ПРАКТИЧЕСКОЕ руководство: Безопасного доступа сообщения протокола клиента доступа через Интернет в Exchange 2000

Переводы статьи Переводы статьи
Код статьи: 319278 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье описывается настройка подключений по протоколу Интернета протоколу (IMAP4) на компьютерах с Exchange 2000, таким образом, пользователи могут выполнять аутентификацию и получать конфиденциальные сведения без риска имя пользователя, пароль или содержимого сообщения перехвата.

Возможно, для пользователей, которым необходимо подключаться к компьютерам Exchange 2000 с помощью IMAP4. Как правило используют подключений по протоколу IMAP4, если существуют ограничения полосы пропускания или ограничения портов брандмауэра, но требует большей гибкости, чем гибкости, предоставляемой при использовании подключений v.3 (POP3) Post Office Protocol. Тем не менее таких как POP3, передача сообщений и проверки подлинности IMAP4 команды незашифрованным, открытые для перехвата.

Требования

В следующем списке представлены оборудования, программного обеспечения, сетевой инфраструктуры и пакетов обновления, необходимо:
  • Microsoft Windows 2000 Server с пакетом обновления 2 (SP2)
  • Active Directory
  • Exchange Server 2000 с пакетом обновления 1 (SP1) установлен на сервере под управлением Windows 2000 в домене.
  • IMAP4 клиента, например Outlook Express v5.0 или более поздней версии
Предполагается, что вы знакомы с следующие темы:
  • Диспетчер Exchange System Manager
  • Проблемы с конфигурацией TCP/IP
  • Основные понятия безопасности, например Secure Sockets Layer (SSL) и шифрование
  • Сертификаты безопасности
  • Сетевой монитор записывает

Планирование для уровня безопасности

Прежде чем приступить к настройке виртуального сервера IMAP4, необходимо учитывать уровень безопасности, который необходимо реализовать. Можно настроить безопасность протокола IMAP4 на три основных уровня:
  • Управление подключением:

    Контроль подключений ограничивает подключения, основываясь на IP-адрес или имя домена, включая обратный поиск DNS. Этот уровень безопасности, базовый уровень, который можно использовать только в том случае, если IP-адрес входящего подключения можно гарантировать. Уровень защиты не шифрует пароли и данные сообщения; Тем не менее можно использовать этот уровень с другими параметрами безопасности.
  • Контроль доступа:

    Управление доступом можно настроить обычную проверку подлинности или встроенную проверку подлинности Windows (проверка подлинности NTLM). Поскольку обычная проверка подлинности открытым текстом имена и пароли пользователей, рекомендуется отключить этот тип проверки подлинности. Отключение обычной проверки подлинности необходимо использовать безопасную проверку пароля на программное обеспечение клиента IMAP4 вход в систему. Нажмите кнопку Серверы на вкладке Свойства учетных записей, чтобы разрешить безопасной проверки пароля в Microsoft Outlook Express. Обратите внимание на то, что безопасной проверки пароля шифрует только сеанс входа в систему, а не текст сообщения.

    ПРИМЕЧАНИЕ: Встроенная проверка подлинности Windows работает только в сценариях, где клиентский компьютер может подключиться к контроллеру домена для проверки учетных данных. В большинстве конфигураций брандмауэра, этот сценарий не является возможной и не желательно. Тем не менее внутренние реализации доступа IMAP4 (где сеанс входа в систему не через Интернет) могут использовать проверку подлинности NTLM.
  • Безопасные подключения:

    Безопасное кодирование всего сеанса IMAP4, включая последовательность входа в систему и передачи сообщения с помощью SSL-шифрования. Рекомендуется использовать протокол SSL для всех подключений по протоколу IMAP4 для сервера Exchange 2000, которые используют сети общего доступа, таких как Интернет. Необходимо установить сертификат на виртуальный сервер IMAP4. Можно либо использовать внешний центр сертификации или в лесу Active Directory для установки сертификата можно установить службы сертификации.
ПРИМЕЧАНИЕ: Если шифрование протокола IMAP4 сеансы защищены только тогда, когда при сборе почты с виртуального сервера Exchange 2000 IMAP4; Тем не менее доставка сообщений Simple Mail Transfer Protocol (SMTP) не шифруются. Рекомендуется предпринять дополнительные меры предосторожности, чтобы зашифровать доставки сообщений по протоколу SMTP. Для получения дополнительных сведений о шифровании доставки сообщений по протоколу SMTP щелкните следующий номер статьи базы знаний Майкрософт:
319267 ПРАКТИЧЕСКОЕ руководство: Безопасные простой доставки сообщений клиента протокола передачи сообщений

Как получить доступ К объекту виртуального сервера IMAP4

  1. Нажмите кнопку Начало, выберите пункт Программы, выберите пункт Microsoft Exchange, а затем нажмите кнопку Диспетчер системы.
  2. В левой области щелкните Серверы.
  3. Выберите сервер, который требуется настроить, нажмите кнопку Протоколы, а затем нажмите кнопку IMAP4.
  4. Щелкните правой кнопкой мыши Виртуальный сервер по умолчанию IMAP4, а затем нажмите кнопку Свойства.
  5. Нажмите кнопку Доступ Вкладка настройки параметров управления доступом.

Настройка ограничений IP-адрес

  1. Откройте свойства виртуального IMAP4 сервера по умолчанию.

    Чтобы сделать это, выполните процедуру, описанную в предыдущем разделе.
  2. Нажмите кнопку Доступ вкладки, а затем нажмите кнопку Подключение.
  3. Нажмите кнопку Только указанные в списке.

    Если в этом случае IP-адреса и домены в списке разрешено подключиться к виртуальному серверу IMAP4. Для добавления элементов в этот список с помощью любого из следующих методов:
    • Одновременно добавьте один IP-адрес. Для этого введите имя узла и нажмите кнопку Поиск в DNS Чтобы разрешить это имя автоматически IP-адрес. Этот метод следует используйте, если у вас есть удаленные пользователи, которые всегда подключаться из основного IP-адреса и где эти IP-адреса не являются непрерывными.
    • Добавление диапазона адресов, таких как 131.107.2.0 с маской подсети 255.255.255.0. С помощью маски подсети, например подсети 255.255.255.252 для ограничения допустимых узлов в диапазон IP-адресов, только шесть.
    • Установить ограничения на основе домена. Например можно ограничить подключения таким образом, принимаются только подключения с contoso.com. Однако при использовании этого метода необходимо выполнить обратный просмотр DNS для каждого входящего подключения, которое может негативно сказаться на производительности компьютера Exchange 2000. Для получения дополнительных сведений обратитесь к разделу «Устранение неполадок» в конце этой статьи.
  4. Нажмите кнопку ОК Чтобы принять ограничения IP-адресов.

Настройка контроля доступа

  1. Откройте свойства виртуального IMAP4 сервера по умолчанию.
  2. Нажмите кнопку Доступ вкладки, а затем нажмите кнопку Проверка подлинности.

    По умолчанию выбраны методы обычная проверка подлинности и встроенная проверка подлинности Windows. Если среда поддерживает проверку подлинности Windows, можно снять Обычная проверка подлинности флажок. Нажмите кнопку ОК Чтобы принять изменение.
  3. Запустите Outlook Express, а затем настройте параметры учетной записи IMAP4 использовать безопасную проверку пароля. Для этого:
    1. Нажмите кнопку Учетные записи В меню Сервис меню.
    2. Нажмите кнопку Почта вкладки и дважды щелкните учетную запись почты IMAP4.
    3. Нажмите кнопку Серверы на вкладке и выберите Войдите в систему с использованием безопасной проверки пароля флажок.
  4. Нажмите кнопку ОК, а затем нажмите кнопку Закрыть.

Настройка безопасная связь (часть 1)

  1. Откройте свойства виртуального IMAP4 сервера по умолчанию.
  2. Нажмите кнопку Доступ вкладки, а затем нажмите кнопку Сертификат.
  3. После запуска мастера сертификатов IIS, щелкните Создать новый сертификат -или- Назначить существующий сертификат из центра сертификации, а затем нажмите кнопку Далее.
  4. Если у центра сертификации (ЦС) установки, нажмите кнопку Немедленно отправить запрос в локальную службу сертификации.

    Если у вас установлен центр сертификации, нажмите кнопку Подготовить запрос сейчас, но отправить позже, а затем нажмите кнопку Далее.
  5. Если отправить ваш запрос к сети ЦС, либо дать запрос на соответствующее имя или примите имя по умолчанию «По умолчанию IMAP4 виртуального сервера» введите длину бит и нажмите кнопку Далее.

    ПРИМЕЧАНИЕ: Ключами большой длины влияет на производительность.
  6. Введите организации и организационной единицы для ЦС, из которого запрос сертификата в соответствующих полях и нажмите кнопку Далее.
  7. Введите общее имя для веб-узла и нажмите кнопку Далее.

    ПРИМЕЧАНИЕ: Если разрешить доступ из Интернета, необходимо использовать извне разрешимым полного доменного имени (FQDN).
  8. В соответствующих полях введите страны, состояния или провинция и город или размещение информации для центра сертификации и нажмите кнопку Далее.
  9. Если вы решили отправить запрос непосредственно к сети ЦС на шаге 4, подтверждение отображается в ЦС для вашей организации и нажмите кнопку Далее.

    Тем не менее если вы хотите подготовить запрос сейчас, но отправить позже в шаге 4, примите имя файла по умолчанию для запроса сертификата или сохранить его в другой файл и нажмите кнопку Далее.
  10. Просмотрите сведения на Отправка запроса сертификата, а затем нажмите кнопку Далее.
  11. Нажмите кнопку Окончание.

Настройка безопасные подключения (часть 2)

После установки сертификата на сервере принудительно безопасных соединений:
  1. Откройте свойства виртуального IMAP4 сервера по умолчанию.
  2. Нажмите кнопку Доступ вкладки, а затем нажмите кнопку Обмен данными.
  3. Выберите Требуется безопасный канал флажок.
  4. Если на компьютере Exchange 2000 и клиенты поддерживают 128-битное шифрование, нажмите кнопку Требовать 128-битное шифрование.
  5. Нажмите кнопку ОК, а затем нажмите кнопку ОК.
  6. Остановите и перезапустите службу Exchange 2000 IMAP4.
  7. Запустите Outlook Express, нажмите кнопку Учетные записи В меню Сервис меню, а затем нажмите кнопку Почта Вкладка.
  8. Дважды щелкните значок Почтовый сервер Exchange учетная запись, нажмите кнопку Дополнительно вкладки, а затем нажмите кнопку Этого сервера требуется безопасное соединение (SSL).

    Входящей почты (IMAP4) порт номер изменения из 143 993.
  9. Нажмите кнопку ОК, а затем нажмите кнопку Закрыть.

Как проверить правильность настройки безопасности протокола IMAP4

  • Чтобы убедиться в том, что ограничения IP работает должным образом, попробуйте подключиться с допустимым именем пользователя из исключенного IP-адреса.

    Появится сообщение о том, что подключение к серверу было отклонено.
  • Для проверки подлинности шифрования:
    1. Запустите сетевой монитор на компьютере Exchange 2000, а затем использовать параметры проверки подлинности по умолчанию для запуска сеанса IMAP4 от клиента, перехватывая трафик, поступающий компьютер Exchange 2000.
    2. Просмотр сеанса IMAP4 и пакеты, поступающие от клиента на сервер через порт 143 (008Fh).

      Обратите внимание, что имя входа пользователя и пароль отправляются открытым текстом.
    3. Отключите поддержку обычной проверки подлинности, настройте клиент для требования безопасной проверки пароля, инициализируйте другой сеанс IMAP4 от клиента и затем перехватывайте трафик в сетевом мониторе.

      Сведения об учетной записи и пароль пользователя, теперь будут зашифрованы.
  • Чтобы убедиться, что полное шифрование SSL:
    1. Добавить сертификат, настройте параметры таким образом, чтобы требовать безопасный канал на виртуальный сервер IMAP4, а затем настройте клиент на использование протокола SSL.
    2. Запуск сетевого монитора и инициировать сеанс коллекции IMAP4 сообщение от клиента.
    3. Остановить запись, а затем пакеты, которые были отправлены.

      Обратите внимание на то, что шифруются все клиентом на сервер с целевой порт 993 (03E1h).
ПРИМЕЧАНИЕ: Если вы не включили шифрования на доставку почты SMTP, могут по-прежнему увидеть некоторые незашифрованные пакеты от клиента, предназначенные для порт 25 (0019h).

После подтверждения, неправильно настроена безопасность IMAP4, рекомендуется настроить безопасную передачу SMTP для клиентов IMAP4.Для получения дополнительных сведений о шифровании доставки сообщений по протоколу SMTP щелкните следующий номер статьи базы знаний Майкрософт:
319267 ПРАКТИЧЕСКОЕ руководство: Безопасные простой доставки сообщение клиента протокола передачи сообщений в Exchange 2000

Устранение неполадок

Ограничения IP-адресов, основанных на поиске DNS может неблагоприятно повлиять на производительность компьютера Exchange 2000. Поскольку компьютер Exchange 2000 проводит обратный просмотр DNS для каждого входящего подключения, работающей зоне обратного просмотра DNS должны быть доступны и IMAP4 клиент должен быть зарегистрирован в этой зоне. При наличии большого числа подключений по протоколу IMAP4, следует отключить обратный просмотр DNS. Для получения дополнительных сведений о настройке зон обратного просмотра щелкните следующий номер статьи базы знаний Майкрософт:
251509 XFOR: Невозможно ограничить доступ по имени домена, если служба DNS не настроена правильно
Если при создании сертификата SSL для виртуального сервера по умолчанию IMAP4 правильные значения для имени сервера или организации, не задан, пользователи могут получать следующее сообщение:
Сервер, при подключении к использует сертификат безопасности, который не соответствует его адрес в Интернете. Вы действительно хотите продолжить использование этого сервера?
Чтобы это сообщение не отображалось, убедитесь, что общее имя сертификата совпадает с адресом Интернета.




Ссылки

Для получения дополнительных сведений о настройке безопасности IMAP4 обратитесь к справке Exchange 2000 и Exchange 2000 Server Resource Kit.

Свойства

Код статьи: 319278 - Последний отзыв: 7 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Exchange 2000 Server Standard Edition
Ключевые слова: 
kbhowto kbhowtomaster kbmt KB319278 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:319278

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com