强化 Exchange 服务器

以下是减轻组织邮件服务器遭受针对性攻击风险的方法。

攻击面概览

很少有网络安全专家会质疑针对 Microsoft Exchange 服务器的攻击是不可避免的，且入侵风险持续居高不下。2025 年 10 月，微软终止了对 Exchange Server 2019 的支持，使得 Exchange Server 订阅版成为 2026 年唯一受支持的本地解决方案。尽管如此，许多组织仍在运行 Exchange Server 2016、2013 甚至更旧的版本。

对威胁行为者而言，Exchange 是一个不可抗拒的目标。其流行度、复杂性、丰富的设置，以及最重要的是其可从外部网络访问的特性，使其容易受到各种攻击：

• 通过密码喷洒攻击或鱼叉式网络钓鱼渗透邮箱

• 通过过时的身份验证协议导致账户泄露

• 通过 Exchange Web Services 注入恶意邮件流规则来窃取特定电子邮件

• 通过利用 Exchange 邮件处理基础设施中的缺陷劫持员工身份验证令牌或伪造消息

• 利用 Exchange 漏洞在服务器上执行任意代码（部署 Web Shell）

• 横向移动和服务器入侵，使 Exchange 服务器成为网络侦察、恶意软件托管和流量隧道的立足点

• 通过专门的 Exchange 植入程序进行长期邮件窃取

要真正理解 Exchange 攻击的复杂性和多样性，值得回顾有关 GhostContainer、Owowa、ProxyNotShell 和 PowerExchange 威胁的研究。

安全加固措施

迁移终止支持版本

微软和 CISA 都建议过渡到 Exchange SE 以获得及时的安全更新。对于无法立即切换的组织，可为 2016 和 2019 版本购买付费的扩展安全更新订阅。微软强调，从 2016 或 2019 升级到 Exchange SE 的复杂性与安装标准累积更新相当。

如果因任何原因需要继续运行不受支持的版本，应将其与内部和外部网络彻底隔离。所有邮件流应通过专门配置的电子邮件安全网关路由。

定期更新

微软每年发布两次累积更新以及每月的安全补丁。Exchange 管理员的一项关键任务是建立及时部署这些更新的流程，因为威胁行为者会迅速利用已知漏洞。您可以在微软官方页面上跟踪这些更新的发布计划和内容。要验证 Exchange 安装的运行状况和更新状态，请使用 SetupAssist 和 Exchange Health Checker 等工具。

紧急缓解措施

对于关键的、被主动利用的漏洞，通常会在 Exchange 博客和 Exchange 缓解措施页面上发布临时缓解指南。应在 Exchange 邮箱服务器上启用紧急缓解服务。EM 自动连接到 Office 配置服务以下载并应用针对紧急威胁的缓解规则。这些措施可以快速禁用易受攻击的服务，并使用 IIS 中的 URL 重写规则阻止恶意请求。

安全基线

必须将针对组织需求优化的统一、全组织范围的配置集应用于所有平台上的 Exchange 服务器、邮件客户端及其底层操作系统。

由于不同操作系统和 Exchange 版本的推荐安全基线不同，CISA 指南引用了流行的、免费提供的 CIS 基准和微软说明。最新的 CIS 基准是为 Exchange 2019 创建的，但也完全适用于 Exchange SE——因为当前的订阅版在可配置选项上与 Exchange Server 2019 CU15 没有区别。

专用安全解决方案

许多组织犯的一个关键错误是没有在其 Exchange 服务器上部署 EDR 和 EPP 代理。为防止漏洞利用和 Web Shell 的执行，服务器需要受到像卡巴斯基端点检测和响应这样的安全解决方案的保护。Exchange Server 与反恶意软件扫描接口集成，使安全工具能够有效处理服务器端事件。

应用程序允许列表可以显著阻碍试图利用 Exchange 漏洞的攻击者。此功能在大多数高级 EPP 解决方案中都是标准配置。但是，如果需要使用原生 Windows 工具实现它，可以通过 App Control for Business 或 AppLocker 限制不受信任的应用程序。

为了保护员工及其机器，服务器应使用像卡巴斯基邮件服务器安全这样的解决方案来过滤邮件流量。这解决了现成本地 Exchange 缺乏工具应对的几个挑战——例如通过 SPF、DKIM 和 DMARC 协议进行发件人身份验证，或防范复杂的垃圾邮件和鱼叉式网络钓鱼。

如果因任何原因未在服务器上部署完整的 EDR，则至少必须激活默认的反病毒软件，并确保启用攻击面缩减规则"阻止服务器创建 Webshell"。

为防止运行默认反病毒软件时服务器性能下降，微软建议从扫描中排除特定的文件和文件夹。

限制管理访问

攻击者经常通过滥用对 Exchange 管理中心和 PowerShell 远程处理的访问来提升权限。最佳实践规定这些工具只能从固定数量的特权访问工作站访问。这可以通过 Exchange 服务器本身的防火墙规则或使用防火墙来强制执行。Exchange 中内置的客户端访问规则在此场景中也可能提供有限的效用，但它们无法对抗 PowerShell 滥用。

采用 Kerberos 和 SMB 替代 NTLM

微软正在逐步淘汰旧的网络和身份验证协议。现代 Windows 安装默认禁用 SMBv1 和 NTLMv1，未来版本计划禁用 NTLMv2。从 Exchange SE CU1 开始，NTLMv2 将被使用 MAPI over HTTP 实现的 Kerberos 取代，作为默认身份验证协议。

IT 和安全团队应彻底审核其基础设施中旧协议的使用情况，并制定迁移到现代、更安全的身份验证方法的计划。

现代身份验证方法

从 Exchange 2019 CU13 开始，客户端可以利用 OAuth 2.0、MFA 和 ADFS 的组合进行强大的服务器身份验证——这一框架被称为现代身份验证。这样，用户只有在通过 ADFS 成功完成 MFA 后，才能访问邮箱，然后 Exchange 服务器从 ADFS 服务器接收有效的访问令牌。一旦所有用户都迁移到现代身份验证，应在 Exchange 服务器上禁用基本身份验证。

启用扩展保护

扩展保护提供了针对 NTLM 中继攻击、中间人攻击和类似技术的防御。它通过使用通道绑定令牌来增强 TLS 安全性。如果攻击者窃取凭据或令牌，并试图在不同的 TLS 会话中使用它们，服务器将终止连接。要启用 EP，所有 Exchange 服务器必须配置为使用相同版本的 TLS。

从 Exchange 2019 CU14 开始，扩展保护在新服务器安装上默认激活。

安全的 TLS 版本

包括所有 Exchange 服务器在内的整个服务器基础设施，应配置为使用相同的 TLS 版本：1.2 或理想情况下 1.3。微软提供了关于优化配置和必要先决条件检查的详细指南。您可以使用 Health Checker 脚本来验证这些设置的正确性和一致性。

HSTS

为确保所有连接都受到 TLS 保护，您应额外配置 HTTP 严格传输安全。这有助于防止某些 AitM 攻击。在按照微软的建议实施 Exchange Server 配置更改后，所有到 Outlook on the web 和 EAC 的连接都将强制使用加密。

下载域

下载域功能通过将附件下载移动到与组织 Outlook on the web 托管域不同的域，提供针对某些跨站请求伪造攻击和 Cookie 盗窃的保护。这将 UI 和邮件列表的加载与下载文件附件分开。

基于角色的管理模式

Exchange Server 为特权用户和管理员实现了基于角色的访问控制模型。CISA 指出，具有 AD 管理员权限的账户通常也用于管理 Exchange。在此配置中，Exchange 服务器的入侵会立即导致整个域被入侵。因此，使用拆分权限和 RBAC 将 Exchange 管理与其他管理权限分开至关重要。这减少了拥有过多权限的用户和管理员数量。

PowerShell 流签名

管理员经常使用称为 cmdlet 的 PowerShell 脚本来通过 Exchange Management Shell 修改设置和管理 Exchange 服务器。理想情况下，应禁用远程 PowerShell 访问。当启用时，发送到服务器的命令数据流必须使用证书进行保护。截至 2023 年 11 月，此设置对于 Exchange 2013、2016 和 2019 默认启用。

邮件头保护

2024 年 11 月，微软引入了针对涉及伪造 P2 FROM 邮件头攻击的增强保护，这些攻击使电子邮件在受害者看来像是来自受信任的发件人。新的检测规则现在会标记这些邮件头可能被篡改的电子邮件。管理员不得禁用此保护，并应将带有 X-MS-Exchange-P2FromRegexMatch 标头的可疑电子邮件转发给安全专家进行进一步分析。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享