5.3 Некоторые возможности доступа клиентских приложений к Exchange Server. Журнал сообщений

5.3.1 Настройка защищенного клиентского доступа на Exchange Server

Защита клиентского трафика при обращении на почтовый сервер (Exchange Server), применение SSL и MAPI

По умолчанию клиенты электронной почты взаимодействует с почтовым сервером по полностью незащищенным от перехвата протоколам SMTP (отправка почты) и POP3/IMAP4 (получение почты из своих почтовых ящиков). При этом в незащищенном виде передаются не только текст сообщения, но и имя пользователя и пароль (при работе с Exchange Server это будет именем пользователя и паролем учетной записи пользователя в домене Windows). Конечно же, во многих организациях подобная ситуация является неприемлемой. Какие можно обеспечить защищенное взаимодействие с Exchange Server:

·        самый простой способ - использовать протокол MAPI. Это специализированный протокол Microsoft для взаимодействия с Exchange Server, в котором весь трафик (отправки, получения почты, обращения к адресной книге и т.п.) автоматически шифруется средствами RPC. Кроме того, MAPI обладает и другими преимуществами по сравнению с традиционными Интернет-протоколами, например, при его использовании Exchange Server может автоматически отслеживать подключения пользователей и отправлять им уведомления о поступлении новой почты. Недостатками MAPI являются:

o       невозможность работы на низкоскоростных соединениях - общая проблема интерфейсов RPC. Согласно Microsoft, надежная работа RPC при доступной полосе пропускания ниже 64 Кбит/сек не гарантируется. Таким образом, MAPI вряд ли возможно использовать, например, при обращении пользователей по коммутируемому соединению из дома или филиала;

o       очень малое количество почтовых клиентов, которые поддерживают этот протокол. Если отбросить экзотические клиенты типа HP OpenMail, у которых присутствуют труднорешаемые проблемы с русской почтовой кодировкой KOI8, фактически остаются только Outlook (не Outlook Express, который MAPI не поддерживает!) в режиме Corporate or Workgroup и неподдерживаемый уже Exchange Client (то, что называется "Входящие" в  Windows 95/98/NT).

Те не менее связка Outlook-Exchange Server, работающая по MAPI, является наиболее рекомендованной Microsoft, вполне удобной и широко распространенной в отечественных организациях.

·        другая распространенная возможность - предписать клиентам использовать только Web-интерфейс для доступа на Exchange Server, который называется OWA (Outlook Web Access). Он автоматически устанавливается на компьютер при установке Exchange Server и становится доступен по адресу http://имя_компьютера/exchange. Применение OWA сразу решает множество проблем:

o       нет необходимости настраивать новые профили электронной почты при переходе пользователя с компьютера на компьютер или переустановке операционной системы;

o       очень просто открывать доступ пользователям из дома или из командировок;

o       нет опасности того, что пользователь случайно скачает в свой почтовый клиент сообщения из почтового ящика Exchange (например, из дома или с другого компьютера), а потом не может найти их, зайдя с другого компьютера;

o       гарантируется, что сообщения не будут оседать в файлах PST и OST на компьютерах пользователей - повышается уровень защищенности.

По умолчанию к виртуальному каталогу OWA можно обратиться при использовании интегрированной и базовой аутентификации (анонимный доступ закрыт). Никакой защиты по SSL не предусмотрено, так что это решение изначально трудно называть безопасным. Однако вы вполне можете защитить виртуальный каталог OWA цифровым сертификатом - как на лабораторной к предыдущему модулю и обеспечить таким образом шифрование при обращении на Exchange Server.

·        Еще один вариант - использовать шифрование SSL непосредственно для протоколов SMTP, POP3 и IMAP4. Необходимые настройки выполняются на уровне виртуальных серверов для этих протоколов в Exchange Server и в клиентах. Однако подобный подход требует трудоемких настроек на клиентских компьютерах, а диагностика проблем с SSL в этом случае не будет такой очевидной, как при работе по HTTPS. Поэтому такое решение используется редко.

Принудительно заставить пользователей использовать только выбранные вами протоколы доступа на Exchange Server (например, только через OWA) можно, просто отключив соответствующие протоколы на уровне сервера или учетной записи пользователя (Active Directory Users and Computers, свойства учетной записи, вкладка Exchange Features). Протокол MAPI отключить нельзя.

Получить учебные материалы по этому курсу