Exchange 2003设计和体系结构（10）

增强的安全性

当 Microsoft 将安全性确定为它最优先的事务时，Exchange 2003 实现了许多优点：

Kerberos

Exchange 2003 在 Exchange 前端服务器和 Exchange 后端服务器之间发送用户证书时使用 Kerberos 授权。在以前版本的 Exchange 中，当用户打开诸如 Outlook Web Access（OWA）这样的应用程序时，Exchange 使用基本身份验证在 Exchange 前端服务器和 Exchange 后端服务器之间发送用户证书。因此，公司不得不使用诸如 IPSec 这样的安全性机制来加密信息。

Exchange 2003 在验证 Microsoft Office Outlook 2003 用户的身份时也使用 Kerberos。

在 OWA 中基于表单的身份验证

Exchange 2003 为 OWA 提供了一种新的登录页面，它将将用户名和密码存储在 cookie 中而非浏览器中。当用户关闭浏览器时，cookie 会被清除。此外，在经过预定义的非活动时期之后，cookie 会被自动清除。新的登录页面要求用户输入他们的域和网络用户名以及密码或其完整用户主要名称（UPN）、电子邮件地址，以及密码来访问其电子邮件。此特性也称为 cookie 身份验证。

OWA 中的用户可选安全性选项

OWA 登录页面允许用户选择最适合其需要的安全性选项。以 cookie 身份验证技术为基础，“Public or shared computer” 选项（默认为选中）提供了一个较短的 15 分钟的超时选项。作为选择，在办公室或家里独自操作一台计算机的 OWA 用户可以选择 “Private computer” 选项。“Private computer” 选项被选中时，允许在自动结束会话之前有更长的非活动时期。它的内部默认值是 24 小时。为了满足企业安全性需要，Exchange 2003 管理员可以自定义这两种选项的非活动超时值。

在 OWA 中阻止附件

与 Microsoft Outlook 2002 以及更新版本中已有的功能相似，Exchange 2003 的 OWA 特性能够被设置为阻止用户访问某些文件类型的附件。此特性有助于防止不可靠的附件对企业安全性造成潜在的破坏。

OWA 中的安全/多用途 Internet 邮件扩展（S/MIME）支持

S/MIME 通过同时支持邮件的数字签名和邮件加密提高了 Internet 电子邮件的安全性。数字签名提供了身份验证、不可否认性以及数据完整性。邮件加密提供了机密性和数据完整性。在 OTG 的配置里，当设置为使用 S/MIME时，私钥被存储在一个漫游配置文件中，后者在用户登录到一台连接到企业网络的计算机时变为可用。所有 S/MIME 加密、解密、以及消息传递签名操作都是在本地计算机上使用私钥执行的。所有的公钥由于不可否认性和解密的需要，都存储在 Active Directory 中。用户的私钥在任何时候都不会以任何形式在用户的计算机与 Exchange 服务器之间传递。

受限制的通讯组（Restricted Distribution Lists）

在 Exchange 2003 中，您可以对那些能够发送电子邮件消息给个人用户或通讯组的人设置限制。提交操作可以被限制为特定的用户、组，或所有已验证的用户。在一个通讯组上限制提交操作能够防止不可靠的发送者，例如未经身份验证的 Internet 用户向一个仅供内部使用的通讯组发送邮件。

增强的集群安全性

当在 Windows Server 2003 上运行时，Exchange 2003 包含下面的安全性特性：

许可改进意味着 Windows Cluster Service 不再要求具有 Exchange Full Administrator 权限才能创建、删除，或修改 Exchange 虚拟服务器。