邮件在现在的商业应用中已经越来越重要,几个月前,某知名咨询机构遭遇了史上最严重的******,******了该公司全球电子邮件服务器的管理员账号(未启用双因子认证),让***成功获取了足够访问权限,超过500万封电子邮件和大量客户知识产权、敏感信息可能被泄露。这是继Equifax和美国证券交易委员会SEC***事件后,连续爆出的第三起足以影响全球经济的重大信息安全事故。为了保护电子的安全,很多机构都开始引入多因子认证(MFA,Multi-Factor Authentication)。

在Office365中,很早就开始已经支持MFA了,所以,对于纯O365用户和混合部署的用户,都能方便的使用启用O365和MFA,或是Azure AD的MFA,但对于本地部署的Exchange邮件系统,如果需要,是否也可以使用MFA来保证邮件安全呢?
当然是可以的,但如果是完全本地部署(本地的AD、本地Exchange)会有些限制,因为Exchange OWA界面并不支持输入验证码等窗口,对于下面的四种验证方式,只支持电话呼叫的方式来实现,即:用户在输入用户名密码后,预留的手机上会收到一个来电,要求用户按#键确认,或是输入预先设置的PIN码(由管理员确定设置使用哪一种)!
Azure AD支持的双因子认证方法
电话呼叫 致电用户已注册的电话号码。 用户在必要时输入 PIN,再按 # 键。
短信 向用户的移动电话发送包含 6 位数验证码的短信。 用户在登录页上输入此验证码。
移动应用通知 向用户的智能手机发送验证请求。 用户在必要时输入 PIN,再在移动应用上选择“验证”。
移动应用验证码 在用户智能手机上运行的移动应用将显示验证码,每 30 秒更改一次。 找到最新验证码后,用户在登录页上输入验证码。
第三方 OATH 令牌 可以将 Azure 多重身份验证服务器配置为接受第三方验证方法。

下面来介绍下,如果在On-Premises的Ad、Exchange中实施多因子认证方法!

1、 首必须有一个Azure订阅(可以不是你On-Premises相关的),在AD/MFA服务器、服务器设置,找到:下载MFA服务软件
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA

2、 也可以直接从以下地址下载:
https://www.microsoft.com/en-us/download/details.aspx?id=55849&WT.mc_id=rss_alldownloads_all&download=mfa&clcid=0x4
3、 下载完成后,在Exchange服务器(OWA)上运行安装程序,提示需要先安装两个组件,安装
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA
4、 完成后开始MFA Server安装,选择安装目录
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA
5、 安装过程很简单,点下一步,即可安装完成!
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA
6、 第一次开始时会提示输入Email/password,注意,这里并不是你的某个邮箱,而是在Azure订阅里面生成的一个用户激活的Azure邮箱和密码
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA
7、 在Azure管理里,AD/MFA服务器、服务器设置,点生成,将生成出来的邮件地址和密码Copy到上图中MFA Server
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA
8、 点激活
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA

9、 激活选择一个存在的组,或是新建一个MFA组
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA
10、 确认完成后的界面
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA
11、 首先需要从AD导入用户,在User下,输入Import From AD
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA
12、 选择需要导入的域、OU、用户等,可以按需求,可以导入整个AD的用户,也可以只某入导个OU
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA
13、 选择好后,点Import,相应的用户即输入到MFA的User清单中
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA
14、 接下来我们就要对需要的用户进行配置,注意电话号码和国家区号一定要正常,然后在Phone Call、启用
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA
15、 选择IIS Authentication,添加OWA HTTP地址
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA
16、 选择需要启用FMA的OWA目录,如果需要启用OEA/ECP,勾选这两项,然后勾选上面的Enable IIS Authentication
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA
17、 到这里,配置即完成了!现在电脑开启OWA,输入用户名密码后,点登入
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA
18、 并不会马上显示登录成功或是失败,需要等待电话确认,这里你在前面设置的手机会接到一个陌生号码拔过来的电话,如果你不接,或是挂断,OWA则会提示用户名密码不正确,登录失败!
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA
19、 如果你正常接通,依语音提示按#键进行验证,
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA
20、 验证通过后OWA即可正常登录!
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA

21、 默认的语音提示为英文,你可以依用户修改为本地语言,如中文,这样用户听到的语音提示就会变为中文!
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA
22、 如果使用选择PIN码验证的方式,用户在登录时,需要接通电话后,输入预先设定的PIN码才能完成验证!
MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA

总结:虽然没有O365的MFA功能那么强大,但能加一个电话验证的功能,相比单纯的密码还是要安全很多,在面对现阶段大家对密码意识不强的情况下,还是很有效果的!