以下是如何降低組織郵件伺服器遭受針對性攻擊的風險。
Microsoft Exchange 本地部署強化建議
幾乎所有資安專家都同意:針對 Microsoft Exchange 伺服器的攻擊應被視為「必然事件」,且遭到入侵的風險始終居高不下。Microsoft 已於 10 月終止 Exchange Server 2019 的支援,使 Exchange Server Subscription Edition(Exchange SE)成為 2026 年唯一受支援的本地部署版本。儘管如此,許多組織仍在使用 Exchange Server 2016、2013,甚至更早期的版本。
對攻擊者而言,Exchange 是難以抗拒的目標。由於它的普及度、複雜度、眾多設定,以及最重要的——其可從外部網路存取,使其容易遭受各種攻擊:
- 透過密碼噴灑攻擊或魚叉式網釣滲透信箱
- 使用過時的驗證協定導致帳戶被入侵
- 利用 Exchange Web Services 注入惡意郵件流程規則來竊取特定郵件
- 利用 Exchange 郵件處理基礎架構的漏洞,劫持員工的認證 token 或偽造郵件
- 利用 Exchange 漏洞在伺服器上執行任意程式碼(部署 web shell)
- 進行橫向移動與伺服器淪陷,使 Exchange 成為網路偵查、惡意軟體寄宿及流量隧道的據點
- 透過專門的 Exchange 植入式惡意程式進行長期郵件外洩
若要充分理解 Exchange 攻擊的複雜性與多樣性,可參考 GhostContainer、Owowa、ProxyNotShell、PowerExchange 等相關研究。
要讓 Exchange 更難被攻擊者入侵、並降低成功攻擊的影響,並非不可能,但需要一系列措施——從簡單的設定變更到耗費心力的驗證協定遷移皆包含在內。CISA(加拿大網路安全中心)及其他資安主管機關近期發布了高優先度防禦措施的聯合審查。那麼該如何開始強化本地部署的 Exchange 伺服器?
遷移離開已終止支援的版本
Microsoft 與 CISA 均建議遷移至 Exchange SE,以持續取得安全更新。若組織無法立即升級,仍可為 2016 與 2019 版本購買付費的 Extended Security Updates(ESU)。Microsoft 也強調,從 2016 或 2019 升級至 Exchange SE 的複雜度與安裝一般 Cumulative Update 相當。
若因任何理由必須保留不受支援的版本,該伺服器應與內外網徹底隔離。所有郵件流量都應透過特別設定的電子郵件安全閘道轉送。
定期更新
Microsoft 每年發佈兩次 Cumulative Update(CU),並提供每月的安全熱修復。Exchange 管理員需建立流程,確保這些更新能立即部署,因為攻擊者會迅速武器化已知漏洞。可使用 Microsoft 官方頁面追蹤這些更新的時程及內容。也可透過 SetupAssist 及 Exchange Health Checker 來確認 Exchange 的健康狀態與更新狀況。
緊急緩解措施
針對重大且已被利用的漏洞,官方通常會在 Exchange blog 以及 Exchange mitigations 頁面發布臨時緩解指引。建議在 Exchange Mailbox 伺服器啟用 Emergency Mitigation(EM)服務。EM 會自動連線到 Office Config Service 下載並套用緊急威脅的緩解規則,可快速停用易受攻擊的服務,或透過 IIS 的 URL rewrite 規則阻擋惡意請求。
安全基線
一套統一且最佳化的安全配置應套用至整個組織的 Exchange 伺服器與所有平台上的郵件客戶端,以及其底層作業系統。
因不同 OS 與 Exchange 版本的建議安全基線不同,CISA 指南參考了廣受使用且免費的 CIS Benchmarks 及 Microsoft 說明文件。最新的 CIS Benchmark 是為 Exchange 2019 而設,但同樣適用於 Exchange SE——因為目前的 Subscription Edition 與 Exchange Server 2019 CU15 在可設定選項上沒有差異。
專用的安全方案
許多組織犯的重大錯誤之一,就是未在 Exchange 伺服器上部署 EDR 或 EPP Agent。為防止漏洞利用與 web shell 執行,伺服器需要如 Kaspersky Endpoint Detection and Response 等安全方案。Exchange Server 與 AMSI(Antimalware Scan Interface)整合,可讓安全工具有效處理伺服器端事件。
應用程式白名單(Allowlisting)可大幅增加攻擊者利用漏洞的難度。大多數先進 EPP 方案均內建此功能。如果需使用原生 Windows 工具,也可透過 App Control for Business 或 AppLocker 限制未信任的應用程式。
為保護員工及其裝置,伺服器應部署如 Kaspersky Security for Mail Server 的解決方案,以過濾郵件流量,補足本地部署 Exchange 無法處理的項目——例如 SPF、DKIM、DMARC、或先進的垃圾郵件與魚叉式網釣防護。
若因任何原因無法在伺服器上部署完整 EDR,最少也要啟用預設防毒程式,並確保啟用 ASR(Attack Surface Reduction)規則「Block Webshell creation for Servers」。
為避免使用預設防毒造成伺服器效能降低,Microsoft 建議排除特定檔案與資料夾不進行掃描。
限制管理權限存取
攻擊者常透過濫用 Exchange Admin Center(EAC)與 PowerShell 遠端連線來提升權限。最佳作法是僅允許從少數的特權工作站(PAWs)存取這些工具。可在 Exchange 伺服器上以防火牆規則或其他防火牆套件強制執行。此外,Exchange 內建的 Client Access Rules 也有限度的用途,但無法阻擋 PowerShell 的濫用。
使用 Kerberos 與 SMB 取代 NTLM
Microsoft 正逐步淘汰舊式網路及驗證協定。現代 Windows 預設停用 SMBv1 和 NTLMv1,且未來將停用 NTLMv2。自 Exchange SE CU1 起,NTLMv2 將被 Kerberos 取代,並透過 MAPI over HTTP 實作成預設驗證協定。
IT 與資安團隊必須徹底稽核內部基礎架構中仍在使用舊協定的情況,並制定遷移至現代、更安全驗證方法的計畫。
現代驗證方法
自 Exchange 2019 CU13 起,客戶端可使用 OAuth 2.0、MFA、與 ADFS 組成更強韌的伺服器驗證框架——即「Modern Authentication」(Modern Auth)。此方式要求使用者須先透過 ADFS 完成 MFA,Exchange 伺服器才能取得有效的存取 token。一旦所有使用者均已遷移至 Modern Auth,就應在 Exchange 伺服器上停用基本驗證(Basic Authentication)。
啟用 Extended Protection
Extended Protection(EP)可防禦 NTLM relay、Adversary-in-the-Middle 等攻擊。EP 透過使用 Channel Binding Token(CBT)來強化 TLS。如果攻擊者竊取認證或 token 並嘗試在不同的 TLS 連線中使用,伺服器會終止連線。啟用 EP 前,所有 Exchange 伺服器需使用相同的 TLS 版本。
自 Exchange 2019 CU14 起,EP 在新安裝的伺服器上預設啟用。
使用安全的 TLS 版本
整個伺服器基礎架構(包含所有 Exchange 伺服器)都應設定為相同的 TLS 版本:1.2 或理想的 1.3。Microsoft 提供最佳配置與必要檢查的詳細指南。可使用 Health Checker 腳本檢查設定是否正確且一致。
HSTS
為確保所有連線皆受到 TLS 保護,應額外設定 HTTP Strict Transport Security(HSTS)。這有助於防止某些中間人攻擊。依 Microsoft 建議進行 Exchange Server 設定變更後,所有連線至 Outlook on the web(OWA)與 EAC 都會被強制加密。
下載網域(Download Domains)
Download Domains 功能可防禦某些跨網站請求偽造(CSRF)攻擊與 cookie 竊取,方法是將附件下載移至與 Outlook on the web 不同的網域,以分隔 UI/郵件列表載入與附件下載行為。
角色基礎權限模型
Exchange Server 透過 Role-Based Access Control(RBAC)來控管管理者與特權使用者的權限。CISA 指出許多組織中,擁有 AD 管理員權限的帳戶同時也用於管理 Exchange。此種情況下,一旦 Exchange 伺服器遭入侵,整個網域也會立即淪陷。因此必須採用分離權限(split permissions)與 RBAC,將 Exchange 管理與其他管理權限區隔,以減少具有過度權限的使用者與管理者數量。
PowerShell 資料流簽章
管理員常使用 PowerShell 指令(cmdlets)透過 Exchange Management Shell(EMS)變更設定並管理 Exchange。建議盡可能停用遠端 PowerShell。若必須啟用,所有傳送至伺服器的指令資料流都必須以憑證保護。自 2023 年 11 月起,此設定在 Exchange 2013、2016、2019 預設啟用。
資料來源 : https://www.kaspersky.com/blog/exchange-se-hardening-2026/54835/