且看Exchange Server 2007如何御敌于门外

　　邮件安全，现在已经成为企业级邮箱服务器所必需面对的一个问题之一。病毒、垃圾邮件、企业信息泄露已经成为威胁企业邮箱服务器安全的三大杀手。为此，在新一代的Exchange 2007种，微软提出来一个“御敌于门外”的安全策略。下面笔者就结合微软Exchange2007服务器版本的边缘服务器技术，谈谈微软是如何通过这门技术，实现这个“御敌于门外”的安全策略，

　　首先，笔者要简要介绍一下，什么是边缘服务器。边缘服务器是Exchange Server 2007提出的一个新的概念。其实，简单的说，边缘服务器就是一个网关服务器，他可以把企业的内网跟外网隔离开来，从而保障企业内网其他邮件服务器角色的安全性。

　　具体的来说，边缘服务器通过如下手段来保护邮件服务器免受病毒、垃圾邮件的侵袭。

　　一、 对收件人信息的单向散列加密。

　　边缘服务器的重要用途是一个邮件收发的网关服务器，通过边缘服务器，可以把企业邮箱服务器的其他角色跟企业的外网隔离开来。但是，边缘服务器要能够正常工作的话，也需要相关的信息。

　　如边缘服务器必须要具有企业内网内的所有收件人的地址信息。如此的话，边缘服务器才能够判断，收件人的地址是否合法，若不合法的时候，边缘服务器就会直接把这个邮件挡在门外，从而让这些非法邮件没有用武之地。可见，在这个边缘服务器上，还必须保存一些重要的信息。

　　此时，也许就会有人问，若这个边缘服务器遭受到攻击了，获取这些收件人的地址信息，那么，他人就可以像企业发送垃圾邮件了。确实，边缘服务器在这里是一个充当“牺牲者”的角色。他把自己暴露在外面，牺牲自己，保护邮箱其他服务器角色的安全。为此，微软邮箱服务器的开发人员也想到了这个可能性，为此，在边缘服务器上实现了一个叫做“单向散列加密”技术。

　　“单向散列加密”技术，简单的说，当边缘服务器通过一定的手段，从内网的活动目录中取得企业内部的收件人地址后，使加密存储的。而采用“单向散列加密”技术后，这个地址是不能够解密的。也就是说，即使有人攻击了这个边缘服务器，获取了企业内部的收件人地址，但是，因为这些信息采用了这种特殊的加密技术，他们取得的这些信息都是乱码，没有丝毫的用途。所以，边缘服务器也不怕别人攻击他们的系统。他是一个很坚强的革命烈士，即使自己被攻击的奔溃了，其也不会把这些机密信息泄露出去。

　　边缘服务器就是通过这种技术，保障企业内部邮件地址的安全性。使得非法入侵者无法获取企业的邮箱地址，他们也就无法向企业发送垃圾邮件。所以，边缘服务器在保护企业内部服务器角色安全的同时，也不忘对自己采取一定的保护措施。

　　二、 采用尽量少的端口，保障服务器的安全。

　　我们都知道，无论是木马还是病毒，又或者垃圾邮件，等等，他们要能够攻击邮箱服务器的话，首先必须找到一些可以被利用的端口。换句话说，服务器开放的端口越多，其被攻击的可能性也就越大。

　　而边缘服务器处在企业内网与外网的中间，若其开发过多的端口的话，则就可能会成为黑客、病毒等攻击的目标。为此，边缘服务器采用了特殊的技术，来避免过多的开放相关的端口。

　　如边缘服务器的话，可以在没有活动目录的情况下，也就是说不用加入到域，直接在工作组的环境下工作。这个最大的好处，就是不需要用到很多的端口。我们知道，若需要跟活动目录服务器进行联系的话，需要开放很多的端口，如DNS端口、TCP/IP查询端口等等，而这些端口若开发的话，则很可能会发生一些地址欺骗等攻击。所以，边缘服务器就索性关闭了这些端口，使得非法入侵者根本没有机会借这些端口进行非法攻击。

　　但是，边缘服务器需要正常工作，还必须从活动目录中那边取得一些信息，这是如何实现的呢?服务器在这方面，采用了一种叫做EDGESYNC的服务。他的作用，就是在边缘服务器跟活动目录之间进行信息的同步。根据邮箱管理员的设置，EDGESYNC服务会定期的把内网的活动目录中的相关信息，同步到边缘服务器上。为此，边缘服务器其实没有直接跟活动目录进行通信，就可以去的其所需要的信息。为此，边缘服务器也就没有必要打开那些比较危险的端口，从而保障自己的安全。

　　邮箱管理员可以根据企业的需要，自己设计是自动更新信息呢，还是手工更新相关的信息。

　　根据专家的说法，边缘服务器一般只需要打开两个端口，即25号端口与EDGESYNC服务所需要用到的端口，就可以进行正常的工作。如此的话，就可以最大限度的保障边缘服务器的安全。设想一下，若没有边缘服务器在这里起作用，而把企业的邮箱服务器直接部署在边缘服务器的位置上，他们他们因为需要开发很多的端口，必将成为木马、病毒等攻击的对象。端口开放的多了，即使采用最周密的安全防卫体系，但是也难免百密而一疏，从而给非法入侵者可乘之机。

　　综上所述，边缘服务器可以在没有活动目录的环境下，也就是说在工作组的网络背景下运行。为此，边缘服务器就可以不需要运行过多的服务，打开过多的端口。运行的服务少了，打开的端口少了，那么自己被攻击的可能性也就会小的多。所以，企业部署边缘服务器，可能会在很大程度上，提高企业内部邮箱服务器系统的安全性。

　　三、 部署边缘服务器的一个注意点。

　　边缘服务器必须跟其他服务器角色部署在不同的主机上。企业部署一个邮件服务器，其实，其有多种服务器角色。一般来说，在安装邮箱服务器的时候，有如下五种角色。如CLIENT ACCESS角色、MAILBOX角色、UNIFIED MESSAGING角色、HUBTRANSPORT角色、EDGETRANSPORT角色等等。EDGETRANSPORT角色就是我们所说的边缘服务器。

　　我们知道EDGETRANSPORT角色的主要作用，就是充当一个邮件收发的一个网关，把其他的四种服务器角色跟企业的外网进行隔离。而且，在边缘服务器上可以部署一些应用，如病毒防火墙、垃圾邮件过滤软件等等，从而起到一种御敌与门外的目的。

　　所以，微软开发人员为了实现，边缘服务器能够真正起到这个隔离的作用，在边缘服务器部署的时候，做另一个限制。若企业需要部署边缘服务器的话，不能跟其他服务器角色部署在同一台主机上，如此的话，就可以从物理上，把边缘服务器跟其他服务器角色隔离开来，从而提高企业邮箱服务器系统的安全性。

　　利用边缘服务器，还可以实现连接过滤、SMTP协议过滤、内容过滤等相关的过滤规则，来保障企业内部邮箱服务器的一个正常的运行环境。关于边缘服务器的具体应用与配置，笔者会在后续的文章中做详细的阐述。大家若有这方面的需要，可以关注我后续的文章。下面的文章，笔者将结合自己企业的边缘服务器的部署情况，谈谈边缘服务器在企业中的实际应用。包括如何通过连接过滤实现垃圾邮件的过滤等等。