如何: 安全網際網路訊息存取通訊協定在 Exchange 2000 的用戶端存取

文章翻譯 文章翻譯
文章編號: 319278 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文將逐步告訴您,如何設定連入網際網路訊息存取通訊協定 (IMAP4) 連線到您的 Exchange 2000 電腦的安全性,讓您的使用者可以驗證和接收沒有使用者名稱、 密碼或訊息內容被攔截的風險可能的敏感性資料。

您可能需要使用 IMAP4 連線至 Exchange 2000 電腦的使用者。通常,使用 IMAP4 連線如果有頻寬限制或防火牆連接埠限制,但需要比如果您使用 「 郵局通訊協定第 3 版 (POP3) 連線提供的彈性更大的彈性。但是,像 POP3,IMAP4 驗證及訊息傳輸使用已開啟,以便攔截的純文字命令。

需求

下列清單列出建議的硬體、 軟體、 網路基礎結構及您需要的服務套件:
  • Microsoft Windows 2000 伺服器與 Service Pack 2 (SP2)
  • 使用中的目錄
  • 交換 Server 2000 與服務封包 1 (SP1) 安裝在網域中的 Windows 2000 為基礎的成員伺服器上。
  • IMAP4 用戶端如 Outlook Express v5.0 或更新版本
本文假設您已熟悉下列主題:
  • Exchange 系統管理員
  • TCP/IP 組態問題
  • 安全性概念,例如安全通訊端層 (SSL) 和加密
  • 安全性憑證
  • 「 網路監視器擷取

如何規劃的安全性層級

您開始進行設定 IMAP4 虛擬伺服器之前,您必須考慮您想要實作的安全性層級。您可以在三個主要層級上設定 IMAP4 安全性:
  • 連線控制:

    連線控制限制,只根據網際網路通訊協定 (IP) 位址或網域名稱,包括反向 DNS 尋查的連線。此層級是安全性的保證連入連線的 IP 位址時,才使用的基本層級。密碼或訊息資料將不會加密此層級的安全性,但是,您可以使用這個層級,與其他安全性設定。
  • 存取控制:

    存取控制項可讓您設定基本驗證或整合式 Windows 驗證 (NTLM 驗證)。 因為基本驗證可讓純文字使用者名稱及密碼,則建議您停用此驗證類型。如果您停用 「 基本驗證 」,需要啟用 IMAP4 用戶端軟體上使用安全密碼驗證登入。按一下 [伺服器] 索引標籤,來啟用在 Microsoft Outlook Express 安全性密碼驗證帳號內容中。 請注意安全密碼驗證加密工作只有登入階段,不在郵件內文。

    注意: 只在用戶端電腦可以連絡網域控制站來驗證其認證的案例中運作的整合式的 Windows 驗證。在大多數的防火牆設定這種情況下不可能並不理想。不過,IMAP4 存取 (其中登入工作階段不會周遊網際網路) 的內部實作可以使用 NTLM 驗證。
  • 安全通訊:

    安全通訊編碼藉由使用 SSL 加密包括登入順序和訊息主體的傳輸在整個 IMAP4 工作階段。建議您為所有 IMAP4 連線至 Exchange 2000 跨越公用網路 (如網際網路使用 SSL。您必須到您的 IMAP4 虛擬伺服器上安裝憑證。您可以使用外部憑證授權單位,或者您可以安裝 「 憑證服務 」 到您的 Active Directory 樹系安裝憑證。
注意: 如果您加密 IMAP4 通訊協定,只有當您從 Exchange 2000 IMAP4 虛擬伺服器收集郵件時,才會受到保護的工作階段 ; 不過,簡易郵件傳送通訊協定 (SMTP) 郵件傳送未加密。建議您採取額外的預防措施來加密 SMTP 郵件傳遞。如需有關如何加密 SMTP 郵件傳遞的詳細資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
319267如何: 安全簡單郵件傳輸通訊協定用戶端將郵件傳遞

如何存取 IMAP4 虛擬伺服器物件

  1. 按一下 [開始],指向 [程式集]、 指向 Microsoft Exchange,然後再按一下 [系統管理員]。
  2. 在左窗格中,按一下 [伺服器]。
  3. 按一下您想要設定,請按一下 [通訊協定,然後再按一下 [IMAP4 伺服器。
  4. 預設 IMAP4 虛擬伺服器,] 上按一下滑鼠右鍵,然後按一下 [內容]。
  5. 按一下 [存取] 索引標籤來設定存取控制設定]。

如何設定 IP 位址限制

  1. 開啟 [預設 IMAP4 虛擬伺服器內容]。

    如果要執行這項操作,請遵循前一節中的程序]。
  2. 按一下 [存取] 索引標籤,然後按一下 [連線]。
  3. 按一下 [僅限下列清單]。

    如果您執行這項操作時,只 IP 位址及網域清單中的允許連線至 IMAP4 虛擬伺服器。使用任一下列方法將項目加入至這個清單:
    • 一次新增單一 IP 位址。如果要執行這項操作,輸入主機名稱,然後再按一下 [DNS 查閱] 會自動將該名稱解析為 IP 位址。如果您有永遠從連線固定的 IP 位址,這些 IP 位址是不連續的遠端使用者,請使用這個方法。
    • 新增例如 131.107.2.0,子網路遮罩為 255.255.255.0 的位址範圍。您可以使用如 255.255.255.252 的子網路遮罩來限制只有六個 IP 位址的範圍可接受的主機。
    • 以網域為基礎來設定限制。比方說您可以限制連線,以便只來自 contoso.com 連線會被接受。然而,如果您使用這個方法時,您必須執行 DNS 反向查閱可能會對 Exchange 2000 電腦的效能造成不良影響每個連入連線上。如需詳細資訊請參考本文結尾處疑難排解 」 的一節。
  4. 按一下 [確定] 接受 IP 位址限制。

如何設定存取控制

  1. 開啟 [預設 IMAP4 虛擬伺服器內容]。
  2. 按一下 [存取] 索引標籤,然後按一下 [驗證]。

    預設情況下,會選取 [基本驗證] 和 [整合式 Windows 驗證方法。如果您的環境支援 Windows 驗證,您可以清除 [基本驗證] 核取方塊。按一下 [確定] 以接受變更。
  3. 啟動 Outlook Express,然後設定 IMAP4 帳戶設定,以使用安全密碼驗證。若要這麼做:
    1. 按一下 [工具] 功能表上的 [帳號]。
    2. 按一下 [郵件] 索引標籤,然後連按兩下 IMAP4 郵件帳戶。
    3. 按一下 [伺服器] 索引標籤,然後按一下以選取 [使用安全密碼驗證登入] 核取方塊。
  4. 按一下 [確定],然後再按一下 [關閉]

如何設定安全的通訊 (第一部)

  1. 開啟 [預設 IMAP4 虛擬伺服器內容]。
  2. 按一下 [存取] 索引標籤,然後按一下 [憑證]。
  3. 之後 IIS 憑證精靈啟動之後,按一下 [建立新的憑證] 或 [指派已有的憑證從外部憑證授權單位,然後再按一下 [下一步]
  4. 如果您有安裝憑證授權單位 (CA),按一下 [傳送立即到線上憑證授權要求

    如果您沒有安裝 CA,請按一下 [準備要求現在但傳送它稍後,],再按 [下一步]
  5. 如果您傳送您要求給一個線上 CA 任一個提供給要求適當的名稱,或接受預設名稱 [預設 IMAP4 虛擬伺服器] 輸入位元長度,然後按一下 [下一步]

    注意: 較長的金鑰長度會影響效能。
  6. 請輸入組織及 CA,從中您正要求適當的方塊中的憑證,然後按一下 [下一步 的組織單位資訊。
  7. 輸入一般名稱對您的站台,然後按一下 [下一步]

    注意: 如果您啟用來自網際網路的存取時,您必須使用一個外部可解析完全合格的網域名稱 (FQDN)。
  8. 輸入 [國家 (地區)]、 [狀態] 或 [市,] 以及 [您的 CA 縣市或位置資訊],請在適當的方塊中,然後按一下 [下一步]
  9. 如果選擇立即傳送要求到步驟 4 中的線上 CA 確認組織的 CA 會顯示,而且然後按一下 [下一步]

    不過,如果您選擇來準備現在要求但傳送它稍後的步驟 4,接受預設檔案名稱,為憑證要求或將它儲存到不同的檔案且然後按一下 [下一步]
  10. 檢閱在 憑證要求提交 上, 資訊,然後按一下 [下一步]
  11. 按一下 [完成]。

如何設定安全的通訊 (兩個部分)

在您的伺服器上安裝憑證之後,強制安全通訊:
  1. 開啟 [預設 IMAP4 虛擬伺服器內容]。
  2. 按一下 [存取] 索引標籤,然後按一下 [通訊]。
  3. 按一下以選取 [需要安全通道] 核取方塊。
  4. 如果 Exchange 2000 電腦,用戶端支援 128 位元加密,按一下 [需要 128 位元加密]。
  5. 按一下 [確定],然後再按一下 [確定]
  6. 停止並重新啟動 Exchange 2000 IMAP4 服務。
  7. 啟動 Outlook Express、 按一下 [工具] 功能表上的 [帳號],然後按一下 [郵件] 索引標籤。
  8. 連按兩下 Exchange Server 郵件 帳戶,按一下 [進階] 索引標籤,然後再按一下 [此伺服器需要安全連線 (SSL)

    內送郵件 (IMAP4) 連接埠數字變更從 143 993。
  9. 按一下 [確定],然後再按一下 [關閉]

如何確認您已正確設定 IMAP4 安全性

  • 如果要確認 IP 限制可如預期般運作,嘗試從排除的 IP 位址的有效的使用者名稱與連接。

    您收到訊息,指出連線至伺服器遭到拒絕。
  • 若要確認驗證加密:
    1. 網路監視器 」 在這 Exchange 2000 台電腦上執行,然後使用預設驗證設定起始從用戶端的 IMAP4 工作階段時您擷取到 Exchange 2000 電腦傳入的流量。
    2. 檢閱 IMAP4 工作階段,並注意封包從用戶端上連接埠 143 (008Fh) 伺服器。

      請注意使用者的登入名稱及密碼會被傳送純文字。
    3. 移除基本驗證的支援,請設定用戶端需要安全密碼驗證、 起始從用戶端的另一個 IMAP4 工作階段和再擷取在 「 網路監視器 」 資料傳輸。

      現在加密使用者帳戶及密碼的詳細資料。
  • 若要確認完整 SSL 加密:
    1. 新增憑證,請設定設定值,因此需要安全通道 IMAP4 虛擬伺服器上的,然後再設定用戶端使用 SSL。
    2. 啟動網路監視器擷取,並起始從用戶端的 IMAP4 郵件集合工作階段。
    3. 停止擷取,然後再檢查所傳送的封包。

      請注意所有的用戶端到伺服器具有的連接埠 993 (03E1h) 目的地的封包加密。
注意: 如果尚未啟用 SMTP 郵件傳遞的加密您可能仍然會看到一些未加密從用戶端的封包目的地為連接埠 25 (0019h)。

確認您正確地設定 IMAP4 安全性之後建議您針對 IMAP4 用戶端設定安全的 SMTP 傳遞。如需有關如何加密 SMTP 郵件傳遞的詳細資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
319267如何: 安全簡單郵件傳輸通訊協定用戶端將郵件傳遞在 Exchange 2000

疑難排解

如果您限制 DNS 查閱的 IP 位址,您可以會造成不良的影響 Exchange 2000 電腦的效能。因為 Exchange 2000 電腦上每個連入連線執行反向 DNS 查閱,正常運作的 DNS 反向對應區域必須是可用,而且 IMAP4 用戶端必須先註冊與該區域。 如果您大量傳入 IMAP4 連線,您應該考慮停用反向 DNS 查閱。如需有關如何設定反向對應區域的詳細資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
251509XFOR: 無法存取依網域名稱如果限制 DNS 的設定不正確
如果當您建立預設 IMAP4 虛擬伺服器上的 SSL 憑證時,沒有指定正確的值的伺服器名稱或組織,使用者可能會收到下列訊息:
您所連接使用與它的網際網路位址不相符的安全性憑證伺服器。您要繼續使用此伺服器嗎?
若要防止這個訊息顯示,請確定憑證通用名稱符合它的網際網路位址。




?考

如需有關如何設定 IMAP4 安全性,請指到 Exchange 2000 [說明及 Exchange 2000 伺服器資源工具箱 」 的詳細資訊。

屬性

文章編號: 319278 - 上次校閱: 2006年10月28日 - 版次: 1.5
這篇文章中的資訊適用於:
  • Microsoft Exchange 2000 Server Standard Edition
關鍵字:?
kbmt kbhowto kbhowtomaster KB319278 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:319278
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com