Pdoduct Center

Exchange 双因素方案

1     软域EXCHANGE 双因素解决方案，通过部署代理服务器和双因素认证管理平台，全面保护企业邮箱访问安全。

2     软域双因素认证系统，同步AD账户，获取所有账户基本信息，包括手机号码，支持OTP动态令牌，短信一次验证码，和短信激活链接多种方式。分别可用于不同协议的双因素加固。  

3     软域EXCHANGE 双因素解决方案，支持OWA，Activesync,mapi,pop3,imap,smtp 六大协议类型，是支持最完整的邮件双因素解决方案

4     软域EXCHANGE 双因素解决方案，支持网络白名单策略用户白名单策略，当用户的源IP或者用户的账户属于白名单时，则可以忽略双因素验证需求，直接连接，从而简化了在安全范围内的便捷连接，如公司内网。对于特定账号，列入白名单后，不论其处于何处，连接时，都可以忽略二次验证直接连接。

5     具体协议实现描述如下：  

1、通过OWA访问

此时发布的邮件地址是软域代理服务器，代理服务器通过检查用户登录时的动态令牌，确定是否放行进行正常登录，动态令牌30秒变化一次，且无法预测。实现了双因素认证保护。软域OWA双因素访问即支持OTP方式也支持SMS短信方式，即二次验证码通过短信方式发送给用户，用户登录时通过输入收到的短信验证码进行二次验证登录。

对于设置了网络白名单的源IP，显示内容跟以往登录一样。而其他模式，登录页面会显示额外的登录框，对于白名单用户，可以忽略，对于普通用户，需要输入正确的OTP或者短信验证码，通过后才可以正常登录。

此方式也可以有效防止暴力破解对邮件系统的伤害，如果管理员开启了失败登录一定次数锁定账户的策略，则会遇到不断被恶意失败枷锁的账户需要解锁，如果没有设置，则会出现被暴力破解的风险。通过部署二次验证，可以有效解决这一问题，访问者只有在通过双因素验证后，才会将用户名和密码正式传入后台验证，而对双因素的破解，目前是几乎不可能的。

2、手机exchange客户端访问

手机访问时，也是通过代理进行转发，第一次登录时，后台判断该手机是一台新的手机，后台没有DEVICEID标识，于是查询该用户账户信息，获取该账户手机号码，随后发送一个激活的地址给用户，用户如果确实是该账户的所有者，只有他的手机可以收到这个激活连接，用户点击连接，打开页面用户点击允许后，后台记录该手机的deviceID,予以放行，可以正常使用。

同样，软域双因素网关，支持手机协议的网络白名单和用户白名单策略，其实现方式同OWA一样的逻辑。

注意，每个手机上每一个支持EXCHANGE ACTIVESYNC协议的APP都有唯一的一个ID值。在注册时，需要单独激活。

对于已经设置了账户的手机，后台部署网关后，在手机连接时，同样会发送一条激活链接，否则原有的APP无法接受新的邮件，也不能进行发送行为。

 3 、MAPI OVER HTTP协议，即OUTLOOK客户端

   软域exchange 双因素 网关，支持MAPI协议，这一协议是微软在exchange server 2013SP1引进的，随后在exchange server 2016 和 exchange server 2019版本中作为标准客户端协议，从而逐步替代原先的RPC协议。

   软域exchange 双因素 网关支持MAPI协议，在用户设置客户端时，同样会激发后台的激活动作，只有用户账户的手机会接受到该激活链接，用户点击确认后，即可正常使用。

   软域exchange 双因素 网关不需要部署任何客户端，用户使用习惯跟以往并无二致，唯一需要确认的就是，用户拥有正确的账户手机号码，能接受激活信息，从而进行了更有效的身份认证。

  用户不重新安装客户端则不需要再次认证，只有在更换电脑，或者重新安装OUTLOOK时，才需要再次进行认证。

  同样，软域exchange 双因素对MAPI的支持也可以应用网络和用户白名单策略。

4、POP3,IMAP,SMTP 协议的支持

  软域exchange 双因素认证支持对国际标准邮件协议的支持，当用户使用POP3协议，IMAP协议收取邮件时，后台会判断，该用户是否在该源IP拥有连接权限，如果没有则发送激活信息，如果有，则会予以放行。

  同样，对于SMTP,后台也会予以激活信息的判断，只是SMTP与收邮件协议略有不同，再连接时，如果没有SMTP的激活信息，后台还会判断是否有该用户的POP3和IMAP协议的信息，如果有，则予以放行，如果没有则同样发送激活短信进行验证。

  以上三种协议，同样支持网络白名单和用户白名单。

软域exchange邮件网关，支持一台手机绑定多个账户，也支持一个用户绑定多台手机。可以单独的对用户--协议之间的关系设置白名单。

软域exchange邮件网关对每一种协议都提供激活信息和日志登录信息，可以方便的对激活信息进行管理。

通过登录审计信息，可以及时查找异常信息，发现那些有可能对邮箱系统有恶意的访问。也可以分析用户的访问习惯，对邮箱系统下一步的优化提供有效支撑。