了解網域安全性
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2016-11-28
網域安全性是指 Microsoft Exchange Server 2010 及提供相關低成本替代方案給 S/MIME 或其他郵件層安全性解決方案之 Microsoft Office Outlook 2007 中的一組功能。網域安全性功能集的目的,是提供方法給系統管理員,來管理經由網際網路至企業夥伴的安全郵件路徑。在設定這些安全郵件路徑之後,已經驗證之寄件者透過安全路徑順利傳送的郵件,會在 Outlook 和 Microsoft Office Outlook Web App 介面中對使用者顯示為 Domain Secured。
網域安全性會以交互驗證使用傳輸層安全性 (TLS),提供以工作階段為基礎的驗證及加密。含相互驗證的 TLS 不同於通常所實作的 TLS。實作 TLS 之後,用戶端通常會驗證伺服器的憑證,以確認連線已安全地連接預定的伺服器。這是所收到之 TLS 交涉中的一部分。在此情況下,用戶端在傳輸資料之前會先驗證伺服器。不過,伺服器不會驗證用戶端的工作階段。
利用相互 TLS 驗證,每部伺服器均可透過驗證其他伺服器所提供的憑證,來確認對此伺服器的連線。在此情況下,若郵件是在 Exchange 2010 環境中透過驗證的連線接收自外部網域,則 Outlook 2007 將會顯示「安全的網域」圖示。
重要事項: |
---|
密碼編譯及憑證技術和概念的詳細解說不在本主題的討論範圍內。在部署任何採用密碼編譯和數位憑證的安全性解決方案之前,建議您先了解信任、驗證、加密及公開和私密金鑰交換的基本概念,因為這些都與密碼編譯有關。如需相關資訊,請參閱本主題最後列出的參考資料。 |
要尋找與管理傳輸伺服器相關的管理工作嗎?請參閱 管理傳輸伺服器。
TLS 憑證的驗證
若要了解任何相互 TLS 傳輸之整體安全性和產生的可信度,您必須了解如何驗證基礎 TLS 憑證。
Exchange 2010 提供一組指令程式,來建立、要求及管理 TLS 憑證。依預設,這些憑證是自行簽署的。自行簽署的憑證是由原建立者簽署的憑證。在 Exchange 2010 中,自行簽署憑證是由執行 Microsoft Exchange 之電腦使用基礎 Microsoft Windows 加密學 API (CAPI) 所建立。因為憑證是自行簽署,所以,產生的憑證就不像公開金鑰基礎結構 (PKI) 或協力廠商憑證授權單位 (CA) 產生的憑證那麼可靠。因此,建議您只對內部郵件使用自行簽署憑證。此外,如果與您交換安全網域電子郵件的接收組織,手動將您自行簽署的憑證新增至其每部輸入 Edge Transport Server 的信任根憑證儲存區,則會明確地信任這些自行簽署憑證。
對於周遊網際網路的連線,最佳作法是以 PKI 或協力廠商 CA 來產生 TLS 憑證。以信任的 PKI 或協力廠商 CA 來產生 TLS 金鑰,可減輕網域安全性的整體管理。如需信任的憑證和網域安全性方面之選項的相關資訊,請參閱在 Edge Transport Server 上使用 PKI 以提供網域安全性。
您可以使用 Exchange 2010 憑證指令程式,為您自己的 PKI 或協力廠商 CA 產生憑證要求。如需相關資訊,請參閱瞭解 TLS 憑證。
如需如何設定網域安全性的相關資訊,請參閱下列項目:
使用 Exchange Hosted Services
郵件層安全性已增強,也已成為 MicrosoftExchange Hosted Services 中可用的服務。
Exchange Hosted Services 是一組四個不同的託管服務:
Hosted Filtering 可協助組織保護自己,不受來自電子郵件的惡意程式碼攻擊
Hosted Archive 可協助組織達到保留需求,以遵循相關規定
Hosted Encryption 可協助組織加密資料以維護機密性
Hosted Continuity 可協助組織在緊急情況發生時及之後仍能持續存取電子郵件
這些服務會整合任何內部管理的內部部署 Exchange 伺服器,或透過服務提供者提供的託管 Exchange 電子郵件服務。如需 Exchange Hosted Services 的詳細資訊,請參閱 Microsoft Exchange Hosted Services。
資源
Housley, Russ and Tim Polk.Planning for PKI:Best Practices Guide for Deploying Public Key Infrastructure.New York:John Wiley & Son, Inc., 2001.
Adams, Carlisle and Steve Lloyd.Applied Cryptography:Protocols, Algorithms, and Source Code in C, 2nd Edition.New York:John Wiley & Son, Inc., 1996.
執行 Microsoft Windows Server 2003 公開金鑰基礎結構的最佳作法
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。