Bảo vệ luồng thư SMTP an toàn giữa các tổ chức Exchange Server 2007 khác nhau

Trong bài này, tôi sẽ chỉ cho các bạn cách tạo luồng thư luân chuyển SMTP an toàn giữa các hệ thống Exchange Server 2007 trong nhiều tổ chức Exchange khác nhau. Bảo vệ lưu lượng SMTP giữa các tổ chức Exchange 2007 đơn giản hơn nhiều so với những phiên bản trước đó của nó.
Nội dung trích xuất từ tài liệu:
Bảo vệ luồng thư SMTP an toàn giữa các tổ chức Exchange Server 2007 khác nhauBảo vệ luồng thư SMTP an toàn giữa các tổ chức Exchange Server 2007khác nhauNguồn:quantrimang.comTrong bài này, tôi sẽ chỉ cho các bạn cách tạo luồng thư luân chuyểnSMTP an toàn giữa các hệ thống Exchange Server 2007 trong nhiều tổchức Exchange khác nhau. Bảo vệ lưu lượng SMTP giữa các tổ chứcExchange 2007 đơn giản hơn nhiều so với những phiên bản trước đó củanó.Những vấn đề cơ bảnBảo vệ lưu lượng SMTP giữa các Exchange Server khác nhau có cần thiết?Chúng ta hãy thử một kiểm tra nho nhỏ sau.Khởi động chương trình dò mạng với trình phân tích lưu lượng yêu thích nhấtcủa bạn. Ở ví dụ này, tôi dùng Microsoft Network Monitor 3.0. Trong khi chươngtrình dò mạng đang chạy, khởi động phiên Telnet trong Exchange Server vớicổng 25 và gửi một thư qua đó. Ngừng chương trình dò tìm bằng Netmon và lọclưu lượng được đóng gói bởi giao thức SMTP. Bạn thấy những gì? Vâng, toànbộ chương trình thẩm định của phiên SMTP là văn bản thuần tuý! Hình 1: Dò tìm mạng SMTP với Netmon Hình 2: Gửi một thư SMTP qua TelnetBây giờ, bạn biết là cần phải triển khai một số chương trình bảo mật giữa cácExchange Server. Nhưng giải pháp nào là tốt nhất? Nếu sử dụng IPSEC thì ýnghĩa của nó sẽ như thế nào khi động? Ít nhất, bạn phải sử dụng các khoá “tiềnchia sẻ” để triển khai IPSEC giữa các server. Và chương trình sẽ hoạt động tốtnếu số lượng server Exchange của bạn chỉ dừng ở con số khiêm tốn là một vài.Giải pháp khác, triển khai IPSEC trên nhiều hệ thống Exchange Server, sử dụngcác chứng chỉ. Nếu muốn triển khai chứng chỉ giữa các Exchange Server, bạnsẽ cần một PKI (Public Key Infrastructure).Có một giải pháp mới khác trong Exchange Server 2007 là sử dụng hàm dựngsẵn.Exchange Server 2007 sử dụng một số phương thức dưới đây nhằm đảm bảotính toàn vẹn và mã hoá cho thư: Mutual TLS • Opportunistic TLS • Direct Trust • Domain Security •Mutual TLSTLS (Transport Layer Security), tức giao thức bảo mật tầng giao vận là sự nốitiếp của Secure Sockets Layer (SSL) - giao thức tầng socket bảo mật. SSL đượcdùng để mã hoá luồng thư trong Exchange 2007. Thuật ngữ Multual nghĩa là cảhai hệ thống Exchange Server trong tiến trình giao vận thư sẽ kiểm tra chứng chỉTLS trước khi kết nối được thiết lập. Mutual TLS được triển khai ở cấu hình,trong đó cả người gửi và người nhận đều thẩm định lẫn nhau trước khi gửi dữliệu.Opportunistic TLSOpportunistic TLS là thành phần mới trong Exchange 2007. Exchange Server2007 cố gắng đảm bảo an toàn cho luồng thư tới một hệ thống Exchange 2007khác, hoặc tới hệ thống nhận thư bên ngoài. Nó cũng cố gắng cho phép mộtphiên TLS với hệ thống nhận thư khác ở dạng yêu cầu TLS nặc danh. Đây làđiểm khác so với Exchange 2003. Ở Exchange 2003, bạn phải cho phép TLS“một cách thủ công” giữa hai hệ thống Exchange Server khác nhau.Direct TrustTất cả lưu lượng thư đều được mã hoá tự động giữa các hệ thống ExchangeServer, bất kể vai trò được sử dụng là Hub Transport hay Edge Transport. DirectTrust không dùng cơ chế thẩm định tính hợp lệ của chứng chỉ X.509 tổng hợp.Thay vào đó, nó dùng cơ chế xác nhận trực tiếp sự hiện diện của một chứng chỉtrong Active Directory. Bạn sẽ không gặp phải vấn đề gì nếu sử dụng các chứngchỉ tự ký hoặc chế độ thẩm định chứng chỉ nội bộ.Domain SecurityDomain Security là sự kết hợp các kỹ thuật và thành phần khác nhau, nhưchương trình quản lý chứng chỉ, chức năng bộ kết nối Exchange Server và hoạtđộng của các dịch vụ hỗ trợ thư điện tử (Microsoft Outlook 2007). Mục đích xâydựng Domain Security trong Exchange Server 2007 cũng nhằm thiết lập kết nốian toàn với Mutual TLS.Triển khai TLS bảo mậtNhằm mục đích an toàn cho dòng lưu chuyển mail với mutual TLS, bạn có thểdùng các server Hub Transport. Hoặc nếu như đã triển khai Edge Server, bạncũng có thể dùng nó với các hệ thống Exchange Server.Ở bước đầu tiên, bạn phải thiết lập một chứng chỉ qua Forest đáng tin cậy vớihai tổ chức Exchange. Ít nhất bạn phải thêm chứng chỉ Root CA từ cơ chế thẩmđịnh Certification authority (CA) bên ngoài vào chứng chỉ Root CA đáng tin cậylưu trữ trên Hub Transport hoặc Edge Transport Server. Nếu có nhiều ServerEdge hoặc Hub Transport, sẽ tốt hơn khi triển khai chứng chỉ CA tin cậy hoặcthêm chứng chỉ Root CA vào nơi lưu trữ Trusted Root CA qua các Group Policy.Hình minh hoạ dưới là ảnh chứng chỉ Root CA của tổ chức B. Hình 3: Chứng chỉ Root CA đến từ tổ chức Exchange khác.Subject NameSubject Name (tên đối tượng) giữ vị trí quan trọng trong các chứng chỉ dùng bởiExchange 2007. Tên đối tượng của một chứng chỉ TLS được dùng bởi các dịchvụ nhận dạng DNS. Dịch vụ nhận dạng DNS sẽ gọi tên đối tượng của một chứngchỉ và so sánh nó với yêu cầu. ISA Server là một ví dụ điển hình. Khi đưa raOutlook Web Access hoặc Outlook Anywhere trong một cầu HTTPS, tên ...