Exchange hỗ trợ POP3 nhưng giao thức này đã được
vô hiệu hóa một cách mặc định. Điều đó cũng tương tự với Exchange Server
2007, chính vì vậy bạn phải thay đổi kiểu startup của giao thức này thành
Automatic. Một trong những thay đổi quan trọng trong truy cập Exchange
Server 2007 POP3 là nó không được mã hóa các session. Exchange Server
2007 sử dụng một chứng chỉ gán cùng loại để bảo vệ việc truyền tải các th
ư tín.
Chính vì đó mà bạn phải cấu hình máy khách email để có thể truy cập
Exchange Server trên một kết nối an toàn. Bạn cũng nên gỡ bỏ chứng chỉ này
sau khi cài đặt Exchange bằng chứng chỉ tin cậy từ một trung tâm thẩm định
ch
ứng chỉ CA hoặc bằng một chứng chỉ từ CA của nhóm thứ ba tin cậy. Để cấu
hình truy cập POP3, bạn phải sử dụng Exchange Management Shell (EMS).
Bắt đầu với Exchange Server 2007 SP1, các thành phần quản lý POP3 sẽ là
nằm trong Exchange Management Console (EMC).

IMAP4

IMAP4 (Internet Message Access Protocol version 4) cũng là một giao thức
tương đối cũ. IMAP4 so với POP3 có một số nâng cao hơn hẳn.

Bắt đầu với Exchange Server 2003, Exchange hỗ trợ IMAP4 nhưng giao thức
này mặc định bị vô hiệu hóa. Điều này cũng được thực hiện trong Exchange
Server 2007, chính vì vậy bạn phải thay đổi kiểu khởi động của giao thức này
thành Automatic. Một trong những thay đổi quan trọng trong việc truy cập
IMAP4 của Exchange Server 2007 là không được mã hóa các session.
Exchange Server 2007 sử dụng một chứng chỉ được gán như nhau để bảo vệ
việc truyền dẫn thư tín. Chính vì vậy bạn phải cấu hình máy khách email để có
thể truy cập Exchange Server trên kết nối an toàn.

Các cổng được sử dụng bởi POP3 và IMAP4
Giao thức
Cổng mặc
định
IMAP4/SSL 993 (TCP)
IMAP4 có hoặc không
có TLS
143 (TCP)
POP3/SSL 995 (TCP)
POP3 có hoặc không có
TLS
110 (TCP)
Bảng 1
OWA


Outlook Web Access (OWA) được bảo vệ một cách mặc định. Như bất kỳ các
dịch vụ máy khách của Exchange, Outlook Web Access cũng được bảo vệ
bằng một chứng chỉ được gán như nhau và việc truy cập HTTPS được kích
hoạt một cách mặc định. Tuy nhiên với tài khoản Administrator thì nên sử
dụng chứng chỉ của chính nó cho việc truy cập OWA từ một Certificate
Authority (CA) bên trong được tin cậy hoặc từ một CA của nhóm thứ ba tin
cậy. Exchange Server 2007 Outlook Web Access có một số thiết lập bảo mật
bổ sung. Một số trong các thiết lập bảo mật này là phần của gói bảo mật
Outlook Web Access bổ sung như đã được giới thiệu trong Exchange Server
2003. Hầu hết các thiết lập của công cụ này (và một số thiết lập bổ sung) hiện
được cung cấp một cách mặc định trong Exchange Server 2007. Ngoài ra
Exchange Server 2007 còn có một số tính năng bảo mật:


Chia đoạn Outlook Web Access


Phiên bản dành cho máy khách đầy đủ và một phần


Hạn chế truy cập vào Outlook Web Access đối với một số người dùng
nào đó


Tùy chỉnh việc tích hợp Microsoft Office Sharepoint


Kiểm soát Direct Access đối với vấn đề chia sẻ máy chủ file.



Khóa truy cập đối với các kiểu file nào đó.
Outlook Anywhere

Outlook Anywhere, trước đây được biết đến với tên RPC trên HTTPS trong
phiên bản Exchange Server 2003, tính năng này cung cấp cách truy cập một
cách đầy đủ nhất của Outlook 2007 trên HTTPS từ bên ngoài của mạng. Do
việc bảo mật Outlook Anywhere cũng tương tự với OWA nên chúng tôi sẽ
không giới thiệu chi tiết hơn nữa về tính năng này.

Exchange Active Sync (EAS)

Exchange Active Sync cho phép truy cập vào email và một số vấn đề khác đối
với các máy di động như Smartphones, PDAs (Personal Digital Assistants) và
điện thoại di động. EAS được kích hoạt mặc định và bạn hoàn toàn có thể cấu
hình thiết lập của nó bằng các chính sách của Exchange Active Sync. Với sự
trợ giúp của các chính sách này, bạn có thể thực hiện những thiết lập dưới đây:



Yêu cầu mật khẩu cho các máy di động


Yêu cầu mật khẩu vừa có chữ vừa có số


Cho phép hoặc không cho phép download các file đính kèm


Cho phép truy cập vào tài liệu các dịch vụ Windows Sharepoint



Cho phép xóa các thiết bị bị mất hoặc bị đánh cắp


Kích hoạt vấn đề mã hóa thiết bị
ISA Server 2006

Bạn có thể sử dụng ISA Server 2006 (Internet Security and Acceleration
Server) để cung cấp thêm một lớp bảo mật bổ sung cho vấn đề truy cập của
Exchange Server 2007 bằng Outlook Web Access (OWA), Outlook Anywhere
và Exchange Active Sync (EAS). Với sự trợ giúp của ISA Server 2006 bạn
hoàn toàn có thể công bố một cách an toàn tất cả các máy khách Exchange
Server này. ISA Server 2006 cho phép tăng thêm độ bảo mật trong các kiểu
HTTPS đến HTTP Bridging, Link Inspection, Content filtering, tiền chứng
thực người dùng….

Quản lý bản vá

Bạn cần phải cập nhật thường xuyên vấn đề về các máy khách Messaging và
hệ điều hành mà nó đang chạy. Bạn nên sử dụng WSUS (Windows Server
Updates Services) hoặc một phần mềm quản lý bản vá nào đó để trợ giúp cho
công việc này.

Anti-SPAM

Exchange Server 2007 có thể đư
ợc tích hợp các tính năng chống spam cho role
Hub Transport Server và role Edge Transport Server. Bạn phải kích hoạt các
tính năng chống spam trên Hub Transport Server thông qua Exchange
Management Shell (EMS).


Exchange Server 2007 cung cấp các tính năng chống spam dưới đây:


Sự kết hợp các danh sách bộ lọc Junk mail của Outllook


Dịch vụ IP Reputation


Thông tin người gửi


ID người gửi


Lọc mail thông qua địa chỉ mail gửi đến


Ngăn chặn thư rác


Lọc mail theo nội dung


SMTP Tarpitting
Bạn có thể sử dụng Forefront Edge Security để cung cấp thêm m
ột số tính năng
chống spam bổ sung khác.


Antivirus

Bạn nên sử dụng bộ quét chống virus trình khách đề có thể quét các file truy
cập theo yêu cầu như Forefront Client Security. Trên trình chủ, bạn nên sử
dụng một giải pháp chống virus trung tâm như Microsoft Forefront Edge
Security mà đã được chúng tôi đề cập đến trong phần thứ hai của loạt bài này.


Kết luận

Trong phần ba của loạt bài này, chúng tôi đã giới thiệu cho các bạn về cách
bảo mật vấn đề truy cập máy khách thông qua POP3, IMAP4, OWA và
Outlook Anywhere. Bạn đọc cần lưu ý rằng bài viết này không tập trung vào
tất cả các nâng cao bảo mật và các tính năng bảo mật mới trong Exchange
Server 2007 mà nội dung đó sẽ được chúng tôi giới thiệu trong một bài khác.

Văn Linh (Theo MsExchange)