正在阅读：Exchange服务器的安全性增强方案Exchange服务器的安全性增强方案

　　服务帐号

　　你可能知道，Exchange服务器使用服务帐号和WindowsNT安全系统交互的，这个服务帐号有个巨大的安全漏洞，因为它有太多干预Exchange的权利。可惜，不能禁止服务帐号或减少它的权利，所以最好另想办法。

　　安装Exchange的时候，选择不明显的用户名，例如，可以使用不和你一起工作好朋友的名字。

　　除非你非常清楚在做什么，否则不要重命名现有的服务帐号。这么做会导致Exchange工作不正常。

　　应该为帐号使用密码，Internet上有很多破解密码的程序，其中一些把你的密码（从登记中提取出来的）和字典中的词比较，有些用户尝试所有可能的组合。所以，越长、越晦涩、加密，密码就越好，最好的密码混用大写和小写符号和数字。Internet连接

　　到现在为止，向你展示的都是基本的保护Exchange的技术，但是，因为最强的威胁来自Internet，保证Internet连接的安全也是不错的主意。

　　代理服务器

　　使用代理服务器是保护网络不受Internet用户袭击的好方法，代理服务器需要多个WindowsNT服务器。就是说服务器必须有两个网卡，一个连接Internet，另一个连接你的网络。所有和Internet传送的数据都要通过代理服务器，使用代理服务器的优点就是Internet用户只能看见你的网络的IP地址--服务器的地址。所有其他的IP地址都被代理服务器屏蔽，不会传到Internet上。从Internet上的外部用户来看，从你的网络中发出的数据都像是从代理服务器中发出的一样，因为所有的IP地址都是隐藏的，使用TCP/IP调用进入网络就很难。有了代理服务器，就有了禁止不同的TCP/IP端口和协议的能力，只打开需要的端口和协议，减少了使用TCP/IP组件用户攻击网络的危险。

　　Exchange体系结构

　　我们已经解释过，最好的保护Exchange服务器的方法是保护NT，对Internet屏蔽你的网络。但是，无论你怎样阻止和过滤，总是有人溜进来的可能。还有另一种简单的保护Exchange的方法。

　　首先，需要另一个Exchange服务器，只用来做SMTP路由。把这个Exchange放在另一台闲置服务器上，让新服务器成为网络的一部分。让它作为Internet邮件连接器，所有的邮箱和公共目录都在其他的服务器上。

　　新服务器会把邮件发送到相应的邮箱中，如果有人发动DoS攻击，只需关闭保护服务器即可，攻击不会影响到其他的包括邮箱和公共目录的服务器。因为内部数据不和直接连接到Internet的服务器发生关系，所以这样配置Exchange也是防止信息盗窃和欺骗的好方法。

　　你可能想知道这种技术到底有多有效，毕竟，安全服务器也是要通过TCP/IP协议连接到Internet的。同样地，其他服务器可能也使用TCP/IP。所以，你会怀疑黑客是否会通过代理服务器进入保护服务器，它们可能进入其他的Exchange服务器。

　　我们刚讲的技术有用是因为它可以用在网络的不同段。防火墙堵住大部分TCP/IP端口，正因为如此，想偷邮件、欺骗帐号、发起DoS攻击可能通过SMTP调用获得进入服务器的权限。即使它们进入服务器，Exchange也不用SMTP在本地服务器之间通信。它们用RPC（远程过程调用），因为这样，你的服务器就可以有不承认SMTP通信的邮件箱和公共目录，因此数据就可以不受这样的攻击。

　　Exchange内部的安全设置

　　在Exchange内部也有好多参数需要调整，例如，DoS攻击向服务器发送大量邮件，阻塞服务器。虽然用保护服务器隔离了SMTP数据但也不能让保护服务器总受DoS攻击。阻止这种攻击的一种方法是设置进入的消息数量。

　　打开Exchange管理器，"管理"→"站点"→"配置服务器"→"ServerRecipients"（服务器接收者）。然后，在文件菜单中，选择接收者，单击Properties（属性）。在属性页中，选择"Limits"（限制）标签，可以设置每个用户的最大入站信息量。为大部分用户设置小一些，为经常接收大附件的用户设置大些。

　　结论

　　电子邮件系统通常是Internet用户的目标，所以保护Exchange服务器不受Internet攻击非常重要。本文解释了一些可以提高Exchange安全的技术。