微软Outlook邮件安全指南(一)

恶意软件通过邮件传递是一件很不幸的事情。附加于邮件信息的恶意代码能够包含蠕虫或者病毒等。一旦一台计算机被感染了恶意代码，使用频繁的邮件系统将会让恶意软件迅速的被传播。

　　针对这样的问题，我们该怎么办?用户提出了更高级的个性化定制功能，这样，微软将他们包含在微软OFFICE系统中，作为其中的一个部分。首先真正令人头疼的是邮件病毒被创建，并通过使用Office宏语言被传播。近期，大量的恶意软件转移了“阵地”，利用微软IE浏览器的漏洞进行攻击。

　　综合考虑微软Outlook和其他Office应用，与微软Windows操作系统都具备了大量的优点，但是一些怀有恶意的用户错误的使用了这些特点，而没有同其他技巧进行区别。

　　完全不接受所有脚本和可执行文件形式的操作也不是一个好的方法。理想的解决方案是去提醒用户不要去打开那些可疑的附件。假设用户会按照你前面给出的方法一直做下去的话，我们能够了解的更好。

　　即使还是还是不能排除问题，阻止攻击。幸运的是，微软Outlook邮件安全特征和管理员的领悟能力的结合至少能够被应用到其中，

　　对于微软Outlook邮件安全特性的综述

　　在易用性和安全性之间往往会有矛盾存在，尤其是在为微软Outlook 98和Outlook Outlook 2000进行邮件安全更新时，出现在更新介绍界面中的安全特性描述中其言更甚。(更新的特性已被创建到Outlook2002以及微软Office Outlook 2003中了)

　　更新的目的是去添加特性到Outlook，以达到限制邮件携带的恶意软件传播的作用。这就必须严格的限制用户访问一些像可执行文件和VB脚本文件等类型附件的权限。另外，当外部程序(包括来自于微软本身和第三方软件)试图去访问确定的属性和方法时，安全更新会提醒Outlook来警告用户，在一些公司的环境中，比起附件安全转变来说这一项更具有影响。幸运的是，系统管理员能够通过一个微软Exchange Server 2003公用文件夹来个性化定制需要进行更新的部分，并且终端用户能够在管理员没有进行控制的情况下，个性化定制处理存放到系统上的附件。

　　为微软Outlook安全性所作的五个主要变化

　　安全性更新(这是我将要讲到的，尽管它已经被收录在Outlook当前的版本中了)包括五个主要变化情况：

　　●增强的附件安全性。对于下面几种文件类型Outlook是完全禁止访问的。包括：.exe可知性文件、pif程序信息文件以及屏保文件。系统管理员能够再指定另外一系列的、受限较小的文件类型，以使得这些文件不能被直接打开运行，但是能够选择保存到磁盘中。

　　●为用户作更多的控制。这项为用户所定的功能能够去控制进程访问地址簿，以及Outlook的发送邮件功能。

　　●支持Exchange系统管理员指定的那些适合于代码和为Outlook所提供的组件对象模式(COM) 外接程序(add-ins)的，应该是安全的。请注意，这项特征仅仅能够在Outlook 2002 和 Outlook 2003中应用，而不能出现在为Outlook 2000以及Outlook 98所作的安全更新中。这些限制仅能被应用于COM外接程序，而不能用于那些使用信报传递应用程序接口(MAPI)的程序或者协作数据对象(CDO)的程序上。

　　●安全区域改变。在Outlook上可以运行着对默认安全区域进行改变。

　　●编码改变。除非经过Exchange系统管理员指定允许的情况，在未发行或者脱离Outlook窗体的编码将不能运行。

　　微软Outlook 2002 附件安全

　　作为解决大多数操作问题的技巧解决方法，Outlook 2002依赖一份内置的文件类型列表来对照检查每一个消息附件的文件类型。默认列表是包含在产品中的，如图示，但是你能够使用Exchange公用文件夹来清除或者个性化定制这个列表。

　　级别1

　　这些文件类型被Outlook所阻止(包括.bat批处理文件、.exe可执行文件、.vbs脚本文件、.lnk快捷方式以及.js脚本文件)。当收件人打开或者预览的消息包含了级别1中所包含的附件类型时，将会收到一个列出了被阻止的文件的警告消息栏。但是收件人不能查看或访问附件本身(至少通过Outlook,客户端使用邮局协议[pop]，以及Internet消息访问协议[IMAP]客户端能够获取级别1文件)。查看一份完整的级别1附件类型列表。

　　级别2

　　级别2中没有默认的文件类型，你必须自己去添加。关于级别2附件，你能够查看附件图标，当你双击图标时，你会收到将附件保存到磁盘的提示，但是你无法在当前位置直接运行它。在你保存了这个附件之后，你就可以决定如何处置它。这是假定让用户盲目地在收件箱中双击每一个附件之前，所做的确认。

　　当你在一个将要发送的消息中附加文件时，Outlook将会对照级别1列表来检查附加文件类型。如果你要附加的文件类型是级别1列表中的任意一个的话，将会弹出一个对话框警告你，收件人将不能打开这个附件。在这个对话框中点击“确定”，并发送消息。请记住，你可以让Outlook不给你这个警告。接下来我将告诉你如何操作。

　　当你接受到一个包含级别1中，文件类型的附件的消息时，你的收件箱将会显示在附件栏中的文件夹上，让你知道此条消息包含了一个附件。当你打开一个包含附件的邮件消息时，附件将会被阻止，并且Outlook消息框将会警告你，此附件是无法获得的。文件|保存附件命令行(当你右键单击时，就能够在快捷菜单上看到查看附件命令行)仅能够显示这些附件没有被阻止，表明其他的完全无法访问。当你打开消息正文时，你将会看到一个警告信息框列出了被阻止的文件，但是你依然能够得到所有附件，它们并不在被禁止的列表中。

　　如果你接收到的消息包括了一个文件类型包含在级别2中的附件的话，附件将会被正常的显示出来。然而，当你试图去打开它时，你将会看到一个警告对话框，它提示你如果想要直接的运行附件是不可行的，并且提供给你一个让你将附件存盘的操作。

　　微软 Outlook地址簿和对象模式安全

　　Outlook支持Office对象模式，这样，你就可以编写脚本和程序来自动地执行那些重复的操作。这其实是一面双刃剑：对于允许一些程序(比如像为个人数字助手[PDA]或者客户关系管理程序等所做的synchroniza-tion工具)去访问联系信息是非常有用的，但是用户在使用它的同时，它也可以被一些病毒或者其他的怀有恶意的可执行文件的传播所使用。

　　实际上，许多大量的病毒入侵感染者的地址薄去获得地址，它们也可以给自身发信;因为安全更新令这项操作变得困难，一些病毒制造者现在会变成去扫描本地文件、并从其中获取邮件地址的操作。

　　为了帮助解决这个问题，Outlook版本中包含了Outlook安全更新2003开启了对象模式向导，限制外部应用触发Outlook操作。这里有三种类型的对象模式向导。一种类型限制使用简单消息应用程序接口(简单MAPI，不要将简单MAPI同外部MAPI两者相混淆，它受到对象模式机制的限制)第二种类型类型限制使用Outlook对象模式，第三种使用协作数据对象(CDO)方法。在下面的章节中我会详细的介绍你能够访问的类型。

　　微软 Outlook 2002 和Outlook 2003 安全区域变化

　　在Outlook 2002 和Outlook 2003中，比起Internet互联网络，默认安全区域更是受到站点限制。在受限的站点区域中，默认情况下，活动脚本也是不可用的。这个安全区域拒绝使用大多数的自动脚本，并在没有获得许可权限情况下拒绝打开微软ActiveX控制。这个变化被描述为保护系统免遭寄生于HTML消息中的恶意软件的攻击。同样你讲默认的Outlook区域设置到受限制的站点，Outlook将不会在HTML消息中运行脚本，以及在这些消息中的ActiveX控制也会失效。你应该确保你为所有运行了Outlook的计算机上的IE浏览器进行了打补丁处理，因为Outlook使用IE浏览器去显示HTML消息。

　　为微软Outlook所作的安全多功能因特网邮件扩展(S/MIME)安全

　　安全多功能因特网邮件扩展(S/MIME)是Outlook的一个不很重要的特性之一(我曾经撰写过S/MIME安全软件，因此我认为这样的认识有些偏差)。Outlook在安全多功能因特网邮件扩展(S/MIME)方面支持，给与用户终端到终端的保护：你创建的消息能够在你的计算机中被标记或者加密，并且在它们传送过程中，以及传送到收件人所属得Exchange邮箱服务器上整个过程都在保护下。加密，标记，反加密，以及校验消息是比较容易的，并且在详细说明书中指出Outlook给出了大量的有关安全设置的控制。有关Outlook的安全多功能因特网邮件扩展(S/MIME)支持的最好的一项是它通过CryptoAPI(加密应用程序接口)完全地匹配系统的密码学的特征。如果你使用证书或者保全卡(smart cards)去访问控制或者其他功能，你将能够将同样的证书在Outlook上使用(就像它们已有的证书被通过使用S/MIME的发行者所标记)。

　　因为在S/MIME中的MIME是S/MIME消息中的安全内容，它实际上构成了多用途Internet邮件扩展(MIME)主体部分，就像在RFC1847中描述的那样。举例来说，这意味着一个简单的文本消息依然可以包含一个附属签名。这被称为明文签署的消息(clear-signed message)，因为通过客户端的消息不需要弄懂S/MIME签名依然能够被读出。和它对应的是，秘文签署的消息(opaque-signed message)，在一个单独的部分中包含消息和签名的结合体，除非通过校验签名，要不然无法被读出。

　　S/MIME的标准版本3，默认情况下被Outlook支持和使用。是由有关于如何创建客户端和服务器端，进程，以及处理安全邮件等多个部分所组成。具体如下：

　　●RFC 3369描述了密码学的消息书写句法(CMS)，这是S/MIME消息的格式。CMS来源于早期的公开密钥加密标准(PKCS)#7格式(RFC2315)。这就是为什么使用S/MIME进行保护的消息依然显示的是.p7m扩展名的附件，来代表PKCS #7 MIME部分。这个RFC吸引用户的地方主要是因为它严格地描述了客户端如何必须去标记，加密，解密和校验消息，以及如何构建消息以使得其他的客户端能够读取它们。

　　●RFC 3370确定所有S/MIME的标准版本3中的运算法则，包括：安全哈希运算法则1(SHA-1)，散列法的消息分类-5(MD5)，数字签名运算法则(DSA)，签名的RSA算法，以及用于消息秘文的RC2和三倍数据加密标准(3DES)。单独执行去为它添加更多的运算法则，假如他们完全地识别出一个特定的消息中应用的运算法则，那么收件方能够将它识别出来。

　　●RFC 2632描述为兼容S/MIME的软件以证书的形式处理。它详细说明了什么时候，客户端怎样检查证书撤回和到期，他们是如何处置未确认的指定数字签名(CA)扩展，等等内容。

　　●根据它自身的描述，RFC 2633定义了如何创建一个MIME主体部分，是根据起源于PKCS #7标准的CMS进行加密。这个备忘录也定义了应用/ pkcs7-mime MIME类型，能够被用于传输这些主体部分。

　　作为一个邮件系统管理员，你甚至不想去读取这些RFC，但是他们能够向你提供一些有关为什么S/MIME客户端在一些情况下选择那样的方法等等有用的知识。

　　对于S/MIME的标准版本3，Outlook是完全支持的。加上其他一些RFC 2634中定义的附加特性，包括数字符号消息接收，安全标签(例如：秘密或绝密)，以及其他的一些用户不太关心的特性，比如：防御消息系统(DMS)，在这篇文章中我将不再赘述。

　　为微软Outlook所作的HTTPS Over RPC

　　Exchange和Outlook使用远程程序访问(RPC)协议去通信。在本地网络(LANs)上这是一个好办法，但是大多数的系统管理员在他们的网络上聪明地阻塞了RPC通信。这里没有好的原因去允许任意Internet主机去发送你的RPC包。事实上，在Windows RPC堆栈中不提供历史攻击是一个好办法。

　　这就给Exchange系统管理员出了一个难题：到底哪一种是最好的方法用来允许远程用户访问他们的邮箱?

　　这里有一些操作可供选择：Microsoft OWA能够很好地完成工作，但是当用户离线时，不允许访问已存的邮件;POP和IMAP是非常有用的协议，但是不要开放完全权限的Exchange服务;虚拟专网(VPNs)允许安全访问，但是他们也允许远程计算机完全适用联接网络，这不是用户总是需要的，并且当检查入站RPC 通信去确定它的完整性和无害性的时候，Internet和安全加速(ISA)服务器允许发布基于RPC服务。

　　在Outlook 2003中，微软具有对超文本传输协议包(或者，更准确地说，受安全套接字层(SSL)保护的HTTP)中的RPC包有额外的完全支持。使用了正确的配置，一个移动用户能够启动Outlook，在443端口上连接到网络，并且具有指向Exchange服务器的RPC通信通道。用户能够使用Outlook的所有功能，并且系统管理员愿意在网络中作阻塞单一RPC通信的保护。然而，这一项不可思议的功能需要在Outlook上边进行一些配置，这是我在下面的章节中讨论的。

　　微软信息权限管理

　　这里有一个通俗的说法是：“信息需要自由”。

　　尽管在很多时候是正确的，但是信息的所有者并不希望将这一项应用于他或她的私人或者机密信息上。像美国政府或者苹果电脑公司这样的组织，通过对泄漏机密资料的雇员进行严格的罚款来处理这样的事务。我们大多数人并不富裕，这样的话，与其用这种手段来控制，我们希望能够针对信息所有者能够获得更多的技术手段来控制信息，并且管理他们的文档和消息如何使用。

　　微软Office系统可以在Windows权限管理服务(RMS)服务器上运行(通过在微软Windows Server 2003安装的权限管理服务(RMS)服务进行的安装)，来提供一系列的信息权限管理(IRM)功能。

　　IRM接下来的目标很简单：创建文档或者消息的用户能够设定这些文档能否被修改，发送或者复制，以及文件能否以及什么时间到期。微软权限管理(RM)执行使用基于XML的可扩展权限标记语言(XrML)去指定那些权限是文档创建者所具备的，另外，它使用不同的加密运算法则去指定将这些权限定义描述嵌入到文档中。受到RMS保护的文档只能接受来自于RMS安装的规则。微软同时也为IE浏览器进行了增强的设计，允许查看那些不能运行在Office系统的机器中的受到保护的文档。

　　关于IRM如何生效的全面的讨论不在本书的讨论范围中，因为它涵盖了设置一台RMS服务器以及为组织设定IRM使用策略。在本章中，我仅仅讨论有关如何让Outlook能够使用RMS服务器的一些功能。

　　个性化定制微软Outlook安全更新

　　当Outlook开始运行并且被记录进入Exchange服务器的日志中时，它会去寻找一个注册键值(如下面的13-2表中所示)，这能够表明它寻找的是哪个版本的专用公用文件夹。这个文件夹既能在Outlook安全设置(这一项适用于Outlook98和Outlook2000)，也能在Outlook 10安全设置(这一项适用于Outlook 2002和Outlook 2003)中被命名。基于在文件夹中能够查找Outlook，默认情况下，它可以使用安全设置。这些公用文件夹的目录定义了哪个设置了Outlook使用，你如何使用一个专门的形式将消息发送到公用文件夹。

　　如果你希望你的用户能够进行个性化定制安全设置，那么注册键值必须被设置到每一台独立的客户端上，通常情况下，你将要进行配置中的部分设置。当键值是当前的，Outlook就会把那些服务器上的个性化安全设置应用到用户那里。如果没有任何键值存在的话，他们使用原有设置。如果键值不是当前的话，将会将内建(built-in)安全设置应用于计算机上。微软选择去讲这些设置保存在一个公用文件夹中，因为它提供了一个安全级别。一旦你正确地设置了文件夹许可权限，就没有人能够随便的偷偷的进行新的设置或者改变当前设置了。

　　安装微软Outlook安全包

　　Outlook安全更新的管理工具包括几个文件(包括文件)，通常被打包成一个单独的可执行的Admpack.exe文件。安装包能够从Office Resource Kit CD或者Office产品CD中获得。你也可以从Office Resource Kit Toolbox site站点上下载。你需要去确保你获得的版本为当前最新版本。

　　你将要用到的两个管理文件如下描述：

　　OutlookSecurity.oft，被发布在Outlook表格中，你在公用文件夹中用来发送消息，这个模版并不提供任何安全设置。

　　 Hashctl.dll，此文件用于受信的编码控制，通过模版使用工具去指定哪一个你信任的COM add-ins运行在Outlook中(谨记，这项操作仅对Outlook 2002及更高版本适用)

　　要安装Outlook安全包，需要运行Admpack.exe可执行文件。当你运行Admpack时，它就会在你制定的位置安装必要文件。然而，你依然需要这些文件去执行必需的安全设置。

　　为微软Outlook安装受信编码控制

　　Outlook允许你去编写外部程序装载到Outlook的进程空间，这些外部程序使用COM同Outlook进行通信。因为这些外部程序是以in-process方式运行，从受信来源去运行外部程序并不是一个好的方法。当你安装安全包的时候，你就可以去创建一个受信外部程序的列表，这样客户端就可以在没有Outlook安全提示的情况下来运行。你只需要在你的管理计算机上进行操作，而终端用户则不需要(并且，事实上都不需要去运行)。因为Hashctl.dll文件已经被安装到你的计算机上了，你仅仅需要做的是将它注册一下，尽管微软推荐的是将Hashctl.dll文件移动到\System32文件下。注册动态连接库(DLL)，使用regsvr32 hashctl.dll这条命令。

　　为微软Outlook安全设置创建一个公用文件夹

　　在你为那些常用或者不常用的应用创建任何设置之前，你将需要去创建一个最高级别的公用文件夹去为这些设置充当“宿主”。 文件夹的名称是关键的，因为在文件夹中Outlook是被作为硬件看待的。你有三种选择：如果你创建了一个名为“Outlook 10安全设置”，Outlook 2003 (和Outlook 2002)能够使用设置，但是Outlook 2000无法看到它们。如果你将文件夹命名为“Outlook安全设置”的话，Outlook 2000, Outlook 2002, 以及Outlook 2003能够使用同样的设置。如果你创建了这两个文件家，每一个版本使用与它相对应的文件夹(假定你已经正确的设置了客户端注册键值)。一旦你创建了文件夹，就赋予了所有用户读取的权限。用户允许修改安全设置的权限比如：在文件夹中创建、编辑和删除项目等需要被创建。一旦你创建了文件夹，你需要准备去发布模板，以及创建窗体实例。这些可以通过以下步骤：

　　1.启动Outlook。

　　2.打开OutlookSecurity.oft文件。Outlook将会提示你选择一个位置存储你将要从模板中创建的新项目。新项目是从来没有被保存过的，这样的话，它将按照你的意愿选择文件夹。

　　3.当模板打开的时候，使用工具|窗体|发布窗体命令行。给窗体命名。如果你想要替换指定的Outlook 2000版本，需要给这个窗体指定和原来相同的名称。确认你为发布的窗体指定了当初目标位置的安全设置公用文件夹。点击发布窗体。

　　4.关闭默认安全设置模板窗口。当Outlook询问你是否保存修改时，确认你的选择。

　　5.转换到公用文件夹对话框的通用标签，接下来使用何时发送到文件夹，使用下拉列表去指定定义好的发布窗体。

　　6.在Outlook安装了模板后，打开公用文件夹，然后创建一个新项目——命名为默认安全设置。你将能够通过编辑这个项目个性化定制默认安全设置，并且通过创建这个默认项目副本或者通过创建新的项目来为不同的组创建新设置，让设置为空，或者个性化定制设置。

　　填充微软Outlook窗体模板标签

　　Outlook安全窗体模板有三个标签，每一个都有它自己的控制管理Outlook的安全特性如何工作，描述如下：

　　●Outlook安全设置标签控制通用设置应用于Outlook客户端。

　　●标题设置标签控制当外部应用试图使用Outlook方法和属性时如何发生，包括发送邮件，以及找回地址信息。

　　●受信代码标签让你制定你希望用户允许去运行没有安全提示的哪一个Outlook COM外部程序;谨记，这些设置无法应用于其他的Office应用。

　　注意：当你是用一个被设置为使用缓存Exchange模式的Outlook时，你无法创建或者更新安全设置模板。当你试图去保存你的更新窗体时，Outlook将会提示你需要转换到在线模式。

　　微软Outlook安全设置标签

　　Outlook安全设置标签允许你去配置默认设置应用到所有用户。你也可以将设置应用到个别的用户或者一种类型的用户。完成这项的常规方法是使用窗体创建多个发送项目：一种是为你希望应用的默认设置，一种是为每个单独用户或者用户组创建的特定设置。当你使用微软Exchange 2000 Server 或者Exchange Server 2003时，Outlook允许你去指定Windows 2000 Server分类组去指定那些你想要应用的设置。如果你使用的是Exchange 5.5的话，你必须在组中填入每一个单独的邮箱名称，中间使用分号分割，最多可以使用1000个邮箱。标签图例如图13-2所示。在高级别上的控制是应用到窗体的副本。默认情况下，为所有用户默认安全设置选项是已被勾选的，这就意味着在这个Exchange服务器上，这些设置被应用于所有的Outlook用户。如果你想将这些设置应用到用户的某一类子集中的话，选择例外组安全设置选项，然后填写安全组名称和成员区域。下面是窗体中如何控制的实例：

　　图 13-2 Outlook 安全设置标签提供给用户控制Outlook如何处理附件

　　级别一文件扩展和级别二文件扩展控制组让你指定包含在每个组里的文件类别。通过将扩展用在适当的区域中和保存项目，你能添加或者删除附件类型。不幸地是，这里没有提供查看当前级别1或者级别2扩展列表。

　　当遇到一个级别1的项目时，各种附件设置控制提供给你控制Outlook行为的能力。

　  级别1附件检查框提示Outlook，是否需要将级别1中附件名称显示到信息框，尽管用户无法利用它们。

　　当发送一个项目时，有关级别1附件情况不提示，以及当关闭一个项目检查框管理Outlook是否当你要发送的消息中包含了一个被禁止的附件，警告你时，有关级别1附件情况不提示。

　　允许嵌入OLE对象In-Place激活检查框控制Outlook是否允许in-place激活与否。In-place激活实际上启动了一个内嵌应用，让应用的菜单和工具条可见，并且使一个已有的应用中的多文档接口(MDI)框架是活动的。因为这个当前应用的实际上放弃了控制，为嵌入对象使用的是自动控制服务器，它有一点点安全隐患，因为默认情况下，这项是关闭的。这个操作让你将它打开。

　  OLE包对象检查框控制Outlook是否显示OLE打包对象，这也有一些小小的安全隐患。

　　多种自定义窗体设置控制组包括一些并不适合在所有情况下使用的奇怪功能。在One-Off Outlook窗体中的可用脚本检查框控制单独的未经发布的Outlook窗体(也就是说，这些像.oft文件这样的分布式或者通过当项目被发送时，使用项目检查框的发送窗体定义)是否能够运行/停止脚本。保存选项控制了当外部编码，宏，窗体或者COM外部程序试图去使用Outlook对象模式去执行窗体的自定义操作或者访问一个窗体控制的属性时，指定哪个Outlook项目如何开始。你有以下三种选项：

　　●提示用户操作，让Outlook去显示一个提示用户是否允许访问的对话框。

　　●自动确认选项，指派Outlook允许访问而不显示警告提示。

　　●自动否决选项，指派Outlook拒绝所有请求而不加提示。

　　(未完待续)