Hanoi University of Mining and Geology Faculty of Information Technology  TIỂU LUẬN [AN NINH MẠNG + BTL] Đề tài: Triển khai Mail Exchange bảo mật email với Digital Certificate, Digital Signature Giảng viên môn học: Sinh viên: Mã sinh viên: Lớp: Năm học: 2021 – 2022 Mục lục: Đề tài: Triển khai Mail Exchange bảo mật email với Digital Certificate, Digital Signature Mục lục: .2 Microsoft Exchange I Exchange Server 1.1 Lịch sử 1.2 Giao thức Exchange Server sử dụng 1.3 Exchange Server hoạt động nào? 1.3.1 Cách Email hoạt động? o Khái quát: o Chi tiết Ví dụ: Người gửi sử dụng tài khoản công ty họ để gửi email cho người cơng ty khác .7 Bước 1: Người gửi tạo gửi email Bước 2: MDA / MTA người gửi định tuyến email Bước 3: Mạng đám mây (Network Cloud) Bước 4: Hàng đợi Email (Email Queue) .8 Bước 5: MTA to MTA Tranfer .9 Quá trình chuyển phân giải DNS Bước 6: Tường lửa, lọc thư rác virus 10 Vận chuyển 11 RFCs 11 1.3.2 Cách Exchange hoạt động? .11 1.4 ActiveSync 12 1.5 Ưu nhược điểm Exchange Server 13 1.5.1 Ưu điểm 13 1.5.2 Nhược điểm 15 1.6 Tính khả dụng cao Exchange Server (Exchange Server high availability) .16 1.7 Lựa chọn tốt 16 1.8 DAG quorum modes 17 1.9 Chế độ điều phối kích hoạt trung tâm liệu (Datacenter Activation Coordination mode) .18 1.10 DatabaseAvailabilityGroup cmdlets and split-brain conditions 19 1.11 Exchange Preferred Architecture 20 1.12 Cấp phép 20 Microsoft Exchange Online 20 Exchange Server vs Exchange Online 21 Những tính quan trọng Microsoft Exchange dành cho doanh nghiệp 21 Microsoft Exchange Server 2007 .23 • Phân chia tính Exchange số vai trị máy chủ(server role) có lợi thế: 24 • Các vai trị máy chủ(server roles) .25 • Triển khai vai trị máy chủ .26 • Nhiệm vụ vai trị máy chủ giao diện người dùng 27 II Thực hành triển khai Microsoft Exchange Server 2007 Windows Server 2008 bảo mật email với Digital Certificate, Digital Signature .28 Triển khai Microsoft Exchange Server 2007 Windows Server 2008 28 1.1 Chuẩn bị .28 1.2 Cài đặt 29 1.3 Cấu hình .37 • Tạo mailbox từ tài khoản tạo sẵn Server .38 • Tạo mailbox chưa có tài khoản Server (ví dụ mẫu) 42 • Thiết lập kết nối Internet 46 1.4 Kiểm tra 50 1.4.1 Gửi email 50 1.4.2 Nhận email 53 Bảo mật Email với Digital Certificate, Digital Signature 53 2.1 Cài đặt Enterprise CA 53 2.2 Xin cấp Certificate cho User 64 III Tài liệu tham khảo 82 • Tiếng Việt 82 • Nước 82 I Microsoft Exchange Exchange Server Microsoft Exchange Server tảng máy chủ thư điện tử(email), lịch, liên hệ, lập lịch cộng tác Microsoft, Microsft phát triển nhằm đạt tăng độ tin cậy cải thiện hiệu suất dành doanh nghiệp, công ty quy mô vừa nhỏ… Microsoft Exchange Server thành viên dòng máy chủ Microsoft, triển khai chạy độc quyền hệ điều hành Windows Server (OS) Người dùng trao đổi cộng tác thông qua chia sẻ lịch tài liệu Các tính lưu trữ bảo mật tảng cho phép tổ chức lưu trữ nội dung, thực tìm kiếm thực tác vụ tuân thủ Exchange Server phát triển theo thời gian thành phần tảng Office 365 dạng phần mềm dạng dịch vụ (Software as a service | SaaS) cung cấp đám mây Microsoft với Microsoft đóng vai trị nhà cung cấp dịch vụ 1.1 Lịch sử Phiên gọi Exchange Server 4.0, phát hành vào tháng năm 1996 với gói Dịch vụ(Service Packs) sau gần năm phát triển tháng năm 1993 Exchange Server 4.0 hệ thống phần mềm máy khách-máy chủ(client-server) dựa X.400 hoàn toàn với kho lưu trữ sở liệu hỗ trợ X 500 dịch vụ thư mục(directory services) sau chuyển sang Active Directory, LDAP- dịch vụ tuân thủ(compliant directory service) tích hợp vào Windows 2000 làm tảng miền Windows Server(Windows Server Domain) Cho đến phiên 5.0, phát hành tháng năm 1997 kèm với ứng dụng email có tên Microsoft Exchange Client Điều bị ngừng để có lợi cho Microsoft Outlook 1.2 Giao thức Exchange Server sử dụng Exchange Server chủ yếu sử dụng giao thức gọi thủ tục từ xa (remote procedure call | RPC) độc quyền gọi MAPI/RPC, thiết kế để sử dụng Microsoft Outlook, để giao tiếp với Tác nhân người sử dụng thư(Mail User Agent | MUA) gọi ‘Email Cilent’, sau thêm hỗ trợ cho POP3 , IMAP EAS Giao thức SMTP tiêu chuẩn sử dụng để giao tiếp với máy chủ thư Internet(Internet Mail Servers) khác 1.3 Exchange Server hoạt động nào? Trước hiểu cách Exchange Server hoạt động nào, ta cần phải hiểu qua cách thức hoạt động email 1.3.1 Cách Email hoạt động? o Khái quát: Email chuyển đến/định tuyến tài khoản người dùng qua số máy chủ máy tính(Computer Server) Định tuyến thơng điệp đến điểm đến cuối lưu trữ chúng để người dùng nhận gửi chúng sau họ kết nối với sở hạ tầng email Email truy cập thông qua giao diện webisite ứng dụng email Khi người dùng bấm gửi(send), tin nhắn truyền từ máy tính người dùng đến máy chủ liên kết với địa người nhận Q trình thường xảy thơng qua số máy chủ khác trước thư đến hộp thư người nhận dự kiến o Chi tiết Hình 1: ▪ ▪ ▪ ▪ ▪ Email tin nhắn văn điện tử tạo gửi qua ứng dụng email (chẳng hạn Microsoft Outlook) Sau viết, trình gửi bắt đầu, với ứng dụng Tác nhân người sử dụng thư (mail user agent | MUA) kết nối với máy chủ giao thức truyền thư đơn giản (Simple Mail Transfer Protocol | SMTP) qua internet qua DSL đường dây modem(line modem) Sau đó, máy khách giao tiếp với phần SMTP máy chủ email định người dùng (ví dụ: GoogleMail) thơng qua cổng chun dụng Trong q trình truyền máy khách máy chủ email người dùng, ứng dụng email người dùng chuyển tiếp thông tin tiêu đề email người dùng - cụ thể địa người nhận nội dung bên nội dung email Tại thời điểm này, SMTP chuyển đổi thông tin thành tệp TXT để gửi web Dựa thông tin tiêu đề email người dùng, máy chủ SMTP sau liên hệ với máy chủ email xác người nhận Sử dụng dấu '@' làm dấu phân cách, SMTP lấy phần thứ hai địa để xác định vị trí máy chủ người nhận Nếu tên miền giống với tên người gửi, SMTP cần chuyển thông tin email qua Nếu tên miền khác, SMTP liên hệ với máy chủ DNS (hệ thống tên miền) yêu cầu địa IP xác cho máy chủ email lưu trữ tên miền liên quan Khi lấy địa IP, máy chủ SMTP người gửi gửi thơng điệp tín hiệu đến SMTP người nhận qua web tất cổng thông báo họ nhận tin nhắn Từ đó, hai máy chủ trị chuyện với email chuyển Tệp TXT chuyển đổi trở lại dạng ban đầu, thả thư vào cuối hộp thư người nhận địa Cuối cùng, người nhận đăng nhập vào ứng dụng email họ, kết nối với internet lệnh cho máy chủ POP3 / IMAP (post office protocol/internet message access protocol) người nhận tải xuống tất tin nhắn chờ xử lý để xem máy cục Ví dụ: Người gửi sử dụng tài khoản công ty họ để gửi email cho người cơng ty khác Người gửi sử dụng tài khoản công ty để gửi email cho người khác công ty khác Bước 1: Người gửi tạo gửi email Người gửi ban đầu tạo email Tác nhân Người sử dụng Thư (Mail User Agent | MUA) họ clicks vào 'Gửi (Send)' MUA ứng dụng mà người gửi ban đầu sử dụng để soạn đọc email, chẳng hạn Eudora, Outlook, … Bước 2: MDA / MTA người gửi định tuyến email MUA người gửi chuyển email đến Đại lý chuyển phát thư (Mail Delivery Agent | MDA) Thông thường, MTA người gửi xử lý trách nhiệm MDA Một số MTAs phổ biến thực điều này, bao gồm sendmail qmail MDA / MTA chấp nhận email, sau định tuyến đến hộp thư cục chuyển tiếp nó khơng địa cục Trong sơ đồ trên, MDA chuyển tiếp email tới MTA vào phần loạt "Các đám mây mạng (Network Clouds)", gắn nhãn đám mây "Mạng công ty (Company Network)" Bước 3: Mạng đám mây (Network Cloud) Email gặp phải đám mây mạng công ty lớn ISP, đám mây mạng lớn tồn tại: Internet Đám mây mạng bao gồm vơ số máy chủ thư, máy chủ DNS, định tuyến nhiều thiết bị dịch vụ khác Những thứ dễ bị chậm xử lý tải nặng bất thường, tạm thời nhận email gỡ xuống để bảo trì đơi chưa xác định xác với Internet thơng qua Hệ thống tên miền (Domain Name System | DNS) để MTAs khác đám mây mạng gửi thư theo địa Các thiết bị bảo vệ tường lửa, lọc thư rác phần mềm phát phần mềm độc hại bị trả lại chí xóa email Khi email bị xóa loại phần mềm này, có xu hướng bị lỗi cách âm thầm (fail silently), người gửi khơng cung cấp thơng tin địa điểm thời điểm xảy lỗi gửi Các nhà cung cấp dịch vụ email công ty khác xử lý lượng lớn email thường có đám mây mạng riêng họ Các tổ chức thường có nhiều máy chủ thư định tuyến tất email thông qua máy chủ cổng trung tâm (a central gateway server) phân phối lại thư đến MTA khả dụng Email MTA phụ thường phải đợi MTA (tức máy chủ định cho miền đó) khả dụng, lúc máy chủ thư phụ chuyển thư đến MTA Bước 4: Hàng đợi Email (Email Queue) Email sơ đồ gửi đến người cơng ty khác, vào hàng đợi email với email gửi khác Nếu có khối lượng lớn thư hàng đợi – có nhiều thư thư lớn bất thường hai thư bị trì hỗn hàng đợi MTA xử lý thư trước Bước 5: MTA to MTA Tranfer Khi chuyển email, MTA gửi (sending MTA) xử lý tất khía cạnh việc gửi thư thư MTA nhận (receiving MTA) chấp nhận từ chối Khi email xóa khỏi hàng đợi, email vào đám mây mạng Internet, nơi định tuyến dọc theo chuỗi máy chủ từ máy chủ đến máy chủ lưu trữ (a host-to-host chain of servers) Mỗi MTA đám mây mạng Internet cần "dừng hỏi đường (stop and ask directions)" từ Hệ thống tên miền (Domain Name System | DNS) để xác định MTA chuỗi phân phối Lộ trình xác phụ thuộc phần vào tính khả dụng(availability) máy chủ phần lớn MTA tìm thấy để chấp nhận email cho miền định địa Hầu hết email sử dụng đường dẫn phụ thuộc vào tính khả dụng(availability) máy chủ, đó, cặp thư bắt nguồn từ máy chủ gửi đến máy chủ nhận (receiving host) có đường dẫn khác Ngày nay, hầu hết kẻ gửi thư rác định phần đường dẫn, cố tình định tuyến thư họ thông qua loạt máy chủ chuyển tiếp nhằm cố gắng che giấu nguồn gốc thực thư Để tìm địa IP (IP address) hộp thư người nhận(mailbox), MTA phải sâu vào Hệ thống tên miền (Domain Name System | DNS), bao gồm tập hợp máy chủ phân phối Internet Bắt đầu với máy chủ định danh gốc miền cấp cao (top-level domain | tld), sau máy chủ tên miền (domain nameservers) xử lý yêu cầu cho miền tld cuối máy chủ định danh biết miền cục Quá trình chuyển phân giải DNS Có 13 máy chủ gốc (root servers) phục vụ miền cấp cao (ví dụ: org, com, edu, gov, net, v.v.) Các máy chủ gốc tham chiếu yêu cầu cho miền định tới máy chủ định danh gốc xử lý yêu cầu cho tld Trong thực tế, bước cần thiết MTA bỏ qua bước biết máy chủ tên miền xử lý yêu cầu tld Nó hỏi máy chủ DNS thích hợp mà máy chủ Mail Exchange (MX) có kiến thức miền phụ máy chủ cục địa email Máy chủ DNS phản hồi ghi MX: danh sách ưu tiên máy chủ MX cho miền Máy chủ MX thực MTA đội mũ khác, giống người đảm nhiệm hai công việc với chức danh công việc khác (hoặc ba, MTA xử lý trách nhiệm MDA) Đối với máy chủ DNS, máy chủ chấp nhận thư máy chủ MX Khi chuyển tin nhắn, gọi MTA MTA liên hệ với máy chủ MX ghi MX theo thứ tự ưu tiên tìm thấy máy chủ định cho miền địa MTA gửi (sending MTA) hỏi liệu máy chủ có chấp nhận tin nhắn cho tên người dùng người nhận miền khơng (ví dụ: username@domain.tld) chuyển tin nhắn Bước 6: Tường lửa, lọc thư rác virus Q trình chuyển mơ tả bước cuối đơn giản hóa phần Một email chuyển tới nhiều MTA đám mây mạng có khả chuyển tới tường lửa trước đến đích Email gặp phải tường lửa kiểm tra lọc thư rác viruts trước phép vượt qua bên tường lửa Các lọc kiểm tra xem thư có đủ tiêu chuẩn spam phần mềm độc hại hay khơng Nếu thư có chứa phần mềm độc hại, tệp thường bị cách ly người gửi thông báo Nếu thư xác định thư rác, thư bị xóa mà không cần thông báo cho người gửi Thư rác khó phát có nhiều dạng khác nhau, đó, lọc thư rác kiểm tra loạt tiêu chí có xu hướng phân loại nhầm số lượng đáng kể thư thư rác, đặc biệt thư từ danh sách gửi thư Khi email từ danh sách nguồn tự động khác dường biến đám mây mạng, thủ phạm thường lọc thư rác ISP người nhận công ty o Trong cử sổ Console1, mở Personal\Certificate Mở certificate tên Hung → Xin certificate cho Hung thành công o Export certificate cua Hung để sử dụng: o Chọn Export… → Trong Export Private Key → Chọn Yes, export the private key → Chọn Next o Trong Export File Format → Tích vào Export all extended properties → Chọn Next → Nhập Password mà muốn đặt → Chọn Next → Trong File to Export, nhấn Browse chọn vị trí lưu file pfx o Sau export certificate Hung thành công, tiến hành cài đặt (hoặc vào IE Import) để sử dụng cho Windows mail MS Outlook → Nhấn chuột phải vào hung_pfx → Chọn Install PFX o Sau đó, ta được sổ giao diện Certificate Import Wizard o Nhập Password tạo lúc trước o Kiểm tra cài đặt chứng thành công IE (hoặc Windows mail) → Mở Internet Explorer → Chọn Internet Options o Trong tab Content → Chọn Certificates • Login Windows Server 2008 với tài khoản người dùng(thực Switch User) [Tài khoản người dùng cụ thể User Truong (truong@dcctmm63b.edu.vn )] o Thực bước tương tự xin cấp User Certificate, Export certificate, Install User Hung User Truong III Tài liệu tham khảo • Tiếng Việt o o o o o Microsoft Exchange Server gì? Toàn diện giải pháp quản lý email hàng đầu từ Microsoft (microsoft365.com.vn) Microsoft Exchange gì? 5+ tính tốt Microsoft Exchange (microsoft365.com.vn) 10 tính quan trọng Microsoft Exchange cho email doanh nghiệp (microsoft365.com.vn) Microsoft Exchange Server 2007 điều cần biết - HKC https://hkc.vn › microsoftexchange-server-2007-nhun So sánh phiên Microsoft Exchange Server - SSL.com https://www.ssl.com › › Platform › Exchange Server • Nước ngồi o o o o o o o o o What is Microsoft Exchange Server? Everything You Need to Know (techtarget.com) What is Exchange Server and How it Works? | SpringPeople Microsoft Exchange Server - Wikipedia How does email work? Ultimate Guide by Namecheap https://www.namecheap.com › guruguides › how-does-e How does email work? – How It Works (howitworksdaily.com) How Email Really Works (oasis-open.org) Exchange Server 2007 is About to Reach End of Life - What's Your Plan? (practical365.com) What are the Microsoft Exchange Server 2007 server roles? | ITPro Today: IT News, HowTos, Trends, Case Studies, Career Tips, More Understanding Exchange Server 2007 server roles - Microsoft https://techcommunity.microsoft.com › b ...Mục lục: Đề tài: Triển khai Mail Exchange bảo mật email với Digital Certificate, Digital Signature Mục lục: .2 Microsoft Exchange I Exchange Server ... chủ cụ thể II Thực hành triển khai Microsoft Exchange Server 2007 Windows Server 2008 bảo mật email với Digital Certificate, Digital Signature Triển khai Microsoft Exchange Server 2007 Windows... 46 1.4 Kiểm tra 50 1.4.1 Gửi email 50 1.4.2 Nhận email 53 Bảo mật Email với Digital Certificate, Digital Signature 53 2.1 Cài đặt Enterprise