邮件在现在的商业应用中已经越来越重要,几个月前,某知名咨询机构遭遇了史上最严重的******,******了该公司全球电子邮件服务器的管理员账号(未启用双因子认证),让***成功获取了足够访问权限,超过500万封电子邮件和大量客户知识产权、敏感信息可能被泄露。这是继Equifax和美国证券交易委员会SEC***事件后,连续爆出的第三起足以影响全球经济的重大信息安全事故。为了保护电子的安全,很多机构都开始引入多因子认证(MFA,Multi-Factor Authentication)。 在Office365中,很早就开始已经支持MFA了,所以,对于纯O365用户和混合部署的用户,都能方便的使用启用O365和MFA,或是Azure AD的MFA,但对于本地部署的Exchange邮件系统,如果需要,是否也可以使用MFA来保证邮件安全呢? 当然是可以的,但如果是完全本地部署(本地的AD、本地Exchange)会有些限制,因为Exchange OWA界面并不支持输入验证码等窗口,对于下面的四种验证方式,只支持电话呼叫的方式来实现,即:用户在输入用户名密码后,预留的手机上会收到一个来电,要求用户按#键确认,或是输入预先设置的PIN码(由管理员确定设置使用哪一种)! Azure AD支持的双因子认证方法 **电话呼叫 **致电用户已注册的电话号码。 用户在必要时输入 PIN,再按 # 键。 **短信 **向用户的移动电话发送包含 6 位数验证码的短信。 用户在登录页上输入此验证码。 **移动应用通知** 向用户的智能手机发送验证请求。 用户在必要时输入 PIN,再在移动应用上选择“验证”。 **移动应用验证码** 在用户智能手机上运行的移动应用将显示验证码,每 30 秒更改一次。 找到最新验证码后,用户在登录页上输入验证码。 **第三方 OATH 令牌** 可以将 Azure 多重身份验证服务器配置为接受第三方验证方法。 下面来介绍下,如果在On-Premises的Ad、Exchange中实施多因子认证方法! 1、 首必须有一个Azure订阅(可以不是你On-Premises相关的),在AD/MFA服务器、服务器设置,找到:下载MFA服务软件 ![](https://s4.51cto.com/images/blog/201802/05/007ffe7416c14befe23e99655e395330.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 2、 也可以直接从以下地址下载: https://www.microsoft.com/en-us/download/details.aspx?id=55849&WT.mc_id=rss_alldownloads_all&download=mfa&clcid=0x4 3、 下载完成后,在Exchange服务器(OWA)上运行安装程序,提示需要先安装两个组件,安装 ![](https://s4.51cto.com/images/blog/201802/05/c1ab443005fdac731b84390962f5351b.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) ![](https://s4.51cto.com/images/blog/201802/05/1454d31ae3716c1c552e7bd53974d4f1.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 4、 完成后开始MFA Server安装,选择安装目录 ![](https://s4.51cto.com/images/blog/201802/05/7b1172a350705764f80bff35e4cc2a26.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 5、 安装过程很简单,点下一步,即可安装完成! ![](https://s4.51cto.com/images/blog/201802/05/16396a5098ef1bf2df09c3f403657ec1.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 6、 第一次开始时会提示输入Email/password,注意,这里并不是你的某个邮箱,而是在Azure订阅里面生成的一个用户激活的Azure邮箱和密码 ![](https://s4.51cto.com/images/blog/201802/05/602618f61ac4a9dc035f1a0acab8d1d9.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 7、 在Azure管理里,AD/MFA服务器、服务器设置,点生成,将生成出来的邮件地址和密码Copy到上图中MFA Server ![](https://s4.51cto.com/images/blog/201802/05/99c8328d9791bdc30cfb73506130a6e6.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 8、 点激活 ![](https://s4.51cto.com/images/blog/201802/05/55d5a2ee3ffb0414f70f66cae69dad1f.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 9、 激活选择一个存在的组,或是新建一个MFA组 ![](https://s4.51cto.com/images/blog/201802/05/3c20f97984950a93a93a873cd16412c8.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 10、 确认完成后的界面 ![](https://s4.51cto.com/images/blog/201802/05/8823325d5fcb4b8dadde800746cacba2.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 11、 首先需要从AD导入用户,在User下,输入Import From AD ![](https://s4.51cto.com/images/blog/201802/05/f7942f1547a108e987ad284461691da5.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 12、 选择需要导入的域、OU、用户等,可以按需求,可以导入整个AD的用户,也可以只某入导个OU ![](https://s4.51cto.com/images/blog/201802/05/db316737c6669c2e58b8b115aefdd0d1.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 13、 选择好后,点Import,相应的用户即输入到MFA的User清单中 ![](https://s4.51cto.com/images/blog/201802/05/f7d73923e8bfec73a63493e4134f7cf0.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 14、 接下来我们就要对需要的用户进行配置,注意电话号码和国家区号一定要正常,然后在Phone Call、启用 ![](https://s4.51cto.com/images/blog/201802/05/615b8bd882a1fc3e45901e8c280a57f5.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 15、 选择IIS Authentication,添加OWA HTTP地址 ![](https://s4.51cto.com/images/blog/201802/05/207d2909e08625e9888b0d934764ceb0.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 16、 选择需要启用FMA的OWA目录,如果需要启用OEA/ECP,勾选这两项,然后勾选上面的Enable IIS Authentication ![](https://s4.51cto.com/images/blog/201802/05/33cea0dfefc37b9a3b826b570aea9ffa.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 17、 到这里,配置即完成了!现在电脑开启OWA,输入用户名密码后,点登入 ![](https://s4.51cto.com/images/blog/201802/05/7481574a9f7ee9649125a2bb6e931417.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 18、 并不会马上显示登录成功或是失败,需要等待电话确认,这里你在前面设置的手机会接到一个陌生号码拔过来的电话,如果你不接,或是挂断,OWA则会提示用户名密码不正确,登录失败! ![](https://s4.51cto.com/images/blog/201802/05/a8ab75b1627af031705fe58ecc9e642d.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) ![](https://s4.51cto.com/images/blog/201802/05/1066bbb63e9f4ef10ef9400ceb88393a.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 19、 如果你正常接通,依语音提示按#键进行验证, ![](https://s4.51cto.com/images/blog/201802/05/6702f9850d9f5e3f0c7635a2311ba2ba.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 20、 验证通过后OWA即可正常登录! ![](https://s4.51cto.com/images/blog/201802/05/532619acadcc6637fca7136771447bf0.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 21、 默认的语音提示为英文,你可以依用户修改为本地语言,如中文,这样用户听到的语音提示就会变为中文! ![](https://s4.51cto.com/images/blog/201802/05/f7e554de2dac9c45f32a5b718de578b5.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 22、 如果使用选择PIN码验证的方式,用户在登录时,需要接通电话后,输入预先设定的PIN码才能完成验证! ![](https://s4.51cto.com/images/blog/201802/05/340aa0a4b5dba780beaf59d92dabde6b.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 总结:虽然没有O365的MFA功能那么强大,但能加一个电话验证的功能,相比单纯的密码还是要安全很多,在面对现阶段大家对密码意识不强的情况下,还是很有效果的!