增强Exchange服务器的安全性（2）

服务帐号

你可能知道，Exchange服务器使用服务帐号和Windows NT安全系统交互的，这个服务帐号有个巨大的安全漏洞，因为它有太多干预Exchange的权利。可惜，不能禁止服务帐号或减少它的权利，所以最好另想办法。

安装Exchange的时候，选择不明显的用户名，例如，可以使用不和你一起工作好朋友的名字。

除非你非常清楚在做什么，否则不要重命名现有的服务帐号。这么做会导致Exchange工作不正常。

应该为帐号使用密码，Internet上有很多破解密码的程序，其中一些把你的密码(从登记中提取出来的)和字典中的词比较，有些用户尝试所有可能的组合。所以，越长、越晦涩、加密，密码就越好，最好的密码混用大写和小写符号和数字。Internet连接

到现在为止，向你展示的都是基本的保护Exchange的技术，但是，因为最强的威胁来自Internet，保证Internet连接的安全也是不错的主意。

代理服务器

使用代理服务器是保护网络不受Internet用户袭击的好方法，代理服务器需要多个Windows NT服务器。就是说服务器必须有两个网卡，一个连接Internet，另一个连接你的网络。所有和Internet传送的数据都要通过代理服务器，使用代理服务器的优点就是Internet用户只能看见你的网络的IP地址--服务器的地址。所有其他的IP地址都被代理服务器屏蔽，不会传到Internet上。从Internet上的外部用户来看，从你的网络中发出的数据都像是从代理服务器中发出的一样，因为所有的IP地址都是隐藏的，使用TCP/IP调用进入网络就很难。有了代理服务器，就有了禁止不同的TCP/IP端口和协议的能力，只打开需要的端口和协议，减少了使用TCP/IP组件用户攻击网络的危险。

Exchange体系结构

我们已经解释过，最好的保护Exchange服务器的方法是保护NT，对Internet屏蔽你的网络。但是，无论你怎样阻止和过滤，总是有人溜进来的可能。还有另一种简单的保护Exchange的方法。

首先，需要另一个Exchange服务器，只用来做smtp路由。把这个Exchange放在另一台闲置服务器上，让新服务器成为网络的一部分。让它作为Internet邮件连接器，所有的邮箱和公共目录都在其他的服务器上。

新服务器会把邮件发送到相应的邮箱中，如果有人发动DoS攻击，只需关闭保护服务器即可，攻击不会影响到其他的包括邮箱和公共目录的服务器。因为内部数据不和直接连接到Internet的服务器 * ，所以这样配置Exchange也是防止信息盗窃和欺骗的好方法。

你可能想知道这种技术到底有多有效，毕竟，安全服务器也是要通过TCP/IP协议连接到Internet的。同样地，其他服务器可能也使用TCP/IP。所以，你会怀疑黑客是否会通过代理服务器进入保护服务器，它们可能进入其他的Exchange服务器。

我们刚讲的技术有用是因为它可以用在网络的不同段。防火墙堵住大部分TCP/IP端口，正因为如此，想偷邮件、欺骗帐号、发起DoS攻击可能通过SMTP调用获得进入服务器的权限。即使它们进入服务器，Exchange也不用SMTP在本地服务器之间通信。它们用RPC(远程过程调用)，因为这样，你的服务器就可以有不承认smtp通信的邮件箱和公共目录，因此数据就可以不受这样的攻击。

Exchange内部的安全设置

在Exchange内部也有好多参数需要调整，例如，DoS攻击向服务器发送大量邮件，阻塞服务器。虽然用保护服务器隔离了smtp数据但也不能让保护服务器总受DoS攻击。阻止这种攻击的一种方法是设置进入的消息数量。

打开Exchange管理器，"管理"→"站点"→"配置服务器"→"Server Recipients"(服务器接收者)。然后，在文件菜单中，选择接收者，单击Properties(属性)。在属性页中，选择"Limits"(限制)标签，可以设置每个用户的最大入站信息量。为大部分用户设置小一些，为经常接收大附件的用户设置大些。

结论

电子邮件系统通常是Internet用户的目标，所以保护Exchange服务器不受Internet攻击非常重要。本文解释了一些可以提高Exchange安全的技术。