文章編號: 319356 - 上次校閱: 2005年6月1日 - 版次: 2.2

如何防範 Exchange 2000 Server 中來路不明的商業電子郵件

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

結論

本文將逐步告訴您,如何防範來路不明的商業電子郵件,以及如何降低您的伺服器被用來轉送來路不明商業電子郵件的可能性。

無論是來路不明的商業電子郵件或垃圾郵件,都令現代辨公室和家庭電子郵件使用者感到相當厭煩。刪除這些電子郵件很浪費時間,而且若您的 Exchange Server 電腦不慎被用來轉送大量郵件,刪除的工作可能會變得相當棘手。

本文所描述的部分建議變更,只適用於網際網路服務提供者 (ISP) 已提供儲存和轉寄服務或智慧主機的網域。通常是您使用撥號連線連至網際網路,或 ISP 為您的組織提供防火牆、路由或網路位址轉譯服務。

回此頁最上方

需求

下面清單列出了建議使用的硬體、軟體、網路基礎架構以及所需安裝的 Service Pack:
  • Microsoft Windows 2000 Server Service Pack 2 (SP2)
  • Microsoft Windows 2000 Security Rollup Package 1 (SRP1)
  • Microsoft Windows 2000 Simple Network Management Protocol (SNMP) 安全性更新
  • Microsoft Windows 2000 安全性補充程式:簡易郵件傳送通訊協定 (SMTP) 彙總套件
  • Active Directory
  • Exchange 2000 Server Service Pack 2 (SP2) 或更新版本
  • Outlook Express 5.0 或更新版本 (用於測試)
注意 如需有關如何取得 Service Pack 和安全性更新的詳細資訊,請參閱本文後面的<參考>一節。

本文假設您已熟悉下列主題:
  • Exchange 系統管理員
  • 傳輸控制通訊協定/網際網路通訊協定 (TCP/IP)
  • 設定 SMTP 連線
  • 設定與使用 Microsoft 網路監視器,其中包括了設定擷取篩選器
回此頁最上方

如何規劃和實作保護層級

當您計劃要執行能夠防範來路不明商業電子郵件的步驟時,必須考量一些因素。

如何防止轉送

轉送是指利用連至 SMTP 伺服器的傳入連線,將電子郵件傳送至外部網域的動作。 透過來路不明的商業電子郵件,將單一電子郵件傳送至組織外部的網域中,含有多個收件者的 SMTP 伺服器,也是利用轉送來達成。由於 SMTP 伺服器預設為使用匿名驗證,因此,要用來傳播來路不明商業電子郵件的系統,依舊會接受輸入郵件。郵件被接受之後,SMTP 伺服器會辨識郵件收件者屬於外部網域,接著 SMTP 伺服器會傳遞郵件。因此,傳送來路不明商業電子郵件的未授權使用者,只需要傳送一封輸入郵件至您的 SMTP 伺服器,就能將該郵件傳遞給數以千計的收件者,而這會拖慢 Exchange Server 電腦的回應速度、阻塞佇例,並且讓收件者在收件匣中收到該郵件時,感到相當氣惱和厭煩。

控制轉送的主要方法是,不要授與任何其他主機轉送的權限。 然而,還是有些時候會需要轉送。例如,您的「郵局通訊協定,第 3 版」(POP3) 和「網際網路訊息存取通訊協定」(IMAP4) 用戶端必須使用 SMTP 來傳遞郵件,並且有合理的理由必須傳送電子郵件至外部網域。您可以建立第二部 SMTP 虛擬伺服器,專用於接收來自 POP3 和 IMAP4 用戶端的電子郵件,以暫時解決這個問題。此新增的 SMTP 虛擬伺服器可以使用與 Secure Sockets Layer (SSL) 加密結合的驗證方法,並設定為允許已驗證用戶端執行轉送。

注意 對於具備 POP3 和 IMAP4 用戶端的使用者,如需有關如何加密 SMTP 郵件傳遞的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
319267? (http://support.microsoft.com/kb/319267/ ) How to secure Simple Mail Transfer Protocol client message delivery in Exchange 2000 Server
  1. 按一下 [開始],指向 [程式集],再指向 [Microsoft Exchange],然後按一下 [系統管理員]
  2. [Exchange 系統管理員] 的左邊窗格中,按兩下 [伺服器],然後展開您要設定的 Exchange Server 電腦。
  3. 展開 [通訊協定],再展開 [SMTP]
  4. 用滑鼠右鍵按一下 [預設 SMTP 虛擬伺服器],然後按一下 [內容]
  5. 按一下 [存取] 索引標籤,以顯示 [存取控制] 選項。
  6. 按一下 [轉送] 按鈕。
  7. [轉送限制] 對話方塊中,請確認哪些電腦可能轉送的選項是設定為 [僅限下列清單] 且清單是空白的。
  8. 除非您將 POP3 和 IMAP4 用戶端搭配此虛擬伺服器使用,否則,請清除 [不考慮上述清單,允許所有通過驗證的電腦轉送] 方塊,然後按一下 [確定]
  9. [SMTP 虛擬伺服器內容] 對話方塊中,按一下 [確定]

如何設定 IP 位址限制

設定網際網路通訊協定 (IP) 位址限制讓您能夠指定 IP 位址、IP 範圍或 SMTP 伺服器接受傳入工作階段的目標網域名稱系統 (DNS) 網域。如果您的 ISP 以您的名義接受郵件,再將郵件轉寄給您,這項技術便相當有用,因為此技術會防止其他主機連線至您的 SMTP 連接器。

注意 為了讓 IP 位址限制能夠運作,您網域的網際網路 DNS 區域上的郵件交換者 (MX) 記錄必須指向您的 ISP 電子郵件伺服器,而不是指向 Exchange Server 電腦。

如果您接收來自 ISP 電子郵件伺服器的外部 SMTP 電子郵件,就可以設定 IP 位址限制。IP 位址限制表示,SMTP 虛擬伺服器只會接受來自您 ISP 電子郵件伺服器的連線。

  1. 按一下 [開始],指向 [程式集],再指向 [Microsoft Exchange],然後按一下 [系統管理員]
  2. [Exchange 系統管理員] 的左邊窗格中,按兩下 [伺服器],然後展開您要設定的 Exchange Server 電腦。
  3. 展開 [通訊協定],再展開 [SMTP]
  4. 用滑鼠右鍵按一下 [預設 SMTP 虛擬伺服器],然後按一下 [內容]
  5. 按一下 [存取] 索引標籤,以顯示 [存取控制] 選項。
  6. 如果要設定 IP 位址限制,請按一下 [連線] 按鈕。
  7. [連線] 對話方塊中,按一下 [僅限下列清單]。這表示只有清單中的 IP 位址和網域才能連線至 SMTP 虛擬伺服器。您可以從所列的類型中新增數個項目:

    1. 您可以在 IP 位址方塊中輸入位址,為您的 ISP 電子郵件伺服器新增單一 IP 位址。或者,您可以按一下 [DNS 查閱] 按鈕,輸入主機名稱 (例如 mail.example.com),然後按一下 [確定]
    2. 您可以新增位址範圍,例如 131.107.2.0,其子網路遮罩為 255.255.255.0。如果您的 ISP 傾向於變更電子郵件伺服器的 IP 位址,而不發出警告,則 Microsoft 建議您使用此程序。
    3. 您也可以在網域基準上設定限制,只允許來自 *.example.com 的連線。然而,請注意此選項需要在每個連入連線上進行 DNS 反向查閱,這可能會對 Exchange Server 電腦的效能造成不良的影響。如需詳細資訊,請參閱本文後面的<疑難排解>一節。
  8. 按一下 [確定]

如何實作驗證

實作使用者為主的驗證,讓外部主機或用戶端可以透過輸入使用者名稱和密碼的方式,登入 SMTP 虛擬伺服器。不過,類似於 IP 位址限制,只有在 ISP 做為組織的郵件中繼站,並且能夠提供已驗證的連線連至您的 SMTP 虛擬伺服器時,才能設定驗證功能。此外,您的 ISP 也必須支援「傳輸層安全性」(Transport Layer Security,TLS),而 TLS 會將整個驗證和訊息傳輸的工作階段加密。

注意 您的 ISP 支援不太可能「整合式 Windows 驗證」(NTLM 驗證) 選項。

  1. 按一下 [開始],指向 [程式集],再指向 [Microsoft Exchange],然後按一下 [系統管理員]
  2. [Exchange 系統管理員] 的左邊窗格中,按兩下 [伺服器],然後展開您要設定的 Exchange Server 電腦。
  3. 展開 [通訊協定],再展開 [SMTP]
  4. 用滑鼠右鍵按一下 [預設 SMTP 虛擬伺服器],然後按一下 [內容]
  5. 如果要設定存取控制項,請按一下 [存取] 索引標籤,再按 [驗證] 按鈕。
  6. [驗證] 對話方塊中,已選取所有的驗證方法。請清除 [匿名存取][整合式 Windows 驗證] 核取方塊。
  7. 如果您的 ISP 支援 TLS,請按一下 [基本驗證] 下方的 [必須使用 TLS 加密] 選項。
  8. 您必須在 Active Directory 中加入使用者帳戶和密碼,然後通知您的 ISP 這些認證資訊。 這個帳戶將做為傳入連線的驗證。
  9. 按一下 [確定]

如何設定郵件限制

設定郵件限制關係到變更每個郵件的預設收件者數量。 這個程序可以防止將同一封電子郵件傳遞給大量的收件者,因而降低來路不明商業電子郵件的影響。 此外,您可以減少郵件大小上限,以及工作階段的大小。

注意 如果透過 SMTP 的內部收件者數量很多,那麼降低收件人數量這個程序可能會影響到對這些收件人的郵件傳遞工作。 不過,這對於「訊息應用程式發展介面」(Messaging Application Programming Interface,MAPI) 的收件者而言,並不是個問題。

  1. 按一下 [開始],指向 [程式集],再指向 [Microsoft Exchange],然後按一下 [系統管理員]
  2. [Exchange 系統管理員] 的左邊窗格中,按兩下 [伺服器],然後展開您要設定的 Exchange Server 電腦。
  3. 展開 [通訊協定],再展開 [SMTP]
  4. 用滑鼠右鍵按一下 [預設 SMTP 虛擬伺服器],然後按一下 [內容]
  5. [SMTP 虛擬伺服器內容] 對話方塊中,按一下 [郵件] 索引標籤。現在,您可以設定郵件數量的限制。
  6. 按一下 [將郵件大小限制為 (KB):] 方塊,然後在 [大小] 方塊中輸入較小的值,例如 2048
  7. 按一下 [將工作階段大小限制為 (KB)] 方塊,然後輸入 4096
  8. 每次連線的預設郵件數量為 20。您不需要變更這個值。
  9. [將每封郵件的收件者數目限制為] 的預設設定為 64,000。請將此設定值變更為 1001000 之間的值。注意:請根據組織的郵件傳送需求,以及組織外部通訊群組清單的大小來決定這個值。 收件者人數大於此值的郵件都會被退回給寄件者,並附上未傳遞報告 (NDR)。

  10. 按一下 [確定]

如何使用反向 DNS 查閱

如果您直接從網際網路的其他網域接收郵件,可以將您的 SMTP 虛擬伺服器設定為針對連入的電子郵件執行反向 DNS 查閱。 這個設定可以確保傳送電子郵件的伺服器 IP 位址 (及其完整網域名稱) 符合郵件寄件者的網域名稱。反向查閱有助於防止遭到地址詐騙。不過,反向查閱會使您的 Exchange Server 電腦增加額外的負荷。如需詳細資訊,請參閱<疑難排解>一節。此外,您的 Exchange Server 電腦必須能夠連接進行傳送作業網域的反向對應區域,才能使用這個技術。

注意 如果您只設定 SMTP 虛擬伺服器,來執行 DNS 反向查閱,將無法封鎖非相符網域名稱 / IP 位址。DNS 反向查閱只會從 IP 位址解析 DNS 名稱,然後利用 DNS 反向查閱所產生的名稱,來取代標頭中的 DNS 名稱。

如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
297412? (http://support.microsoft.com/kb/297412/ ) The "Perform Reverse DNS Lookup for Incoming Messages" option is for host name resolution
  1. 按一下 [開始],指向 [程式集],再指向 [Microsoft Exchange],然後按一下 [系統管理員]
  2. [Exchange 系統管理員] 的左邊窗格中,按兩下 [伺服器],然後展開您要設定的 Exchange Server 電腦。
  3. 展開 [通訊協定],再展開 [SMTP]
  4. 用滑鼠右鍵按一下 [預設 SMTP 虛擬伺服器],然後按一下 [內容]
  5. 如果要設定傳入郵件的反向 DNS 查閱,請按一下 [傳遞] 索引標籤。
  6. 按一下 [進階] 按鈕,然後按一下 [對傳入的郵件執行反向 DNS 查閱] 核取方塊。
  7. 按一下 [確定],再按一下 [確定]

如何設定 SMTP 連接器

您可能已經在 Exchange Server 電腦上建立 SMTP 連接器,以連線至網際網路的其他 SMTP 伺服器,或接受來自這些伺服器的連線。這個 SMTP 連接器必須與至少一個 SMTP 虛擬伺服器產生關聯,才能運作。您必須確認 SMTP 連接器的設定是最佳的設定,以降低被用來轉送來路不明商業電子郵件的可能性。

  1. 按一下 [開始],指向 [程式集],再指向 [Microsoft Exchange],然後按一下 [系統管理員]
  2. [Exchange 系統管理員] 的左邊窗格中,按兩下 [連接器]
  3. 用滑鼠右鍵按一下您用來連線至網際網路,以傳入和輸出電子郵件的 SMTP 連接器,然後按一下 [內容]。此程序會顯示 SMTP 連接器 [內容] 對話方塊的 [一般] 索引標籤。

  4. 如果您的 ISP 提供傳入郵件的儲存和轉寄功能,ISP 可能也會提供用於輸出電子郵件的智慧主機。如果有,請按一下 [經由此連接器,轉寄所有郵件至下列智慧主機],然後輸入 ISP 電子郵件伺服器的 FQDN 或 IP 位址。
  5. 按一下 [地址空間] 索引標籤,並確認已清除 [允許將郵件轉送至這些網域] 核取方塊。

    注意 由於傳遞電子郵件至網際網路的 SMTP 連接器通常會以星號 (*) (代表所有網域) 當做自己的地址空間,因此,如果您按一下 [允許將郵件轉送至這些網域] 核取方塊,SMTP 連接器就會啟用所有外部網域的轉送。

  6. 如果您使用智慧主機來輸出電子郵件,請與 ISP 連絡,以設定電子郵件傳遞時的安全性。按一下 [進階] 索引標籤,然後按一下 [輸出安全性] 按鈕。
  7. 如果您的 ISP 支援驗證和加密,請選取 [基本驗證],按一下 [修改] 按鈕,並加入存取 ISP 智慧主機所用的使用者帳戶和密碼,再按 [確定],然後按一下選取 [TLS 加密] 核取方塊。


回此頁最上方

如何確認 IP 限制的運作

  1. 如果要確認 IP 限制的運作,請使用您的 POP3 和 IMAP4 用戶端,嘗試從排除的 IP 位址進行連線。 您將會收到指出連線至伺服器遭到拒絕的訊息。
  2. 如果要確認轉送限制的運作,請使用 POP3 和 IMAP4 用戶端,從未排除的 IP 位址進行連線,然後嘗試傳送電子郵件至外部網域。您將會收到訊息,指出傳遞至外部網域的作業因轉送限制而遭到拒絕。
  3. 如果要檢查 TLS 驗證和加密,請確認您可以從 ISP 為您的網域所提供儲存和轉寄服務的電子郵件伺服器接收電子郵件。 請在您的 Exchange Server 電腦上執行「網路監視器」,並擷取連接埠 25 (0019h) 上來自 ISP 電子郵件伺服器位址的封包。 這些封包含有加密的資料。您不會看到使用者名稱或密碼等認證資料。
  4. 如果要確認反向 DNS 查閱,您必須從與傳送郵件的網域不同的位址,傳送郵件至您的網域。這封郵件會出現在您的 [Badmail] 資料夾。
回此頁最上方

疑難排解

任何根據 DNS 查閱的限制都可能降低 Exchange 2000 Server 電腦的效能。因為 Exchange 2000 電腦會對每個輸入連線執行反向 DNS 查閱,所以會需要可以正常運作的 DNS 反向對應區域,並要求以該區域來註冊負責傳送的主機。

如需有關如何設定反向對應區域的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
251509? (http://support.microsoft.com/kb/251509/ ) XFOR:Cannot Restrict Access by Domain Name if DNS Is Not Configured Correctly
回此頁最上方

?考

如需有關如何防止來路不明商業電子郵件的詳細資訊,請參閱 Exchange Server 2000 的「說明」和 Exchange 2000 Server Resource Kit。下列列出「Microsoft 知識庫」中有關如何防止來路不明商業電子郵件的文件:

249266? (http://support.microsoft.com/kb/249266/ ) XFOR:垃圾郵件測試的線上資源及資訊
如需有關如何加密 SMTP 郵件傳遞的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
319267? (http://support.microsoft.com/kb/319267/ ) How to secure Simple Mail Transfer Protocol client message delivery in Exchange 2000 Server
如需有關如何設定連至 Exchange 2000 電腦的連入 POP3 連線安全性的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
319273? (http://support.microsoft.com/kb/319273/ ) HOW TO:Help Secure Post Office Protocol Client Access in Exchange 2000
如需有關如何設定連至 Exchange 2000 電腦的連入 IMAP4 連線安全性的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
319278? (http://support.microsoft.com/kb/319278/ ) HOW TO:Secure Internet Message Access Protocol Client Access in Exchange 2000
如需有關如何設定反向對應區域的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
251509? (http://support.microsoft.com/kb/251509/ ) XFOR:Cannot Restrict Access by Domain Name if DNS Is Not Configured Correctly
如需有關 Window 2000 SRP1 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
311401? (http://support.microsoft.com/kb/311401/ ) Windows 2000 Security Rollup Package 1 (SR about the Window 2000 SRP1), January 2002
如需有關 Windows 2000 SNMP 安全性更新的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
314147? (http://support.microsoft.com/kb/314147/ ) MS02-006:SNMP 服務中未檢查的緩衝區可能會允許程式碼執行
如需有關 Windows 2000 安全性補充程式的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
313450? (http://support.microsoft.com/kb/313450/ ) MS02-012:A malformed data transfer request may cause the Windows SMTP service to stop working
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Exchange 2000 Server Standard Edition
回此頁最上方
關鍵字:?
kbhowto kbhowtomaster KB319356
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。