集成Exchange Server或IBM Notes Traveler服务器
为了使安全邮件与邮件服务器保持同步,可以将安全邮件与位于内部网络中或Citrix网关后面的Exchange服务器或IBM Notes Traveler服务器相集成。
- 要配置安全邮件的后台服务,请参阅:安全邮件的后台服务。
- 要为安全邮件配置IBM Notes旅行者服务器,请参阅:为安全邮件配置IBM Notes旅行者服务器。
重要:
无法将Secure Mail中的邮件与IBM Notes Traveler(以前称为IBM Lotus Notes Traveler)同步。此Lotus Notes第三方功能当前不受支持。因此,举例而言,当您从安全邮件中删除会议邮件时,将不在IBM Notes Traveler服务器上删除该邮件。[CXM-47936]要了解有关IBM/Lotus Notes的已知限制,请参阅此Citrix博客文章。
同步还适用于Secure Notes和安全任务。但请注意,安全记录和安全任务已于2018年12月31日达到生命周期结束(EOL)状态。有关详细信息,请参阅Eol和已弃用的应用程序。
- 要同步Secure Notes for iOS,请将其与Exchange Server集成。
- 要将安全笔记与安全任务为Android同步,请使用安全邮件为Android帐户。
将安全邮件,安全笔记和安全任务添加到Citrix Endpoint Management(以前称为XenMobile)后,请按配置后台服务的MDX应用程序策略中所述配置MDX策略。
注意:
安全邮件为Android和安全邮件为iOS支持为Notes旅行者服务器指定的完整路径。例如:
https://mail.example.com/traveler/Microsoft-Server-ActiveSync。无需再为旅行服务器配置带有Web站点替换规则的Domino目录。
为安全邮件配置IBM Notes旅行者服务器
在IBM Notes环境中,必须先配置IBM Notes Traveler服务器才能部署安全邮件。本节提供了此配置的部署图和系统要求。
重要:
如果您的Notes Traveler服务器使用SSL 3.0,则请注意,SSL 3.0包含一个名为Padding Oracle下调遗产加密(贵宾犬)攻击的漏洞,这是一种中间人攻击,影响连接到使用SSL 3.0的服务器的任何应用程序。为了解决狮子狗攻击引入的漏洞,安全邮件默认禁用SSL 3.0连接,并使用TLS 1.0连接到服务器。因此,安全邮件无法连接到使用SSL 3.0的Notes Traveler服务器。有关建议的解决方法的详细信息,请参阅集成Exchange Server或IBM Notes Traveler服务器中的"配置ssl / tls安全级别"部分。
在IBM Notes环境中,必须先配置IBM Notes Traveler服务器才能部署安全邮件。
下图显示了一个示例部署中IBM Notes Traveler服务器和IBM Domino邮件服务器的网络部署情况。
系统要求
基础结构服务器要求
- IBM Domino邮件服务器9.0.1
- IBM Notes Traveler 9.0.1
身份验证协议
- Domino数据库
- Lotus Notes身份验证协议
- 轻型目录身份验证协议
端口要求
- Exchange:默认SSL端口为443。
- IBM Notes:使用端口443支持SSL。默认情况下,使用端口80支持非ssl。
配置ssl / tls安全级别
Citrix对安全邮件进行了修改,解决了前面“重”要注意事项中所述的狮子狗攻击引入的漏洞。如果您的Notes Traveler服务器使用SSL 3.0,因此,要启用连接,建议的解决方法是在IBM Notes Traveler Server 9.0上使用TLS 1.2。
IBM发布了一款修补程序,用于阻止在Notes Traveler安全服务器到服务器通信中使用SSL 3.0。该修补程序于2014年11月发布,作为以下Notes Traveler服务器版本的中间修复更新包含在内:9.0.1 IF7, 9.0.0.1 IF8和8.5.3升级包2 IF8(将包含在所有将来的版本中)。有关该修补程序的详细信息,请参阅Lo82423:禁用traveler服务器到服务器通信的sslv3(lo82423:对traveler服务器到服务器通信禁用sslv3)。
另一个解决方法:将安全邮件添加到端点管理中时,请将“连接安全级别“策略更改为SSLv3和TLS。有关此问题的最新信息,请参阅Secure Mail 10.0.3默认禁用SSLv3连接(在Secure Mail 10.0.3上默认禁用SSLv3连接)。
下表基于“连接安全级别”策略值,按操作系统指出了安全邮件支持的协议。您的邮件服务器必须也可以协商协议。
下表显示了连接安全级别为SSLv3和TLS时安全邮件支持的协议。
| 操作系统类型 | SSLv3 | TLS |
|---|---|---|
| iOS 9及更高版本 | 否 | 是 |
| Android M之前的版本 | 是 | 是 |
| Android M和Android N | 是 | 是 |
| Android O | 否 | 是 |
下表显示了连接安全级别为TLS时安全邮件支持的协议。
| 操作系统类型 | SSLv3 | TLS |
|---|---|---|
| iOS 9及更高版本 | 否 | 是 |
| Android M之前的版本 | 否 | 是 |
| Android M和Android N | 否 | 是 |
| Android O | 否 | 是 |
配置笔记旅行者服务器
以下信息与IBM Domino Administrator客户端中的配置页面相对应。
- 安全:互联网身份验证设置为“更少的名字变化与高安全”(名称变化更少、安全性更高)。此设置用于将UID映射到LDAP身份验证协议中广告的用户ID(广告用户ID)。
- Notes.ini设置:添加NTS_AS_ENFORCE_POLICY=假。这样可以让安全邮件策略受端点管理管理,而不是受旅行者管理。此设置可能与当前的客户部署冲突,但会简化端点管理部署中设备的管理。
- 同步协议:安全邮件当前不支持在IBM笔记上使用同步协议SyncML以及执行移动设备同步。安全邮件通过 Traveler 服务器中内置的 Microsoft ActiveSync 协议同步“邮件”、“日历”和“联系人”项目。如果将 SyncML 强制作为主要协议,则 Secure Mail 不能通过 Traveler 基础结构回连。
- Domino目录配置- Web Internet站点:覆盖/旅行者的“会话身份验证”,以禁用基于表单的身份验证。