При проверке подлинности на основе форм для идентификации сеанса пользователя используются файлы cookie. Срок действия таких файлов cookie автоматически истекает при слишком продолжительном бездействии пользователя. По умолчанию период ожидания при выбранном параметре Это общедоступный или совместно используемый компьютер на странице входа в Outlook Web Access равен 15 минутам. Период ожидания по умолчанию при выбранном параметре Это частный компьютер на странице входа в Outlook Web Access равен 12 часам. Эти параметры можно настроить в соответствии с потребностями организации.

После завершения сеанса пользователя на сервере истекает срок действия файла cookie, и его нельзя использовать повторно. Так как истечение срока действия зависит от сервера Exchange, оно выполняется вне зависимости от того, какой веб-обозреватель используется.

Если Outlook Web Access настроен на использование обычной проверки подлинности, веб-обозреватель кэширует учетные данные пользователя для повторного использования с каждым запросом с клиентского компьютера. После выхода пользователя из системы операция завершения сеанса отправляет в веб-обозреватель запрос на очистку кэша учетных данных на клиентском компьютере. Это поддерживается только Internet Explorer 6 и более поздними версиями.

По умолчанию Outlook Web Access настроен на проверку подлинности на основе форм. Такая проверка подлинности более безопасна, чем обычная.

Динамическое содержимое включает содержимое сообщений, иерархию папок почтовых ящиков, а также другие элементы, которые могут меняться во время входа пользователя в Outlook Web Access. Функции веб-обозревателя, которые выводят динамическое содержимое, нельзя контролировать с помощью Microsoft Exchange. Тем не менее можно снизить риск, как описано ниже.

• Outlook Web Access передает веб-обозревателю команду никогда не кэшировать динамическое содержимое, отображаемое пользователю. Это означает, что данные не будут храниться в кэше диска. Тем не менее они могут храниться в памяти.
  
  
• Когда пользователь закрывает веб-обозреватель в соответствии с указанием на странице выхода из Outlook Web Access, все данные, кэшированные в памяти, удаляются.
  
  

По умолчанию Outlook Web Access настроен на использование SSL-шифрования, которое обеспечивает дополнительную защиту. При установке роли сервера клиентского доступа на компьютере, на котором выполняется Exchange 2007, устанавливается самозаверяющий SSL-сервер. Можно использовать этот сертификат или получить сторонний сертификат. В соответствии со стандартами HTTP веб-обозреватели не должны копировать содержимое SSL на диск. Тем не менее не все веб-обозреватели могут соответствовать этому стандарту. Internet Explorer не кэширует содержимое SSL.

К статическому содержимому относятся сценарии и изображения, которые используются Outlook Web Access, например значки панели инструментов. Статическое содержимое кэшируется на диске клиентского компьютера. Outlook Web Access не отправляет в веб-обозреватель команды для удаления статического содержимого при выходе пользователя из системы. Это обеспечивает более быструю загрузку Outlook Web Access при следующем входе пользователя с того же компьютера. Статическое содержимое не содержит данных, по которым можно установить личность пользователя или определить название организации.

Вложения могут содержать особо конфиденциальные данные. В более ранних версиях Microsoft Exchange для просмотра вложений можно было открыть их на клиентском компьютере. Для этого во временной папке создавалась временная копия файла, а затем запускалось приложение, с помощью которого можно было просмотреть файл. При этом на клиентском компьютере создавалась операция, отдельная от сеанса Outlook Web Access.

Outlook Web Access в Exchange 2007 поддерживает веб-просмотр документов, который позволяет пользователям просматривать файлы наиболее распространенных типов. Пользователи Outlook Web Access могут использовать веб-просмотр документов для просмотра вложений в виде HTML-файлов. При этом вложения так же защищены, как любое другое динамическое содержимое.

Exchange Server 2007 с пакетом обновления 1 (SP1)

Exchange 2007 с пакетом обновления 1 (SP1) поддерживает шифрование S/MIME. Шифрование S/MIME позволяет защитить вложения и текст сообщения. Кроме того, любое содержимое файлов, кэшированное на диске, перезаписывается несколько раз. Шифрование S/MIME поддерживается в Microsoft Exchange Server 2003 и в Exchange 2007 с пакетом обновления 1 (SP1). Тем не менее шифрование S/MIME не поддерживается в окончательной первоначальной версии (RTM) сервера Exchange 2007.