华为 AnyOffice移动办公解决方案 安全邮件技术白皮书

作者: 点击次数:308 添加时间:2017-3-15 19:38:49

       摘 要: 本文介绍了华为AnyOffice 移动办公解决方案中安全邮件特性的相关技术方案。 List of abbreviations 缩略语清单: Abbreviations缩略语 Full spelling 英文全名 Chinese explanation 中文解释 SDK Software Development Kit 软件开发包 EAS Exchange Active Sync 微软Active Sync协议 EWS Exchange Web Service 微软提供的基于web service的邮件协 议 IMAP Internet Mail Access Protocol 因特网邮件访问协议 SMTP Simple Mail Transfer Protocol 简单邮件传输协议 ESMTP Extended Simple Mail Transfer Protocol 扩展简单邮件传输协议(支持认证) Auto-Discover Auto-Discover 微软提供的邮件服务器自动发现机制 MIME Multipurpose Internet Mail Extension 多用途互联网邮件扩展类型 WBXML WAP Binary XML 一种二进制编码的XML格式 AnyOffice V200R005C00 安全邮件技术白皮书 Confidential 内部公开 All rights reserved 版权所有,侵权必究 Page 4 , Total 14 第4页,共14页 1 Introduction 简介 安全邮件是华为AnyOffice移动办公安全解决方案中的主要特性之一。通过应用专属隧道 接入、本地数据加密存储、邮件实时推送、客户端零配置等方案,安全邮件让企业用户安 全、快速、方便的处理企业邮件。 AnyOffice安全邮件支持接入模式,分别采用EAS协议和EAS+IMAP协议,采用第一种模 式时,通过EAS协议实现所有邮件功能,包括邮件推送、邮件收发、日历同步、联系人同步 等;采用第二种模式时,通过EAS协议实现邮件推送、日历同步以及联系人同步,通过IMAP 协议实现邮件接收、文件夹同步,通过SMTP协议实现邮件发送。建议优先使用第一种模式。 图1 安全邮件典型组网图 本文介绍安全邮件特性在客户端侧的相关技术原理。 2 邮件系统 安全邮件支持绝大部分主流邮件系统的接入,包括最典型的企业邮件系统:Microsoft Exchange邮件系统和IBM Notes邮件系统。在不同邮件系统中,包含的邮件相关组件存在区 别,本章节主要介绍Exchange邮件系统和Notes邮件系统中的相关邮件组件。 2.1 Exchange邮件系统 Exchange Server是微软提供的消息与协作系统平台,支持用来架设应用与企业的邮件系 AnyOffice V200R005C00 安全邮件技术白皮书 Confidential 内部公开 All rights reserved 版权所有,侵权必究 Page 5 , Total 14 第5页,共14页 统。Exchange系统包含丰富的邮件组件,依赖于这些组件,实现对传统的IMAP、SMTP邮件 协议支持。在此基础上,微软还提供了EAS、EWS等协议,其中EAS通常被称为Active Sync协 议,已被业界公认为邮件推送的标准协议。EWS协议是微软提供的基于web service的邮件协 议,支持完整的邮件、日历、联系人功能,但由于除了Exchange,其他邮件系统基本没有对 此协议进行支持,安全邮件中仅在有限的场合下使用此协议(目前仅支持在Exchange邮件系 统中进行企业联系人搜索)。 除了支持丰富的邮件协议,微软还公布了一套自动发现规范,依赖于此规范定义,可以 实现邮件服务器地址的自动查询,大大简化了客户端的邮件配置。 其中EWS协议以及自动发现机制仅在Exchange 2007及以上版本才提供支持。 2.2 Notes邮件系统 Domino Server是IBM公司的开放式商务平台,以跨平台架构为基础,提供企业级协同作 业、电子商务等web化应用。Domino Mail Server是Domino Server的类型之一,用于实现邮件 服务器功能,通常称为Notes邮件系统。在Domino Mail Server之间以及Server与Notes Client之 间,是使用私有协议(NRPC,邮件路由协议)进行通讯的。当Domino Mail Server需要与外部 服务器(如Exchange邮件系统)通讯时,仍然需要依赖其他标准协议,如SMTP、EAS等。因 此Domino Mail Server上也提供对标准协议进行支持的相关组件(IMAP、SMTP、EAS等)。 但是对于微软的EWS协议以及自动发现服务,Domino Mail Server是不支持的。 在Notes邮件系统中,IMAP/SMTP/EAS协议的支持是通过类似协议转换的思路来实现的, 最底层的邮件处理协议还是其私有协议,需要与外部进行交互时才进行协议命令、数据格式 的转换。这种转换的实现目前看来还存在一些缺陷,以下对较显著的几点进行描述。 Domino Mail Server上,邮件数据采用私有的存储格式进行保存。当需要通过IMAP/SMTP 协议进行邮件收发时,需要先将邮件数据转换为标准的MIME格式。这种转换的性能不是很 高,特别是针对较大的邮件附件处理,当大量用户进行大附件收发时,邮件服务器的CPU占 用将明显偏高。安全邮件使用IMAP/SMTP协议进行Notes邮件系统接入时,对此问题采取了一 些规避措施,大大降低了对服务器的影响。 在Notes邮件系统中,对EAS协议进行支持的组件称为Traveler服务器。该服务器通常为单 独的一台Domino Server,上面启用Traveler服务,实现私有协议与标准EAS协议的转换。如果 将Traveler组件与邮件服务部署在同一台Domino Server上,在高并发的邮件收发过程中(特别 是大邮件、大附件情况),可能引起服务器CPU占用明显偏高,严重的时候将导致服务器无 响应。因此,建议在部署时将Traveler组件单独部署在一台Domino Server上。 AnyOffice V200R005C00 安全邮件技术白皮书 Confidential 内部公开 All rights reserved 版权所有,侵权必究 Page 6 , Total 14 第6页,共14页 2.3 其他邮件系统 除了以上介绍的Exchange、Notes,还有一些其他的邮件系统,如ExtMail,Zimbra, CoreMail等。这些邮件系统均支持标准的IMAP/SMTP协议,部分还支持Active Sync协议(如 Zimbra)。对于安全邮件来说,只需要支持标准IMAP/SMTP即可实现邮件收发功能,如果进 一步的还支持Active Sync,那么在邮件推送上将收获更好的体验,且能具备日历和联系人的 功能。 3 邮件协议 邮件协议经历了一个演进过程,从最开始的POP协议,到升级版的POP3,再到 IMAP/SMTP协议,直至现在常用的Active Sync(EAS)协议。POP/POP3是因特网电子邮件的 第一个离线协议标准,允许用户将服务器上的邮件存储到本地,相对IMAP,POP3的命令集较 简单,功能较单一(比如不支持邮件状态同步等),使用起来缺乏灵活性,已逐步为IMAP协 议所替代,因此目前安全邮件未考虑对此协议的支持,各种常见邮件协议的优劣对比如下表 所示。 表1 邮件协议对比 IMAP EAS POP3 推送 扩展协议部分支持。有些邮 件系统不支持此扩展(如 Notes)。 支持 不支持 向上同步 支持。在线同步协议。 支持。在线同步协议。 不支持。POP协议仅支持从服务 器上向下同步邮件信息,可指 定同步时是否删除服务器上的 备份。离线邮件协议。 分段下载 支持。可选择下载邮件头、 邮件正文、邮件附件。邮件 正文可分段下载,邮件附件 可分段下载。 支持。可选择下载邮件头、邮 件正文、邮件附件。邮件正文 可分段下载,邮件附件可分段 下载。 部分支持。仅支持指定下载邮 件前n行内容。 智能回复/转发 不支持 支持 不支持 自动配置 不支持 Exchange 2007及以上版本支 持。 不支持 传输 基于TCP的纯文本传输。扩展 协议部分支持压缩 (RFC4978).支持TLS加密。 基于HTTP协议,数据以XML格式 封装,支持wbxml,支持HTTP压 缩。支持HTTPS加密。 基于TCP的纯文本传输,不支持 压缩。支持TLS加密。 AnyOffice V200R005C00 安全邮件技术白皮书 Confidential 内部公开 All rights reserved 版权所有,侵权必究 Page 7 , Total 14 第7页,共14页 日历/联系人 不支持 支持 不支持 文件夹 支持文件夹向上向下同步。 支持文件夹订阅 支持文件夹向上向下同步 仅支持同步收件箱下的邮件, 不支持文件夹操作,不支持邮 件移动。 各种邮件系统对邮件协议的支持情况有一些差异,具体参考下表。 表2 邮件系统对邮件协议支持情况 IMAP SMTP EAS EWS 自动发现 Exchange2007以下 Y Y Y N N Exchange2007及以 上 Y Y Y Y Y Lotus Notes 8.0 以下 Y Y N N N Lotus Notes 8.0 及以上 Y Y Y N N CoreMail Y Y Y N N ThinkMail Y Y Y N N 亿邮 Y Y N N N ExtMail Y Y Y N N 3.1 IMAP/SMTP邮件协议 IMAP/SMTP协议是目前最常用的邮件收发协议,基本上所有的邮件系统都支持这两个协 议。SMTP协议完成邮件发送,IMAP协议完成其他邮件同步操作,如向下同步邮件、同步文 件夹、同步邮件状态等。两个协议均基于TCP传输,协议交互以文本命令形式进行,在一条连 接上,首先使用认证命令进行鉴权,然后再进行其他邮件操作命令的交互。基本的SMTP协议 是不需要认证的,后续通过对SMTP协议进行扩展,引入了认证机制,这个版本通常又称为 ESMTP。两个协议均支持SSL方式的加密传输,协议本身不定义交互数据的加密,ESMTP中 使用Base64方式对认证信息进行编码。随着邮件推送需求逐渐强烈,IMAP协议也进行了相应 扩展,增加了用于实现邮件推送的命令,部分邮件系统对此命令提供支持。 IMAP/SMTP协议仅支持标准的邮件收发功能,不支持扩展的日历、联系人功能。因此对 于仅支持这两种协议的邮件系统,联系人管理、日程管理上存在明显的短板。 扩展IMAP协议中邮件推送的命令,在邮件系统中的支持程度并不是很好,很典型的, AnyOffice V200R005C00 安全邮件技术白皮书 Confidential 内部公开 All rights reserved 版权所有,侵权必究 Page 8 , Total 14 第8页,共14页 Notes邮件系统就不支持此扩展命令,这导致如果用IMAP/SMTP协议接入Notes邮件系统时, 将无法使用邮件推送功能。 另外,IMAP/SMTP协议在邮件配置方面也缺乏辅助手段,对于个人邮箱,这个影响并不 是很明显,因为个人邮箱大都是知名邮件系统,邮件服务器可以由客户端进行内置来解决配 置易用性问题。但对于企业邮箱,邮件服务器信息对客户端来说是不可预知的,因此如何简 化用户配置是一个大问题。参考邮件配置章节5.1、5.2、5.3,使用EAS协议接入拥有较明显的 优势。 3.2 Exchange Active Sync(EAS)邮件协议 Exchange Active Sync协议是微软公布的一套邮件协议,已为业界所认可,通常也简称为 Active Sync或者EAS。相对传统的IMAP/SMTP,Active Sync协议在推送方面更见长,现在已 成为邮件推送的首选标准协议,通常谈到push mail,都认为使用此协议实现。安全邮件使用 Active Sync协议实现邮件推送功能。不同于IMAP/SMTP,Active Sync协议基于HTTP传输,因 此,此协议兼具了HTTP协议提供的一些便利,比如HTTP压缩。Active Sync协议使用xml形式 进行数据封装,结构化更强,而且在高版本中,引入WBXML,对xml数据进行二进制化,以 达到数据压缩的效果。配合HTTP协议的压缩,Active Sync在节省流量方面明显优于 IMAP/SMTP,同时在传输性能上也相对会有所改进。这两点在移动网络中优势尤其明显,因 此,移动终端上使用Active Sync协议更加合理。EAS协议本身不定义交互数据的加密,但可以 通过HTTPS完成传输加密。 4 邮件推送 支持邮件推送的客户端一般又称为push mail。现在绝大部分邮件客户端都支持以推送的方 式同步邮件,移动终端和固定终端上都是如此。安全邮件以推送方式作为主要的邮件同步方 式。 AnyOffice V200R005C00 安全邮件技术白皮书 Confidential 内部公开 All rights reserved 版权所有,侵权必究 Page 9 , Total 14 第9页,共14页 图2 传统邮件同步机制 传统的邮件同步方式是采用客户端主动查询的机制,即定义一个周期,每个周期结束时 向服务器询问是否存在新邮件,有新邮件则开始同步新邮件,如此反复,如图2所示。这种同 步方式在实时性和流量耗用上都存在问题,在移动网络中更趋明显。 图3 邮件推送机制 push mail采用的是服务器通知的方式,具体的做法是,客户端发起推送请求,要求服务器 在有新邮件的时候通知客户端,然后维持长连接,等待通知(连接上无需传输数据)。当服 务器上发现对应的邮件账户有新邮件时,就会主动通知客户端,然后客户端向服务器同步新 邮件即可,如图3所示。这种方式无论在实时性或是流量耗用上都明显优于传统方式。安全邮 件采用这种推送的方式进行邮件同步。 5 邮件配置 邮件客户端要接入邮件系统,需要对一些相关项进行配置,包括邮件账号、密码、邮箱 地址,以及邮件服务器地址信息。特别的,对于常用的个人邮件系统(比如163、sina等), 一般不需要用户配置邮件服务器地址信息,常见的邮件客户端会内置这些服务器的相关信 息;另外,很多个人邮件系统中,使用邮箱地址作为邮件账号,因此用户可能只需要提供邮 AnyOffice V200R005C00 安全邮件技术白皮书 Confidential 内部公开 All rights reserved 版权所有,侵权必究 Page 10 , Total 14 第10页,共14页 箱地址和密码即可完成接入。 对于企业邮件系统来说,邮件服务器地址是不确定的(一个企业内部对邮件服务器使用 公共域名的情况不具备普遍性,且在不同企业间也肯定是不一样的),而且通常不使用邮箱 地址作为邮件用户名。综合这些情况,在接入企业邮件系统时,配置通常较个人邮件系统要 复杂。 安全邮件借助各方面的相关技术,极力简化客户端的用户配置,目前提供两种零配置方 案。以下对这两种方案以及涉及的相关技术进行介绍。 5.1 标准自动发现机制 自动发现机制是微软提供的一种规范,通过在Exchange系统中引入自动发现服务,配合客 户端实现邮件服务器地址的自动查询,以简化客户端配置。自动发现服务基于HTTP协议,支 持SSL加密(HTTPS)。Exchange 2007及以上系统支持自动发现机制。 自动发现规范中定义:如果邮件系统的域名为test-domain.com(此时邮箱账号格式为 user@test-domain.com),且已部署自动发现服务器,那么自动发现服务的目标URL必须是以 下格式:autodiscover.test-domain.com/autodiscover/autodiscover.xml或者testdomain.com/autodiscover/autodiscover.xml。 依赖于以上规范定义,用户只需要输入邮箱地址,邮件客户端即可拼接出自动发现服务 的目标URL,从而完成自动发现交互。 自动发现交互中,客户端将邮件用户名、密码发往自动发现服务的目标URL;自动发现 服务器通过与邮件服务器的交互查找到邮件用户所属的邮件服务器,然后将此邮件服务器地 址返回给客户端。 自动发现机制支持自动查询Active Sync服务器和EWS服务器的地址信息。当选择使用EAS 协议接入Exchange 2007及以上邮件系统时,安全邮件可基于此机制实现客户端零配置。 5.2 基于AnyOffice后台配置的扩展自动发现 从上一小节的介绍中可以看出,自动发现机制仅适用于Exchange 2007及以上版本的邮件 系统,且仅适用于Active Sync协议(EAS)以及EWS协议。在安全邮件中,除了提供纯粹EAS 协议的接入方式外,还提供一种IMAP/SMTP + EAS的混合协议接入方式。对于这种混合协议 接入方式,依赖标准的自动发现机制是满足不了需求的,因为自动发现机制无法查询到IMAP 和SMTP服务器的地址信息。 基于以上问题,安全邮件借助后台服务器的配置,并进行一些合理假设,对标准的自动 发现机制进行扩展,实现了混合协议(EAS + IMAP + SMTP)接入场景下的邮件服务器自动 AnyOffice V200R005C00 安全邮件技术白皮书 Confidential 内部公开 All rights reserved 版权所有,侵权必究 Page 11 , Total 14 第11页,共14页 查询机制。具体做法描述如下。 首先,在安全邮件中进行假设:EWS服务器与IMAP服务器为同一台服务器。做出这一假 设是基于以下考虑:对于Exchange邮件系统,要么使用IMAP/SMTP协议进行接入(大部分第 三方PC端邮件客户端接入形式),要么使用Active Sync协议进行接入(大部分移动终端邮件 客户端接入形式),而EWS服务使用场景很少,基本上不启用。这种情况下可以默认IMAP和 EWS部署在同一台服务器(只需要在IMAP所在服务器启用EWS服务即可)。 在以上假设的基础上,我们认为通过标准的自动发现即可获取到Active Sync服务器以及 IMAP服务器的地址信息。剩下的SMTP服务器则需要借助后台服务器的配置来完成发现,因 为SMTP服务器与其他服务器通常是分开部署的,以较灵活的控制邮件发送权限。具体做法描 述如下。 在后台服务器上进行邮件服务器组列表配置,每个服务器组包含完整的Active Sync服务 器、IMAP服务器以及SMTP服务器信息。在安全邮件登录时,将此列表发送到客户端。安全 邮件完成自动发现后,使用获取到的Active Sync服务器和IMAP服务器信息与此列表进行匹 配,匹配上的邮件服务器组即认为是对应当前用户所在的邮件服务器组。至此即完成了扩展 的自动发现流程,获取到了完整的邮件服务器地址信息。 在自定义的自动发现过程中,之所以同时使用Active Sync服务器和IMAP服务器信息进行 匹配,而不是选择只匹配Active Sync服务器信息,是为了提升此方案的适应性。如果只匹配 Active Sync服务器信息,那么对于Active Sync服务器和IMAP服务器分开部署,且存在一台 Active Sync服务器上的账号对应到多台IMAP服务器上的情况,此方案将无法达到自动发现的 目的。当然,当前方案还是存在一定缺陷,即当Active Sync服务器和SMTP服务器分开部署, 且存在一台Active Sync服务器上的账号对应到多台SMTP服务器上的情况,此方案仍然无法达 到自动发现的目的。由于SMTP服务器通常会选择单独部署,因此对于IMAP服务器那样的假 设(即假设IMAP服务与EWS服务部署在一起),一般不适用于SMTP服务器。 5.3 基于自动发现的零配置方案 对于Exchange邮件系统,通常都会部署自动发现服务,成本很低且易操作。因此安全邮件 接入Exchange 2007及以上邮件系统时,优先推荐使用自动发现机制完成客户端零配置。具体 实现原理参见5.1、5.2小节介绍。 5.4 基于LDAP认证服务器的零配置方案 在不提供自动发现的场景下,如Notes邮件系统、Exchange 2003邮件系统,需要依赖其他 的手段来简化客户端配置。在5.2小节介绍扩展的自动发现机制时,提到了后台配置邮件服务 AnyOffice V200R005C00 安全邮件技术白皮书 Confidential 内部公开 All rights reserved 版权所有,侵权必究 Page 12 , Total 14 第12页,共14页 器组列表的概念,即可以由管理员在后台预先将企业内部的邮件服务器分布配置到后台服务 器上,那么除了自动发现,是否还有其他手段可用来区分用户所属的邮件服务器呢?答案是 肯定的。以下介绍的是依赖LDAP认证服务器上的信息来完成用户与邮件服务器的关联,从而 实现客户端零配置。 完成这种零配置,首先需要进行以下假设:LDAP认证服务器上存在一个字段,此字段能 标示用户所属的邮件服务器信息(比如邮件服务器名称)。这个假设是具有一定现网部署意 义的,通常在LDAP服务器上的用户信息中,会直接或间接包含一些标示所属邮件服务器信息 的字段,如前面提到的邮件服务器名称,再比如用户的地域信息(邮件服务器可能按照地域 进行部署)。在以上假设成立的情况下,具体的零配置方式描述如下。 管理员在后台服务器上对邮件服务器标示字段进行LDAP搜索,搜索出的值序列对应于企 业内部所部属的所有邮件服务器,将这些值作为AnyOffice后台服务器上邮件服务器组列表中 的服务器组名。然后再手动补全每个邮件服务器组的详细地址信息。 完成以上准备工作后,当安全邮件到后台服务器进行登录认证时,后台服务器从LDAP服 务器上搜索该用户所对应的邮件服务器标示字段的值。然后使用该值到邮件服务器组列表中 查找到对应的邮件服务器组,该组服务器就是当前用户所在的邮件服务器。将此邮件服务器 组下发到客户端,客户端直接使用此配置进行接入即可。 6 邮件数据安全 BYOD方案解决的是用户使用个人终端进行移动办公过程中的接入和安全问题,安全邮件 作为该解决方案中的重要特性之一,提供内网接入、传输加密以及企业数据本地加密等安全 特性,防止企业数据泄露。 6.1 邮件数据传输加密 安全邮件支持通过加密的应用专属隧道从外网接入到企业内部邮件服务器,在让用户获得 与内网接入无差别的体验同时,又能保证企业数据在外网侧传输上的安全。 在内网侧,接入网关与邮件服务器之间,企业可以视情况决定是否需要加密传输。如果 有必要,可以通过服务器配置启用加密传输。IMAP/SMTP协议均支持SSL加密传输,在常见 邮件系统中均提供此设置,EAS协议支持启用HTTPS加密传输。安全邮件中对IMAP、EAS的 加密传输都支持,但对SMTP协议的加密传输暂时未提供支持。 6.2 邮件数据本地加密 在安全邮件客户端,邮件数据都是使用高强度加密算法加密后再保存到终端的。其中, AnyOffice V200R005C00 安全邮件技术白皮书 Confidential 内部公开 All rights reserved 版权所有,侵权必究 Page 13 , Total 14 第13页,共14页 邮件正文以及邮件的附件,是由安全邮件自动选择本地工作目录进行加密保存的;当用户选 择附件另存为时,安全邮件提供一个用户目录,用于加密保存用户指定的邮件附件。 安全邮件加密保存的文件使用第三方应用是无法打开查看的,必须通过AnyOffice提供的 安全文档管理器进行查看。安全文档管理器实现文件路径、文件名以及文件内容解密,从而 提供给用户目录管理,加密文件管理的功能。 6.3 邮件权限控制 对于企业邮箱,通常需要对用户的权限进行控制,比如是否允许发送邮件、是否允许查 看附件等。EAS协议提供一定的权限管理功能,IMAP/SMTP基本没有权限管理相关功能, 只能通过网关进行限制,而且这种限制手段缺乏灵活性。 安全邮件提供细粒度的权限控制。管理员可以在后台服务器上进行邮件策略配置。邮件 策略可以绑定到用户角色上,从而对具体用户进行控制。安全邮件登录时,会从后台服务器 上获取邮件策略信息,然后在用户使用过程中进行相应的权限控制。 后台服务器上支持设置的邮件策略包括:接入协议类型(IMAP/EAS)、是否允许发送邮 件、是否允许查看附件、是否允许保存附件、是否允许转发附件、是否允许上传附件等。 7 邮件代理 邮件代理模式是在移动终端和邮件服务器之间部署一台邮件代理服务器,邮件应用的所 有请求由此服务器中转到邮件服务器上。 邮件代理服务器可对邮件系统提供的功能进行扩展,包括但不限于以下几方面: 1、附件病毒扫描、图片资源压缩、附件压缩、邮件加密、附件缓存等。 2、接入权限控制。对接入用户、终端进行合规性检查,禁止不合规用户、终端接入邮件系 统。 3、邮件推送代理。由于iOS系统限制,应用理论上无法做到后台常驻,当应用被杀死后,邮 件推送将失效。借助邮件代理服务器以及苹果推送服务,可保证邮件推送服务一直有效。 邮件代理服务器上进行权限控制,与MDM功能有一定程度的重叠,适合于不单独部署 MDM业务的场景,可以将MDM于邮件业务进行结合,达到一定程度的管控作用。 邮件代理服务器可一定程度上提升用户体验,包括访问加速、推送可靠性提升等,但同时 也需要增加部署开销,且由于代理服务器并发处理要求较高,对业务稳定性、可靠性也有一 定影响。 8 总结 AnyOffice V200R005C00 安全邮件技术白皮书 Confidential 内部公开 All rights reserved 版权所有,侵权必究 Page 14 , Total 14 第14页,共14页 本文介绍了AnyOffice移动办公安全解决方案中安全邮件特性涉及到的技术实现原理,并 简单进行了相关的对比分析。