Gewusst wie: Secure Internet Message Access Protocol Client Access in Exchange 2000

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 319278 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser schrittweise aufgebaute Artikel beschreibt die Sicherheitskonfiguration für eingehende Internet Message Access Protocol (IMAP4) Verbindungen zu Ihren Exchange 2000-Computern konfigurieren, damit die Benutzer authentifizieren und empfangen potenziell vertraulichen Materialien ohne das Risiko von entweder der Benutzername, Kennwort oder Nachrichteninhalt abgefangen werden können.

Sie müssen möglicherweise Benutzer, die IMAP4 verwenden, um zu Ihren Exchange 2000-Computern zu verbinden. In der Regel verwenden Sie IMAP4-Verbindungen, wenn Bandbreiteneinschränkungen oder Firewall Anschlussbeschränkungen vorhanden sind, jedoch größere Flexibilität als die Flexibilität, die bereitgestellt wird, wenn Sie Post Office Protocol v. 3 (POP3) Verbindungen erforderlich. Allerdings verwenden wie POP3, IMAP4-Authentifizierung und die Nachrichtenübertragung Klartext-Befehle, die zum Abfangen geöffnet sind.

Voraussetzungen

Die folgende Liste führt die empfohlene Hardware, Software, Netzwerkinfrastruktur und Servicepacks, die Sie benötigen:
  • Microsoft Windows 2000 Server mit ServicePack 2 (SP2)
  • Active Directory
  • Exchange Server 2000 mit Service Pack 1 (SP1) auf einem Windows 2000-basierten Mitgliedsserver in der Domäne installiert.
  • IMAP4-Client wie Outlook Express 5.0 oder höher
In diesem Artikel wird vorausgesetzt, dass Sie über Erfahrungen auf den folgenden Gebieten verfügen:
  • Exchange-System-Manager
  • TCP/IP-Konfigurationsprobleme
  • Sicherheitskonzepte, z. B. SSL (Secure Sockets Layer) und Verschlüsselung
  • Sicherheitszertifikate
  • Netzwerkmonitor erfasst

Wie planen Sie die Sicherheitsebene

Bevor Sie den virtuellen IMAP4-Server konfigurieren, müssen Sie das Maß an Sicherheit berücksichtigen, die Sie implementieren möchten. Sie können IMAP4-Sicherheit auf drei wichtigsten Ebenen konfigurieren:
  • Verbindung-Steuerelement:

    Verbindungskontrolle schränkt Verbindungen basierend auf IP-Adresse oder Domäne Namen, einschließlich DNS-reverse-Lookups. Diese Sicherheitsstufe ist eine grundlegende Ebene, die Sie verwenden nur, wenn Sie die IP-Adresse der eingehenden Verbindung garantieren können. Diese Sicherheitsstufe nicht Kennwörtern oder Nachrichtendaten verschlüsselt; jedoch können Sie diese Ebene verwenden, mit den anderen Sicherheitseinstellungen.
  • Zugriffssteuerung:

    Zugriffssteuerung können Sie die Standardauthentifizierung oder integrierte Windows-Authentifizierung (NTLM-Authentifizierung) konfigurieren. Da Standardauthentifizierung Klartext-Benutzernamen und Kennwörter zulässt, wird empfohlen, diesen Authentifizierungstyp zu deaktivieren. Wenn Sie die Standardauthentifizierung deaktivieren, müssen Sie die Anmeldung durch gesicherte Kennwortauthentifizierung auf der IMAP4-Client-Software zu aktivieren. Klicken Sie auf die Registerkarte Server in den Firmen-Eigenschaften damit Kennwortauthentifizierung in Microsoft Outlook Express. Beachten Sie, dass gesicherte Kennwortauthentifizierung nur die Anmeldesitzung, nicht den Nachrichtentext verschlüsselt.

    Hinweis : integrierte Windows-Authentifizierung funktioniert nur in Szenarios, in denen der Clientcomputer einen Domänencontroller um Ihre Anmeldeinformationen überprüfen kontaktieren kann. In den meisten Firewallkonfigurationen dieses Szenario ist nicht möglich und nicht wünschenswert. Interne Implementierungen von IMAP4-Zugriff (wobei die Anmeldesitzung nicht im Internet durchlaufen wird) können jedoch NTLM-Authentifizierung verwenden.
  • Sichere Kommunikation:

    Sicherer Kommunikation verschlüsselt die gesamte IMAP4-Sitzung, einschließlich der Anmeldevorgang und die Übertragung des Nachrichtentextes mithilfe der SSL-Verschlüsselung. Es wird empfohlen, dass Sie SSL für alle IMAP4-Verbindungen zu Exchange 2000 verwenden, die öffentliche Netzwerke wie das Internet übertragen. Sie müssen ein Zertifikat auf auf den virtuellen IMAP4-Server installieren. Sie können entweder eine externe Zertifizierungsstelle verwenden oder Sie können Zertifikatsdienste installieren, in Ihrer Active Directory-Gesamtstruktur ein Zertifikat zu installieren.
Hinweis : Wenn Sie das Protokoll IMAP4 verschlüsseln, werden Sitzungen nur beim Sammeln von e-Mail vom virtuellen Exchange 2000 IMAP4-Server geschützt; SMTP-Nachrichtenübermittlung wird jedoch nicht verschlüsselt. Es wird empfohlen, dass zusätzliche Vorsichtsmaßnahmen zum Verschlüsseln von SMTP-Nachrichtenübermittlung zu absolvieren. Weitere Informationen zum Verschlüsseln von SMTP-Nachrichtenübermittlung folgendem Artikel der Microsoft Knowledge Base:
319267Gewusst wie: Secure Simple Nachrichtenübermittlung Transfer Protocol Client Message

So IMAP4 Virtual-Objekt greifen Sie auf

  1. Klicken Sie auf Start , zeigen Sie auf Programme , zeigen Sie auf Microsoft Exchange und klicken Sie dann auf System-Manager .
  2. Klicken Sie in den linken Bereich auf Server .
  3. Klicken Sie auf den Server, den Sie konfigurieren möchten, klicken Sie auf Protokolle , und klicken Sie dann auf IMAP4 .
  4. Klicken Sie mit der rechten Maustaste auf Virtueller Standardserver für IMAP4 , und klicken Sie dann auf Eigenschaften .
  5. Klicken Sie auf die Registerkarte Access die Access-Steuerelement-Einstellungen konfigurieren.

So konfigurieren Sie IP-Einschränkungen

  1. Öffnen Sie die virtuellen Standardserver für IMAP4-Eigenschaften.

    Dazu gehen Sie im vorherigen Abschnitt.
  2. Klicken Sie auf die Registerkarte Zugriff , und klicken Sie dann auf Verbindung .
  3. Klicken Sie auf nur Computer in die Liste .

    Wenn Sie dies tun, dürfen nur die IP-Adressen und Domänen in der Liste mit den virtuellen IMAP4-Server herstellen. Verwenden Sie eine der folgenden Methoden, um Elemente zu dieser Liste hinzuzufügen:
    • Eine einzelne IP-Adresse zu einem Zeitpunkt hinzuzufügen. Dazu geben Sie einen Host Namen, und klicken Sie dann auf DNS-Lookup , um die Namen automatisch in eine IP-Adresse aufzulösen. Verwenden Sie diese Methode, wenn Sie Remotebenutzer, die immer feste IP-Adressen eine Verbindung herstellen haben, sind diese IP-Adressen nicht zusammenhängend.
    • Fügen Sie einen Adressbereich, wie etwa 131.107.2.0 mit einer Subnetzmaske von 255.255.255.0. Subnetzmasken z. B. 255.255.255.252 können berechtigter Hosts auf einen Bereich von nur sechs IP-Adressen beschränken.
    • Legen Sie Einschränkungen auf Domänenbasis. Sie können z. B. Verbindungen einschränken, so dass nur Verbindungen von contoso.com akzeptiert werden. Jedoch, wenn Sie diese Methode verwenden, müssen Sie einen DNS-reverse-Lookup für jede eingehende Verbindung ausführen, die Exchange 2000-Computer-Leistung beeinträchtigen können. Weitere Informationen finden Sie in Abschnitt "Problembehandlung" am Ende dieses Artikels.
  4. Klicken Sie auf OK , um die Beschränkungen für die IP-Adressen zu übernehmen.

Konfigurieren der Zugriffssteuerung

  1. Öffnen Sie die virtuellen Standardserver für IMAP4-Eigenschaften.
  2. Klicken Sie auf die Registerkarte Zugriff , und klicken Sie dann auf Authentifizierung .

    Standardmäßig sind Methoden die Standardauthentifizierung und die integrierte Windows-Authentifizierung ausgewählt. Wenn Ihre Umgebung Windows-Authentifizierung unterstützt, können Sie das Kontrollkästchen Standardauthentifizierung deaktivieren. Klicken Sie auf OK , um die Änderung zu übernehmen.
  3. Starten Sie Outlook Express, und konfigurieren Sie die IMAP4-Konto-Einstellungen, Kennwortauthentifizierung verwendet. Gehen Sie dazu folgendermaßen vor:
    1. Klicken Sie im Extras auf Konten .
    2. Klicken Sie auf die Registerkarte E-Mail , und doppelklicken Sie dann auf IMAP4 e-Mail-Konto.
    3. Klicken Sie auf die Registerkarte , und aktivieren Sie dann das Kontrollkästchen Anmeldung durch gesicherte Kennwortauthentifizierung .
  4. Klicken Sie auf OK , und klicken Sie dann auf Schließen .

So konfigurieren Sie sichere Kommunikation (Teil 1)

  1. Öffnen Sie die virtuellen Standardserver für IMAP4-Eigenschaften.
  2. Klicken Sie auf die Registerkarte Zugriff , und klicken Sie dann auf Zertifikat .
  3. Nach des IIS-Zertifikats-Assistenten startet, klicken Sie entweder ein neues Zertifikat erstellen oder Vorhandenes Zertifikat von einer externen Zertifizierungsstelle und klicken Sie dann auf Weiter .
  4. Wenn Sie eine Zertifizierungsstelle (CA) installiert haben, klicken Sie auf Anforderung sofort an eine Onlinezertifizierungsstelle senden .

    Wenn Sie keine CA installiert haben, klicken Sie auf Anforderung jetzt vorbereiten aber später senden , und klicken Sie dann auf Weiter .
  5. Wenn Sie Ihre Anforderung an eine ONLINEZERTIFIZIERUNGSSTELLE entweder bieten einen geeigneten Namen Anforderung senden, oder übernehmen Sie den Standardnamen "Standard IMAP4 Virtual Server", geben Sie eine Bitlänge, und klicken Sie dann auf Weiter .

    Hinweis : mehr Schlüssellängen die Leistung beeinträchtigen.
  6. Geben Sie die Organisation und Organisationsinformationen über die Einheit für die ZERTIFIZIERUNGSSTELLE aus dem Sie ein Zertifikat in den entsprechenden Feldern anfordern, und klicken Sie dann auf Weiter .
  7. Geben Sie den allgemeinen Namen für Ihre Website, und klicken Sie dann auf Weiter .

    Hinweis : Wenn Sie Zugriff über das Internet aktivieren, müssen Sie eine extern auflösbar vollqualifizierten Domänennamen (FQDN).
  8. Geben Sie das Land, den Zustand oder Kanton, und die Stadt oder Ort Informationen für die ZERTIFIZIERUNGSSTELLE in die entsprechenden Felder, und klicken Sie dann auf Weiter .
  9. Wenn Sie die Anforderung sofort an eine ONLINEZERTIFIZIERUNGSSTELLE in Schritt 4 zu senden, stellen Sie sicher, dass die ZERTIFIZIERUNGSSTELLE für Ihre Organisation wird angezeigt, und klicken Sie dann auf Weiter .

    Jedoch, wenn Sie die Anforderung jetzt jedoch senden Vorbereiten später in Schritt 4, akzeptieren Sie den Standarddateinamen für die Zertifikatsanforderung oder in einer anderen Datei speichern und klicken Sie dann auf Weiter .
  10. Überprüfen Sie die Informationen auf Certificate Request absenden , und klicken Sie dann auf Weiter .
  11. Klicken Sie auf Fertig stellen .

So konfigurieren Sie sichere Kommunikation (Teil 2)

Nachdem Sie ein Zertifikat auf dem Server installiert haben, erzwingen Sie sichere Kommunikation:
  1. Öffnen Sie die virtuellen Standardserver für IMAP4-Eigenschaften.
  2. Klicken Sie auf die Registerkarte Zugriff , und klicken Sie auf Kommunikation .
  3. Klicken Sie auf das Kontrollkästchen sicheren Kanal .
  4. Wenn sowohl der Exchange 2000-Computer als auch die Clients 128-Bit-Verschlüsselung unterstützen, klicken Sie auf 128-Bit-Verschlüsselung .
  5. Klicken Sie auf OK , und klicken Sie dann auf OK .
  6. Beenden und starten Sie den Exchange 2000 IMAP4-Dienst ihn neu.
  7. Starten Sie Outlook Express, klicken Sie im Menü Extras auf Konten und klicken Sie dann auf die Registerkarte E-Mail .
  8. Doppelklicken Sie auf das Exchange Server e-Mail- Konto, klicken Sie auf die Registerkarte Erweitert , und klicken Sie dann auf Server erfordert eine sichere Verbindung (SSL) .

    Die eingehende Mail (IMAP4) Port Nummer Änderungen aus 143, 993.
  9. Klicken Sie auf OK , und klicken Sie dann auf Schließen .

Wie Sie bestätigen, dass Sie IMAP4-Sicherheit korrekt konfiguriert

  • Überprüfen, dass die IP-Beschränkungen wie erwartet funktioniert, versuchen Sie, mit einen gültigen Benutzernamen aus einer ausgeschlossenen IP-Adresse verbinden.

    Sie erhalten eine Meldung, die besagt, dass die Verbindung zum Server abgelehnt wurde.
  • So überprüfen Sie die Authentifizierungsverschlüsselung:
    1. Führen Sie Netzwerkmonitor auf dem Exchange 2000-Computer, und verwenden Sie die Authentifizierung-Standardeinstellungen, um eine IMAP4-Sitzung vom Client zu initiieren, während Sie den Datenverkehr erfassen, der auf der Exchange 2000-Computer stammt.
    2. Überprüfen Sie die IMAP4-Sitzung und notieren Sie die Pakete vom Client an den Server auf Port 143 (008Fh).

      Beachten Sie, dass Anmeldenamen und Kennwort des Benutzers in Klartext gesendet werden.
    3. Entfernen Sie Unterstützung für Standardauthentifizierung, konfigurieren Sie der Clients für gesicherte Kennwortauthentifizierung erfordert, einem anderen IMAP4-Sitzung vom Client initiiert und erfassen den Datenverkehr im Netzwerkmonitor.

      Die Benutzerdetails Konto und Kennwort sind nun verschlüsselt.
  • Vollständige SSL-Verschlüsselung zu überprüfen:
    1. Fügen Sie ein Zertifikat, konfigurieren Sie die Einstellungen so, dass Sie einen sicheren Kanal auf dem virtuellen IMAP4-Server benötigen und konfigurieren Sie den Client für die Verwendung von SSL.
    2. Starten einer Netzwerkmonitor-Aufzeichnung, und eine IMAP4 e-Mail-Auflistung-Sitzung vom Client initiiert.
    3. Die Aufnahme beendet, und überprüfen anschließend die Pakete, die gesendet wurden.

      Beachten Sie, dass alle Clients auf Server-Pakete mit einem Ziel Port 993 (03E1h) verschlüsselt werden.
Hinweis : Wenn Sie keine Verschlüsselung auf SMTP-Nachrichtenübermittlung aktiviert haben, können Sie immer noch einige unverschlüsselte Pakete vom Client, die für Port 25 (0019h) bestimmt sind sehen.

Nachdem Sie bestätigt, dass IMAP4-Sicherheitseinstellungen ordnungsgemäß konfiguriert haben, wird empfohlen, dass Sie sichere SMTP-Nachrichtenübermittlung für IMAP4-Clients konfigurieren.Weitere Informationen zum Verschlüsseln von SMTP-Nachrichtenübermittlung folgendem Artikel der Microsoft Knowledge Base:
319267Gewusst wie: Secure Simple Transfer Protocol Client Message für Nachrichtenübermittlung in Exchange 2000

Problembehandlung

Wenn Sie IP-Adressen auf DNS-Lookup basieren einschränken, können Sie die Leistung des Exchange 2000-Computers nachteilig beeinflussen. Da Exchange 2000-Computer einen reverse-DNS-Lookup für jede eingehende Verbindung durchführt, funktionierende DNS-reverse-Lookupzone verfügbar sein muss und der IMAP4-Client muss mit dieser Zone registriert werden. Wenn Sie eine große Anzahl eingehender IMAP4-Verbindungen verfügen, sollten Sie DNS-reverse-Lookup deaktivieren. Weitere Informationen zur Konfiguration von reverse-Lookupzonen finden Sie die Artikel der Microsoft Knowledge Base:
251509XFOR: Kann nicht nach Domäne beschränken des Zugriffs Wenn DNS nicht ordnungsgemäß konfiguriert ist
Wenn Sie nicht die richtigen Werte für den Namen des Servers oder der Organisation beim Erstellen des SSL-Zertifikats auf den virtuellen Standardserver für IMAP4 angeben, möglicherweise die folgende Meldung angezeigt:
Der Server werden Sie eine Verbindung herstellen mit einem Sicherheitszertifikat ist, das nicht seiner Internetadresse übereinstimmt. Möchten Sie diesen Server verwenden?
Um diese Meldung zu vermeiden angezeigt wird, sicherstellen Sie, dass der gemeinsame Name für das Zertifikat seiner Internetadresse übereinstimmt.




Informationsquellen

Weitere Informationen zum Konfigurieren der IMAP4-Sicherheit finden Sie in Exchange 2000-Hilfe und der Exchange 2000 Server Resource Kit.

Eigenschaften

Artikel-ID: 319278 - Geändert am: Samstag, 28. Oktober 2006 - Version: 1.5
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Exchange 2000 Server Standard Edition
Keywords: 
kbmt kbhowto kbhowtomaster KB319278 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 319278
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com