操作方法: 保护 Internet 消息访问协议客户端访问 Exchange 2000 中的安全

文章翻译 文章翻译
文章编号: 319278 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本分步指南介绍了如何配置与您的 Exchange 2000 计算机的传入 Internet 邮件访问协议 (IMAP4) 连接的安全性,以便用户可以验证并接收潜在的敏感材料,而无需用户名称、 密码或邮件内容被截取的风险。

您可能需要使用 IMAP4 连接到您的 Exchange 2000 计算机的用户。通常情况下,如果没有带宽限制或防火墙端口限制,但是需要更大的灵活性,如果使用邮局协议 (POP3) v.3 连接提供的灵活性比使用 IMAP4 连接。但是,像 POP3,IMAP4 身份验证和邮件传输使用纯文本命令打开被截获的。

要求

下面的列表列出了推荐使用的硬件、 软件、 网络基础结构和所需的服务包:
  • Microsoft Windows 2000 服务器使用 Service Pack 2 (SP2)
  • 活动目录
  • Exchange Server 2000 Service Pack 1 (SP1) 与域中基于 Windows 2000 的成员服务器上安装。
  • IMAP4 客户端 (如 Outlook Express 5.0 版或更高版本
本文假定您熟悉下列主题:
  • Exchange 系统管理器
  • TCP/IP 配置问题
  • 安全概念,如安全套接字层 (SSL) 和加密
  • 安全证书
  • 网络监视器捕获

如何计划安全级别

在开始配置 IMAP4 虚拟服务器前,必须考虑要实现的安全级别。您可以在三个主要的级别上配置 IMAP4 安全性:
  • 连接控制:

    连接控制限制连接基于 Internet 协议 (IP) 地址或域名名称,包括反向 DNS 查找。这一级别是安全的基本级别,您可以保证传入连接的 IP 地址时才使用。此安全级别不加密密码或邮件数据 ;但是,您可以使用的其他安全设置使用此级别。
  • 访问控制:

    访问控制,您可以配置基本身份验证或集成 Windows 身份验证 (NTLM 身份验证)。由于基本身份验证允许明文形式的用户名和密码,因此建议您禁用此身份验证类型。如果禁用了基本身份验证,您需要启用 IMAP4 客户端软件上使用安全密码验证登录。单击要启用 Microsoft Outlook Express 中安全密码身份验证的帐户属性中的服务器选项卡。请注意,安全密码身份验证加密只对登录会话,没有邮件正文。

    注意: 只在客户端计算机能否以验证其凭据的域控制器的情况下可集成的 Windows 身份验证。大多数防火墙配置,在这种情况下不可能并不理想。但是,IMAP4 访问 (在登录会话不会遍历互联网) 的内部实现可以使用 NTLM 身份验证。
  • 安全通信:

    安全通信编码整个 IMAP4 会话包括登录序列和邮件正文的传输使用 SSL 加密。建议您对所有 IMAP4 连接到 Exchange 2000,经由公用网络 (比如 Internet) 使用 SSL。您必须 IMAP4 虚拟服务器上安装一个证书。您可以使用外部证书颁发机构或到 活动目录(AD) 林中安装的证书,可以安装证书服务。
注意: 如果您加密 IMAP4 协议,会话受到保护,仅当您收集的邮件来自 Exchange 2000 IMAP4 虚拟服务器。但是,简单邮件传输协议 (SMTP) 邮件传递未加密。我们建议您采取其他防范措施来加密 SMTP 邮件传递。 有关如何加密 SMTP 邮件传递的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
319267 HOW TO: 安全简单邮件传输协议客户端邮件传递

如何访问 IMAP4 虚拟服务器对象

  1. 单击开始,指向程序、 指向Microsoft Exchange,再单击系统管理器中
  2. 在左窗格中,单击服务器
  3. 单击您要配置的协议,请单击,然后单击IMAP4服务器。
  4. 用鼠标右键单击默认的 IMAP4 虚拟服务器,然后单击属性
  5. 单击访问选项卡来配置访问控制设置。

如何配置 IP 地址限制

  1. 打开默认 IMAP4 虚拟服务器属性。

    若要执行此操作,请按照上一节中的过程。
  2. 单击访问选项卡,然后单击连接
  3. 单击仅以下列表

    如果您这样做时,IP 地址和域列表中的允许连接到 IMAP4 虚拟服务器。使用以下任一方法将项添加到此列表:
    • 一次添加一个 IP 地址。为此,请键入主机名,然后单击DNS 查找以自动将该名称解析为 IP 地址。如果您有远程用户总是从固定的 IP 地址连接的那些 IP 地址不连续,则使用此方法。
    • 添加地址的范围,如 131.107.2.0,子网掩码为 255.255.255.0。可以使用如 255.255.255.252 的子网掩码来限制只有六个 IP 地址范围可接受的主机。
    • 设置每个域的限制。例如,可以限制连接数量,以便只有从 contoso.com 连接被接受。但是,如果您使用此方法,您必须对每个传入的连接,可以对 Exchange 2000 计算机的性能产生负面影响执行 DNS 反向查找。有关详细信息,请参阅本文末尾的"疑难解答"部分。
  4. 单击确定以接受 IP 地址限制。

如何配置访问控制

  1. 打开默认 IMAP4 虚拟服务器属性。
  2. 单击访问选项卡,然后单击身份验证

    默认情况下,选中基本身份验证和集成 Windows 身份验证方法。如果您的环境支持 Windows 身份验证,您可以清除基本身份验证复选框。单击确定以接受更改。
  3. 开始 Outlook Express,然后再配置 IMAP4 帐户设置为使用安全密码身份验证。若要此操作:
    1. 工具菜单上,单击帐户
    2. 单击邮件选项卡,然后双击 IMAP4 邮件帐户。
    3. 单击服务器选项卡,然后单击以选中使用安全密码验证登录复选框。
  4. 单击确定,然后单击关闭

如何配置安全通信 (第一部分)

  1. 打开默认 IMAP4 虚拟服务器属性。
  2. 单击访问选项卡,然后单击证书
  3. 向导启动 IIS 证书后,单击创建新的证书分配现有证书从外部证书颁发机构,请,然后单击下一步
  4. 如果您已安装的证书颁发机构 (CA),请单击发送到联机证书颁发机构立即请求

    如果您没有安装了 CA,单击现在准备请求但稍后发送,然后单击下一步
  5. 如果您请求发送到联机 CA,或者授予请求一个适当的名称,或接受默认名称"默认 IMAP4 虚拟服务器",键入位长度,然后单击下一步

    : 更长的密钥长度会影响性能。
  6. 键入组织和组织单位信息,从中请求在相应的框中,证书然后单击下一步的 ca。
  7. 键入您的站点的公用名称,然后单击下一步

    注意: 如果启用了从 Internet 进行访问,您必须使用从外部解析的完全限定的域名 (FQDN)。
  8. 在相应的框中,输入国家/地区、 状态或省和市县信息对于您的 CA,然后单击下一步
  9. 如果选择立即将请求发送到联机 CA 在步骤 4 中,确认您的组织的 CA 显示,然后单击下一步

    但是,如果选择准备现在的请求而发送它以后在步骤 4 中,接受默认的文件名来申请证书或将其保存到其他文件,然后单击下一步
  10. 查看证书请求提交有关的信息,然后单击下一步
  11. 单击完成

如何配置安全通信 (第二部分)

在服务器上安装证书后,请强制安全通信:
  1. 打开默认 IMAP4 虚拟服务器属性。
  2. 单击访问选项卡,然后单击通信
  3. 单击以选中要求安全通道复选框。
  4. 如果 Exchange 2000 计算机和客户端支持 128 位加密,请单击要求 128 位加密
  5. 单击确定,然后单击确定
  6. 停止并重新启动 Exchange 2000 IMAP4 服务。
  7. 开始 Outlook Express,请单击工具菜单中的帐户,然后单击邮件选项卡。
  8. 双击Exchange Server 邮件帐户,请单击高级选项卡,然后单击此服务器要求安全连接 (SSL)

    传入邮件 (IMAP4) 端口号更改从 143 到 993。
  9. 单击确定,然后单击关闭

如何确认已正确配置 IMAP4 安全性

  • 若要验证 IP 限制在按预期方式工作,请尝试使用有效用户名从一个已排除的 IP 地址进行连接。

    您会收到一条消息,表示到服务器的连接被拒绝。
  • 若要验证身份验证加密,请:
    1. 在您的 Exchange 2000 计算机上运行网络监视器,然后使用默认的身份验证设置启动客户端从一个 IMAP4 会话时捕获到 Exchange 2000 计算机传入的通信量。
    2. 查看 IMAP4 会话并注意从客户端到服务器上的端口 143 (008Fh) 的数据包。

      请注意用户的登录名和密码将以明文形式发送。
    3. 删除支持基本身份验证,请配置为要求安全密码身份验证、 启动另一个 IMAP4 会话的客户端,然后捕获通信量在网络监视器中的客户端。

      用户帐户和密码详细信息现在已被加密。
  • 若要验证完全 SSL 加密,请:
    1. 添加一个证书,配置设置,以使需要 IMAP4 虚拟服务器上的安全通道,然后配置客户端以使用 SSL。
    2. 启动一个网络监视器捕获,然后启动客户端从一个 IMAP4 邮件集合会话。
    3. 停止捕获,然后检查已发送的数据包。

      请注意所有从客户端到服务器端口 993 (03E1h) 为目标的数据包进行加密。
注意: 如果您没有启用加密 SMTP 邮件传递,可能仍会看到一些未加密的数据包从客户机发往端口 25 (0019h)。

确认正确配置 IMAP4 安全性后,建议您为您的 IMAP4 客户端配置安全的 SMTP 传输。有关如何加密 SMTP 邮件传递的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
319267 操作方法: 保护 Exchange 2000 中的简单邮件传输协议客户端邮件传递

故障排除

如果限制根据 DNS 查找 IP 地址,可以产生负面影响的 Exchange 2000 计算机的性能。因为 Exchange 2000 计算机上每个传入的连接执行反向 DNS 查找,则正常的 DNS 反向查找区域必须可用,且必须向该区域注册 IMAP4 客户端。如果您有大量的 IMAP4 传入连接,您应考虑禁用反向 DNS 查找。 有关如何配置反向搜索区域的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
251509 XFOR: 不能通过限制访问权限的域名称如果 DNS 配置不正确
如果默认的 IMAP4 虚拟服务器上创建 SSL 证书时不指定服务器名或组织,为正确的值,则用户可能会收到下面的消息:
您正在连接的服务器正在使用其互联网地址不匹配的安全证书。是否要继续使用该服务器?
以防止显示此消息,请确保该证书的公用名与它的互联网地址相匹配。




参考

有关如何配置 IMAP4 安全性的详细信息,请参阅 Exchange 2000 帮助和 Exchange 2000 服务器资源工具包。

属性

文章编号: 319278 - 最后修改: 2013年8月17日 - 修订: 2.0
这篇文章中的信息适用于:
  • Microsoft Exchange 2000 Server 标准版
关键字:?
kbhowto kbhowtomaster kbmt KB319278 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 319278
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com