企業日常運作中，郵件系統運作跟郵件傳遞正常與否是 IT 人員管控的重點，目前先進的郵件系統 如 Exchange Server 2010，已經可以確保郵件系統運作擁有完整的自動備援機制，不會中斷。當 系統穩定不會有中斷疑慮後，接著 IT 人員要考量的重點就是整個郵件系統的安全性。

目前坊間的郵件安全機制，大都是外掛式，也就是客戶要買額外的郵件安全系統，再搭配現有公司內的郵件系統，以提供所需的安全功能。這種方式除了要額外購買資訊安全系統的費用外，通常整合性並不會非常好。同時，對網管人員而言，則需要額外多管理這套系統。整體而言，當發生郵件傳遞問題時，IT 人員要查到底是郵件系統本身出問題, 還是廠商的郵件安全性統出問題，IT 人員整體負擔增加是可想而知。

微軟的郵件系統 Exchange Server，多年來受到越來越多的客戶親賴及使用，不但容易上手及好管理，重要的是的微軟不斷在郵件安全性上加以改良，以提供客戶更多可以跟郵件系統完整〝整合〞的安全性功能。而微軟 Business Ready Security 內的訊息傳遞安全解決方案，即可利用整合郵件安全性的方式, 結合 Exchange Server 2010、Forefront Protection for Exchange、Forefront Online Protection for Exchange、Forefront Unified Access Gateway 提供最完整的郵件訊息傳遞安全機制。這些產品可以完整結合在一起，保護整個 Exchange Server 郵件安全性。這些產品有內建感知及結合 Exchange 安全性功能的能力，所以跟 Exchange Server 搭配可以提供最大安全性效益。以現今 Exchange Server 市場占有率極高的狀況下，Business Ready Security 的解決方案值得您的注意及體驗。

郵件安全性如何有效掌握 ?

Exchange Server 由於被國外許多大型企業採用，因此本身在安全性上即符合許多資訊安全規範。在台灣，即將上路的個資法應該是大家目前最關切的議題。很多客戶開始在想如何在公司內建置可以符合個資法的資訊安全機制。當然，資料外洩的管道很多，但不可否認的，郵件也是一個洩漏重要資料的管道，不論是有意還是無意，都會對公司造成影響，甚至鉅額罰款。所以，大家開始找尋各家資安解決方案，例如 DLP，但是要導入這些系統，不但 IT 人員要有一定程度的產品訓練和導入，設定與整合現有郵件系統也是一挑戰跟難題。最重要的，使用者的使用方式跟行為往往需要跟著調整，不但使用者配合上容易出問題，也常造成使用者的不便與抱怨。您其實有更好的選擇：透過 Exchange Server 2010 與 AD RMS 快速建置安全的電子郵件環境。

Exchange Server 2010 內的傳輸規則，是 Exchange Server 郵件管控的重要中樞。透過郵件規則，管理者可以輕鬆建立要稽核及管控的條件，然後由 Exchange Server 本身執行管理者設定的相對應動作。整個郵件規則的建立，完全是由精靈來產生，就如同 Outlook 郵件規則一樣的容易。

透過 Exchange 傳輸規則，IT 人 員可以完整掌控整個郵件的進出 及其路由，因此可以確保郵件不 - 21 - 資安快訊 會被使用者非法使用。光靠這些規則，企業即可輕鬆找出內部人員平時郵件往來有無進行不法行為。當然，IT 人員也要防範使用者利用外部的 E-mail 及 Web Mail 來規避公司郵件稽核，這時你可以對所有 Web Mail 及POP3/SMTP mail system 進行封鎖。想要快速達成？Forefront TMG 2010，前身為 ISA，可以利用所謂 "URL Category" 進行封鎖，也就是只要選取要封鎖 Web Mail 這個類型的流量，TMG 就會幫你分析每個使用者 Internet 存取流量， 從中封鎖所有 Web Mail。至於 TMG 如何知道哪些網站是 Web Mail？傳統的網站過濾機制都是從 Internet 每日定時下載資料庫到本機，只要資料庫一沒更新或是更新失敗出問題，這個過濾機制馬上打折扣。而 TMG，則是利用時下最先進的 "雲端" 資料庫機制，不是去下載龐大資料庫，而是利用雲端服務概念把每個流量跟雲端資料庫比對，此法不但可以確保不會有資料庫更新問題跟時間差，更可以利用雲端資料庫的特點，即時比對所有流量資訊。

全自動保護郵件

但是，微軟 Business Ready Security 不是只是單純談郵件稽核跟過濾，我們更要談的是，如何全自動保護重要跟機密郵件，即使被不小心寄出，或是附件被有心人士利用 USB 或是 Internet 方式 Copy 出去，依然可以防止未經授權的人讀取。更重要的是，我們可以透過 AD RMS 跟 Exchange 傳輸規則的結合，自動把郵件加以保護，完全不需使用者額外設定權限。當使用者不用改變使用習慣時，資訊安全就會比較容易推廣，這也是微軟Business Ready Security (BRS) 一大特點：我們是要讓使用者便利的存取資料，但同時間一樣能提供完整的安全防護。要做到全自動郵件保護，我們需要結合微軟的 DRM 機制，稱為 AD RMS (Active Directory Right Management Services)。這是一個可以於 Windows Server 2008 R2 上新增的一個角色，也是就是是一個內建的功能, 只要點選即可安裝。接者跟著安裝精靈，回答問題及指定憑證，就可以完成基本安裝。細部的資訊，您可以到微軟 TechNet 找到相關文件。

AD RMS 可以鎖定資訊只能在特定的環境及地點來使用。舉一個大家比較常知道的例子：各位都知道目前有許多網路上可以聽音樂跟看電影的網站，你不只是只能線上聽跟看，你還可以下載到自己電腦裡。但是當你把檔案複製到其他電腦時，在打開的那一瞬間，他會說你目前電腦不是當初下載的電腦，該檔案只能在原電腦被開啟等等的字樣。這就是 DRM 的一種技術。即使檔案被帶走，也不用怕會被未經授權的的電腦跟使用者打開。

許多人會說我本身針對重要文件檔案已經用 "密碼" 來鎖，所以有保護。但是這樣就安全嗎 ? 網路上有許多工具可以用密碼組合的方式，針對文件進行各種密碼組合輸入。透過現今越來越快的 PC 跟 CPU，一般密碼很快就可能被破解。這主要是利用一般人通常不會設太複雜的心理，因此密碼通常不難破解。另外就是如果是公司內部的人要特意洩漏資訊，他把檔案流出去當然會先解掉或是把密碼一併提供，所以密碼的保護方式，其實只能防君子，無法防小人 (內賊)。

但是微軟的 AD RMS 不只是用來鎖檔案這麼單純，他還可以跟我們常用的軟體如 Office 進行結合，直接讓使用者大家都知道每天必用的軟體其中一個一定有 Office，因為我們會用 Outlook 看 Mail、Word/Excel 做文件，而這些檔案有些是有機密性的，一旦外流對公司會有嚴重影響，嚴重的甚至會影響公司商譽跟巨額罰款，因此當我們談文件保護時，Office 文件就是首先要先加以防護的目標。因此，當郵件內有任何 Office 附加檔案時，AD RMS 即可結合 Exchange 2010 進行加密保護。如何做到？只要透過上面我們所介紹的 Exchange 傳輸規則設定就可輕鬆完成，立即享受 Exchange 2010 與 AD RMS 帶來的便利性與安全性。