an toàn mail server

Học viện Kỹ thuật Mật Mã ĐỒ ÁN TỐT NGHIỆP

LỜI CẢM ƠN

Em xin gửi lời cảm ơn chân thành nhất tới Ths.Kiều Minh Thắng,

người thầy đã hướng dẫn em xây dựng hệ thống an toàn Mail server cho

doanh nghiệp và đã cho em những định hướng và những kiến thức quý báu về

an toàn mail server.

Em cũng xin tỏ lòng biết ơn sâu sắc tới thầy cô, bạn bè cùng khóa đã

giúp đỡ em học tập và rèn luyện trong suốt những năm học qua.

Em xin cảm ơn gia đình và bạn bè, những người luôn khuyến khích và

tạo điều kiện hỗ trợ tốt nhất cho em trong mọi hoàn cảnh.

Em xin chân thành cảm ơn trường Học viện Kỹ thuật Mật Mã đã cho

em một môi trường học tập lành mạnh và vững chắc, tạo cho em những điều

kiện tốt nhất trong quá trình học tập và làm đồ án này.

Do thời gian hoàn thành đồ án có hạn cho nên em không tránh khỏi

được những khiếm khuyết, em rất mong có được những góp ý và giúp đỡ của

các thầy cô giáo để em có thể tiếp tục đồ án này ở mức ứng dụng cao hơn

trong tương lai.

Em xin chân thành cảm ơn!

Hà Nội, ngày 9 tháng 6 năm 2011

Sinh viên thực hiện

Nguyễn Thị Hồng Phương

Giải pháp đảm bảo an toàn MailServer 1


MỤC LỤC

LỜI NÓI ĐẦU...................................................................................................5

DANH MỤC KÝ HIỆU VIẾT TẮT.................................................................7

DANH MỤC HÌNH VẼ....................................................................................8

DANH MỤC BẢNG BIỂU...............................................................................9

CHƯƠNG I TỔNG QUAN VỀ AN TOÀN THÔNG TIN............................10

1.1 Các tính chất an toàn...........................................................................10

1.2 Nguyên tắc hoạt động mạng theo mô hình Client/ server..................11

1.2.1 Mô hình Client Server................................................................11

1.2.2 Nhiệm vụ của máy server và client............................................12

1.3 Các ứng dụng Client/Server trên Internet...........................................13

1.3.1 World Wide Web(www):..........................................................13

1.3.2. Thư điện tử (E-Mail):................................................................14

1.3.3. Dịch vụ FTP (File Transfer Protocol).......................................15

1.3.4 Mục đích của giao thức FTP......................................................16

1.3.5. Dịch vụ tên miền (Domain Name System - DNS)....................16

CHƯƠNG II TỔNG QUAN VỀ HỆ THỐNG EMAIL.................................18

2.1 Hệ thống thư điện tử...........................................................................18

2.1.1 Thư điện tử là gì........................................................................18

2.1.2 Lợi ích của thư điện tử..............................................................19

2.1.3 Hiện trạng email hiện nay..........................................................19

2.1.4 Cơ chế hoạt động của thư điện tử...............................................20

2.1.5 Các thành phần...........................................................................21

2.2 Các giao thức truyền nhận mail...........................................................21

2.2.1 Giao thức truyền email SMTP...................................................21

2.2.2 Giao thức nhận mail POP3.........................................................22

2.2.3 Giao thức nhận mail IMAP........................................................25



2.3 Cách thức phân giải địa chỉ.................................................................25

2.3.1 Mục đích của hệ thống DNS......................................................26

2.3.2 Hoạt động của DNS...................................................................27

2.4 Định dạng của một email.....................................................................29

2.4.1 Định dạng thông thường............................................................29

2.4.2 Định dạng MIME(Multipurpose Internet Mail Extensions)......29

CHƯƠNG 3 CÁC VẤN ĐỀ THƯỜNG GẶP CỦA HỆ THỐNG EMAIL

VÀ GIẢI PHÁP...............................................................................................31

3.1 Các vấn đề thường gặp với hệ thống Mail server................................31

3.1.1 Tấn công từ chối dịch vụ (Denial of service).............................31

3.1.2 Open Relay.................................................................................33

3.1.3 Giả mạo địa chỉ..........................................................................34

3.1.4 Spam...........................................................................................34

3.1.5 Virus- Worm..............................................................................38

3.2 Những giải pháp tăng cường cho Mail Server.....................................39

3.2.1 An toàn môi trường đặt máy chủ mail.......................................39

3.2.2 An toàn hệ điều hành..................................................................43

3.2.3 An toàn phần mềm máy chủ email.............................................45

3.2.3 An toàn quản trị mail server.......................................................49

CHƯƠNG 4 XÂY DỰNG VÀ BẢO MẬT EXCHANGE SERVER TRONG

DOANH NGHIỆP...........................................................................................53

4.1 Lựa chọn giải pháp..............................................................................53

4.2 Giải pháp Exchange server..................................................................53

4.2.1 Client Access Server Role:.........................................................54

4.2.2 Edge Transport Server Role:......................................................55

4.2.3. Hub Transport Server Role:......................................................55

4.2.4. Mailbox Server Role:................................................................55

4.2.5. Unified Messaging Server Role................................................56



4.3 Bảo mật trong Exchange Server 2007.................................................57

4.3.1 Duy trì hệ thống AntiSpam và AntiVirus..................................57

4.3.2 Thiết lập SSL..............................................................................64

4.3.3 Back up và restore dữ liệu..........................................................64

4.4 Xây dựng mô hình...............................................................................65

4.4.1 Thiết lập mô hình.......................................................................65

4.4.2 Triển khai Mail Server cho doanh nghiệp..................................66

PHỤ LỤC 1: ANTINSPAM VỚI SENDER REPUTATION.........................75

PHỤ LỤC 2: CÀI ĐẶT SSL...........................................................................82

PHỤ LỤC 3 BACKUP VÀ STRORE DỮ LIỆU..........................................102



LỜI NÓI ĐẦU

Ngày nay, mạng Internet đã trở thành nền tảng chính cho sự trao đổi

thông tin trên toàn cầu. Có thể thấy một cách rõ ràng là Internet đã và đang

tác động lên nhiều mặt của đời sống chúng ta từ việc tìm kiếm thông tin, trao

đổi dữ liệu đến việc hoạt động thương mại, học tập nghiên cứu và làm việc

trực tuyến... Nhờ Internet mà việc trao đổi thông tin cũng ngày càng tiện lợi,

nhanh chóng hơn. Thư điện tử là một trong những dịch vụ phổ biến và tiện lợi

nhất của mạng Internet. Khái niệm thư điện tử cũng không còn mấy xa lạ với

mọi người. Thư điện tử giúp mọi người sử dụng máy tính kết nối Internet đều

có thể trao đổi thông tin với nhau. Mọi giao dịch, trao đổi đều có thể thông

qua thư điện tử.

Vấn đề bảo mật thông tin doanh nghiệp đã lên đến mức báo động , hiện

nay việc quản lý hệ thống CNTT nói chung và hệ thống mail nói riêng không

vững chắc có thể mất mát những thông tin mà doanh nghiệp nhiều năm xây

dựng

Các hệ thống Mail Server chuyên dụng thì chi phí cao nhưng hoạt động

ổn định, nhanh và bảo mật cao thường thì chỉ triển khai cho các doanh nghiệp

lớn. Đối với các doanh nghiệp vừa và nhỏ giải pháp thường là triển khai trên

hệ thống Linux-Unix hoặc Microsoft

Linux-Unix: Ưu điểm là miễn phí và mã nguồn mở, yêu cầu phần cứng

thấp, nhanh và ổn định. Nhược điểm khó triển khai và quản trị.

Microsoft: Ưu điểm dễ dàng triển khai và quản trị, thân thiện với

người dùng. Nhược điểm giá thành tương đối và yêu cầu phần cứng

cao.

Việc đảm bảo an toàn với hệ thống mail Server cũng phải chú trọng từ

khâu thiết kế đến thi công. Phải an toàn từ mô hình mạng đến các ứng dụng

trên server

Ngoài ra, vấn đề Virus và Spam vẫn là những nguy cơ đe dọa đến sự

vận hành ổn định của hệ thống, đồng thời nguy cơ mất mát hoặc bị đánh cắp

dữ liệu là rất cao, điều này ảnh hưởng trực tiếp đến lợi ích của người dùng và

doanh nghiệp. Vì thế khi triển khai xây dựng hệ thống mail cho doanh nghiệp

cần phải tính tới các vấn đề về bảo mật chống Spam, Virus.



Tuy nhiên, trong việc thiết lập các biện pháp an toàn cho hệ thống mail

ngoài các giải pháp sử dụng linux và Microsoft chúng ta có thể sử dụng các

giải pháp bảo mật của các bên thứ 3 như: Symantec, Norton, Kapersky,… hay

các giải pháp của các công ty Việt nam: CMC, BKIS, FPT, …

Nắm bắt được vấn đề đó, nên em đã xây dựng một hệ thống Mail

Server Exchange 2007 an toàn và đảm bảo về các vấn đề bảo mật trên hệ điều

hành Windows. Nhằm hỗ trợ việc đảm bảo an toàn Mail Server.

Đề tài của em gồm 4 chương:

Chương 1: Tổng quan về an toàn thông tin

Trong chương này em tìm hiểu tổng quan về an toàn thông tin hiện nay và

các ứng dụng rộng lớn của nó.

Chương 2: Tổng quan về hệ thống thư điện tử

Trong chương này em tìm hiểu cơ bản về khái niệm thư điện tử, cấu trúc

hoạt động của một bức thư điện tử là như thế nào và các khái niệm cơ bản

về các giao thức truyền nhận mail.

Chương 3: Các vấn đề thường gặp với Mail server và giải pháp

Trong chương này em đã tìm hiểu về các vấn đề thường gặp của Mail

server hiện nay, như là Spam, virus, hay giả mạo địa chỉ ...và hướng giải

quyết trong từng vấn đề cụ thể.

Chương 4: Xây dựng và bảo mật Exchange Server trong doanh nghiệp.

Trong chương này em đã xây dựng, lựa chọn giải pháp, triển khai hệ thống

an toàn cho Mail server trong doanh nghiệp.

Em xin chân thành cảm ơn các thầy các cô đã tạo điều kiện giúp đỡ để

em hoàn thành báo cáo này. Em xin gửi lời cảm ơn chân thành tới ThS. Kiều

Minh Thắng – Công ty VnCert đã hướng dẫn và giúp đỡ em rất nhiều để em

thực hiện Giải pháp đảm bảo An toàn Mail Server của mình.



DANH MỤC KÝ HIỆU VIẾT TẮT

Từ viết tắt Giải thích

FTP File Transfer Protocol

IP Internet Protocol

HTTP Hypertext Transfer Protocol

HTTPS Hypertext Transfer Protocol Secure

HTML Hyper Tex Markup Language

SMTP Simple Mail Transfer Protocol

POP3 Post Office Protocol Version 3

IMAP4 Internet Message Access Protocol Version 4

DNS Domain Name System

OWA Outlock Web Access

SSL Secure Socket Layer

TLS Transport Layer Security

CA Certification Authority

MIME Multipurpose Internet Mail Extensions

SCL Spam Confidence Level

WWW World Wide Web

DOS Distributed Denial of Service

RFC 822 Định nghĩa cấu trúc của thưIDS Intrustion Detection SystemDDoS (Distributed Denial of Service)MUA Mail User AgentMTA Mail Transfer AgentMDA Mail Delivery Agent



DANH MỤC HÌNH VẼ

Hình 1.1 Client/Server model..........................................................................11

Hình 1.2 Mô hình truyền nhận File FTP........................................................16

Hình 1.3 Cấu trúc của hệ thống tên miền.......................................................17

Hình 2.1 Cơ chế hoạt động của thư điện tử.....................................................20

Hình 3.1 Tấn công DDOS...............................................................................32

Hình 3.2: Cơ chế Relay...................................................................................33

Hình 3.3 DNS Blacklist...................................................................................35

Hình 3.4 Bộ lọc Bayesian................................................................................37

Hình 3.5 Black/white list.................................................................................37

Hình 3.6: Hệ thống tường lửa của mailserver.................................................41

Hình 3.7: Mail server được đặt trong vùng DMZ...........................................41

Hình 3.8: Mô hình Mail Gateways..................................................................43

Hình 4.1: Mối quan hệ giữa Mailbox Server Role và các Server Role khác. .57

Hình 4.2: Kích hoạt tính năng AntiSpamAgent..............................................61

Hình 4.3: Tab Anti-Spam trong Exchange Management Console..................61

Hình 4.4: Mô hình mạng cho doanh nghiệp....................................................67



DANH MỤC BẢNG BIỂU

Bảng 2.1 : Các header RFC 822 được MIME thêm vào.................................30

Bảng 2.2 : Các kiểu MIME.............................................................................30



CHƯƠNG I

TỔNG QUAN VỀ AN TOÀN THÔNG TIN

1.1 Các tính chất an toàn

a. Tính toàn vẹn( integrity): Tính chất này đảm bảo chống lại các tấn công

sửa đổi thông tin trong quá trình truyền tải. Tính chất này không chỉ đảm bảo

cho các thông điệp đơn lẻ mà còn yêu cầu mở rộng cho luồng thông điệp.

Điều này có nghĩa là trong một nguồn thông điệp thì tính chất này đảm bảo

rằng không có thông điệp nào bị mất, giả mạo và chống lại các tấn công dùng

lại. Tính toàn vẹn không chỉ là một tính chất an toàn mà nó còn là một tính

chất quan trọng cần phải có trong các vấn đề bảo mật, các thông điệp cần

được đảm bảo an toàn và toàn vẹn mà còn phải chống lại được các lỗi trong

quá trình truyền tin.

b. Tính bí mật (Confidentiality): Tính chất này đảm bảo chống lại các tấn

công truy nhập trái phép dữ liệu và các tấn công phân tích luồng dữ liệu.

c. Tính sẵn sàng (Avaiability): Tính sẵn sang của một hệ thống thông tin

là yêu cầu tài nguyên của hệ thông luôn phải khả dụng. Bất cứ lúc nào thông

tin được truyền tải thì kênh truyền phải sẵn sàng đáp ứng, và người nhận cũng

phải sẵn sàng xử lý thông tin nhận được.

d. Authentication: Thẩm định quyền là tính chất nhằm đảm bảo rằng

thông tin được xác thực. Hệ thống đảm bảo thực thi quá trình thẩm định

quyền phải đảm bảo chắc chắn người nhận dữ liệu.



1.2 Nguyên tắc hoạt động mạng theo mô hình Client/ server

1.2.1 Mô hình Client Server

Hình 1.1 Client/Server model

Mô hình client-server của máy tính là kiến trúc ứng dụng phân tán các

nhiệm vụ phân vùng hoặc khối lượng công việc giữa việc cung cấp tài nguyên

hoặc là dịch vụ, được gọi là server, và yêu cầu dịch vụ được gọi là client.

Thông thường Client và server làm việc với nhau thông qua một mạng máy

tính trên phần cứng riêng biệt, nhưng cả máy client và server có thể nằm trên

cùng một hệ thống. Một cỗ máy server là một máy chủ đang chạy một hay

nhiều chương trình server cái mà chia sẻ tài nguyên của chúng với các máy

client. Một máy client không chia sẻ bất kỳ tài nguyên nào của nó, nhưng yêu

cầu một nội dung hoặc chức năng dịch vụ. Do đó máy client bắt đầu phiên

giao tiếp với server và đợi các yêu cầu đang đến.

Internet suy cho cùng cũng là kiến trúc Client/server. Máy tính của bạn

chạy phần mềm được gọi là client và nó tương tác với phần mềm khác được

biết như là server, server thì được đặt ở 1 máy tính từ xa. Máy client thường

là một trình duyệt như là Internet Explorer, Netscape Navigator or Mozilla.

Các trình duyệt tương tác với server mà sử dụng một bộ chỉ lệnh được gọi là

giao thức. Các giao thức này sẽ giúp các dữ liệu được chuyển tiếp chính xác

các thông tin thông qua các yêu cầu từ một trình duyệt và hồi đáp đến server.

Có rất nhiều giao thức sẵn có trên Internet. Trình World wide web, là một

phần của internet, đem tất các ca giao thức dưới một gốc. Bởi thế mà bạn có



thể sử dụng HTTP, FTP, Telnet, email,... từ một nền tảng -trình duyệt web

của bạn.

Đặc tính client server mô tả mối quan hệ của các chương trình kết hợp

trong một ứng dụng. Thành phần của server cung cấp một chức năng hoặc

một dịch vụ cho một hoặc nhiều máy client nơi bắt đầu các yêu cầu dịch vụ.

Chương trình này có thể chuyển tiếp các yêu cầu các chương trình của máy

khác cơ sở dữ liệu gửi một yêu cầu đến máy chủ cơ sở dữ liệu tại một máy

tính ngân hàng khác. Chức năng như là email exchange, truy cập web, và truy

nhập cơ sở dữ liệu, đều được xây dựng trên mô hình hình client-server. Người

dùng truy cập vào dịch vụ của ngân hàng từ máy tính của họ sử dụng một

máy trình duyệt web để gửi một yêu cầu đến máy chủ web ở ngân hàng để

khôi phục được thông tin tài khoản. Cân bằng được trả về cho máy khách cơ

sở dữ liệu ngân hàng, nơi mà nó sẽ quay trở lại máy client trình duyệt web

hiển thị kết quả của người dùng. Mô hình client-server trở thành một trong

những ý tưởng chính của mạng máy tính. Ngày nay rất nhiều các ứng dụng

kinh doanh được viết sử dụng mô hình client-server. Nên các giao thức ứng

dụng chính của Internet như là HTTP, SMTP, telnet và DNS.

Tương tác giữa client và server thường được mô tả sử dụng sơ đồ trình tự. Sơ

đồ trình tự được theo chuẩn Unified Modeling Language.

Các loại hình cụ thể của máy khách bao gồm trình suyệt web, email, và

chat

Các loại hình cụ thể của máy chủ bao gồm web server, ftp server,

database servers, name servers, file servers, print servers. Hầu hết các dịch vụ

web cũng là loại servers

1.2.2 Nhiệm vụ của máy server và client

+ Nhiệm vụ của máy Client: là thi hành một dịch vụ cho người dùng, bằng

cách kết nối những chương trình ứng dụng ở máy Server, dựa vào những

chuối nhập để chuyển yêu cầu đến Server và nhận kết quả trả về từ Server

hiện thị thông tin nhận được cho người dùng.

+Nhiệm vụ của máy Server: luôn lắng nghe những kết nối đến nó trên những

cổng liên quan đến giao thức mà Server phục vụ. Khi máy Client khởi tạo kết

nối, máy server chấp nhận và tạo ra luồng riêng biệt phục vụ cho máy Client

đó. Ngoài ra máy Server phải quản lý các hoạt động của mạng như phân chia



tài nguyên chung (hay còn gọi là tài nguyên mạng). Trong việc trao đổi thông

tin giữa các Client,…máy Server có thể đóng vai trò là máy trạm(Client).

Server phải được đảm bảo được hai yêu cầu cơ bản nhất đối với chức năng

Server: cho phép truyền dữ liệu nhanh chóng, đảm bảo an toàn bảo mật và

không mất mát dữ liệu.

+ Mô hình Client/Server là mô hình ảnh hưởng lớn nhất tới ngành công nghệ

thông tin. Mô hình này đã biến những máy tính riêng lẻ có khả năng xử lý

thấp thành một mạng máy chủ và máy trạm có khả năng xử lý gấp hàng trăm

ngàn lần những máy tính mạnh nhất. Mô hình còn giúp cho việc giải quyết

những bài toàn phức tạp một cách dễ dàng hơn, bằng cách phân chia bài toàn

lớn thành nhiều bài toàn con và giải quyết từng bài toàn con một.

Ưu điểm:

- Các tài nguyên được quản lý tập trung.

- Có thể tạo ra các kiểm soát chặt chẽ trong truy cập file dữ liệu.

- Giảm nhẹ gánh nặng quản lý trên máy Client.

- Bảo mật và back up dữ liệu từ Server.

Nhược điểm:

- Khá đắt tiền so với mạng ngang hàng (peer to peer). Giá lắp đặt

server cao.

- Server cũng chở thàng một điểm yếu của hệ thống, nghĩa là khi

Server hỏng thì toàn bộ hệ thống sẽ chết theo, do đó tính năng để kháng

lỗi là một trong những yêu cầu quan trọng trong mô hình này.

1.3 Các ứng dụng Client/Server trên Internet

1.3.1 World Wide Web(www):

+ World Wide Web là một dịch vụ của Internet. Nó chưa thông tin

bao gồm văn bản, hình ảnh, âm thanh và thậm chí cả video được kết hợp

nhau. Web là kho thông tin khổng lồ: phong phú về nội dung, đa dạng về

hình thức, thường xuyên được cập nhật, đổi mới và phát triển không ngừng.

Khả năng đặt hình ảnh lên Web Site bất ngờ làm cho thông tin trên

Web trở nên hấp dẫn hơn. Ngoài ra HTTP (Hypertext Transfer Protocol)

cho phép trang Web kết nối với nhau qua các siêu liên kết (hyperlink), nhờ

vậy mà người dùng dễ dàng "nhảy" qua các Website nằm ở hai đầu trái đất,



World Wide Web chỉ là một phần cấu thành nên Internet ngoài ra còn có rất

nhiều thành phần khác như: E-mail, Gopher, Telnet, Usenet... Các trình

duyệt ở các máy Client sẽ thay mặt người sử dụng yêu cầu những tập tin

HTML từ Server Web bằng cách thiết lập một kết nối với máy Server web

và đưa ra các yêu cầu tập tin đến Server. Server nhận những yêu cầu này,

lấy ra những tập tin và gởi chúng đến cửa sổ của trình duyệt ở Client.

+ Web Server là web cung cấp thông tin ở dạng siêu văn bản, được

biểu diễn ở dạng trang. Các trang có chứa các liên kết tham chiếu đến các

trang khác hoặc đến các tài nguyên khác trên cùng một Web Server hoặc

trên một Web Server khác. Các trang tư liệu siêu văn bản sau khi soạn thảo

sẽ được quản lý bởi chương trình Web Server chạy trên máy Server trong hệ

thống mạng.

1.3.2. Thư điện tử (E-Mail):

- Electronic mail (Email ): Là một dịch vụ của Internet giúp cho việc

trao đổi thông điệp giữa những người dùng hay nhóm người dùng trên

mạng. Là dịch vụ rất phổ biến và thông dụng trong mạng Internet/Intranet

và hầu như không thể thiếu được trong Internet/Intranet hiện nay. Dựa trên

giao thức chuẩn Internet: Simple Mail Transfer Protocol (SMTP). Nó là dịch

vụ kiểu lưu và chuyển tiếp (store and forward) thư được chuyển từ máy này

sang máy khác cho tới khi máy đích nhận được. Người nhận cũng chỉ thực

hiện một số thao tác đơn giản để lấy thư, đọc thư và nếu cần thì cho in ra.

Thư điện tử có khả năng gửi tới nhiều người trong cùng một thời điểm.

Chuyển giao tài liệu một cách nhanh chóng với chi phí cực thấp.

- Giao thức liên lạc : mặc dù gởi thư trên Internet sử dụng nhiều giao

thức khác nhau, nhưng giao thức SMTP (Single Message Transfer Protocol)

được dùng trong việc vận chuyển mail giữa các trạm. Là giao thức cơ bản để

chuyển thư giữa các máy Client, SMTP có một bộ gởi thư, một bộ nhận thư,

và một tập hợp lệnh dùng để gởi thư từ người gởi đến người nhận. Giao thức

SMTP hoạt động theo mô hình khách/chủ (Client/ Server) với một tập lệnh

đơn giản, trình khách (SMTP mail Client) sẽ bắt tay với trình chủ (SMTP

mail Server) gửi các yêu cầu tiếp nhận mail. Trình chủ đọc nội dung mail do

trình khách gửi đến và lưu vào một thư mục nhất định tương ứng với từng

user trên máy chủ. Phần này sẽ được làm rõ hơn trong những chương sau.



- Cứ mỗi trạm e-mail thường bao gồm ít nhất là hai dịch vụ: POP3

(Post Office Protocol Version 3) có nhiệm vụ nhận/trả thư từ/tới e-mail

client và dịch vụ SMTP (Simple E-mail Transfer Protocol) có nhiệm vụ

nhận/phân phối thư từ/đến POP3 đồng thời trao đổi thư với các trạm e-mail

trung gian. IMAP (INTERNET MESSAGE ACCESS PROTOCOL -

VERSION 4 rev1) thực chất là giao thức mới bổ sung và mở rộng hơn của

giao thức POP3 còn thiếu. IMAP cho phép đọc, xoá, gửi, di chuyển mail

ngay trên máy chủ. Điều này rất thuận tiện cho người nhận mail phải

thường xuyên di chuyển mail từ máy này sang máy khác trong quá trình làm

việc.

- Phần khác của ứng dụng thư điện tử là cho phép người sử dụng đính

kèm (attachments) theo thư một tập tin bất kỳ.

- Như vậy để gởi/nhận thư người sử dụng chỉ cần quan tâm tới cách

sử dụng chương trình e-mail client. Hiện nay có nhiều chương trình e-mail

client như Microsoft Outlook Express, Eudora Pro, Peagasus mail,....

1.3.3. Dịch vụ FTP (File Transfer Protocol)

FTP (viết tắt của File Transfer Protocol) thường được dùng để trao đổi

tập tin qua mạng lưới truyền thông dùng giao thức TCP/IP (chẳng hạn như

Internet - mạng ngoại bộ - hoặc intranet - mạng nội bộ). Máy chủ FTP, dùng

chạy phần mềm cung cấp dịch vụ FTP, gọi là server, lắng nghe yêu cầu về

dịch vụ của các máy tính khác trên mạng lưới. Máy khách chạy phần mềm

FTP dành cho người sử dụng dịch vụ, gọi là client. Một khi hai máy đã liên

kết với nhau, máy khách có thể xử lý một số thao tác về tập tin, như tải tập

tin lên máy chủ, tải tập tin từ máy chủ xuống máy của mình, đổi tên của tập

tin, hoặc xóa tập tin ở máy chủ v.v.

FTP thường chạy trên hai cổng, 20 và 21, và chỉ chạy riêng trên nền

của TCP. FTP server lắng nghe các yêu cầu dịch vụ từ những kết nối vào

máy của các FTP client, trên cổng 21. Đường kết nối trên cổng 21 này tạo

nên một dòng truyền điều khiển, cho phép các dòng lệnh được chuyển qua

FTP server. Để truyền tải tập tin qua lại giữa hai máy, chúng ta cần phải có

một kết nối khác.

- Để khởi tạo FTP từ trạm làm việc của mình người sử dụng chỉ gõ :

FTP <domain name or IP address>



- FTP sẽ thiết lập liên kết các trạm xa và bạn sẽ đăng nhập vào hệ thống

(login/password). Vì FTP cho phép truyền tập tin theo cả hai chiều. Để

chuyển tập tin của mình đến trạm ở xa dùng lệnh “put”, và ngược lại dùng

lệnh get để lấy thông tin về. Ngoài ra trong một số trường hợp nó có thể đổi

tên, tạo, xoá thư mục…. FTP Client sử dụng dịch vụ để lấy(get) các tập tin từ

FTP Server về máy của mình (download) hoặc gửi (put) các tập tin lên FTP

server (upload).

1.3.4 Mục đích của giao thức FTP

Mục đích của giao thức FTP, như được phác thảo trong bản RFC, là:

Khuyến khích việc dùng chung tập tin (như chương trình ứng dụng vi

tính hoặc dữ liệu)

Khuyến khích việc sử dụng máy tính ở xa một cách gián tiếp / ngấm

ngầm (implicit).

Che đậy sự khác biệt về hệ thống lưu trữ tập tin giữa các máy chủ, hầu

cho người dùng không cần phải quan tâm đến những sự khác biệt riêng tư

của chúng.

Truyền tải dữ liệu một cách đáng tin cậy và có hiệu quả cao.

Hình 1.2 Mô hình truyền nhận File FTP

1.3.5. Dịch vụ tên miền (Domain Name System - DNS)


ftp>put source-file destination-fileftp>get source-file destination-file


- Việc định danh các phần tử của liên mạng bằng các con số như trong

địa chỉ IP rõ ràng là không làm cho người sử dụng hài lòng, bởi chúng khó

nhớ, dễ nhầm lẫn. Vì thế người ta đã xây dựng hệ thống đặt tên (name) cho

các phần tử của Internet, cho phép người sử dụng chỉ cần nhớ đến các tên

chứ không cần nhớ đến các địa chỉ IP nữa. Ta có thể biết thêm thông tin

cách hoạt động của dịch vụ này thông qua RFC 1035.

- Hệ thống này được gọi là DNS (Domain Name System). Ðây là một

phương pháp quản lý các tên bằng cách giao trách nhiệm phân cấp cho các

nhóm tên. Mỗi cấp trong hệ thống được gọi là một miền (domain), các miền

được tách nhau bởi dấu chấm. Số lượng domain trong một tên có thể thay

đổi nhưng thường có nhiều nhất là 5 domain.

Hình 1.3 Cấu trúc của hệ thống tên miền

- Trong hình vẽ ta thấy tên miền vnu.edu.vn thuộc nhánh tên miền .vn.

Hệ thống tên miền hoạt động theo nguyên tắc client- server, khi máy tính

client tham gia vào mạng cần biết địa chỉ IP tương ứng một domain thì DNS

resolver sẽ gửi truy vấn DNS cho DNS server. Quá trình truy vấn sẽ dừng

lại khi truy vấn DNS được gửi đến root server. Các yêu cầu DNS thường sử

dụng giao thức UDP cổng 53.



CHƯƠNG II

TỔNG QUAN VỀ HỆ THỐNG EMAIL

2.1 Hệ thống thư điện tử

2.1.1 Thư điện tử là gì

Để gửi một bức thư thông thường ta có thể mất một vài ngày với một

bức thư trong nước và nhiều thời gian để gửi một bức thư ra nước ngoài. Do

đó để tiết kiệm thời gian và tiền bạc ngày này nhiều người đã sử dụng thư

điện tử. Thư điện tử được gửi đến người nhận rất nhanh, dễ dàng và rẻ hơn

nhiều so với sự dụng thư tay truyền thông. Nói một cách đơn giản, thư điện là

một thông điệp từ máy tính này đến một máy tính khác trên mạng máy tính

mang nội dung cần thiếu từ người gửi đến người nhận. Do thư điện tử gửi qua

lại trên mạng và sử dụng tín hiệu điện vì vậy tốc độ truyền rất nhanh. Ngoài ra

bạn có thể gửi hoặc nhận thư riêng hoặc các bức điện với file đính kèm như

hình ảnh, các công văn tài liệu, thậm chí cả bản nhạc hay các chương trình

phần mềm…

Thư điện tử còn còn được gọi tắt là E-mail (Electronic Mail) là cách gửi điện

thư rất phổ biến. E-mail có rất nhiều cấu trúc khác nhau tùy thuộc vào hệ

thống máy tính của người sử dụng. Mặc dù khác nhau về cấu trúc nhưng tất

cả đều có một mục đích chung là gửi hoặc nhận thư điện tử từ một nơi này

đến nơi khác một cách nhanh chóng. Ngày nay nhờ sự phát triển mạnh mẽ của

Internet (Mạng lưới truyền tin toàn cầu) người ta có thể gửi thư tới các quốc

gia trên toàn thế giới. Với lợi ích như vậy nên thư điện tử hầu như trở thành

một nhu cầu cần phải có của người sử dụng máy tính. Giả sử như bạn đang là

một nhà kinh doanh nhỏ và cần bán hàng trên toàn quốc. Vậy làm thế nào mà

bạn có thể liên lạc với khách hàng một cách nhanh chóng và dễ dàng. Thư

điện tử là cách giải quyết tốt nhất và nó đã trở thành một dịch vụ phổ biến

trên Internet.

Tại các nước tiên tiến cũng như các nước phát triển, các trường đại học, các

cơ cấu thương mại, các cơ quan chính quyền… đều đã và đang kết nối hệ

thống máy tính của họ vào Internet để sự chuyển thư điện tử một cách nhanh

chóng và dễ dàng.



2.1.2 Lợi ích của thư điện tử

Thư điện tử có rất nhiều công dụng vì chuyển nhanh chóng và dễ dàng

sử dụng. Mọi người có thể trao đổi ý kiến tài liệu với nhau trong thời gian

ngắn. Thư điện tử ngày càng đóng một vai trò quan trọng trong đời sống,

khoa học, kinh tế xã hội, giao dục, an ninh quốc gia. Ngày nay, người ta trao

đổi với nhau hàng ngày những ý kiến, tài liệu với nhau bằng điện thư mặc dù

cách xa nhau hàng ngàn cây số.

Vì thư điện tử phát triển dựa vào cấu trúc của Internet cho nên cùng với

sự phát triển của Internet, thư điện tử ngày nay càng phổ biến trên toàn thế

giới. Người ta không ngừng tìm cách để khai thác đến mức tối đa về sự hữu

dụng của nó. Thư điện tử phát triển được bổ sung thêm các tính năng sau:

Một bức thư điện tử sẽ mang nhận dạng người gửi. Như vậy người

nhận sẽ biết ai đã gửi cho mình một cách chính xác.

Người ra sẽ dùng thư điện tử để gửi thư viết bằng tay. Có nghĩa là

người nhận sẽ đọc thư điện tử mà người nhận đã viết bằng tay.

Thay vì gửi lá thư điện bằng chữ, người gửi có thể dùng điện thư để gửi

tiếng nói. Người nhận sẽ lắng nghe được tiếng nói của người gửi khi nhận

được thư.

Người gửi có thể gửi một cuộn phim hoặc là những ảnh lưu động cho

người nhận.

2.1.3 Hiện trạng email hiện nay

Với tốc độ tin học hóa diễn ra khá nhanh như hiện nay, E-mail ngày

càng trở thành phương tiện liên lạc không thể thiếu đối với mọi người, nhất là

đối với các doanh nghiệp. Chính vì nhu cầu đó việc xây dựng một mail server

là hết sức cần thiết. Nhưng việc chọn xây dựng mail server như thế nào cho

phù hợp, hiệu quả và tốn ít chi phí nhất, đồng thời vẫn đảm bảo được tính sẵn

sàng (Availability – Hoạt động ổn định, dễ dàng nâng cấp và bảo trì … ) và

tính riêng tư (Private – Bảo mật, bí mật … ) cho các doanh nghiệp.

Gần đây người ta bắt đầu xây dựng những đường chuyển tải tốc độ cao

cho Internet và lưu lượng nhanh gấp trăm lần so với đường cũ. Hy vọng rằng

với đà phát triển như vậy, sẽ có ngày mọi người trên Internet sẽ có được nhiều

lợi ích về việc sử dụng thư điện tử.



Bên cạnh những lợi ích của điện tử đem lại cho chúng ta, thì nó cũng

tiềm ẩn các mối hiểm họa đối với thư tín điện tử như bị đọc lén thư, bị thu

thập, phân tích đường truyền, giả mạo, và bom thư… chính vì thế mà việc bảo

mật cho thư tín điện tử ngày càng trở nên cấp thiết.

2.1.4 Cơ chế hoạt động của thư điện tử

Hình 2.1 Cơ chế hoạt động của thư điện tử

Sử dụng hình vẽ trên để mô tả cách thức hoạt động của hệ thống E-mail hiện

nay.

Ví dụ:

1. Nguyễn dùng MUA (Mail User Agent- Phần mềm thư điện tử) của

mình để soạn một lá thư có địa chỉ người nhận là Trần với địa chỉ là

[email protected]. Nguyễn send và MUA của Nguyễn áp dụng SMTP để gửi

mẫu thông tin đến SMTP server - MTA (Mail Transfer Agent- Máy chủ

thư điện tử) của Nguyễn. Trong ví dụ thì máy chủ là smtp.a.org được cung

cấp từ dịch vụ Internet của Nguyễn.

2. MTA này sẽ đọc địa chỉ chỗ nhận ([email protected]) và dựa vào phần tên

miền nó sẽ tìm hỏi địa chỉ của tên miền này, nơi có máy chủ sẽ nhận email

gửi đến, qua hệ thống tên miền.

3. Máy chủ DNS của b.org là ns.b.org sẽ trả lời về một bản ghi trao đổi

thư từ, đây là bảng ghi chỉ ra cách thức làm thế nào định tuyến cho email


mailto:[email protected]


này. Trong thí dụ thì mx.b.org là máy chủ từ dịch vụ cung ứng Internet của

Trần.

4. smtp.a.org gửi mẫu thông tin tới mx.b.org dùng giao thức SMTP, sau

đó nó sẽ phân phối lá thư đến hộp thư của Trần.

5. Trần nhận thư trên máy MUA của Trần bằng cách áp dụng giao thức

POP3.

2.1.5 Các thành phần

Chúng ta thấy các thành phần của hệ thống E-mail bao gồm:

- Mail user agent: tương tác với người dùng, soạn thảo, gửi hoặc nhận

email

- SMTP server: gọi là Mail Transfer Agent (MTA). SMTP server sử

dụng để chuyển email từ người gửi đến POP server của người nhận, dùng

giao thức SMTP.

- POP3 server: gọi là Mail Delivery Agent (MDA), lưu các thư nhận

được vào hệ thống và khi cần người dùng sử dụng chương trình mail client

lấy các thư này về máy tính để đọc. Chương trình mail client giao tiếp với

POP server dựa trên giao thức POP3.

- DNS server : trong mô hình trên chính là Name Server, nó lưu trữ 1

hoặc nhiều bản ghi MX chỉ định server chịu trách nhiệm nhận email được

gửi đến

Thông thường mail server hỗ trợ cả hai giao thức SMTP và POP3

2.2 Các giao thức truyền nhận mail

2.2.1 Giao thức truyền email SMTP

Giao thức SMTP (Simple Mail Transfer Protocol) hoạt động ở tầng

Application, là một giao thức dùng nền văn bản và tương đối đơn giản. Trước

khi một thông điệp được gửi, người ta có thể định vị một hoặc nhiều địa chỉ

nhận cho thông điệp. SMTP dùng cổng 25 của giao thức TCP. Để xác định

trình chủ SMTP của một tên miền nào đấy (domain name), người ta dùng một

bản ghi MX của DNS. SMTP được sử dụng rộng rãi từ những năm 80. Theo

thiết kế ban đầu, SMTP hoạt động hoàn toàn dựa trên ký tự, dẫn đến sự khó

khăn trong gửi email, có dữ liệu nhị phân. Sau này, giao thức MIME (Multi-



purpose Internnet Mail Extension) đã được đưa ra, kết hợp với SMTP để khắc

phục nhược điểm đó.

Sau đây là một phiên giao dịch dùng giao thức SMTP. Kí hiệu bên gửi

email là: C, bên nhận là: S. Các hệ thống máy tính đều có thể thiết lập một kết

nối bằng cách dùng những dòng lệnh telnet tới cổng 25, trên một máy khách.

Chẳng hạn: telnet www.example.com 25

Khởi động một kết nối SMTP từ máy gửi thông điệp đến máy chủ

www.example.com

S: 220 www.example.com ESMTP Postfix

C: HELLO mydomain.com

S: 250 Hello mydomain.com

C: MAIL FROM: [email protected] //Địa chỉ mail bên gửi

S: 250 Ok

C: RCPT TO: [email protected] //Địa chỉ mail bên nhận

S: 250 Ok

C: DATA

S: 354 End data with <CR><LF>.<CR><LF> //-------------------

C: Subject: test message

C: From: [email protected]

C: To: [email protected]

C: // Nội dung của mail

C: Hello,

C: This is a test.

C: Goodbye.

C: . //Kết thúc phần nội dung

S: 250 Ok: queued as 12345

C: quit //Kết thúc

S: 221 Bye

2.2.2 Giao thức nhận mail POP3

Giao thức nhận mail POP3 thuộc tầng Application trong mô hình OSI,

hoạt động trên giao thức TCP, cổng 110 được mô tả trong RFC 1939. Ban đầu

server host bắt đầu một POP3 service bằng cách lắng nghe trên TCP port 110.

Khi một client host mong muốn dùng POP3 service, nó thiết lập một kết nối






http://www.example.com/




TCP với server host đó. Khi kết nối được thiết lập, POP3 server gửi một chào

hỏi. Client và server POP3 sau đó trao đổi những lệnh và các trả lời cho đến

khi kết nối đó được đóng hay loại bỏ.

Lệnh trong POP3 bao gồm một keyword (từ khoá) theo sau có thể là

một hay nhiều đối số tất cả các lệnh được kết thúc bởi một cặp CRLF. Các từ

khoá và đối số được tách riêng ra bởi một ký tự trắng đơn , từ khoá dài 3 hay

4 ký tự. Mỗi đối số có thể lên đến chiều dài 40 ký tự.

Các trả lời trong POP3 bao gồm phần chỉ định trạng thái và một từ

khoá có thể theo sau là thông tin thêm vào. Tất cả các trả lời được kết thúc bởi

một cặp CRLF. Chỉ có hai loại trả lời là: chỉ định trạng thái khẳng định

(“+OK”) và phủ định (“-ERR”) .

Trả lời cho các lệnh là trả lời nhiều dòng. Trong trường hợp này, nó

cho phép chỉ định một cách rõ ràng, sau khi gửi dòng đầu tiên của câu trả lời

và một CRLF, một số dòng thêm vào được gửi đi, mỗi dòng kết thúc bằng

một cặp CRLF. Khi tất cả các dòng của trả lời đã được gửi đi bao gồm một số

kết thúc hệ bát phân (termination octe) (mã 046 hệ mười, “.”) và một cặp

CRLF. Nếu dòng nào của trả lời nhiều dòng bắt đầu với termination octet

dòng đó là "byte-stuffed" bằng cách (pre-pending) treotermina_ tion octe đó

của dòng trả lời. Kể từ đây một trả lời nhiều dòng được kết thúc với năm octet

"CRLF.CRLF". Khi xem xét một trả lời nhiều dòng client kiểm tra xem nếu

dòng đó bắt đầu với termintion octet. Nếu đúng và nếu những octet theo sau

khác với CRLF, octet đầu tiên của dòng này (termination octet) được bỏ đi.

Nếu đúng và nếu những ký tự kết thúc theo ngay sau nó, thì trả lời từ POP3

server này được kết thúc với một dòng chứa “.CRLF” không được coi là một

phần của trả lời nhiều dòng đó.

Một POP3 session tiến hành qua một số trạng thái trong thời gian sống

của nó. Khi kết nối TCP được mở và một POP3 server gửi một chào hỏi. Hội

nghị sẽ đi vào trạng thái AUTHORIZATION (xác nhận). Trong trạng thái này

client phải định danh nó đến POP3 server. Khi client định danh thành công,

server thu được những tài nguyên kết hợp với client’s maildrop, và hội nghị đi

vào trạng thái TRANSACTION (giao dịch). Trong trạng thái này client yêu

cầu các hành động trong vai trò của POP3 server khi client phát ra lệnh QUIT,

hội nghị đi vào trạng thái UPDATE. Trong trạng thái này giải phóng các tài



nguyên thu nhận được trong trạng thái TRANSACTION và say goodbye. Sau

đó kết nối TCP đóng lại.

Một POP3 server có thể có một thời gian tự động logout không chủ

động. Một thời gian như vậy phải tồn tại trong khoảng thời gian ít nhất là 10

phút. Trong khoảng thời gian nhận các lệnh từ client đủ để reset thời gian tự

động logout đó. Khi thời gian hết hiệu lực, hội nghị không đi vào trạng thái

UPDATE, server sẽ đóng kết nối TCP mà không remove hay gửi một

message nào cho client.

Ví dụ: Client(C) yêu cầu lấy email từ server (S)

S: <wait for connection on TCP port 110>

C: <open connection>

S: +OK POP3 server ready [email protected]

C: APOP mrose c4c9334bac560ecc979e58001b3e22fb

The server may instead use USER and PASS C: USER mrose

S: +OK User accepted

C: PASS mrosepass

S: +OK Pass accepted

S: +OK mrose’s maildrop has 2 messages (320 octets)

C: STAT

S: +OK 2 320

C: LIST

S: +OK 2 messages (320 octets)

S: 1 120

S: 2 200

S: .

C: RETR 1

S: +OK 120 octets

S: <the POP3 server sends message 1>

S: .

C: DELE 1




S: +OK message 1 deleted

C: RETR 2

S: +OK 200 octets

S: <the POP3 server sends message 2>

S: .

C: DELE 2

S: +OK message 2 deleted

C: QUIT

S: +OK dewey POP3 server signing off (maildrop empty)

C: <close connection>

S: <wait for next connection>

2.2.3 Giao thức nhận mail IMAP

IMAP là một giao thức cho phép client truy nhập email trên một server,

không chỉ tải thông điệp thư điện tử về máy của người sử dụng (POP) mà có

thể thực hiện các công việc như : tạo, sửa xóa, đổi tên mailbox, kiểm tra thông

điệp mới , thiết lập và xóa cờ trạng thái,…

IMAP được thiết kế trong môi trường người dùng có thể đăng nhập vào

server (cổng 143/tcp) từ các máy trạm khác nhau. Nó rất hữu ích khi việc tải

thư của người dùng không về một máy cố định, bởi không phải lúc nào cũng

chỉ dùng một máy cố định. Trong khi đó POP không cho phép người sử dụng

tác động lên các thông điệp trên server. Đơn giản POP chỉ được phép tải thử

điện tử của người dùng đang được quản lý trên server. Như vậy POP chỉ cung

cấp quyền truy cập tới inbox của người sử dụng mà không hỗ trợ quyền truy

nhập tới public folder(IMAP).

Sử dụng IMAP với các mục đích sau:

Tương thích đầy đủ với các chuẩn thông điệp Internet

Cho phép truy nhập và quản lý thông điệp từ nhiều máy khác nhau.

Hộ trợ 3 chế độ truy nhập : online, offline và disconnected.

Hỗ trợ truy nhập đồng thời tới các mailbox dùng chung.

Phần mềm bên client không cần thiết phải biết kiểu lưu trữ file của server.

2.3 Cách thức phân giải địa chỉ



Trong phần này chúng ta sẽ tìm hiểu về hệ thống tên miền DNS và tác dụng

của nó trong việc truyền nhận email.

Đến năm 1984, Paul Mockpetris thuộc viện USC’s Information Sciences

Institute phát triển một hệ thống quản lý tên miền mới (miêu tả trong chuẩn

RFC 882- 883) gọi là DNS(Domain Name System) và ngày nay nó ngày càng

được phát triển và hiệu chỉnh bổ sung tính năng để đảm bảo yêu cầu ngày

càng cao của hệ thống.

2.3.1 Mục đích của hệ thống DNS

Máy tính khi kết nối vào mạng Internet thì được gán cho một địa chỉ IP

xác định. Địa chỉ IP của mỗi máy tính là duy nhất và có thể giúp máy tính có

thể xác định đường đi đến một máy tính khác một cách dễ dàng. Đối với

người dùng thì địa chỉ IP khó nhớ những với máy tính thì là dễ dàng. Cho

nên, cần phải sử dụng hệ thống để giúp cho máy tính tính toán đường đi một

cách dễ dàng và đồng thời cũng giúp cho người dùng dễ nhớ. Do vậy, hệ

thống DNS ra đời nhằm giúp cho người dùng có thể chuyển đổi từ địa chỉ IP

khó nhớ mà máy tính sử dụng sang một tên dễ nhớ cho người sử dụng và

đồng thời nó giúp cho hệ thống Internet dễ dàng sử dụng và ngày càng phát

triển.

Hệ thống DNS sử dụng hệ thống cở sở dữ liệu phân tán và phân cấp

hình cây, vì vậy việc quản lý sẽ dễ dàng và cũng rất thuận tiện cho việc

chuyển hổi từ tên miền sang địa chỉ IP và ngược lại. Cũng giống như mô hình

quản lý cá nhân của một đất nước, mỗi cá nhân sẽ có một tên xác định đồng

thời cũng có địa chỉ chứng minh thư để giúp quản lý con người một cách dễ

dàng hơn.

Vậy, tóm lại tên miền (domain name) là gì? Những tên gợi nhớ như

home.vnn.vn hoặc www.cnn.com thì được gọi là tên miền (domain name hoặc

là DNS name). Nó giúp cho người sử dụng dễ dàng nhớ vì nó có dạng chữ mà

người bình thường có thể hiểu và sử dụng hàng ngày. Hệ thống DNS đã giúp

cho mạng Internet thân thiện hơn với người sử dụng, do vậy, mạng internet

phát triển bùng nổ một vài năm gần đây. Theo thống kê trên thế giới, vào thời

điểm tháng 7/2000, số lượng tên miền được đăng ký là 93.000.000.

Nói chung, mục đích của hệ thống DNS là:

- Địa chỉ IP khó nhớ cho người sử dụng những dễ dàng với máy tính.


http://www.cnn.com/

http://home.vnn.vn/


- Tên miền thì dễ nhớ với người dùng nhưng lại không dùng được với máy

tính.

Hệ thống DNS giúp chuyển đổi từ tên miền sang địa chỉ IP và ngược lại

giúp người dùng dễ dàng sử dụng hệ thống máy tính.

2.3.2 Hoạt động của DNS

Khi DNS client cần xác định cho một tên miền nó sẽ truy vấn DNS

server. Truy vấn DNS và trả lời của hệ thống DNS cho client sử dụng thủ tục

UDP cổng 53, UDP hoạt động ở mức thứ 3(network) của mô hình OSI, UDP

là thủ tục phi kết nối (connectionless), tương tự như dịch vụ gửi thư bình

thường bạn cho thư vào thùng thư và hy vọng có thể chuyển đến nơi bạn cần

gửi tới.

Mỗi một message truy vấn được gửi đi từ client bao gồm 3 thành phần thông

tin:

Tên của miền cần truy vấn

Xác định loại bản ghi là mail, web…

Lớp tên miền

- Ví dụ : Tên miền truy vấn đầy đủ như :

“hostname.example.microsoft.com”, và loại truy vấn là địa chỉ A, Client

truy vấn DNS hỏi “có bản ghi địa chỉ A cho máy tính có tên là

“hostname.example.microsoft.com” khi client nhận được câu trả lời của

DNS server nó sẽ xác định địa chỉ IP của bản ghi A.

Nói tóm lại các bước của một truy vấn gồm có 2 thành phần như sau:

Truy vấn sẽ bắt đầu ngay tại client computer để xác định câu trả lời

Khi ngay tại client không có câu trả lời, câu hỏi sẽ được chuyển đến

DNS server để tìm câu trả lời.

2.3.2.1 Tự tìm câu trả lời truy vấn

Bước đầu tiên của quá trình xử lý một truy vấn. Tên miền sử dụng một

chương trình trên ngay máy tính truy vấn để tìm câu trả lời cho truy vấn. Nếu

truy cấn có câu trả lời thì quá trình truy vấn kết thúc.

Ngay tại máy tính truy vấn thông tin được lấy từ 2 nguồn sau:

Trong file Hosts được cấu hình ngay tại máy tính. Các thông tin ánh xạ

từ tên miền sang địa chỉ được thiết lập ở file này được sử dụng đầu tiên.



Nó được tải ngay lên bộ nhớ cache của máy khi bắt đầu chạy DNS

client.

Thông tin được lấy từ các câu trả lời của truy vấn trước đó. Theo thời

gian các câu trả lời truy cấn được lưu giữ trong vộ nhớ cache của máy

tính và nó được sử dụng khi có một truy vấn lặp lại một tên miền trước

đó.

2.3.2.2 Truy vấn DNS server

Khi DNS server nhận được một truy vấn, đầu tiên nó sẽ kiểm tra câu trả

lời liệu có phải thông tin của bản ghi mà nó quản lý trong các zone của server.

Nếu truy vấn phù hợp với bản ghi mà nó quản lý thì nó sẽ sử dụng thông tin

đó để trả lời (authoritatively answer) và kết thúc truy vấn.

Nếu không có thông tin về zone của nó phù hợp để trả lời từ cả cache và zone

mà DNS server quản lý thì truy vấn sẽ tiếp tục. Nó sẽ nhờ DNS server khác

để trả lời truy vấn đến khi tìm được câu trả lời thì thôi.

Dữ liệu trên các DNS server gọi là các zone file chứa các thông tin, bản

ghi về domain mà nó quản lý. Các bản ghi chính bao gồm:

- Bản ghi A: Ánh xạ tên miền và địa chỉ IP tương ứng

- Bản ghi CNAME: Tên thay thế

- Bản ghi NS (Name Server): Ánh xạ mỗi domain với danh sách các

DNS server

- Bản ghi SOA (Start Of Authority): Xác định DNS server sẽ chịu trách

nhiệm cung cấp các thông tin liên quan đến domain

- Bản ghi MX (Mail eXchange): Ánh xạ mỗi domain với danh sách các

Mail server. Mỗi bản ghi MX có tham số reference number xác định độ ưu

tiên với Mail server có bản ghi MX tương ứng. Giá trị nhỏ có độ ưu tiên cao

hơn. Giả sử người dùng có email cần gửi đến địa chỉ: [email protected].

MTA khởi tạo thông điệp DNS gửi đến máy chủ phục vụ tên miền

(vnu.edu.vn) tìm bản ghi MX tương ứng với tên miền của email người nhận,

thường nằm sau kí tự @ của địa chỉ email. DNS server trả lời một danh sách

các Mail server. Tiếp theo, client thiếp lập kết nối SMTP đến Mail server,

thông thường kết nối được thiết lập đến server có giá trị tham số nhỏ nhất,

nếu kết nối không thiết lập được sẽ chuyển sang Mail server có giá trị lớn

hơn.




DNS và Mail là 2 dich vụ có mối quan hệ mật thiết với nhau. Dịch vụ

Mail dựa vào dịch vụ DNS để chuyển Mail từ mạng bên trong ra bên ngoài và

ngược lại. Khi chuyển Mail, Mail Server nhờ DNS để tìm MX record để xác

định máy chủ nào cần chuyển Mail đến.

Cú pháp record MX:

[ Domail_name] IN MX 0 [Mail_host]

Thông qua việc khai báo trên cho ta biết tương ứng với domain_name được

ánh xạ trực tiếp vào Mail Host để chỉ định máy chủ nhận và xử lý Mail cho

tên miền.

Ví dụ: t3h.com. IN MX 0 mailserver.t3h.com

2.4 Định dạng của một email

2.4.1 Định dạng thông thường

Về cơ bản, một bức Mail gồm 2 phần chính: phần header, phần body.

Phần header: bao gồm các thông tin: địa chỉ người gửi, người

nhận, tiêu đề… nó thường chứa ít nhất các trường sau:

- From : Địa chỉ email của người gửi.

- To: Địa chỉ email của người nhận.

- Subject: Tiêu đề của thư

Phần body: Là nội dung của bức thư. Ban đầu, email được thiết

kế chỉ hỗ trợ ký tự theo chuẩn ASCII, tức là email chỉ bao gồm các chữ cái

Tiếng Anh. Định dạng thư điện tử MIME được đưa ra nhằm mở rộng khả

năng của email, có thể gửi và nhận các dữ liệu nhị phân, ảnh, biểu diễn

được nhiều ngôn ngữ khác…

2.4.2 Định dạng MIME(Multipurpose Internet Mail Extensions)

Một giao thức Internet mới được phát triền để cho phép trao đổi các thông điệp

điện tử có nội dung phong phú thông qua mạng không đồng nhất, máy móc và các môi

trường thư điện tử. Trong thực tế, MIME cũng đã được sử dụng và mở rộng bởi các ứng

dụng không phải thư điện tử và định dạng MIME được mô tả trong RFC 2822( mở rộng

của RFC 822). Định dạng của MIME được đưa thêm một số trường vào Header của email:

content- type; content-transfer-encoding; MIME-version.

Header Meaning

MIME-Version: Indentifies the MIME version



Content-Description: Human-readable string telling what is in the message

Content-Id: Unique identifier

Content-Transfer-

Encoding:

How the body is wrapped for transmission

Content-Type: Nature of the message

Bảng 2.1 : Các header RFC 822 được MIME thêm vào.

Trường content-type có cấu trúc : kiểu/kiểu_con(kiểu MIME). Ví dụ: text/plain.

Sau đây là bảng thể hiện các kiểu MIME

Content-type Chú thích

Text Văn bản, ký tự

image Hình ảnh: GIF, BMP, JPEG…

Audio Hình ảnh chuyển động

Multipart Nhiều thông điệp được gửi cùng lúc có bảng mã khác nhau

Message Có thư kèm theo (reply)

Bảng 2.2 Các kiểu MIME



CHƯƠNG 3

CÁC VẤN ĐỀ THƯỜNG GẶP CỦA HỆ THỐNG EMAIL

VÀ GIẢI PHÁP

3.1 Các vấn đề thường gặp với hệ thống Mail server

3.1.1 Tấn công từ chối dịch vụ (Denial of service)

Tấn công từ chối dịch vụ (DoS) nhằm mục đích làm cạn kiệt tài nguyên

của hệ thống bằng cách gửi rất nhiều gói tin khiến cho hệ thống xử lý không

xử lý kịp, hệ thống không thể đáp ứng được các yêu cầu hợp lệ từ người dùng.

Thực chất tấn công DoS chiếm dụng một lượng lớn tài nguyên trên server làm

cho server không thể nào đáp ứng mấy cái yêu cầu máy của người dùng. Và

server có lẽ nhanh chóng bị ngừng hoạt động có thể Crash hay là reboot. Các

tài nguyên đó có thể là các tiến trình (processes), dung lượng ổ cứng, các file.

Loại tấn công này chỉ cần một máy tính kết nối internet là có thể thực hiện tấn

công máy đối phương .

Đầu năm 2000, hàng loạt các website lớn: Yahoo.com, Ebay.com đã bị

DoS làm ngừng hoạt động trong nhiều giờ liền, thiệt hại nhiều triệu USD. Có

thể nói, tấn công Dó là kiểu tấn công nguy hiểm và khó phòng tránh nhất. Tấn

công Dos có cách kiểu sau:

Tấn công DoS vào các tiến trình trên server

Tấn công DoS làm giảm dung lượng

3.1.1.1 Tấn công DoS vào các tiến trình trên server

Kẻ tấn công sinh ra rất nhiều tiến trình trên hệ thống đích khiến cho hệ

thống quá tải, CPU xử lý không kịp. DoS có thể tấn công trực tiếp vào các

dịch vụ trên máy của nạn nhân: FTP, SMTP khiến cho các dịch vụ này không

thể đáp ứng được yêu cầu gửi đến. Hai trường hợp điển hình là tấn công DoS

bằng smurf và SYN flood.

Tấn công smurf thực hiện ở tầng mạng. Kẻ tấn công bắt đầu bằng việc

giả mạo địa chỉ IP của nạn nhân, sau đó sinh ra một lượng lớn gói tin ICMP

được gửi broadcast, khi đến router, router chuyển các gói tin này đến tất cả

các máy tính trong mạng. Các máy tính trong mạng lại gửi gói tin ICMP đáp



trả đến cho nạn nhân (do bị giả mạo địa chỉ). Số lượng máy tính trong mạng

càng nhiều thì số lượng gói tin ICMP trả lời cho nạn nhân càng lớn và với tần

suất liên tục làm cho máy nạn nhân bị suy giảm tài nguyên, không thể đáp

ứng được các yêu cầu người dùng.

3.1.1.2 Tấn công làm giảm dung lượng:

Với mail server, kiểu tấn công DoS phổ biến là làm giảm dung lượng

bằng cách gửi liên tục nhiều email đến server.

Điển hình là tấn công từ chối dịch vụ DDoS (Distributed Denial of

Service), mục đích cuối cùng cũng là làm cạn kiện tài nguyên của nạn nhân.

Tuy nhiên, hậu quả gây ra mạnh mẽ hơn.

Tấn công DDoS yêu cầu phải có ít nhất vài hackers cùng tham gia. Đầu

tiên các hackers sẽ cố thâm nhập vào các mạng máy tính được bảo mật kém,

sau đó cài lên các hệ thống này chương trình DDoS server. Bây giờ các

hackers sẽ hẹn nhau đến thời gian đã định sẽ dùng DDoS client kết nối đến

các DDoS servers, sau đó đồng loạt ra lệnh cho các DDoS servers này tiến

hành tấn công DDoS đến hệ thống nạn nhân.

Hình 3.1 Tấn công DDOS

Giải pháp:

Phòng chống DoS và DDoS là không triệt để. Tuy vậy chúng vẫn có

thể giảm thiểu nguy cơ tấn công bằng các biện pháp sau:

Nâng cao băng thông của hệ thống



Cập nhật các miếng vá lỗi và sửa lỗi

Tắt hế các dịch vụ nếu hệ thống không cần dùng

Giới hạn các trao đổi không hợp lệ

Khóa các địa chỉ IP bất thường

Sử dụng hệ thống phát hiện và phòng chống xâm nhập

(IDPS)

3.1.2 Open Relay

Open Relay cho phép bất kỳ ai từ Internet cũng có thể dùng mail server

của bạn làm smtp gateway. Như vậy thì rất nguy hiểm, vì hiện nay trên

Internet các công ty spam mail (gửi mail quảng cáo...) liên tục scan các Open

Relay STMP Server và sẽ dùng các Server đó để gửi Mail đến các Mail Box

khác. Như vậy Mail server của bạn không những bị tốn tài nguyên mà còn có

khả năng bị thêm vào những Open Relay Black List, như và như vậy nhiều

mail server khác sẽ từ chối tất cả các mail từ server của bạn gửi đi. Sau đây là

mô tả trường hợp thực hiện relay:

Hình 3.2: Cơ chế Relay

+ Giải pháp

- Đóng tính năng chuyển tiếp email.

- Để chấm dứt tình trạng này bạn nên kích hoạt chế độ xác thực cho relay

mail, hoặc giới hạn chỉ cho phép 1 số IP nhất định được phép relay.

- Nếu IP của bạn đã bị liệt kê vào các Black List thì bạn phải lên hệ với họ

để họ thay đổi IP của bạn ra, hoặc là đổi IP address của SMTP Relay Server.



3.1.3 Giả mạo địa chỉ

Giả mạo địa chỉ là cách thức kẻ tấn công mạo danh địa chỉ email của

người khác để gửi thư với nhiều mục đích khác nhau. L àm cho người khác

tưởng lầm mình đã nhận được email đáng tin cậy. Kẻ tấn công đã lợi dụng

mối quan hệ tin tưởng này để gửi email, có kèm theo virut hoạc các đoạn mã

độc hại, đánh cắp các thông tin hoặc phá hoại các cuộc giao dịch của các đối

tác kinh doanh làm ăn.

Giải pháp:

Hiểm họa mạo danh có thể được khắc phục thông qua việc sử dụng chữ ký

điện tử. Mỗi người có một chữ ký điện tử, khi gửi thư họ có đính kèm theo

chữ ký đó. Người nhận sẽ kiểm tra xem chữ ký đó có hợp lệ hay không. Vậy

nên không ai có thể mạo danh họ để gửi thư được.

3.1.4 Spam

3.1.4.1 Khái niệm

Spam hay còn gọi là UBE (Unsolicited Bulk Email) là những thư rác.

Spam lan tràn môi trường Internet bằng cách gửi đi rất nhiều các gói tin với

cùng một nội dung, những gói tin này được truyền đến những người mà họ

không thể không nhận chúng. Hầu hết spam nhằm mục đích quảng bá cho các

sản phẩm không đáng tin cậy. Không những thế nó còn lừa đảo người dùng để

tiết lộ những thông tin tài khoản ngân hàng, thẻ tin dụng và là công cụ phát

tán virus, trojan… rất nguy hiểm.

3.1.4.2 Các loại SPAM

Có hai loại spam chính, chúng có những ảnh hưởng khác nhau đến

người dùng Internet:

- Usernet spam: đây là dạng spam ta thường gặp trên các forum, một

gói tin sẽ được gửi đến trên 20 newsgroup. Qua quá trình sử dụng, người

dùng đã thấy rằng bất kỳ một tin nào được gửi đến nhiều nhóm mới một lúc

thường sẽ mang những thông tin không cần thiết. Usernet spam cố gắng trở

thành một “kẻ giấu mặt” – đọc thông tin trong các nhóm mới nhưng ít khi

hoặc không bao giờ post bài hay cho địa chỉ của mình. Usernet spam chiếm

quyền sử dụng của các nhóm mới bằng cách làm tràn ngập các quảng cáo



hoặc những bài viết không phù hợp. Ngoài ra, Usernet spam có khi còn làm

ảnh hưởng đến quyền điều khiển của quản trị hệ thống, chiếm quyền quản lý

một topic nào đó.

- Email spam: Email spam nhắm đến người dùng riêng biệt trực tiếp

qua các thư điện tử. Các spammer sẽ tiến hành thu thập địa chỉ mail bằng

cách duyệt qua hòm thư Usenet, ăn cắp danh sách mail hay tìm kiếm trên

web. Đối với những user sử dụng dịch vụ điện thoại thì đồng hồ đo vẫn chạy

trong khi họ nhận hay đọc mail, chính vì vậy mà spam làm họ tốn thêm một

khoản tiền. Trên hết, các ISP và các dịch vụ trực tuyến(online services) phải

tốn tiền để chuyển các email – spam đi, những chi phí này sẽ được chuyển

trực tiếp đến các thuê bao.

3.1.4.3 Các biện pháp phòng chống spam

DNS Blacklist

Hình 3.3 DNS Blacklist

Sử dụng phương pháp DNS blacklist sẽ chặn các email đến từ các địa chỉ nằm

trong danh sách DNS blacklist. Có hai loại DNS Blacklist thường được sử

dụng đó là :

- Danh sách các miền, các domain name gửi spam đã biết.

- Danh sách các máy chủ email cho phép hoặc bị lợi dụng thực hiện

việc chuyển tiếp spam tới người dùng từ những email được gửi đi

từ spammer.

Khi một email được gửi đi, nó sẽ đi qua một số SMTP server trước khi

chuyển tới địa chỉ người nhận. Địa chỉ IP của các SMTP server mà email đó

đã chuyển qua được ghi trong phần header của email.

Các chương trình chống spam sẽ kiểm tra tất cả các địa chỉ IP đã được tìm

thấy trong phần header của email đó sau đó so sánh với cơ sở dữ liệu DNS



Blacklist đã biết. Nếu địa chỉ IP tìm thấy trong phần này có trong cơ sở dữ

liệu DNS Blacklist, nó sẽ bị coi là spam, còn nếu không, email đó sẽ được coi

là một email hợp lệ.

Chặn IP

Phương pháp này sẽ chặn các email được gửi đến từ các địa chỉ IP biết trước.

Khi một email đến, bộ lọc sẽ phân tích địa chỉ máy gửi và so sánh với danh

sách địa chỉ bị chặn. Nếu email đó đến từ một máy có địa chỉ trong danh sách

này thì nó sẽ bị coi là spam, ngược lại nó sẽ được coi là email hợp lệ.

Kiểm tra địa chỉ IP

Bằng cách kiểm tra địa chỉ người gửi và người nhận, phần lớn spam sẽ được

phát hiện và chặn lại. Thực hiện kiểm tra địa chỉ người gửi tước khi email

được tải xuống sẽ tiết kiệm được băng thông đường truyền cho toàn hệ thống.

Kỹ thuật Sender Policy Framwork (SPF, www.openspf.org) được sử dụng để

kiểm tra địa chỉ của người gửi email. Kỹ thuật SPF cho phép chủ sở hữu của

một tên miền Internet sử dụng các DNS đặc biệt (gọi là bản ghi SPF) chỉ rõ

các máy được dùng để gửi email từ miền của họ. Khi một email được gửi tới,

bộ lọc SPF sẽ phân tích các thông tin trong trường From hoặc Sender để kiểm

tra địa chỉ người gửi. Sau đó SPF sẽ đối chiếu địa chỉ đó với các thông tin đã

được công bố trong bản ghi SPF của miền đó xem máy gửi email có được

phép gửi email hay không. Nếu email đến từ một server không có trong bản

ghi SPF mà miền đó đã công bố thì email đó bị coi là giả mạo.

Lọc nội dung (Sử dụng bộ lọc Bayesian)

Hình 3.4 Bộ lọc Bayesian

Bộ lọc Bayesian hoạt động dựa trên định lý Bayes để tính toán xác suất xảy ra

một sự kiến dựa vào những sự kiện xảy ra trước đó. Kỹ thuật tương tự như

vậy được sử dụng để phân loại spam. Nếu một số phần văn bản xuất hiện



thường xuyên trong các spam nhưng thường không xuất hiện trong các email

thông thường, thì có thể kết luận rằng email đó là spam.

Trước khi có thể lọc email bằng bộ lọc Bayesian, người dùng cần tạo ra cơ sở

dữ liệu từ khóa và dấu hiệu (như là ký hiệu $, địa chỉ IP và các miền…) sưu

tầm từ các spam và các email không hợp lệ khác.

Mỗi từ hoặc mỗi dấu hiệu sẽ được cho một giá trị xác suất xuất hiện, giá trị

này dựa trên việc tính toán có bao nhiêu từ thường hay sử dụng trong spam,

mà trong các email hợp lệ thường không sử dụng. Việc tính toán này được

thực hiện bằng cách phân tích những email gửi đi của người dùng và phân

tích các kiểu spam đã biết.

Sử dụng danh sách Black/white list

Hình 3.5 Black/white list

Việc sử dụng các danh sách black/white list giúp cho việc lọc spam hiệu

quả hơn.

Black list là cơ sở dữ liệu các địa chỉ email và các miền mà bạn không

bao giờ muốn nhận các email từ đó. Các email gửi tới từ các địa chỉ này sẽ bị

đánh dấu là spam.

White list là cơ sở dữ liệu các địa chỉ email và các miền mà bạn mong

muốn nhận email từ đó. Nếu các email gửi đến từ những địa chỉ nằm trong

danh sách này thì chúng luôn được cho qua.

Thông thường các bộ lọc có tính năng tự học, khi một email bị đánh dấu

là spam thì địa chỉ người gửi từ trong công ty thì địa chỉ người nhận sẽ được

tự động đưa vào danh sách white list.



Kiểm tra Header

Phương pháp này sẽ phân tích các trường trong phần header của email để

đánh giá email đó là email thông thường hay là spam. Spam thường có đặc

điểm như sau:

- Để trống trường From: hoặc trường To:

- Trường From: chứa địa chỉ email không tuân theo các chuẩn RFC.

- Các URL trong phần Header và phần thân của message có chứa địa

chỉ IP được mã hóa dưới dạng hệ hex/oct hoặc được sự kết hợp theo dạng

user/password.

3.1.5 Virus- Worm

Từ khi ra đời, Email ngày càng chứng tỏ được tính ưu việt của nó so

với phương pháp gửi thư truyền thống. Số lượng người sử dụng email ngày

càng gia tăng. Chính vì vậy, nguy cơ gây hại cho hệ thống email ảnh hưởng

đến rất nhiều người. Các hacker đã và đang sử dụng email như mợi phương

pháp phát tán Virus hiệu quả với số lượng lớn.

Giải pháp:

Để bảo vệ Mail server chống lại Virus … chúng ta phải bảo vệ nhiều thành

phần khác.

Bảo vệ hệ điều hành: Không dùng cổng nếu không cần thiết. Cập nhật

hệ điều hành, bản vá, sửa lỗi, thay đổi các thiết lập mặc định.

Sử dụng tường lửa

Giới hạn máy tính được phép kết nối đến server

Kiểm tra email: sử dụng các chương trình diệt virus để kiểm tra xem

email có virus hay không. Các chương trình diệt virus cần được cập

nhật thường xuyên.

Kiểm tra file đính kèm: công việc này sẽ dùng nhiều tài nguyên hệ

thống, trước khi kiểm tra cần cân nhắc kỹ.



3.2 Những giải pháp tăng cường cho Mail Server

3.2.1 An toàn môi trường đặt máy chủ mail

3.2.1.1 Chính sách con người:

Chính sách con người: Luôn đào tạo và nâng cao năng lực người quản

trị hệ thống cũng như giáo dục ý thức của các user trong hệ thống mail, có

những cảnh báo kịp thời với người sử dụng khi phát hiện các lỗ hổng mới

cũng như các mối nguy hiểm mới, có các quy định cụ thể, chặt chẽ dựa vào

vai trò và trách nhiệm của người dùng...

3.2.1.2 An toàn mức vật lý:

An toàn mức vật lý: Như vấn đề về phòng đặt máy chủ phải được bảo

vệ an toàn trước mọi điều kiện ngoại cảnh tác động như các rủi ro về thời tiết,

hệ thống an ninh (Hệ thống cửa ra vào sử dụng thiết bị nhận dạng, mật khẩu,

khóa...) chống tiếp cận trực tiếp tới máy chủ mail. Thường sử dụng các công

cụ kỹ thuật – vật lý, đó là các thiết bị cơ – điện, điện tử, vô tuyến điện tử, như

các tín hiệu báo động điện tử, các loại camera theo dõi, và các loại khóa cửa,

các lưới chắn các cửa sổ...

3.2.1.3 An toàn mạng cho mail server

Sử dụng các thiết bị bảo vệ lớp mạng vành đai như: tường lửa cứng, hệ

thống phát hiện xâm nhập cứng ....

Cấu hình tường lửa

Firewall là thiết bị hoặc hệ thống để điều khiển luồng giao thông mạng giữa

các mạng với nhau. Chúng bảo vệ mail server khỏi những tổn thương vốn có

ở trong transport control Protocol/ Internet protocol. Chúng cũng giúp giảm

thiểu những vấn đề an ninh được kêt hợp với những ứng dụng và hệ điều hành

thiếu bảo mật. Tường lửa có rất nhiều lợi thế như khả năng lọc (có thể lọc các

loại cự thể của nội dụng mail và SMTP, POP và IMAP), dễ cấu hình, chịu

được các cuộc tấn công giả mạo IP, cung cấp xác thực người dùng.

Để bảo vệ thành công máy chủ mail, thì tường lửa phải được cấu hình đảm

bảo những yếu tố sau:

- Kiểm soát tất cả các giao thông giữa Internet và máy chủ mail.



- Chặn tất cả các lưu lượng gửi đến với máy chủ mail, ngoại trự các giao

thức sau: TCP port 25 (SMTP), TCP port 110(POP3), TCP port 143 (IMAP),

TCP port 298 (LDAP), and TCP port 636 (secure LDAP).

- Chặn (kết hợp với hệ thống phát hiện xâm nhập) địa chỉ IP

- Thông báo cho các mạng hoặc quản trị viên máy chủ mail

- Cung câp lọc nội dung.

- Cung cấp quét virus.

- Bảo vệ chống lại các cuộc tấn công DOS.

- Nhật ký sự kiện quan trọng (thời gian/ngày, giao diện địa chỉ IP, tên nhà

cung cấp riêng sự kiện, địa chỉ nguồn và đích…).

- Vá lỗi với mức độ mới nhất hoặc an toàn nhất.

Ví dụ như một tường lửa được cấu hình để bảo vệ mail server sẽ chặn tất cả

các truy cập đến mail server ngoại trự cổng TCP port 25 (SMTP), TCP port

110(POP3), TCP port 143 (IMAP), TCP port 298 (LDAP), và TCP port 636

(secure LDAP). Nhưng vẫn có những trường hợp kẻ tấn cổng lợi dụng những

cổng này để tấn công vào. Tuy nhiên để an toàn thì chúng ta phải cấu hình và

thực hiện phòng thủ chiều sâu để chặn kẻ tấn công.

Mail server nằm trong hệ thống tường lửa của mạng

Hình 3.6: Mail Server nằm trong hệ thống tường lửa

Đối với phương pháp này, hệ thống tường lửa hiện tại của mạng được sử dụng

để bảo vệ mail server. Hiển nhiên, hệ thống này phải có khả năng xử lý được

các thông điệp giao tiếp của email.

o Ưu điểm của cách xây dựng này là không phải sử dụng nhiều server,

tận dụng được tài nguyên hiện có.



o Nhược điểm của phương pháp này là việc đòi hỏi năng lực xử lý của

hệ thống phải lớn.

Mail server được đặt trong vùng DMZ

Hình 3.7: Mail server được đặt trong vùng DMZ

Nằm trong vùng DMZ là mạng đặc biệt, được cấu hình sao cho các

thành phần trong mạng đó được tách riêng khỏi mạng ngoài Internet, và mạng

bên trong (internal network). Các thành phần chính của DMZ là các server có

tần suất truy cập cao: Mail server, FTP server, Web server. DMZ được thiết

kế giúp nâng cao tính bảo mật trong mạng, các server được bảo vệ tập trung

hơn. Dưới đây là hình mô tả về DMZ.

Tường lửa được cấu tạo cho phép các truy cập từ bên ngoài đến các

server thuộc DMZ mà không cho phép truy cập đến mạng bên trong. Với

phương pháp này, kẻ tấn công sẽ khó tiếp cận với mạng Lan của tổ chức.

Ưu điểm khi đặt trong vùng DMZ :

o Mail server có thể được bảo vệ tốt, và giao thông mạng vào ra mail

server có thể được kiểm soát.

o Khi mail server bị tổn thương thì cũng không trực tiếp đe dọa đến

mạng nội bộ

o Kiểm soát tốt hơn khi bảo mật mail server

o Ít khó khăn trong việc quản trị máy chủ mail và cập nhật an toàn nội

dung mail server.



o Cấu hình mạng DMZ có thể được tối ưu hóa hỗ trợ và bảo mật mail

server

Nhược điểm:

o Tấn công DoS sẽ được nhắm vào mail server có thể ảnh hưởng đến

mạng bên trong

o Tùy thuộc vào những giao thông được phép ra vào DMZ và mạng

nội bộ, cái khả năng này làm cho mail server có thể bị lợi dụng để

tấn công hoặc thỏa hiệp với máy chủ trong mạng nội bộ.

Xây dựng Mail Gateways

Sử dụng mail gateway trong vùng DMZ cộng thêm những tính năng bảo mật

cho mail server. Tầng thêm này làm cho mail server trở nên khó tấn công hơn.

Một mail server gateway hành động như một proxy giữa mail server và

Internet. Tất cả các tin nhắn và các giao tiếp phải đi qua proxy trước khi

chúng được chuyển đến cho mail server, phá vỡ đường trực tiếp giao tiếp giữa

Internet và mail server làm cho nó trở nên khó khắn hơn để tấn công mail

server. Hình dưới đay cung cấp một ví dụ cho việc sử dụng mail gateway để

củng cố chắc chắn cho mail server khi ở trong mạng nội bộ

Hình 3.8: Mô hình Mail Gateways

Hệ thống phát hiện xâm nhập

IDS (intrusion detection system) là một hệ thống dò tìm giám sát xâm nhập

tài nguyên mạng và các cuộc tấn công. Vì vậy khi sử dụng hệ thống phát hiện

xâm nhập,hệ thống mail server sẽ trở nên an toàn hơn. Để bảo vệ thành công



một mail server, thì hệ thống IDS phải được đảm bảo là có khả năng và được

cấu hình như sau:

IDS phải được cấu hình để kiểm soát giao thông mạng trước bất kỳ

tường lửa hoặc bộ lọc định tuyến

Kiểm soát được giao thông mạng vào e-mail server sau tường lửa

Kiểm soát được những thay đổi của các tập tin quan trọng trên mail

server

Ngăn ngặn các địa chỉ IP hoặc các subnets đang tấn công vào mạng của

tổ chức

Kiểm soát tài nguyên của hệ thống trên mail server

Thông báo cho người quản trị mạng và quản trị mail server về các cuộc

tấn công

Dò tìm các cuộc tấn công DoS và quét cổng.

Cấu hình để ghi log các sự kiện

Thường xuyên update các kiểu tấn công mới.

3.2.2 An toàn hệ điều hành

3.2.2.1 Cài đặt an toàn Mail server

Trong nhiều khía cạnh, thì cài đặt và cấu hình an toàn cho ứng dụng mail

server cũng thực sự rất quan trọng. Nếu thấy bất kỳ ứng dụng, dịch vụ hay

scrips nào không cần thiết thì hãy ngay lập tức loại bỏ khi các tiến trình cài

đặt được hoàn thành. Trong suốt quá trình cài đặt mail server, phải thực hiện

các bước sau:

Cài đặt phần mềm server trên một máy chủ chuyên dụng

Tối thiểu cài đặt các dịch vụ mạng được yêu cầu

Áp dụng bất kỳ bản vá lỗi và nâng cấp cho đúng với tổn thương được

biết đến

Khởi tạo một đĩa vật lý chuyên dụng hoặc phân chia hợp lý (tách rời hệ

điều hành và ứng dụng server) cho các mail box

Gỡ bỏ hoặc vô hiệu hóa tất cả các dịch vụ được cài đặt bởi ứng dụng

mail server mà không được yêu cầu (Webmail, FTP, quản trị từ xa)

Gỡ bỏ hoặc vô hiệu hóa tất cả những tài khoản đăng nhập mặc định

không cần thiết.



Gỡ bỏ tất cả các văn bản không rõ nguồn gốc từ server

Gỡ bỏ tất cả các tài liệu nhà sản suất từ server.

Áp dụng các mẫu bảo mật thích hợp hoặc các tập lệnh an toàn cho

server

Cấu hình lại các dịch vụ SMTP, POP, và IMAP(và các dịch vụ khác

được yêu cầu) không để thông báo các phiên bản và loại mail server và

hệ điều hành

Vô hiệu hóa các lệnh mail không cần thiết và nguy hiểm (ví dụ như

VRFY và EXPN).

3.2.2.2 Kiểm soát truy cập mail server và cấu hình bảo mật hệ điều

hành

Hầu hết hệ điều hành máy chủ mail server cung cấp khả năng phân quyền

truy cập đặc biệt cho từng cá nhân vào các tệp tin thiết bị và các tài nguyên

máy tính khác trên máy chủ. Người quản trị mail server nên xem xét làm thế

nào để cấu hình điều khiển truy cập một cách tốt nhất để bảo vệ thông tin

được lưu trũ trên mail server công cộng từ 2 trường hợp:

Giới hạn truy cập ứng dụng mail server để tập hợp tài nguyên điện

toán.

Giới hạn truy cập của người dùng thông qua việc thực thi điều khiển

truy cập bổ sung bởi mail server, nơi mà có nhiều mức chi tiết của điều

khiển truy cập được yêu cầu.

Thiết lập thích hợp các điều khiển truy cập có thể giúp ngăn chặn việc tiết

lộ các thông tin nhạy cảm hoặc bị giới hạn, mà không được mong đợi công

khai. Thêm vào đó, điều khiển truy cập có thể được dùng để giới hạn sử dụng

tài nguyên thậm chí là chống lại tấn công DoS trên mail server.

Đảm bảo các ứng dụng mail server sẽ thực thi chỉ dưới một cá nhân

người dùng duy nhất và nhóm cụ thể với các điều khiển truy cập bị hạn chế.

Bởi vậy, người dùng và nhóm người dùng mới sẽ được sử dụng độc quyền

bởi các phần mềm cua mail server cần thiết được thành lập.

Thêm vào đó, sử dụng hệ điều hành mail server để giới hạn các tập tin

được truy cập bởi các tiến trình dịch vụ mail. Sử dụng điều khiển truy cập hệ

điều hành máy chủ mail server để thực thi các việc sau:



Ứng dụng mail server có thể viết log vào tập tin, nhưng các file log này

không thể được đọc bởi server. Chỉ có root/system/administrative

processes mới có thể đọc được các file log của server.

Các tập tin tạm thời được khỏi tạo bởi ứng dụng mail server bị hạn chế

trong một thư mục cụ thể và được bảo vệ thích hợp.

Truy cập vào bất kỳ các tập tin tạm thời được khởi tạo bởi ứng dụng

mail server bị giới hạn bởi tiến trình mail server.

Nó cũng rất cần thiết để đảm bảo rằng mail server không thể lưu các

tập tin bên ngoài cấu trúc các file cụ thể được chỉ định đến mail server. Đây

có thể là một lựa chon cấu hình trên phần mềm server hoặc là một lựa chọn

trong tiến trình server được điều khiển bởi hệ điều hành. Đảm bảo rằng người

điều khiển và các tập tin không thể bị truy cập, thậm chí nếu người dùng biết

được vị trí của các tập tin này.

Để làm giảm hiệu quả trong kiểu tấn công DoS, cấu hình mail server để

giới hạn lượng tài nguyên hệ thống có thể bị tiêu thụ hết. Một vài ví dụ bao

gồm:

Cài đặt người dùng mail box trên ổ cứng khác hoặc phân chia hợp lý

hơn là hệ điều hành và ứng dụng mail server.

Giới hạn kích cỡ các thành phần đi kèm được cho phép.

Đảm bảo rằng các file log được lưu trữ trên vị trí có kích cỡ thích hợp.

Hành động này sẽ bảo vệ được một vài các kiểu tấn công mà cố gắng làm

đầy hệ thống file trên hệ điều hành máy chủ mail server với thông tin không

đúng và không liên quan có thể là nguyên nhân hệ thống bị sập. Thông tin

đăng nhập được phát sinh ra bởi hệ điều hành máy chủ mail server có thể giúp

nhận ra các cuộc tấn công.

3.2.3 An toàn phần mềm máy chủ email

3.2.3.1 Bảo vệ email khỏi mã độc hại

Gần đây email càng ngày càng được sử dụng làm phương tiện để gửi

các tập tin nhị phân dưới dạng các tập tin đính kèm. Điều này không gây ra

rủi ro bảo mật bởi vì các tập tin đính kèm hết hết là các tài liệu hoặc hình ảnh

đã được xử lý thành nhỏ. Ngày này, rất nhiều tin nhắn email được gửi dưới

dạng tập tin đính kèm như là các chương trình thực thi, hình ảnh, nhạc, và âm



thanh. Vấn đề chính của tổ chức là cần để giải quyết những loại tập tin đính

kèm được cho phép nếu có.

Virus hoặc sâu mạng có thể được truyền tải qua các email trong dạng

các virus email, hoặc các con virus đính kèm. Nếu một mail server không

được cài đặt phần mềm chống virut, hoặc các phần mềm đó không hiệu quả,

thì nguy cơ bảo mật bị đe dọa tăng lên cho người dùng cuối. Một vài các máy

khách mail phổ biến rất dễ bị lây nhiễm và lan truyền virus do email sinh ra.

* Quét virut

Bảo vệ khỏi nội dụng hoạt động là bước đầu tiên trong việc bảo vệ

người dùng. Bước tiếp theo là bảo khỏi các con virus được sinh ra bởi file

đính kèm. Để bảo vệ chống lại virus và các mã độc hại khác, quét virus trở

nên cần thiết để thực thi quét tại một hoặc nhiều điểm trong tiến trình phân

phát mail server. Quét virus có thể thực hiện trên firewall như là dữ liệu thư đi

vào mạng của tổ chức, trên mail server hoặc chuyển tiếp mail hoặc trên máy

chủ của người dùng.

Quét virus ở tường lửa ( ứng ụng proxy) hoặc chuyển tiếp mail là một

tùy chọn phổ biến. Tường lửa và chuyển tiếp thư chặn tin nhắn trước khi

chúng chạm đến mail server của tổ chức. Tường lửa và chuyển tiếp mail lắng

nghe trên TCP port 25 của kết nối SMTP, nhận tin nhắn, quét tin nhắn, sau đó

chuyển hướng tin nhắn lên mail server người dùng. Một nhược điểm của

phương pháp này là chức năng quét không đổi của các dòng SMTP có thể làm

giảm hiệu suất của chuyển tiếp mail và tường lửa. Một biện pháp khắc phục

để cải thiện hiệu suất là giảm tải quét virus xuống server chuyên dụng.

- Lợi ích của việc quét thư trên tường lửa hoạc chuyển tiếp mail là:

Thư có thể được quét ở cả 2 hướng (hướng vào và ra).

Virus có thể bị chặn lại trước khi đi vào mạng.

Quét đầu vào thư có thể được thực thi với những thay đổi nhỏ tồn tại

cấu hình mail server.

Quét đầu ra của mail cũng nên được xem xét.

Quá trình quét này có thể được quản lý để đảm bảo đúng yêu cầu với

chính sách bảo mật của tổ chức và ứng dụng thường xuyên được cập

nhật các tin hiệu virus và mã độc hại.



Các tường lửa hỗ trợ nhiều giao thức nên ứng dụng của máy quét có thể

cũng được ứng dụng để quét các giao thức khác.

- Quét virus trên tường lửa hoặc chuyển tiếp mail có một số điểm yếu

sau:

Có thể yêu cầu sửa đổi quan trọng của việc cấu hình mail server khi

quét mail ở đầu ra.

Không thể quét các email được mã hóa.

Có thể yêu cầu các server mạnh hơn đắt tiền hơn để xử lý việc tải của

một tổ chức lớn.

* Lọc nội dung

Lọc nội dung làm việc tương tự như kiểu quét virus tại tường lửa hoặc

mail server. Khi thực thi quét virus hoặc ngăn cấm một loại tệp nào đó thì chỉ

đảm bảo được một mức độ an toàn nào đó. Thực tế đã chứng minh khả năng

gây tổn hại cho hệ thống xuất phát từ các nội dung thư và các tệp đính kèm,

còn lớn hơn nhiều so với virus hay các loại mã phá hoại khác. Chính vì thế,

một số biện pháp lọc nội dung cần được triển khai đối với một hệ thống thư

điện tử.

Dưới đây là một số thành phần tiêu biểu có thể bị chặn và xử lý bởi các bộ

lọc:

- Các tập tin đính kèm email đã bị nhiễm độc bởi virus hoặc Trojan đã

được làm sạch hoặc cách ly.

- Các Email có chứa nội dung đáng ngờ (ActiveX, JavaScript) sẽ được

gỡ bỏ phần mã gây nên sự nghi ngờ sau đó mới chuyển đến người nhận.

- Spam Email có thể bị xóa

- Các tệp tin có dung lượng lớn có thể bị dừng phát tán tại các giờ không

cao điểm.

Một đặc điểm khác nữa của các gói lọc nội dung là cho phép quét các dữ

liệu ra bên ngoài. Phân tích từ vựng có thể được thực hiện việc quét các từ và

các cụm từ của email. Thêm vào đó việc phân tích từ còn có thể bao gồm tìm

kiếm các từ hoặc cụm từ khóa biểu thị những dữ liệu đáng ngờ đang được

chuyển rời khỏi hệ thống.

3.2.3.2 Ngăn chặn việc gửi mail hàng loạt



Hầu hết người sử dụng thư điện tử đều ít nhất một lần nhận được các

thư điện tử không mong muốn. Để khắc phục hiện tượng trên nhà quản trị có

thể buộc phải quản lý lưu lượng thư đi qua server. Lợi ích trong việc thự hiện

kiểm soát thư rác là giảm dung lượng hộp thư từ đó giảm các yêu cầu về

không gian lưu trữ trên các mail server

Để kiểm soát các thông điệp thư rác thì cần phải giải quyết các vấn đề chính

sau:

- Đảm bảo thư rác không thể được gửi đến các mail server

- Thực thi việc lọc thư rác cho những thông điệp đi vào

- Chặn các tin nhắn từ những máy chủ gửi spam đã biết

3.2.3.3 Xác thực Mail relay

Có 2 phương pháp được hỗ trợ việc quản lý các thư chuyển tiếp. Phương

pháp thứ nhất là điều khiển các mạng con hoặc tên miền từ các thông điệp

được gửi đến. Các thức này sẽ hiệu quả nếu hệ thống thư điện tử được thiết

lập trong dải địa chỉ cho trước. tuy nhiên, nếu người dùng từ xa có hệ thống

với một dải địa chỉ khác, thì việc áp dụng phương pháp này không hiệu quả.

Để giải quyết vấn đề người dùng từ xa, cần có một cấu hình mạnh hơn.

Phương pháp thứ hai là để yêu cầu người dùng xác thực chính họ trước khi

gửi bất kỳ thông điệp nào. Phương pháp này được gọi là chuyển tiếp thư có

xác nhận hoặc SMTP AUTH, là một mở rộng của giao thức SMTP nhằm hỗ

trợ việc xác thực người sử dụng. Nhưng cấu hình mặc định của hầu hết các

mý chủ thư là không thực thi việc xác nhận chuyển tiếp đó. Do đó, người

quản trị mail server phải tự thiết lập cấu hình chức năng này. Xác nhận

chuyển tiếp là một trong các tính năng được sử dụng ít nhất nhưng tác dụng

trong việc nâng cao độ an toàn cho các mail server là rất lớn.

3.2.3.4 Truy cập an toàn

Như nhiều giao thức Internet khác, hầu hết các giao thức chưa được

tích hợp sẵn các chức năng mã hóa và xác thực. Việc chưa được tích hợp các

tính năng bảo mật xác thực có thể dẫn đến ba vấn đề người sử dụng gặp phải.

Thứ nhất, đối với người dùng gửi thông điệp, thì nội dung của chúng có thể bị

chặn và đọc bất hợp pháp trên đường truyền, thậm chí các nội dung dos có thể

bị giả mạo hoặc thay đổi. Thứ hai người nhận không thể kiểm tra xuất sứ



cũng như tính toàn vẹn của các thông điệp điện tử. Thứ ba nếu không sử dụng

cơ chế thông tin xác thực sử dụng một lần thì khi một người dùng truy cập

vào hộp thư của mình mọi thông tin được sử dụng để đăng nhập được gửi

dưới dạng rõ trên mạng, như vậy các đối tượng tấn công có thể nghe lén và sử

dụng lại.

Vấn đề cuối cùng có thể giải quyết thông qua việc áp dụng phương

pháp thường được sử dụng để bảo vệ dịch vụ Web-sử dụng giao thức bảo mật

tầng vận tải (TLS-Transport). TLS được thiết kế dựa trên giao thức bảo mật

tâng socket phiên bản 3(SSLv3- Secure Socket Layer version 3). Chúng ta có

thẻ sử dụng TLS kết hợp vói các giao thức POP, IMAP, và SMTP để đảm bảo

dữ liệu giao dịch giữa các máy khách thư điện tử và máy chủ thư điện tử.

3.2.3 An toàn quản trị mail server

3.2.3.1 Nhật ký

Ghi nhật ký là một yếu tố quan trọng trong lĩnh vực an toàn nói chung.

Việc ghi nhật ký chính xác và theo dõi thông tin được ghi trong nhật ký là rất

cần thiết. Các tệp nhật ký thường chỉ ghi lại các sự kiện đáng ngờ. Lập các cơ

chế ghi lại các thông tin trên và sử dụng các thông tin đó để tạo cơ sở cho việc

phát hiện xâm nhập trái phép.

Nhật ký mạng và hệ thống có thể cảnh báo cho người quản trị biết được

những sự kiện xuất hiện một cách đáng ngờ và yêu cầu điều tra. Phần mềm

mail server có thể cung cấp thêm nhật ký dữ liệu để ghi sự kiện những thư cụ

thể.

Ghi nhật ký mail server cung cấp :

- cảnh bảo những hoạt động đáng ngờ mà cần được điều tra.

- Ghi lại dấu vết hoạt động của kẻ xâm nhập.

- Hỗ trợ việc khôi phục lại hệ thống.

- Hỗ trợ việc điều tra các sự kiện

- Yêu cầu thông tin cho việc xử lý tranh chấp.

Việc lựa chọn và thực thi phần mềm mail server cụ thể sẽ xác định được bộ

hướng dẫn chi tiết mà người quản trị mail server nên cấu hình theo.

3.2.3.2 Backup Mail server



Một trong những chức năng quan trọng của người quản trị mail server

là duy trì tính toàn vẹn của của dữ liệu trên mail server. Điều này quan trọng

bởi vì mail server thường là một trong những server dễ bị tấn công và rất quan

trọng trên một tổ chức. Người quản trị mail server cần thực hiện backup cho

mail server một cách thường xuyên. Dữ liệu mail server nên được backup trên

một nền tảng đều đặn.

Ba kiểu chính của tồn tại backup là : đầy đủ, dự phòng tăng, dự phòng

sai khác. Back up đầy đủ là bảo gồm hệ điều hành, ứng dụng và lưu trữ dữ

liệu trên server (một hình ảnh của mọi mẩu dữ liệu được lưu trữ trên ổ cứng

của mail server). Ưu điểm của backup đầy đủ là nó quá dễ dàng khôi phục dữ

liệu. Nhược điểm của backup đầy đủ là chúng mất thời gian đáng kể và tài

nguyên để thực hiện.

Backup dự phòng tăng làm giảm va chạm bằng cách chỉ backup dữ liệu

đã được thay đổi từ những lần backup trước đó.

Backup dự phòng sai khác giảm một số lượng các bộ cài backup phải đươc

truy cập để khôi phục cấu hình bằng cách backup tất cả các dữ liệu được thay

đổi từ lần cuối backup đầy đủ. Tuy nhiên, khi thời gian sai sót từ lần cuối

backup đầy đủ, mỗi backup sai khác trở thành tăng một cách đáng kể. Làm

mất thời gian xử lý và lưu trữ hơn là backup dự phòng tăng. Nhìn chung thì

backup đầy đủ là được thực hiện ít thường xuyên (tuần đến tháng hoặc khi

một thay đổi quan trọng xuất hiện), và backup dự phòng tăng và sai khác

được thực hiện thường xuyên hơn (ngày đến tuần). Một loạt các yếu tố xác

định backup thường xuyên:

- Sự thay đổi thông tin và các tham số cấu hình trên các mail server

- Lượng dữ liệu sẽ được sao lưu dự phòng

- Thời gian sẵn có cho việc sao lưu dữ liệu

- Mức đe dọa mà máy chủ thư gặp phải

- Khả năng khôi phục lại dữ liệu mà không cần đến dữ liệu đã được

sao lưu dự phòng.

- Các công cụ sao lưu dự phòng khác.

Khi lưu trữ hoặc backup dữ liệu email, các tổ chức nên thực hiện theo những

chỉ dấn sau:



- Phát triển phương tiện viết một lần, đọc nhiều lần (để ngăn chặn các

biến đổi hoặc xóa bỏ dữ liệu của thông tin được lưu trữ)

- Chứa khả năng kiểm tra để đảm bảo rằng dữ liệu được backup hoặc

lưu trữ một cách đúng đắn.

- Bao gồm khả năng xuất bản và lưu trữ thông tin theo ngày

- Cung cấp khả năng khai thác, tìm kiếm thống kê dễ dàng đối với

thông tin được backup.

- Duy trì ít nhất 2 bản copy ở hai địa điểm địa lý khác nhau.

3.2.3.3 Kiểm tra bảo mật mail server

Kiểm tra bảo mật cho mail server công khai là thực sự cần thiết. Nếu không

có giai đoạn kiểm tra, sẽ không khẳng định được rằng các biện pháp an toàn

hiện tại có thể hoạt động, các biện pháp lấp lỗ hổng được người quản trị áp

dụng có thực hiện đúng các chứ năng như đã quảng cáo hay không? Hiện tại

có rất nhiều công nghệ kiểm tra sự an toàn, nhưng phương pháp quét lỗ hổng

được biết đến như một phương pháp phổ thông nhất.

* Quét lỗ hổng

Quét lỗ hổng là các công cụ hoạt động tự động, được sử dụng để xác định các

lỗ hổng và cấu hình sai của máy chủ. Các công cụ quét lỗ hổng cố gắng xác

địn các lỗ hổng trên các máy được quét. Các lỗ hổng có thể là phiên bản phần

mềm quá hạn, lỗi lấp lỗ hổng, lỗi nâng cấp hệ thống… Để hoàn thành được

các chức năng trên, các công cụ quét lỗ hổng trước hết thường xác định cụ thể

hệ điều hành các ứng dụng phần mềm chính hiện có trên máy chủ sau đó kiểm

tra các lỗ hổng đã được phát hiện trước đây đối với chúng. Việc kiểm tra trên

được thực hiện trên một cơ sở dữ liệu lớn lưu các lỗ hổng đã được phát hiện

trên các hệ điều hành và các ứng dụng phổ thông.

Các công cụ quét lỗ hổng thường hiệu quả trong việc phát hiện ra cac lỗ hổng

đã biết đến nhiều hơn là các lỗ hổng ít xuất hiện vì không thể có một sản

phẩm nào lại có thể định danh được tất cả các lỗ hổng đã biết trong một

khoảng thời gian nhất định.

Các công cụ quét lỗ hổng có thể cung cấp các khả năng sau:

- Định danh các hoạt động của máy chủ trên mạng



- Định danh các cổng dịch vụ trên các máy chủ.

- Định danh các ứng dụng

- Định danh hệ điều hành

- Đinh danh các lỗ hổng tương ứng với hệ điều hành và các ứng dụng

đã được phát hiện.

- Kiểm tra việc tuân thủ chính sách an toàn của các ứng dụng trên máy

chủ.

Việc quét lỗ hổng cần sự trợ giúp từ những người có trình độ cao trong việc

giải thích kết quả của quá trình quét. Nó cũng có thể gây tổn hại đến hoạt

động của mạng do quá trình quét

Tấn công thử

Tấn công thử là một phép kiểm tra sự an toàn, trong đó các nhà đánh

giá độ an toàn cố gắng tân công các tính năng an toàn của hệ thống trên cơ sở

những hiểu biết của họ về thiết kế và quy trình triển khai hệ thống đó. Mục

đích của việc tấn công thử nhằm đánh giá sức chịu đựng của các biện pháp

bảo vệ hệ thống, thông qua việc sử dụng các công cụ và kỹ thuật chung đã

được các hacker phát triển. Tấn công thử là một yêu cầu không thể thiếu trong

các hệ thống mạng quan trọng và phức tạp.

Việc tấn công thử có thể không có mấy ý nghĩa đối với chương trình an

toàn thông tin của các tổ chức. Tuy nhiên, nó là công việc yêu cầu trình độ

cao nhằm tối thiểu hóa rủi ro cho các hệ thống được sử dụng làm mục tiêu tấn

công. Quá trình tần công thử có thể làm cho mạng hoạt động chậm, thậm chí

có thể bị phá hủy.

Tấn công thử sẽ đem lại cho chúng ta các lợi ích sau:

Kiểm tra mạng sử dụng các phương pháp và công cụ mà các hacker

thường sử dụng để tấn công.

Kiểm tra sử tồn tại của các lỗ hổng.

Không chỉ dừng lại ở việc xác định lỗ hổng mà còn giải thích cho việc

có thể khai thác các lỗ hổng này để tấn công.

Chứng minh các lỗ hổng không chỉ tồn tại đơn thuần trên lý thuyết.

Hỗ trợ về mặt phương pháp luận cho việc giải quyết các vấn đề an toàn.



CHƯƠNG 4

XÂY DỰNG VÀ BẢO MẬT EXCHANGE SERVER TRONG

DOANH NGHIỆP

4.1 Lựa chọn giải pháp

- Từ khảo sát thực tế ta thấy được rằng nhu cầu dùng mail trong các doanh

nghiệp là rất lớn và thường xuyên. Người dùng ở đây là các nhân viên, các

đối tác làm ăn, tất cả đều được giao dịch qua email. Các công việc của các

doanh nghiệp đều liên quan mật thiết đến những lĩnh vực nhạy cảm trong kinh

doanh như, các cuộc trao đổi làm ăn, những bí mật kinh doanh,... nên đòi hỏi

phải đảm bảo an toàn trong hoạt động gửi, nhận thư là vấn đề quan trọng và

cấp thiết.

- Cơ sở vật chất:

* Máy chủ IBM cấu hình mạnh

* Hệ điều hành Windown server 2003 có bản quyền

* Phần mềm Exchange 2007

* Đường truyền Internet tốc độ cao

* ...

Kết quả của việc khảo sát thực tế về hoạt động, tổ chức và quy mô, ta

có thể thấy sử dụng mail server dùng Exchange 2007 là rất hợp lý và phù hợp

vì nó được tích hợp những tính năng bảo mật ưu việt hơn những sản phẩm

khác, đáp ứng được nhu cầu đảm bảo an toàn cho mail server trong doanh

nghiệp.

4.2 Giải pháp Exchange server

Ngày nay đối với hầu hết các doanh nghiệp, E-mail là công cụ liên lạc

vô cùng quan trọng cho công việc. E-mail cho phép nhân viên tạo ra các kết

quả tốt nhất. Sự lệ thuộc ngày càng lớn hơn vào e-mail đã làm tăng số lượng

tin nhắn gửi và nhận, tạo ra sự phong phú của công việc phải hoàn thành và

thậm chí tăng tốc độ của chính quá trình kinh doanh. Trong bối cảnh thay đổi

như vậy, kỳ vọng của nhân viên ngày càng phát triển. Ngày nay, nhân viên

mong muốn có được khả năng truy cập phong phú, hiệu quả – tới email, lịch



làm việc, tài liệu gửi kèm, thông tin liên hệ và còn nhiều hơn nữa – cho dù họ

đang ở đâu hoặc đang sử dụng thiết bị nào.

Exchange 2007 là một sản phẩm Mail Server với đầy đủ tính năng của

một MS Exchange cộng thêm tính năng Anti Spam được xây dựng sẵn khá

mạnh mẽ, Exchange 2007 sử dụng các bộ lọc Mail (Filtering Agent) được

tính hợp sẵn trên Edge Transport Server để kiểm tra tính hợp lệ của một E-

Mail trước khi đưa vào Mailbox Server một cách chặt chẽ. Ngoài những bộ

lọc thông dụng như IP Block/Allow List, IP Block/Allow List Provider,

Sender Filtering, Content Filtering ... là những bộ lọc tương đối thông dụng

và được trình bày khá nhiều trong các chương trình học, sách vở và các diễn

đàn tin học, Sender Reputation là một chức năng mới của Exchange 2007

nhằm ngăn chặn việc nhận các Spam E-Mail được gửi bằng các hình thức

không chính qui, những hình thức này thường được Spammer sử dụng như

thông qua HTTP Proxy, SOCK hay HTTP POST..., Sender Reputation thật sự

hữu hiệu để ngăn chặn các E-Mail nặc danh, giả mạo hay lặp đi lặp lại nhiều

lần.

Phiên bản Exchange2007 là phiên bản đầu tiên chia tách hệ thống

Email thành nhiều công đoạn, chức năng riêng, ví dụ như chức năng giao tiếp

với người sử dụng, chức năng lưu giữ Mail box hay chức năng điều phối

Email. Mỗi chức năng được gọi là một Role - vai trò. Có tất cả 5 Role bao

gồm:

* Edge Transport Role : Giao tiếp với bên ngoài, nhằm tăng cường an

ninh.

* Hub Transport Role : Trung tâm điều phối, chuyển Mail trong hệ thống,

có thể chuyển mail ra ngoài

* Mail box Server Role : Chứa các Mail box của người sử dụng, giao tiếp

với MAPI Client.

* Client Access Server Role : Phụ trách giao tiếp với các Client sử dụng

POP3, IMAP, HTTP…

* Unified Messaging Server Role : Một chức năng tích hợp them, phụ

trách Voice và Fax.

4.2.1 Client Access Server Role:



Vai trò này chấp nhận các kết nối từ hệ thống mail Exchange của bạn

đến mail clients khác(Non MAPI). Các phần mềm mail clients như Outlook

Express và Eudora dùng POP3 hoặc IMAP4 để giao tiếp với Exchange

Server. Các thiết bị di động như mobiles, PDA... dùng ActiveSync, POP3

hoặc IMAP4 để giao tiếp với hệ thống Exchange.

Như vậy, chúng ta nhận thấy, bên cạnh việc hỗ trợ MAPI và HTTP

clients, Echange Server 2007 còn hỗ trợ POP3 và IMAP4. Theo mặc định thì

POP3 và IMAP4 sẽ được cài đặt khi bạn cài Client Access Server Role

4.2.2 Edge Transport Server Role:

Edge Transport Server Role là 1 server chuyên dùng trong việc

security, có chức năng lọc Anti-Virus và Anti-Spam, nó gần giống như Hub

Transport nhưng Edge Transport không có nhiệm vụ vận chuyển mail trong

nội bộ mà nó chỉ làm nhiệm vụ bảo vệ hệ thống Email server. Tất cả mọi e-

mail trước khi vào hay ra khỏi hệ thống đều phải qua Edge Transport . Edge

Trasport chỉ có thể cài trên một Stand-Alone Server và không thể cài chung

với các role khác(Mailbox,Client Access,Hub Transport...)

4.2.3. Hub Transport Server Role:

Hub Transport Server Role có nhiệm vụ chính là vận chuyển Email

trong hệ thống Exchange. Tại Hub Transport chúng ta có thể cấu hình các

email policy ( sửa, thêm, hoặc thay đổi ...) trước khi vận chuyển email đi.

Những email được gửi ra ngoài Internet đầu tiên sẽ được chuyển tiếp đến Hub

Transport, sau đó sẽ qua Edge Transport để lọc Antivirus và Spam, và cuối

cùng mới chuyển tiếp ra ngoài Internet.

Như vậy, tóm lại, chúng ta có thể hiểu như sau:

Edge Transport: chịu trách nhiệm vận chuyển email message với các hệ

thống bên ngoài - đóng vai trò như gateway, (đối ngoại).

Hub Transport: chịu trách nhiệm vận chuyển email message trong nội

bộ và chuyển các email message gửi ra ngoài (đối nội+ đối ngoại).

4.2.4. Mailbox Server Role:

Mailbox Server Role chứa tất cả các Mailbox database và Public Folder

database. Nó cung cấp những dịch vụ về chính sách địa chỉ email và danh

sách địa chỉ dành cho người nhận



Hình 4.1 – Mối quan hệ giữa Mailbox Server Role và các Server Role khác

1. Mailbox Server truy cập vào AD để lấy thông tin của đối tượng

(Mailbox user....)

2. Hệ thống lưu trữ trên Hub Transport sẽ giữ mail này lại.

3. Client Access Server Role gửi yêu cầu từ clients đến Mailbox Server

Role, và sau đó lấy dữ liệu từ Mailbox Server Role về.

4. Unified Messaging Server Role sẽ phân loại voice email và thông tin

về cho Outlook Voice Access.

5-6. Outlook clients ở trong mạng nội bộ có thể truy cập trực tiếp

Mailbox Server để gửi và nhận mail. Outlook Clients ở ngòai Internet có thể

truy cập Mailbox server bằng cách dùng RPC over HTTP

4.2.5. Unified Messaging Server Role

Unified Messaging là một chức năng mới trong hệ thống Microsoft

Exchange Server 2007. Hỗ trợ e-mail, voice-mail, máy fax, lịch, danh sách

các việc cần làm từ bất kỳ thiết bị nào (gồm cả điện thoại). Unified Messaging

được xây dựng trong cả hai lĩnh vực: Outlook Voice Access (OVA) và các

khả năng hỗ trợ truy cập không dây.



4.2.5.1 Outlook Voice Access

Có lẽ thành phần quan trọng nhất đối với người dùng là Outlook Voice

Access, một chương trình bổ sung tuyệt vời trong Exchange Server 2007.

Chương trình này chủ yếu kết nối dữ liệu từ hộp mailbox Exchange của người

dùng với các khả năng lời nói nhúng trong sản phẩm dịch vụ. (Các khả năng

lời nói dựa vào phiên bản ‘chì’ của Microsoft Speech Server). Người dùng có

thể quay số cổng Exchange, nhập mã số uỷ nhiệm và kết nối với bộ lịch hay

thư điện tử trong hộp Inbox. Outlook Voice Access sẽ đọc e-mail, thư trong

máy fax, chi tiết lịch, thông tin liên hệ, giống như qua điện thoại.

Chương trình này không phải là giải pháp một chiều. Outlook Voice

Access còn trả lời các câu lệnh bằng lời, giống như một người thư ký tự động

tận tuỵ. Chẳng hạn chuyến bay của bạn bị trễ hai tiếng, bạn có thể nói với

Outlook Voice Access qua điện thoại, nó sẽ thông báo với khách hàng đang

đợi bạn sắp xếp lại cuộc gặp trễ sau hai tiếng.

Bạn cũng có thể gọi vào và xoá chương trình làm việc trong một

khoảng thời gian nhất định hoặc toàn bộ một ngày. Exchange sẽ cho phép

người tham gia buổi gặp gỡ biết sự vắng mặt của bạn bằng kiểu giải thích qua

âm thanh. Bạn vẫn có thể thực hiện các chức năng quản lý mailbox thông

thường như trả lời và xoá thư qua điện thoại từ bất cứ địa điểm nào.

4.2.5.2 Tương thích và các khả năng không dây

Người dùng thiết bị Windows Mobile cơ sở sẽ hứng thú với quyền truy

cập tăng và tốc độ thực thi tốt hơn. Tính năng trong Windows Mobile được

đồng bộ hoá với hộp mailbox của Exchange Server 2007, platform

ActiveSync được nâng cấp. Microsoft đăng ký bản quyền ActiveSync trước

các hãng điện thoại di động khác. Mục đích của công ty là tạo ra khả năng

đồng bộ Exchange với các platform thiết bị, không chỉ của Windows Mobile.

4.3 Bảo mật trong Exchange Server 2007

4.3.1 Duy trì hệ thống AntiSpam và AntiVirus

4.3.1.1 Nguyên tắc hoạt động



Đầu tiên, tôi xin giải thích khái niệm SCL (Spam Confidence Level),

có thể tạm hiểu SCL là 1 con số mô tả mức độ Spam của 1 E-Mail. Khi Edge

Transport Server nhận được 1 E-Mail và chức năng Content Filtering được

Enable, Exchange sẽ gán cho E-Mail này 1 số SCL (số này có giá trị từ 0 đến

9), nếu SLC là 0 có nghĩa rằng E-Mail hoàn toàn hợp lệ, nếu SCL=9 có nghĩa

E-Mail này là Spam E-Mail. Nếu SCL mang giá trị khác 0 và 9 thì tùy mức độ

lớn nhỏ của SCL để Exchange xác định mức độ Spam của E-Mail. Exchange

2007 thường xuyên cập nhật thông tin (sử dụng AntiSpam Update Service) từ

hàng triệu Spam E-Mail mà Hotmail đã nhận, qua đó gán SCL cho E-Mail tùy

thuộc vào nội dung của E-Mail này. Tóm lại, nếu SCL càng cao thì mức độ

Spam của E-Mail càng cao và ngược lại

Bây giờ giải thích nguyên lý hoạt động của Sender Reputation (tạm

dịch là “Danh tiếng của người gửi”). Đây là 1 chức năng mặc định được

Enable trên Edge Transport Server, chức năng này sẽ chặn E-Mail dựa trên

đặc thù của người gửi bằng cách gán cho người gửi 1 thông số gọi là Sender

Reputation Leval Block Threshold (SRL). Việc gán SRL cho người gửi được

thực hiện theo thứ tự gồm 4 bước như sau:

Bước 1: Phân tích câu lệnh HELO/EHLO của người gửi:

Sender Reputation Agent phân tích các lệnh HELO và EHLO mà người gửi

thiết lập tới Edge Transport Server và xác định người gửi này có đáng tin

tưởng hay không. Một Spammer tiêu biểu thường có các câu lệnh HELO và

EHLO khác nhau trong cùng 1 thời điểm và thường xuyên cung cấp những IP

khác với IP thật của họ. Hơn nữa Spammer cũng hay dùng Domain name của

chính người nhận để gửi Mail.

Bước 2: Phân giải ngược IP của người gửi:

Sender Reputation sẽ thực hiện việc phân giải ngược địa chỉ IP của người gửi,

nếu việc phân giải trả về tên Domain thật thì có nghĩa là người gửi này đáng

tin tưởng, ngược lại thì không

Bước 3: Phân tích SCL của các E-Mail mà người gửi này đã gửi trước

đây. Tùy thuộc vào SLC cao hay thấp, Sender Reputation sẽ oánh giá mức độ

đáng tin cây của người gửi

Bước 4: Sender Reputation Agent sẽ thực hiện kiểm tra IP người gửi

bằng 1 Open Proxy. Nếu kết nối được trả về cho Edge Transport Server là 1



Open Proxy Port hay Protocol (SOCKS 4 and 5,Wingate,Telnet, Cisco, HTTP

CONNECT, and HTTP POST) thì Server gửi coi như là 1 Open Proxy và nó

là 1 hiểm họa tiềm tàng và số Sender Reputation Leval Block Threshold

(SRL) của người gửi sẽ được chỉnh cho hợp lý. Quá trình test proxy dùng các

port 1080, 1081, 23, 6588, 3128 và 80. Tùy thuộc vào kết quả kiểm tra,

Sender Reputation sẽ gán cho người gửi 1 số SRL cũng nằm từ 0-9 (cũng

giống như việc gán số SCL). Nếu người gửi nào được gán số 9 thì đó chắc

chắn là Spammer. Và nếu vượt ngưỡng (do ta qui định) thì IP của người gửi

này sẽ tự động được đưa vào IP Block List trong vòng 24 giờ (ta có thể tùy ý

qui định thời gian này). Sau 24 giờ thì Sender Reputation sẽ xóa IP người gửi

ra khỏi danh sách IP Block List.

Bạn cần lưu ý rằng 1 người gửi mà Sender Reputation chưa từng phân tích thì

số SRL sẽ là 0, khi người gửi này đã gửi và Server từ 20 E-Mail trở lên thì

Sender Reputation mới bắt đầu thực hiện việc phân tích và gán số SRL cho

người gửi.

Do đó khi cấu hình Sender Reputation, bạn sẽ quyết định chặn thư của người

gửi phụ thuộc vào SRL của họ. Nếu bạn qui định mức SRL quá cao, bạn sẽ có

thể nhận nhiều Spam E-Mail và nếu qui định mức SRL quá thấp, bạn có thể

vô tình chận Mail của “người tốt”.

4.3.1.2 Kích hoạt tính năng AntiSpamAgent

Việc bổ sung thêm tính năng này và các máy chủ Hub Transport của

bạn là một quá trình hoàn toàn đơn giản. Đầu tiên, bạn hãy khởi chạy

Exchange Management Shell. Trong thư mục Scripts được tạo từ trước, bạn

sẽ thấy một kịch bản PowerShell để cài đặt các tác nhân Anti-spam. Sau khi

chạy lệnh này, bạn cần phải khởi động lại dịch vụ truyền tải của mình và khởi

động lại giao diện quản lý Exchange Management Console. Kịch bản mà

chúng ta cần phải chạy được gọi là install-AntiSpamAgents.ps1.



Hình 4.2: Kích hoạt tính năng AntiSpamAgent

Sau khi khởi động lại Exchange Transport Service, chúng ta có một tab

mới trong Exchange Management Console như thể hiện trong hình dưới đây:

Hình 4.3: Tab Anti-Spam trong Exchange Management Console

Lưu ý: Chúng ta sẽ khảo sát tỉ mỉ hơn về mỗi một trong các tính năng chống

Spam này:

Content Filtering

IP Allow List

IP Allow List Providers

IP Block List

IP Block List Providers

Recipient Filtering

Sender Filtering

Sender ID



Sender Reputation

a. Lọc nội dung bên trong (Content Filtering)

Các tác nhân Content Filter làm việc với mức bình chọn độ tin cậy của

spam (viết tắt là SCL). Mức bình chọn này là một trong các số từ 0 – 9 dành

cho mỗi một thông báo; mức SCL cao có nghĩa là nó càng giống spam. Bạn

có thể cấu hình tác nhân này theo mức bình chọn của thông báo như sau:

Xóa thông báo

Từ chối thông báo

Cách ly thông báo

Bên cạnh đó bạn cũng có thể tùy chỉnh bộ lọc này cho riêng mình và

cấu hình các ngoại lệ nếu muốn.

b. Danh sách IP cho phép (IP Allow List)

Với tính năng này bạn có thể cấu hình các địa chỉ IP nào đó được phép

kết nối với máy chủ Exchange của bạn. Chính vì vậy nếu có một máy chủ

chuyển tiếp mail chuyên dụng trong DMZ, thì bạn có thể bổ sung thêm các

địa chỉ IP của nó để máy chủ của bạn sẽ không chấp nhận các kết nối đến từ

các máy chủ khác.

c. Danh sách các nhà cung cấp có IP cho phép

Nhìn chung, bạn không thể cấu hình các danh sách IP cho phép của

riêng mình mà không gặp phải một lỗi nào có thể dẫn đến các vấn đề nhận

email từ các khách hàng của mình hoặc các đối tác làm ăn khác. Chính vì vậy,

bạn nên liên hệ với một IP công có cho phép liệt kê nhà cung cấp làm việc với

bạn. Điều này có nghĩa rằng bạn sẽ có chất lượng tốt hơn trong dịch vụ này và

bên cạnh đó là giá trị doanh nghiệp cao hơn.

d. Danh sách IP bị khóa

Tính năng này cho phép bạn có thể cấu hình các địa chỉ IP để các địa

chỉ này không được phép kết nối với máy chủ. Tương phản với danh sách IP

được cho phép, tính năng này cung cấp một danh sách đen chứ không phải

danh sách trắng.



e. Danh sách các nhà cung cấp có IP bị khóa

Tính năng này cũng gần tương tự như danh sách đen các nhà cung cấp.

Nhiệm vụ của chúng là phải công bố các danh sách từ các máy chủ hoặc địa

chỉ IP hiện đang bị spam.

f. Lọc người nhận (Recipient Filtering)

Nếu bạn cần khóa các email đến những người dùng bên trong hoặc các

miền nào đó thì tính năng này là một trong những thứ cần thiết để thực hiện

công việc đó. Bạn có thể cấu hình tính năng này và sau đó bổ sung thêm các

địa chỉ thích hợp hoặc các miền SMTP vào danh sách đen của mình. Một tính

năng thú vị khác ở đây là nó cho phép bạn thiết lập một cấu hình để chỉ cho

phép bạn chấp nhận các email từ những người nhận nằm trong danh sách địa

chỉ toàn cục của mình.

g. Lọc người gửi (Sender Filtering)

Nếu cần khóa các miền nào đó hoặc các địa chỉ email bên ngoài, bạn sẽ

phải sử dụng đến tính năng này. Với tính năng này, bạn có thể cấu hình một

danh sách đen những địa chỉ của người gửi và các miền mà bạn sẽ chấp nhận

hay không.

h. ID của người gửi (Sender ID)

Tác nhân Sender ID dựa vào header của giao thức truyền tải mail đơn

giản đã được nhân - RECEIVED Simple Mail Transfer Protocol (SMTP) và

một truy vấn cho dịch vụ domain name system (DNS) của hệ thống đang gửi

để xác định hành động diễn ra trên một thông báo gửi vào. Tính năng này khá

mới và dựa trên nhu cầu của một thiết lập DNS cụ thể.

Sender ID được dự định để chống lại hiện tượng cá nhân hóa của người

gửi và miền (hay vấn đề có thể được gọi là giả mạo - spoofing). Một mail bị

giả mạo là một thông báo email có địa chỉ gửi đi đã bị thay đổi nhằm xuất

hiện cứ như thể nó được gửi đi từ một người gửi khác. Các mail giả mạo này

thường có chứa từ FROM trong header của thông báo để khẳng định khởi

nguồn từ một tổ chức chuyên dụng.

Quá trình đánh giá Sender ID sẽ tạo ra một trạng thái Sender ID cho

mỗi một thông báo. Trạng thái Sender ID sẽ được sử dụng để đánh giá mức



bình chọn SCL cho thông báo đó. Trạng thái này có thể nhận một trong các

thiết lập sau:

Pass – các địa chỉ IP nằm trong một tập cho phép

Neutral – Dữ liệu Published Sender ID không xác định

Soft fail – Địa chỉ IP có thể nằm trong tập không được phép

Fail – Địa chỉ IP nằm trong tập không được phép

None – Không có dữ liệu đã công bố trong DNS

TempError – Lỗi tạm thời đã xuất hiện, chẳng hạn như một máy

chủ DNS hiện ở trạng thái unavailable

PermError – Lỗi không thể khôi phục xuất hiện, chẳng hạn như

một lỗi định dạng bản ghi.

Trạng thái của Sender ID sẽ được bổ sung vào phần siêu dữ liệu

(metadata) của email và sau đó được chuyển sang thuộc tính MAPI. Junk E-

mail filter trong Microsoft Office Outlook sẽ sử dụng thuộc tính MAPI trong

suốt quá trình tạo giá trị SCL.

Ta có thể cấu hình tính năng này để thực hiện các hành động dưới đây:

Stamp the status

Reject

Delete

i. Danh tiếng của người gửi

Danh tiếng của người gửi là một trong những tính năng mới về anti-

spam trong Exchange Server 2007 được dự định để khóa chặn các thông báo

dựa trên nhiều đặc điểm.

Sự tính toán mức danh tiếng của người gửi được dựa trên các thông tin

dưới đây:

HELO/EHLO analysis

Reverse DNS lookup

Analysis of SCL

Sender open proxy test

Danh tiếng của người gửi sẽ nằm trong mỗi một trong các thống kê này

và đưa ra một SRL cho mỗi người gửi. SRL là một số nằm trong khoảng từ 0

đến 9. Bạn có thể cấu hình những gì cần thực hiện với thông báo theo một

trong các cách dưới đây:



Từ chối

Xóa và lưu trữ

Chấp nhận và đánh dấu người gửi đã bị khóa

Triển khai tấn công và phòng chống Spam: Xem ở phần phụ lục I

4.3.2 Thiết lập SSL

Trong phần trước của đồ án, tôi đã giới thiệu với các bạn cách cấu hình

Exchange Server 2007. Nhưng trong hệ thống E-mail hiện nay, các kết nối

SMTP, POP, IMAP, HTTP có cấp độ bảo mật không cao vì các gói tin được

gửi bằng chế độ clear text (không mã hóa) nên có thể để lộ thông tin

(username và password…) của người dùng.

Vì vậy, để đáp ứng nhu cầu bảo mật trong hệ thống e-mail hiện nay,

chúng ta có thể áp dụng Secure Socket Layer (SSL), để mã hóa thông tin và

nội dung cho các gói tin SMTP, POP, IMAP, HTTP.

Trong phần này, chúng tôi sẽ giới thiệu với các bạn cách cấu hình các

kết nối SMTPS, POPS, IMAPS và HTTPS trên Exchange Server 2007

Phần này bao gồm các bước:

1. Cài đặt Enterprise CA

2. Xin Certificate cho Exchange Server

3. Kết nối POPS và SMTPS

4. Kết nối IMAPS và SMTPS

5. Kết nối HTTPS && HTTP -Secure Outlook Web Access

Phần triển khai cấu hình tham khảo ở phụ lục 2

4.3.3 Back up và restore dữ liệu

Dữ liệu của các user trong hệ thống Exchange Server 2007 được lưu

vào 2 cơ sở dữ liệu chính là: Mailbox Database và Public Folder

Database. Các database này rất quan trọng, nếu chẳng may bị virus hoặc bị lỗi

cơ sở dữ liệu thì hệ thống mail sẽ bị tê liệt. Do đó, ở phần cuối của loạt bài

viết này, chúng tôi sẽ giới thiệu cách Backup và Restore trên Exchange Server

2007

Exchange cung cấp 2 phương pháp Backup chính:

Legacy Streaming Backup:


http://msopenlab.com/index.php?article=68

http://en.wikipedia.org/wiki/Cleartext


Phương pháp này dùng bộ máy lưu trữ mở rộng (Extensible Storage Engine)

trên lập trình giao diện ứng dụng (API). Đây là phương pháp backup chiến

lược trong thời điểm hiện nay , bạn có thể dùng Windows Server Backup,

NTBackup, Backup4All…

Volume Shadow Copy:

Phương pháp này cho phép người quản trị có thể sao lưu database theo từng

thời điểm (point on time) mà không làm gián đoạn dịch vụ. Khi restore, bạn

có thể lấy lại các phiên bản khác nhau của database

Phần này bao gồm các bước:

1. Backup & Restore E-mail bằng Microsoft Outlook

2. Backup Mailbox Database

3. Restore Mailbox Database

4. Restore E-mail bằng Recovery Storage Group

Triển khai và cấu hình xem ở phụ lục 3

4.4 Xây dựng mô hình

4.4.1 Thiết lập mô hình



Hình 4.4: Mô hình mạng cho doanh nghiệp

Với mô hình Mail server như đã giới thiệu ở trên, chúng ta có thể áp

dụng các biện pháp sau để đảm bảo an toàn đa mức của mail server (ta sẽ tạm

chia theo các lớp bảo vệ).

o An toàn môi trường đặt máy chủ Mail: chính sách con người, an

toàn mức vật lý, các thiết bị bảo vệ (tường lửa, hệ thống phát hiện xâm

nhập...)

o An toàn hệ điều hành: các giải pháp an toàn của hệ điều hành,

các phần mềm đảm bảo an toàn (diệt virus, tường lửa mềm....)

o An toàn phần mềm máy chủ: các giải pháp an toàn bằng cách

vận dụng các chức năng an toàn của phần mềm ứng dụng mail (lọc spam, cân

bằng tải, SSL, Ipsec ....).

o An toàn quản trị mail server exchange( Backup và restore dữ

liệu, tấn công thử...)

4.4.2 Triển khai Mail Server cho doanh nghiệp



4.4.2.1 Triển khai máy chủ tên miền và DC

Trước khi bắt đầu quá trình cài đặt cần bảo đảm các yếu tố dưới đây:

Đã cài đặt windows server 2003 cơ bản

Bảo đảm đã gán một địa chỉ IP tĩnh cho máy chủ và trong môi trường

ảo thì máy chủ này có địa chỉ IP như sau:

IP : 172.16.2.1

SW: 255.255.255.0

DW: 172.16.2.1

DNS: 172.16.2.1

4.4.2.2 Triển khai Mail Server

Trong môi trường Doanh nghiệp thực tế, Exchange 2007 chỉ sử dụng bản 64

bit. Trong đào tạo và thử nghiệm có thể dùng bản Exchange 2007 32 bit. Việc

quản trị hoàn toàn giống nhau.

Quy trình cài đặt Exchange2007 được trình bày ở đây có thể áp dụng cho các

Doanh nghiệp có đến 1000 Email account và sử dụng số lượng máy chủ ít

nhất.

Khuyến nghị phần cứng máy chủ thực tế:

- CPU QuadCore 2.4GHz

- RAM 4GB/8GB ECC

- HDD SAS 15000v/phút

Chuẩnbị:

1. Server Windows 2003 hoặc Server2008, đã cài các bản vá lỗi mới nhất và

phần mềm chống Virus.

2. Cài Active Directory theo tên miền Email của mình.

3. Raise Domain Fuction Level : Windows2003 (Xem phần triển khai

Server2003)

4. Cài đặt IIS, ASP.NET

5. Cài đặt các phần mềm hỗ trợ (Có thể download trong quá trình cài

Exchange2007)

a. Net FrameWork 2.0

b. MMC 3.0

c. Cài đặt Power Shell 3.0



d. Cài đặt các bản vá lỗi cho Net Framework 2.0

Sau khi cài đặt các bước chuẩn bị đến bước 4, ta bắt đầu sử dụng DVD cài đặt

Exchange2007

Quy trình cài đặt Exchange 2007:

1. Cho DVD cài Exchange vào máy hoặc chạy file Setup.exe từ thư mục

chứa bộ cài Exchange2007. Màn hình cài đặt hiện ra với các phần mềm hỗ trợ

cũng chưa được cài. Click vào các phần mềm này sẽ xuất hiện link để

Download từ Microsoft. Nếu cài trên Windows2008 thì những phần này đẫ có

sẵn rồi.

2. Sau khi download và cài đặt các phần mềm hỗ trợ, màn hình cài đặt sẽ

mờ đi những phần đã cài. Click vào Step 4 để cài Exchange

3. Ở đây chúng ta chọn Typical để cài đặt 03 Role và giao diện quản lý

Managerment Tool trên Server này.

4. Ta chọn tên tổ chức sử dụng hệ thống Exchange này. Ở đây chọn NTC.


http://thegioimaychu.vn/NTC/thanh/mailexchange/1.png


5. Các bước được chọn mặc định. Tuy nhiên bước này các bạn chọn “Yes” để

hỗ trợ các Client từ 2003 trở về trước (Vì thông thường hiện nay vẫn dùng

Office 2003)

6. Chọn mặc định cho đến hết. Bộ cài đặt sẽ kiểm tra trạng thái Server trước

khi cài đặt. Vì đây là bản dùng thử nên có những Warning về bản 32 bit

nhưng không có lỗi gì. Vẫn cài bình thường

7. Sau khi cài đặt xong, vì là bản dùng thử nên sẽ có cảnh báo chỉ sử dụng

được 120 ngày. Trong các bản 64 bit chính thức sẽ không có thông báo này.

Ta cứ chọn OK để mở tiếp màn hình Exchange Management




Vì ta không sử dụng Edge Transport Server nên phải cấu hình Hub Transport

Role thực hiện chức năng của Edge Transport như gửi mail ra Internet.

4.4.2.3 Cấu hình và Quản trị một hệ thống Exchange 2007 tiêu chuẩn

1. Màn hình Quản trị Exchange2007. Có 03 mục cấu hình quản trị chính:

- Cấu hình sẽ áp dụng cho toàn bộ các Server trong tổ chức

- Cấu hình sẽ áp dụng trên từng Server

- Cấu hình, quản trị Recipient : cấu hình các đối tượng nhận Email

Tạo Send Connector để Hub Transport có thể gửi mail trực tiếp ra Internet.

Mặc định Connector này được tạo trên Edge Transport Server, tuy nhiên ở

đâykhông dùng Edge Transport nên phải cấu hình trên Hub Transport

2. Cấu hình Hub Trasport gửi mail trực tiếp ra Internet bằng cách tạo một

Send Connector.

3. Đặt tên cho Connector này là :” Send Mail to Internet”. Chọn kiểu của

Connector này là Internet




4. Ấn nút Add Domain để chỉ định Send connector này có thể gửi Email đến

những Domain nào. Vì gửi ra toàn bộ Internet nên chọn là “*” và check vào

ô: “Include all subdomain”

5. Nếu có một server SMTP chuyên dùng riêng để lọc SPAM và Virus thì

chuyển mail qua Server đó để gửi ra ngoài bằng cách khai báo trong phần

Smart host. Tuy nhiên ở đây Hub Transport phải gửi ra Internet trực tiếp bằng

cách hỏi DNS bản ghi MX của Domain cần gửi. Do vậy chọn như hình vẽ: sử

dụng bản ghi MX.

6. Chỉ định Hub transport Server nào được sử dụng Connector này để gửi thư.




7. Xem lại các thông số đã lựa chọn

8. Sau khi hoàn tất, Send connector mới xuất hiện như trong hình

Chỉnh Receive Connector để Hub transport nhận được Mail từ Internet gửi

vào

9. Để Hub Transport nhận thư từ bên ngoài gửi vào phải cấu hình cho từng

Hub Transport. Vì vậy phần này sẽ nằm trong “Server Configuration”.

Có sẵn 02 Receive connector, một dành cho kết nối đến từ Client, một dành

cho kết nối từ các Server khác. Ở đây chúng ta sẽ chỉnh sửa Connector

“Default “. Ấn phải chuột và chọn “Properties



10. Trong Tab “ Authentication” , bỏ check ở ô bắt buộc phải có mã hóa mới

cho phép Basic Authentication.

11. Trong Tab “ Permission Groups”, check vào ô cho phép Users ẩn danh

cũng có thể gửi mail đến. Điều này sẽ cho phép các Server khác gửi thư đến

mà không cần xác thực bằng users



PHỤ LỤC 1: ANTINSPAM VỚI SENDER REPUTATION

Demo: Tấn công và phòng chống spam

- PC12: Exchange 2007 Server đảm nhận các vai trò: Hub Transport, Mailbox

Server và Client access Server (IP 192.168.7.12)

- PC10: Sử dụng Hệ Điều hành Windows tùy ý (IP 192.168.7.10), Spam

Email sẽ gửi từ máy này sang máy Exchange Server

Do Hub Transport không tích hợp sẵn chức năng Anti Spam, bạn cần cài đặt

chức năng này.

Chuyển vào thư mục chứa Script, Copy đường dẫn C:\Program Files\

Microsoft\Exchange Server\Scripts rồi dán vào Exchange Management Shell

và thực cài đặt

Restart Service Microsoft Exchange Transport

Từ máy Spam Mail, Copy đoạn Script sau đây vào 1 File Text và lưu với tên

SPAMMAIL.VBS. Chạy File này, bạn sẽ gửi liên tục 10 lá Mail vào hộp thư

của Administrator trên Exchange Server



Trên Server, bạn có thể dùng lệnh Get-AgentLog để xem số SCL của các E-

Mail vừa nhận

Bạn kiểm tra Exchange Server đã nhận 10 lá Mail. Bây giờ tôi sẽ cấu hình

Sender Reputation để chận thư

Kiểm tra trạng thái cập nhật IP người gửi



Disable Anti Spam Update

Enable lại dịch vụ này với các thông số theo hình dưới:



Kiểm tra lại trang thái IPReputationUpdatesEnable là True

Restart 2 Service Exchange Transport



Cấu hình Sender Reputation, ví dụ này tôi sẽ chặn thư của những người gửi

có SRL từ 2 trở lên và Block IP trong 1 giờ

Từ máy Spam Mail, bạn thực hiện gửi khoảng 100 lá Mail vào Server



Gửi đến khi bạn nhận thông báo chặn thư từ Server

Trên Server, quan sát thấy IP người gửi đã tự động thêm vào danh sách IP

Block List

Đánh lệnh Get-AgentLog, ta nhận thấy Exchange đã chận thư từ người gửi

[email protected] -->Việc chặn IP đã thành công




PHỤ LỤC 2: CÀI ĐẶT SSL

1. Cài đặt Enterprise CA

Tại máy Exchange Server, mở Control Panel, mở Add or Remove

Programs, chọn Add/Remove Windows Components

Trong hộp thoại Windows Components, đánh dấu chọn Certificate

Services

Hộp thoại Microsoft Certificate Services, chọn Yes, chọn Next

Hộp thoại CA Type, chọn Enterprise root CA, chọn Next

Hộp thoại CA Type, chọn Enterprise root CA, chọn Next

Hộp thoại CA Identifying Information, nhập Exchange-CA vào ô

Common name for this CA, chọn Next

Hộp thoại Certificate Database Settings, chọn Next

Hộp thoại Microsoft Certificate Services, chọn Yes



Hộp thoại yêu cầu enable Active Server Pages, chọn Yes

Hộp thoại Completing the Windows Components Wizard, chọn Finish

Mở Certificate Authority từ Administrative Tools, kiểm tra cài đặt CA

thành công

2. Xin Certificate cho Exchange Server

Tại máy Exchange Server, mở Internet Information Services (IIS)

Manager, bung Web Site, chuột phải Default Web Site, chọn Properties

Hộp thoại Default Web Site Properties, vào tab Directory Security,

chọn Server Certificate

Hộp thoại Welcome to the Web Server Certificate Wizard, chọn Next

Hộp thoại Modify the Current Certificate Assignment, chọn Remove

the current certificate, chọn Next

Hộp thoại Remove a Certificate, chọn Next. Hộp thoại Completing the

Web Server Certificate Wizard, chọn Finish

Trong hộp thoại Default Web Site Properties, chọn Server Certificate



- Hộp thoại Welcome to the Web Server Certificate Wizard, chọn Next

- Hộp thoại Server Certificate, đánh dấu chọn Create a new certificate, chọn

Next

- Hộp thoại Delayed or Immediate Request, chọn Send the request

immediately to an online certification authority, chọn Next

- Hộp thoại Name and Security Settings, chọn Next



Hộp thoại Organization Information, nhập thông tin như hình bên dưới,

chọn Next

Hộp thoại Your Site’s Common Name, nhập dca.msopenlab.com vào ô

Common name (ex.ttgtc99.local là tên của máy Exchange Server), chọn Next



- Hộp thoại Geographical Information, nhập thông tin vào ô trống, chọn Next

- Hộp thoại SSL Port, giữ mặc định port 443, chọn Next

- Hộp thoại Choose a Certification Authority, chọn Next

Hộp thoại Certificate Request Submission, chọn Next. Hộp thoại

Completing the Web Server Certificate Wizard, chọn Finish

Hộp thoại Default Web Site Properties, chọn View Certificate



Trong hộp thoại Certificate, vào tab Details, chọn Thumbprint, copy

chuỗi thumbprint bên ô dưới, chọn OK

Mở Exchange Management Shell, gõ lệnh:

Enable-ExchangeCertificate –Thumbprint “chuỗi thumbprint không có

khoảng trắng” –Services “POP, IMAP, SMTP, IIS”



3. SMTPs & POP3s

B1. Trên Exchange Server Started services Pop 3:

- Vào Run --> gõ Services.msc --> Chuột phải Microsoft Exchange POP3 -->

Chọn Start

B2. User cấu hình Outlook Express check mail

- Start --> Programs--> Outlook Express

- Nhập tên Display Name --> u1

- Nhập địa chỉ Email của u1 --> Next

- E-mail Server Name:

+ My incoming mail server is a --> click Pop3

+ Incoming mail...: 192.168.1.99 (IP server mail nhận)

+ Outgoing mail...: 192.168.1.99 (IP server mail gửi)



- Internet Mail Logon: nhập tài khoản và mật khẩu của U1

- Finish

B3. Cấu hình Outlook Express chạy Sercure SSL

- Vào Tools chọn Account

- Chọn Properties

- Tab Advanced: Check vào 2 ô

Outgoing mail: chọn “This Server require a secure connection”

Incomming mail: chọn “This Server require a secure connection”



- Sau khi cấu hình xong nhấn Send and Receive all

- Xuất hiện thông báo ta chọn yes

Từ đó gửi và nhận mail bình thường.

4. SMTPs && IMAPs

B1. Trên Exchange Server Started services IMAP4:

- Start Microsoft Exchange



B2. User cấu hình Outlook Express check mail

- Start --> Programs--> Outlook Express

- Nhập tên Display Name --> u1

- Nhập địa chỉ Email của u1 --> Next

- E-mail Server Name:

+ My incoming mail server is a --> click Pop3

+ Incoming mail...: 192.168.1.99 (IP server mail nhận)

+ Outgoing mail...: 192.168.1.99 (IP server mail gửi)

- Internet Mail Logon: nhập tài khoản và mật khẩu của U1

- Finish

B3. Cấu hình Outlook Express chạy Sercure SSL

- Tools--> click Account

- Click Properties



- Tab Advanced: Check vào 2 ô

Outgoing mail: chọn “This Server require a secure connection (SSL)”

Incomming mail: chọn “This Server require a secure connection (SSL)”

- Vào Outlook Express --> Soạn 1 lá mail gửi chính cho u1 --> CLick

Send



- Xuất hiện thông báo --> chọn yes

- Click Send and Receive --> Thấy đã nhận được mail

- Đọc Mail



5. Kết nối HTTPS && HTTP -Secure Outlook Web Access

Truy cập bằng HTTPS

(Mặc định hệ thống Exchange truy cập bằng HTTPS)

- Vào trình duyệt IE gõ: https://tên máy.tên domain/OWA

ở đây mình gõ: https://ex.ttgtc99.local/OWA

- Chọn Yes


https://ex.ttgtc99.local/OWA


Truy cập HTTP

- Vào start --> Programs --> Administrative tools --> Internet

Information Service Manager --> Website --> Default WebSite --->

Properties



- Vào tab Directory Security ---> Edit

- Bỏ chọn “Require secure channel (SSL)”



- Vào IE truy cập bằng http (VD: http://ex.ttgtc99.local/owa)

- Thành công


http://ex.ttgtc99.local/owa


3. Tạo Site http://mail.domain và redirect về site https://tênserver.domain/owa

- Vào trong DNS Manager tạo Alias mail ứng với tên server

- Vào start --> Programs --> Administrative tools --> Internet Information

Service Manager --> Chuột phải Website --> New --> web site

- Host header là “mail.ttgtc99.local”, các thông số khác chọn tùy ý.


http://mail.domain/


- Web site home directory --> Path chọn tùy ý nơi lưu trữ (không quan trọng)

- Next

- Finish

- Chuột phải trên mail.ttgtc99.local --> Properties

- Tab Home Directory --> Check vào ô A redirection to a UR L--> Dòng

Redirect to: https://tênserver.domain/owa (vd: https://ex.ttgtc99.local/owa)


https://ex.ttgtc99.local/owa


- Vào trình duyệt IE gõ: http://mail.ttgtc99.local

- Truy cập thành công


http://mail.ttgtc99.local/


PHỤ LỤC 3 BACKUP VÀ STRORE DỮ LIỆU


2. Backup Mailbox Database

3. Restore Mailbox Database


II. Thực hiện


- Log on user hoangtt, mở Microsoft Outlok, kiểm tra các mail trong Inbox

- Vào menu File, chọn Import and Export…



- Trong hộp thoại Choose an action to perform, chọn Export to a file, nhấn

Next

- Trong hộp thoại Create a file of type, chọn Personal Folder File (.pst).

Đây chính là cơ sở dữ liệu của mailbox

- Trong hộp thoại Export Personal Folder, bạn chọn folder mà bạn muốn

export. Ví dụ Inbox

- Trong hộp thoại Save exported file as, chọn đường dẫn lưu file, nhấn Next

- Nhập password cho file backup.pst, sau đó nhấn OK



- Tiếp theo bạn thử xóa toàn bộ mail của user hoangtt.

- Vào menu File, chọn Import and Export…



- Chọn Import from another program or file, nhấn Next

- Chọn Personal Folder File (.pst), nhấn Next

- Browse đến file backup.pst, đánh dấu chọn vào Replicate duplicates with

items imported, nhấn Next

- Import vào Inbox, sau đó nhấn Finish

- Các mail đã được khôi phục



2. Backup Mailbox Database:

a. Cài đặt Windows Server Backup:

- Mở Server Manager, chuột phải vào Features, chọn Add Features

- Đánh dấu chọn vào Windows Server Backup Features, nhấn Next

- Trong hộp thoại Confirm Installation Selections, nhấn Install đế bắt đầu

quá trình cài đặt



- Sau khi cài đặt xong, bạn nhấn Close để kết thúc

b. Backup Mailbox Database

- Vào Start\Program\Administrative Tools, chọn Windows Server

Backup

- Trong panel Action, bạn chọn Backup Once…

- Trong hộp thoại Backup Options, chọn Different Options, nhấn Next

- Trong hộp thoại Select Backup Configuration, bạn chọn tùy chọn Full

Server (recommended), nhấn Next

- Trong hộp thoại Specify destination type, chọn Remote shared folder,

nhấn Next

- Trong hộp thoại Specify remote folder, nhập vào đường dẫn remote đến

share folder. Ví dụ: \\192.168.7.223\backup . Trong phần Access Control,

chọn Inherit, nhấn Next



- Hộp thoại xác thực quyền, yêu cầu bạn nhập user name và password

- Trong hộp thoại Specify advanced option, chọn VSS full backup

- Trong hộp thoại Confirmation, nhấn Backup

- Quá trình Backup được diễn ra. Khi Backup xong, bạn nhấn Close để kết

thúc

3. Restore Mailbox Database:

A. Giả lập Database bị lỗi:

- Mở Services (services.msc), chuột phải vào Microsoft Exchange

Information Store, nhấn Stop

- Mở Notepad, tìm đến file “C:\Program Files\Microsoft\Exchange Server\

Mailbox\First Storage Group\Mailbox Database.edb”, thêm vào nội dung

nhằm phá hỏng Database của Exchange



- Quay lại Services, chuột phải vào Microsoft Exchange Information Store,

nhấn Start

- Mở Exchange Management Console, chọn Server Configuration, chọn

Mailbox. Trong khung Result pane, chuột phải vào Mailbox Database, chọn

Mount Database

- Hộp thoại báo lổi của Exchange sẽ xuất hiện do Exchange Database bị lỗi



B. Restore Mailbox Database

- Chuột phải vào Mailbox Database, chọn Properties

- Đánh dấu chọn vào tùy chọn “This database can be overwritten by a

restored”. Tính năng này cho phép khi restore sẽ ghi đèn lên dữ liệu cũ, nhấn

chọn Apply, sau đó nhấn OK

- Mở Windows Server Backup, vào Action, chọn Recover…

- Trong hộp thoại Getting Started, chọn Another Server (do bạn backup

toàn bộ dữ liệu lên 1 server thứ 2), nhấn Next

- Trong hộp thoại Specify location type, chọn Remote Shared Folder, nhấn

Next

- Nhập vào đường dẫn remote shared folder chứa file backup



- Hộp thoại xác thực quyền, yêu cầu bạn nhập User name và Password

- Trong hộp thoại Select backup date, chọn thời gian bạn đã backup, nhấn

Next

- Trong hộp thoại Select recovery type, chọn Volumes, nhấn Next

- Trong hộp thoại Select items to recover, chọn ổ đĩa cài đặt Exchange, nhấn

Next

- Nhấn OK đế tiếp tục

- Trong hộp thoại Specify recovery options, ở mục Recovery destination,

Browse đến volume cài đặt Exchange, nhấn Next



- Trong hộp thoại Confirmation, nhấn Recover

- Quay trở lại Exchange Management Console, chuột phải vào Mailbox

Database, chọn Mount Database. Quá trình Mout Database thành công

- Kiểm tra việc gửi nhận mail giữa các user

- Log on user trongnm, mở Microsoft Outlook, chọn New Mail, điền nội

dung và tiêu đề thư, sau đó nhấn Sent để gửi mail

- Log on user hoangtt, mở Microsoft Outlook, sẽ thấy nhận được mail




- Mở Outlook Web Access, log on user hoangtt

- Xóa toàn bộ mail có trong Inbox

- Mở Exchange Management Console, chọn Toolbox, khung result pane

chọn Database Recovery Management

- Chọn I don’t want to join the program at this time, nhấn Go to Welcome

Screen

- Điền các thông tin về Server và User, nhấn Next



- Chọn Create a recovery storage group

- Chọn First Storage Group, nhấn Next

- Chọn Create the recovery storage group



- Chọn Go back to task center

- Chọn Mount or dismount databases in the recovery storage group



- Đánh dấu chọn vào Mailbox Database, chọn Mount selected database

- Bảo đảm quá trình Mount Database thành công, nhấn Go back to task

center

- Nhấn Swap database for “dial-tone” scenario

- Chọn Gather swap information



- Chọn Perform swap action

- Đảm bảo quá trình Swap thành công. Nhấn Go back to task center

- Chọn Merge or copy mailbox contents

- Chọn Gather merge information



- Chọn Perform pre-merge tasks

- Chọn mailbox HOANG THUY TRAN, nhấn chọn Perform Merge

Actions

- Đảm bảo mailbox HOANG THUY TRAN restored thành công.



- Log on user hoangtt, thấy lại các mail cũ


an toàn mail server

Documents