■ 河南 许红军

编者按：Exchange服务器在企业中使用的较为普遍，可以为用户提供高效快捷的邮件服务。在日益强调网络安全性的今天，如何提高Exchnage邮件的安全性，保护用户的信息安全，是管理员必须面对的问题。将Exchange和AD RMS服务有机结合，可以有效的防范潜在安全隐患。

部署环境 实现Exchange和AD RMS的集成

为了管理RMS服务，需要在域控制器上打开Active Directory用户和计算机程序，在左侧选择“Users”项，在右侧新建名为“rmsadmin”的账户，使其隶属于Domain Admins组中。注意在创建该帐号时，需要选择“用户不能更改密码”和“密码永不过期”项。因为如果随意更改密码会造成服务运行异常的情况。以管理员身份登录Exchange 2013服务器管理中心，在左侧点击“收件人”项，在右侧点击“组”项，点击“+”按钮，新建一个名为“rmscenter”的通讯组，用来设置ADRMS超级用户组。 在Active Directory用户和计算机程序，在左侧选择“Users”项，可以看到该组。在其属性窗口中的“成员”面板中点击“添加”按钮，添加名为“exchange Servers”的域组帐号，将以“FederatedEmail”开 头 的Exchange Server提供的同盟用户也添加进来。

在域控制器上安装有证书服务，在域中某台成员服务器（假设名为“Rmsserver”）以域管理员身份登录，执行“mmc”程序，在控制台中点击菜单“文件→添加/删除管理单元”项，在弹出窗口左侧列表中选择“证书”项，点击“添加”按钮，选择“计算机账户”项，点击“完成”按钮将其添加进来。在控制台左侧选择“证书→个人”项，在其右键菜单上点击“所有任务→申请新证书”项，在向导界面中选择“Active Directory注册策略”项，点击“下一步”按钮，选择“计算机”项，点击“注册”按钮完成证书申请操作。在服务器管理器中单机“添加角色和功能”项，在向导界面中的角色列表中选择“Active Directory Rights Management Services”项，之后点击“安装”按钮。

之后在服务器管理器左侧选择“AD RMS”项，在窗口右上角点击“更多”链接。在任务详细信息窗口中的和ADRMS相关的栏目中点击“执行其他配置”链接，在配置界面中点击“下一步”按钮，选择“创建新的AD RMS根群集”项，在下一步窗口中选择“指定数据库服务器和数据库实例”项，点击“选择”按钮，设置目标SQL Server服务器，在“数据库实例”列表中选择所需的实例。选择该项的优点在于可以支持ADRMS的高可用性，允许将多台AD RMS服务器组成群集。这里为了简单起见，选择“在此服务器上使用Windos内部服务器”项，其优点在于无需安装SQL Server，但是只能配置安装单台ADRMS服务器，无法利用群集实现AD RMS的高可用性。

点击“下一步”按钮，在“域用户账户”中设置RMS域账户名称（如“xxx/rmsadmin”）。之后以选择加密模式（建议选择“加密模式 1”），指定 AD RMS 群集密钥存储方式，设置AD RMS群集密钥密码（用于在群集中添加新的AD RMS服务器），选择AD RMS群集网站，设置 群 集 地 址（如“htps://rmsserver”）,选择申请的证书，执行立即注册SCP，点击“安装”按钮，执行配置操作。完毕后重启系统才可以在该机上管理AD RMS服务。因为默认情况下AD RMS群集网站托管在IIS中的“Defaule Web Site”站点下，所以打开“C:Inetpubwwwroot\_wmcscertification”目录，在“Server Certification.asmx”文件的属性窗口中打开“安全”面板，依次点击“编辑”和“添加”按钮，分别添加名为“exchange servers”的域组和名为“adrmsservice group”的本地组。打开Active Directory Rights Management Services控制台，在左侧选择“安全策略→超级用户”项，在右侧点击“启用超级用户”链接，激活该功能。点击“更改超级用户组”链接，在超级用户窗口中点击“浏览”按钮，导入上述“rmscenter”组。这样，该组中的成员就拥有了解密加密数据的能力，可以自由查看所有加密邮件。在Exchnage Server中打开EMS窗口，执行“Set-IRMConfiguration –Internal Licensing Enabled$true”命令，实现和AD RMS服务器的集成。

使用AD RMS服务 保护邮件安全

AD RMS可以有效保护文档安全，防止无关用户随意接触邮件。例如，在Word中打开某文档，在信息窗口中点击按钮“保护文档”按钮，在弹出菜单中点击“限制访问”项，在权限窗口中选择“限制对此文档的权限”项，在“读取”列表中输入对应的域账户，这样，这些账户就只能读取该文档。在“更改”列表中输入对应的域账户，这些账户就拥有了修改该文档的权限。点击“其他选项→添加”按钮，可以导入所需域账户。选择目标账户，勾选“此文档的到期日期为”项，来设置具体的日期。

选择“打印内容”、“允许具有读取权限的用户复制的内容”、“以编程方式访问内容”项，允许用户打印文档、复制文档内容等功能，否则将拒绝上述操作。选择“用户可以从此处请求附加权限”项，可以输入管理员的邮箱。这样便于使用者向管理员发送访问该文档的权限请求。点击确定保存配置信息。这样，当使用OutLook等工具将该文档作为邮件附件发送给目标域用户后，当试图对附件中的文档进行范围访问时，就会受到权限的控制，例如无法打印、修改文档等。在预览界面中点击“查看权限”按钮，显示该用户对此文档拥有的具体权限，包括是否允许查看、编辑、复制、打印、保存、导出、以程序手段访问文档、完全控制等。

如果其离开了域环境，将文档复制到其他电脑上，因为无法得到AD RMS服务器的授权，则无法将其打开。除了使用文档自身的权限控制功能外，因为Exchange Server已经和AD RMS实现了集成，所以利用其内置的策略可以对邮件的使用进行有效的控制。在默认情况下，包括不可转发和无限制两个策略。例如，用户“User1”通过OWA方式登录自己的邮箱，新建一封邮件，输入收件人，主题，内容等信息，添加附件后，点击右上角的“...”按钮，在弹出菜单中选择“设置权限→不可转发”项。当将该邮件发送出去后，当收件人接收之后，是无法转发、打印、复制和编辑邮件以及附件的内容。

自定义权限策略 灵活保护邮件

Exchange自带的策略太少，无法满足实际需要。因此，我们可以自定义新的策略来灵活管理邮件。在AD RMS服务器上打开Active Directory Rights Management Services控制台，在左侧选择“权限策略模版”项，在右侧点击“创建分布式策略模版”链接。在向导界面中点击“添加”按钮，输入新模版的名称（例如“celue1”）和描述信息。点击“下一步”按钮，在“用户和权限”中点击“添加”按钮，在弹出窗口中选择“任何人”项，表示对任何用户均有效。

当然，也可以选择“用户或组的电子邮件地址”项来添加特定的用户或组。例如选择“ANYONE”用户，在权限列表中可以设置所需的权限，包括完全控制、查看、编辑、保存、导出、打印、转发、答复、全部答复、提取、允许宏、查看权限、编辑权限等。

这里选择“查看”、“答复”和“全部答复”项，允许所有的用户只能查看和答复邮件，其余的权限均禁用。选择“授予所有者（作者）不会过期的完全权限控制”项，则邮件所有者不收任何限制。点击“下一步”按钮，在“内容有效期限”栏中默认选择“永不过期”项，表示允许不存在过期问题，允许用户随时查看。为了提高安全性，可以选择“到以下日期过期”项，设置合适的日期。这样，当超过该日期后，用户就无法查看邮件了。选择“以下期限后过期”项，表示当发出邮件后，当超过指定的天数（默认为1天），就禁止查看其内容。其余的设置保持默认，点击“完成”按钮创建该策略。按照同样的方法，可以创建任意多个策略模版，来满足各种实际需求。

当用户使用OWA方式登录自己的邮箱，就可以按照上述方法创建新邮件，在权限菜单中就会显示新创建的策略，例如选择“celue1”项来使用该策略。当将邮件发出后，别的用户收到该邮件后，就只能查看和答复该邮件，而无法执行打印、导出、保存、编辑等操作。注意，如果客户端使用OutLook发送邮件时，默认是无法使用上述自定义策略的。可以先在AD RMS服务器上创建一个共享目录（例如“\rmsservershare”）， 之后在上述自定义策略的右键菜单上点击“导出”项，将其导出到该共享目录中。因为需要通过组策略来发布模版，所以需要下载Office 2010 Administrative Template files and Office Customization Tool这一工具，这里使用的是Office 2010。在域控制器上安装该工具，将其保存到“C:office2010admintemplate”。

之后打开组策略管理 器，选 择“域 →xxx.com→Default Domain Policy”项，在右键菜单上点击“编辑”项，在打开窗口左侧选择“用户配置→策略→管理模版”项，在其右键菜单上点击“添加/删除模版”项，在弹出窗口中点击“添加”按钮，进入“C:office2010admintemplate”目录中的“ADM”目录，打开其中的“zh-cn”文件夹，找到名为“office14.adm”文件，来添加Office 2010管理模版。打开“用户配置→策略→管理模版→经典管理模版 →Microsoft Office 2010→管理受限权限”项，在右侧双击“指定权限策略路径”项，在弹出窗口中选择“已启用”项，在“输入内容权限策略模版的路径”项，输入上述共享路径“\rmsservershare”。 在客户机上执行“gpupdate /force”命令来刷新组策略（或注销重新登录）。当打开OutLook后，点击工具栏上的“新建电子邮件”按钮，在邮件编辑窗口工具栏上打开“选项”面板，点击“权限”按钮，在弹出菜单中可以显示自定义策略。选择“celue1”策略，输入内容并添加附件后就可以发送出去。

使用邮件流 自动匹配策略

在发送邮件时，如果其中包含敏感信息，我们希望其自动匹配对应的权限策略来实现合理的控制功能。例如禁止转发、打印邮件等。将Exchange的邮件流功能和AD RMS权限控制功能相结合，就可以实现上述要求。以管理员身份登录到Exchange Server管理中心，在左侧选择“邮件流”项，在右侧点击“+”按钮，在弹出菜单中选择“将权限保护应用于邮件”项，在新建规则窗口中输入名称，例如“安全规则1”。在“在以下情况应用此规则”列表中选择“主题和正文”项，在弹出菜单中包括“主题或正文包含以下任何词语”、“主题或正文与这些文本模式匹配”、“主题包含以下任何词语”、“主题与这些文本模式匹配”等。

这里选择“主题或正文与这些文本模式匹配”项，在弹出窗口中输入匹配的内容（例如“奖金”、“机密”等），可以添加多个词语或短语。在“执行以下操作”列表中选择“将权限保护应用于邮件”项，点击“选择一个”链接，在列表中显示所有的策略，可以根据需要选择所需的模版（例如选择“celue1”）。其余设置保持默认，点击保存。这样，就可以有效保护特定的邮件。例如当“User1”用户使用OWA方式登录自己的邮箱，新建一封电子邮件，输入收件人、主题、内容（在其中包含预设的敏感信息），添加附件后发送出去。尽管其没有手动选择权限策略，但Exchange Server已经根据预设的邮件流规则，自动为其设置选定策略（例如“celue1”）。当目标用户收到邮件后，只能按照规定的策略来访问邮件。例如只能查看和答复，无法转发、打印、编辑、保存该邮件。

防御垃圾邮件

默认情况下，Exchange 2013并未安装反垃圾邮件模块。以管理员身份登录Exchange邮箱服务器，在EMC窗口中进入“c:programs filesmicrosoftexchange serverv15scripts”目 录，执 行“.Install-AntiSpamAgents.ps1” 命令来安装该模块。之后执 行“restart-service MSExchangeTransport” 命令重启服务使之生效。之后需要指定SMTP服务器，执行“Set-TransportConfig–InternalSMTPService @{Add= "xxx.xxx.xxx.xxx"}”命 令，其 中 的“xxx.xxx.xxx.xxx”为SMTP服务器地址，即启用了反垃圾邮件功能的Exchange服务器。执行“Get-TransportConfig|Format-List Internal SMTPServices”命令，可以检测是否成功指定了至少一台内部SMTP服务器IP。执行“Set-SenderFilterConfig–Enabled $true”命令，启用发件人筛选功能。

为防止收到发件人为空的邮件，可以执行“Set-SenderFilterConfig –BlankSenderBlocking Enabled $true”命 令 即可。当然，也可以配置更复杂的规则，例如执行“Set-SenderFilterConfig-BlockedSenders kim@contoso.com,john@contoso.com-BlockedDomainsfabrikam.com-BlockedDomainsAndSubdomainsnorthwindtraders.com”命令，可以阻止来自kim@contoso.com和john@contoso.com的邮件，来自 fabrikam.com域的邮件以及来自northwindtraders.com及其所有子域的邮件。执行“Set-ContentFilterConfig-ExternalMailEnabled$true”命 令，可 以 启 用对外部邮件启用内容筛选功能。执行“Add-ContentFilterPhrase-Influence BadWord-Phrase "xxxxxx"”命令，可以禁止所有包含“xxxxxx”内容的邮件。通过设置垃圾邮件的SCL（即可信度）阀值，可以灵活的对其进行管控，SCL阀值等级从0到9，执行“Set-ContentFilterConfig-SCLDeleteEnabled $true-SCLDeleteThreshold 9-SCLRejectEnabled $true-SCLRejectThreshold 8-SCLQuarantineEnabled$true -SCLQuarantine Threshold 7”命 令，对于SCL阀值为9的邮件，可以将其删除。对于阀值为8的邮件可以拒绝，对于阀值为7的邮件可以进行隔离。