如何在 Exchange 2003 中阻止未经请求的商业电子邮件

文章翻译 文章翻译
文章编号: 821746 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

简介

本文介绍如何阻止未经请求的商业电子邮件,如何降低 Exchange Server 2003 计算机被用来中继未经请求的商业电子邮件的风险。

对于办公室和家庭电子邮件用户来说,未经请求的商业电子邮件或垃圾邮件令人烦恼。删除这些邮件很费时间,但是如果您的 Exchange Server 计算机由于疏忽而被用作群发邮件的中继站,那就更麻烦了。

请注意,仅当您的 Internet 服务提供商 (ISP) 为您的域提供存储和转发服务或智能主机时,本文中讨论的推荐设置才适用。如果您通过拨号连接到 Internet 或者 ISP 为您的组织提供防火墙、路由或网络地址转换服务,则可能属于这种情况。

更多信息

阻止中继未经请求的商业电子邮件

在规划或实现相应的步骤以阻止传输未经请求的商业电子邮件时,有许多因素必须考虑。

阻止中继

如果您用来向外部域发送电子邮件的简单邮件传输协议 (SMTP) 服务器存在一个入站连接,会发生中继。例如,对于未经请求的商业电子邮件,如果发送到您的 SMTP 服务器的一封电子邮件有多个收件人位于您所在单位的外部域中,则发生中继。当 SMTP 服务器配置为使用匿名身份验证时,用于传播未经请求的商业电子邮件的邮件系统通常都接受入站邮件。接受邮件后,SMTP 服务器识别出邮件收件人属于外部域,于是传递这些邮件。那些发送未经请求的商业电子邮件的未授权用户只需向您的 SMTP 服务器发送一封入站邮件,该邮件就可以被转发给数以千计的收件人。这可能导致性能降低和队列拥塞。此外,当邮件到达时,还可能给收件人带来烦恼。

要阻止中继,请不要将中继权限授予其他主机。但是,有些情况需要中继。您可能具有邮局协议 3 (POP3) 和 Internet 邮件访问协议 4 (IMAP4) 客户端,它们依靠 SMTP 传递邮件。这些客户端可能有正当的理由向外部域发送电子邮件。要解决这一问题,请另外创建一个 SMTP 虚拟服务器,专门接收来自 POP3 和 IMAP4 客户端的电子邮件。可以对此附加的 SMTP 虚拟服务器进行配置,使其所用的身份验证与基于安全套接字层 (SSL) 的加密相结合,然后继续对该服务器进行配置,使其允许对经过身份验证的客户端进行中继。

注意:默认情况下,Exchange 2003 中的默认 SMTP 虚拟服务器配置为阻止通过虚拟服务器中继电子邮件。

要阻止计算机通过 SMTP 虚拟服务器中继邮件,请执行下列操作:
  1. 单击“开始”,依次指向“程序”和“Microsoft Exchange”,然后单击“系统管理器”。
  2. 依次展开“服务器”、ServerName、“协议”。
  3. 展开“SMTP”,右键单击“默认 SMTP 虚拟服务器”,然后单击“属性”。
  4. 单击“访问”选项卡,然后单击“中继”。
  5. 在“中继限制”对话框中,单击“仅以下列表”(如果尚未选中),然后确保“计算机”列表为空。

    如果您不打算对此虚拟服务器使用任何 POP3 和 IMAP4 客户端,请单击以清除“不管上表中如何设置,所有通过身份验证的计算机都可以进行中继”复选框,然后单击“确定”。
  6. 单击“确定”。

配置连接筛选

全局连接筛选总是取代单个 SMTP 虚拟服务器上的设置。例如,如果您将 SMTP 虚拟服务器设置为仅接受特定 IP 地址的连接,然后在全局连接筛选器上拒绝同一 IP 地址,则 Exchange 计算机将不接受从该地址发送的电子邮件。

要启用全局连接筛选,请按照下列步骤操作:
  1. 单击“开始”,依次指向“程序”和“Microsoft Exchange”,然后单击“系统管理器”。
  2. 展开“全局设置”,右键单击“邮件传递”,然后单击“属性”。
  3. 单击“连接筛选”选项卡,然后单击“添加”。
  4. 在“显示名”框中,键入连接筛选器的名称。
  5. 在“提供商的 DNS 后缀”框中,键入 ISP 追加到 IP 地址的 DNS 后缀。
  6. 如果您要指定一个自定义错误消息,请在“自定义要返回的错误消息”框中键入所需的消息。
  7. 要指定一个返回状态代码,请单击“自定义要返回的错误消息”,然后指定您要使用的状态代码。
  8. 单击“确定”。
要启用连接筛选,请执行下列操作:
  1. 单击“开始”,依次指向“程序”和“Microsoft Exchange”,然后单击“系统管理器”。
  2. 依次展开“服务器”、ServerName、“协议”。
  3. 展开“SMTP”,右键单击“默认 SMTP 虚拟服务器”,然后单击“属性”。
  4. 单击“常规”选项卡,然后单击“高级”。
  5. 在“地址”列表中,单击要应用连接筛选的 IP 地址,然后单击“编辑”。
  6. 单击以选中“应用连接筛选器”复选框,单击“确定”,然后单击“确定”。

配置发件人筛选

当您在 SMTP 虚拟服务器上启用发件人筛选时,不接受发件人筛选器上任何人发送的电子邮件。发件人筛选是全局设置的,但是需要您在 SMTP 虚拟服务器上对每个 IP 地址启用它。

要创建一个发件人筛选器,请执行下列操作:
  1. 单击“开始”,依次指向“程序”和“Microsoft Exchange”,然后单击“系统管理器”。
  2. 展开“全局设置”,右键单击“邮件传递”,然后单击“属性”。
  3. 单击“发件人筛选”选项卡,然后单击“添加”。
  4. 以 SMTP 地址格式键入您要筛选其邮件的发件人的姓名,然后单击“确定”。
  5. 指定您要配置的任何附加筛选器选项,然后单击“确定”。
要在 SMTP 虚拟服务器上启用发件人筛选,请执行下列操作:
  1. 单击“开始”,依次指向“程序”和“Microsoft Exchange”,然后单击“系统管理器”。
  2. 依次展开“服务器”、ServerName、“协议”。
  3. 展开“SMTP”,右键单击“默认 SMTP 虚拟服务器”,然后单击“属性”。
  4. 单击“常规”选项卡,然后单击“高级”。
  5. 在“地址”列表中,单击要应用发件人筛选器的 IP 地址,然后单击“编辑”。
  6. 单击以选中“应用发件人筛选器”复选框,单击“确定”,然后单击“确定”。

配置 IP 地址限制

当您配置 IP 地址限制时,可以指定您的 SMTP 服务器从中接受入站会话的 IP 地址、IP 范围或域名系统 (DNS) 域。如果您的 ISP 代表您接受邮件,然后将邮件转发给您,这将很有用,因为它阻止其他主机连接到您的 SMTP 连接器。

注意:要使 IP 地址限制生效,您所在域的 Internet DNS 区域中的邮件交换器 (MX) 记录必须指向您 ISP 的电子邮件传送服务器,而不是指向您的 Exchange 2003 计算机。如果您从 ISP 的电子邮件传送服务器接收外部 SMTP 电子邮件,则可以配置 IP 地址限制。IP 地址限制指示您的 SMTP 虚拟服务器仅接受来自 ISP 的电子邮件传送服务器的连接。

要配置 IP 地址限制,请执行下列操作:
  1. 单击“开始”,依次指向“程序”和“Microsoft Exchange”,然后单击“系统管理器”。
  2. 依次展开“服务器”、ServerName、“协议”。
  3. 展开“SMTP”,右键单击“默认 SMTP 虚拟服务器”,然后单击“属性”。
  4. 单击“访问”选项卡,然后单击“连接”。
  5. 在“连接”对话框中,单击“仅以下列表”。

    这表明只允许列表中的 IP 地址和域连接到 SMTP 虚拟服务器。
  6. 单击“添加”,然后根据您的具体情况,执行下列操作之一来添加一台计算机、一组计算机或一个域:
    • 要添加一台计算机,请单击“一台计算机”,在“IP 地址”框中键入 ISP 的电子邮件传送服务器的 IP 地址,然后单击“确定”。

      也可以单击“DNS 查找”,键入一个主机名,然后单击“确定”。
    • 要添加一组计算机,请单击“一组计算机”,在相应的框中键入该组的子网地址和子网掩码,然后单击“确定”。

      如果您的 ISP 倾向于在不给出警告的情况下更改它的电子邮件传送服务器的 IP 地址,Microsoft 建议您使用此选项。
    • 要添加一个域,请单击“域”,在“名称”框中键入所需的域名,然后单击“确定”。

      注意,此选项要求对每个传入的连接执行 DNS 逆向搜索。此要求可能会对 Exchange 服务器的性能造成不良影响。有关更多信息,请参阅下文的 疑难解答一节。

配置身份验证

当您配置基于用户的身份验证时,外部主机或客户端必须使用用户名和密码登录到 SMTP 虚拟服务器。与 IP 地址限制类似,如果 ISP 充当您组织的邮件中继站并且能够为您的 SMTP 虚拟服务器提供经过身份验证的连接,您就可以配置身份验证。您的 ISP 还必须支持传输层安全。传输层安全对身份验证和邮件传输会话进行加密。

注意:您的 ISP 可能不支持集成 Windows 身份验证选项(通常称为 NTLM 或 Windows NT 质询/响应身份验证)。

要配置身份验证,请执行下列操作:
  1. 单击“开始”,依次指向“程序”和“Microsoft Exchange”,然后单击“系统管理器”。
  2. 依次展开“服务器”、ServerName、“协议”。
  3. 展开“SMTP”,右键单击“默认 SMTP 虚拟服务器”,然后单击“属性”。
  4. 单击“访问”选项卡,然后单击“身份验证”。
  5. 在“身份验证”对话框中,单击以清除“匿名访问”和“集成 Windows 身份验证”复选框。

    确保已选中“基本身份验证(密码以明文形式发送)”复选框。
  6. 如果您的 ISP 支持传输层安全,单击以选中“要求 TLS 加密”复选框。
  7. 单击“确定”。
  8. 向 Active Directory 中添加一个用户帐户和密码,然后将这些凭据告知您的 ISP。此帐户为入站连接提供身份验证。

设置邮件限制

设置邮件限制涉及到更改每封邮件的默认收件人数量。此过程通过阻止将一封邮件传递给许多人来减少未经请求的商业电子邮件的影响。此外,您还可以降低最大邮件大小和最大会话大小。

注意:如果您有大型通讯组列表,并且通讯组成员都通过 SMTP 接收电子邮件,则减少每封邮件的收件人数量可能会影响到向内部收件人传递邮件。不过,对于 MAPI 收件人不存在这一问题。

要设置邮件限制,请执行下列操作:
  1. 单击“开始”,依次指向“程序”和“Microsoft Exchange”,然后单击“系统管理器”。
  2. 依次展开“服务器”、ServerName、“协议”。
  3. 展开“SMTP”,右键单击“默认 SMTP 虚拟服务器”,然后单击“属性”。
  4. 单击“邮件”选项卡。
  5. 要配置邮件限制,请执行下列操作:
    1. 单击以选中“限制邮件大小不超过(KB)”复选框,然后指定一个比当前值小的值。

      例如,键入 2048
    2. 单击以选中“限制会话大小不超过(KB)”复选框,然后键入 4096
    3. 将“限制每个连接的邮件数不超过”的默认值设置为“20”。

      不必更改此值。
    4. 将“限制每封邮件的收件人数不超过”的值更改为 100 到 1000 之间的值。

      默认设置是“64,000”。

      注意:您指定的值取决于您组织的邮件收发需要和组织的外部通讯组列表的大小。任何超过该收件人数目的邮件都将退回给发件人,并附带一份未送达报告 (NDR)。
  6. 单击“确定”。

配置 SMTP 连接器

您可能已经在 Exchange 2003 计算机上创建了 SMTP 连接器,以便与 Internet 上的其他 SMTP 服务器建立出站连接和接受入站连接。此 SMTP 连接器必须至少与一个 SMTP 虚拟服务器相关联才能运行。您必须验证对 SMTP 连接器进行了正确配置,以减少中继未经请求的商业电子邮件的风险。
  1. 单击“开始”,依次指向“程序”和“Microsoft Exchange”,然后单击“系统管理器”。
  2. 依次展开“服务器”、“Routing Group”、“连接器”。
  3. 右键单击您用来向 Internet 发送出站电子邮件以及从 Internet 接受入站电子邮件的 SMTP 连接器,然后单击“属性”。
  4. 如果 ISP 为您的传入电子邮件提供存储和转发功能,则它可能还为您的传出电子邮件提供智能主机。如果是这样的话,请单击“将通过此连接器的所有邮件转发到下列智能主机”,然后键入 ISP 的电子邮件传送服务器的 IP 地址或完全限定域名 (FQDN)。
  5. 单击“地址空间”选项卡,然后单击以清除“允许将邮件中继到这些域”复选框(如果已选中)。

    注意:向 Internet 发送电子邮件的 SMTP 连接器通常使用星号 (*)(表示所有域)作为它的地址空间。如果您单击以选中“允许将邮件中继到这些域”复选框,就会允许中继到所有外部域。如果您使用智能主机发送出站电子邮件,请联系您的 ISP 以获得关于配置电子邮件传递安全性的更多信息。
  6. 单击“高级”选项卡,然后单击“出站安全”。如果您的 ISP 支持身份验证和加密,请单击“基本身份验证(密码以明文形式发送)”,单击“修改”,添加用于访问 ISP 的智能主机的用户帐户和密码,然后单击“确定”。
  7. 单击以选中“TLS 加密”复选框,单击“确定”,然后单击“确定”。

确认您配置的 SMTP 虚拟服务器设置正常工作

要确认您配置的 SMTP 虚拟服务器设置正常工作,请执行下列操作:
  1. 若要确认 IP 限制是否正常工作,请使用一个 POP3 和一个 IMAP4 客户端来尝试从一个已排除的 IP 地址连接到服务器。如果 IP 限制的配置正确,您会看到一条消息,告诉您到服务器的连接被拒绝。
  2. 要确认中继限制正常工作,请使用 POP3 和 IMAP4 客户端从一个未被排除的 IP 地址与您的服务器进行连接,然后向外部域发送一封电子邮件。如果中继限制配置正确,您会收到一条消息,通知您向外部域进行传递时由于中继限制而被拒绝。
  3. 要检查传输级别安全性身份验证和加密,请确认您可以收到来自 ISP(它为您的域提供存储和转发服务)的电子邮件传送服务器的电子邮件。在您的 Exchange Server 计算机上运行网络监视器,并在端口 25 (0019h) 上捕获来自 ISP 的电子邮件传送服务器的 IP 地址的数据包。这些数据包包含加密的数据。您无法查看用户名或密码凭据。
  4. 要确认反向 DNS 查找,请从一个与发送域不匹配的地址向您的域发送一封邮件。如果反向 DNS 查找工作正常,该邮件会出现在 Badmail 文件夹中。

疑难解答

任何基于 DNS 查找的限制都可能对基于 Exchange 2003 的计算机的性能产生不良影响。因为服务器会对每个入站连接执行逆向 DNS 查找,所以必须有一个 DNS 逆向查找区域,并且发送主机必须向该区域注册。

参考

有关 Exchange Server 2003 的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/exchange/library

属性

文章编号: 821746 - 最后修改: 2007年11月26日 - 修订: 3.2
这篇文章中的信息适用于:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
关键字:?
kbhowtomaster KB821746
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com