Jak přispět k bezpečnějšímu doručování zpráv klienta SMTP na serveru Exchange 2003

Překlady článku Překlady článku
ID článku: 823019 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek popisuje, jak lze nakonfigurovat nastavení zabezpečení příchozích připojení klienta v protokolu SMTP (Simple Mail Transfer Protocol) k počítačům se serverem Exchange 2003. Tato nastavení umožní uživatelům ověření a přijímání potenciálně citlivých materiálů. Také pomohou zabránit zachycení uživatelského jména, hesla či obsahu zprávy. Někteří uživatelé se mohou k počítači se serverem Exchange 2003 připojovat buď pomocí protokolu POP3 (Post Office Protocol 3), nebo pomocí protokolu IMAP4 (Internet Message Access Protocol 4). Oba tyto protokoly využívají k doručování zpráv protokol SMTP.

Poznámka: Při výchozí instalaci serveru Exchange 2003 není třeba konfigurovat další možnosti pro klienty, kteří používají pro připojení k serveru protokol POP3 nebo IMAP4. Tento článek obsahuje informace o některých výchozích nastaveních zabezpečení a také o dalších možnostech, které server Exchange 2003 nabízí.

Důležité informace

Upozorňujeme na následující informace týkající se příslušných témat:

Vytvoření dalšího virtuálního serveru SMTP



Vytvořte nový virtuální server SMTP, který bude sloužit pro příchozí připojení klientů.

Řízení připojení



Řízení připojení omezuje připojení založená na adrese IP nebo na názvu domény včetně zpětných vyhledávání v systému DNS (Domain Name System). Možnosti řízení připojení nešifrují hesla ani data zpráv.

Řízení přístupu



Nakonfigurovat lze buď základní ověřování, anonymní ověřování, nebo integrované ověření systému Windows (dříve označované jako NTLM nebo ověřování Windows NT Challenge/Response). Základní ověřování není zabezpečené, protože odesílá uživatelská jména a hesla jako prostý text. Chcete-li povolit šifrování uživatelských jmen a hesel, použijte buď základní ověřování s protokolem TLS (Transport Layer Security), nebo integrované ověření systému Windows. Protokol TLS šifruje uživatelská jména, hesla a data zpráv, podobně jako protokol SSL (Secure Sockets Layer). Upozorňujeme na to, že integrované ověření systému Windows funguje pouze v těch případech, kdy může klientský počítač kontaktovat řadič domény se systémem Windows, aby ověřil pověření. Ve většině konfigurací brány firewall tento kontakt není možný. Integrované ověření systému Windows však mohou využívat interní implementace přístupu v protokolu SMTP (kdy relace přihlášení neprochází Internetem).

Šifrování



Komunikace se zvýšeným zabezpečením šifruje relaci SMTP, včetně uživatelského jména, hesla a obsahu zprávy, pomocí šifrování SSL. Šifrování SSL doporučujeme používat pro všechna připojení SMTP k serveru Exchange 2003, která procházejí skrze veřejné sítě, jako například Internet. Na virtuální server SMTP je třeba nainstalovat certifikát. Můžete využít externí certifikační autoritu nebo nainstalovat certifikát prostřednictvím instalace Certifikační služby do doménové struktury adresářové služby Active Directory.

Řízení přenosu



Když vytvoříte virtuální server SMTP na serveru Exchange 2003, jeho konfigurace ve výchozím nastavení zabraňuje přenosu e-mailových zpráv. Uvědomte si, že pokud klienti používající protokol POP3 nebo IMAP4 nemají oprávnění k přenosu, nemohou uživatelé odesílat poštu SMTP do externích domén prostřednictvím virtuálního serveru SMTP. Pokud však přenos zpráv povolíte, uživatele bude možné využít (zneužít) k šíření nevyžádaných komerčních e-mailových zpráv. Použijete-li výchozí nastavení přenosu, pouze ověření klienti budou moci přenášet zprávy prostřednictvím virtuálního serveru SMTP. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
319278 Jak zabezpečit klientský přístup prostřednictvím protokolu IMAP (Internet Message Access Protocol) na serveru Exchange 2000 (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Vytvoření nového virtuálního serveru SMTP

  1. Klepněte na tlačítko Start, přejděte na příkaz Programy, přejděte na položku Microsoft Exchange a potom klepněte na položku System Manager.
  2. Rozbalte položku Administrative Groups (Skupiny správy) (pokud to lze), rozbalte položku Skupina_správy (pokud to lze), rozbalte položku Servers (Servery), dále položku Název_serveru a položku Protocols (Protokoly).
  3. Klepněte pravým tlačítkem myši na položku SMTP, přejděte na příkaz New(Nový) a potom klepněte na možnost SMTP Virtual Server (Virtuální server SMTP).
  4. Do pole Name (Název) zadejte název virtuálního serveru a klepněte na tlačítko Next (Další).
  5. Klepněte na adresu IP, kterou chcete používat, a potom klepněte na tlačítko Finish (Dokončit).
  6. Po vytvoření virtuálního serveru SMTP ověřte, zda nový virtuální server používá správný úplný název domény (FQDN). Postup:
    1. Klepněte pravým tlačítkem myši na vytvořený virtuální server SMTP a potom klepněte na příkaz Properties (Vlastnosti).
    2. Klepněte na kartu Delivery (Doručování) a poté na tlačítko Advanced (Upřesnit).
    3. Ověřte, zda název domény v poli Fully-qualified domain name (Úplný název domény) odpovídá názvu, který zadávají uživatelé, když konfigurují svůj klientský software pro doručování pošty v protokolu SMTP. Chcete-li ověřit, zda se název domény správně překládá, klepněte na tlačítko Check DNS (Zkontrolovat DNS).
    4. Klepněte na tlačítko OK a potom opět klepněte na tlačítko OK.
Poznámka: Pokud konfigurujete virtuální server SMTP pro klienty, kteří k tomuto serveru přistupují přes Internet, bude pravděpodobně třeba nakonfigurovat externí servery DNS, protože úplný název domény (FQDN) virtuálního serveru SMTP se musí přeložit na externí internetovou adresu. Postup je následující: V dialogovém okně Advanced Delivery (Upřesnit doručení) klepněte na tlačítko Configure (Konfigurovat), klepněte na tlačítko Add (Přidat) a zadejte adresu IP externího serveru DNS. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
326992 Odchozí zprávy v protokolu SMTP se neodesílají (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)


Konfigurace omezení adres IP

Postup konfigurace omezení adres IP:
  1. Klepněte na tlačítko Start, přejděte na příkaz Programy, přejděte na položku Microsoft Exchange a potom klepněte na položku System Manager.
  2. Rozbalte položku Administrative Groups (Skupiny správy) (pokud to lze), rozbalte položku Skupina_správy (pokud to lze), rozbalte položku Servers (Servery), dále položku Název_serveru a položku Protocols (Protokoly).
  3. Rozbalte položku SMTP, klepněte pravým tlačítkem myši na položku Default SMTP Virtual Server (Výchozí virtuální server SMTP) a potom klepněte na příkaz Properties (Vlastnosti).
  4. Klepněte na kartu Access (Přístup) a poté na tlačítko Connection (Připojení).
  5. V dialogovém okně Connection (Připojení) klepněte na položku Only the list below (Pouze na tomto seznamu).

    To znamená, že k virtuálnímu serveru SMTP se mohou připojovat pouze adresy IP a domény uvedené na seznamu.
  6. Klepněte na tlačítko Add (Přidat) a potom (podle situace) příslušným způsobem přidejte jeden počítač, skupinu počítačů nebo doménu.
    • Chcete-li přidat jeden počítač, klepněte na položku Single Computer (Jeden počítač), do pole IP address (Adresa IP) zadejte adresu IP serveru pro zasílání e-mailů vašeho poskytovatele služeb Internetu (ISP) a klepněte na tlačítko OK.

      Případně klepněte na položku DNS Lookup (Vyhledávání v systému DNS), zadejte název hostitele a klepněte na tlačítko OK.
    • Chcete-li přidat skupinu počítačů, klepněte na položku Group of computers (Skupina počítačů), do příslušných polí zadejte adresu podsítě a masku podsítě skupiny počítačů a klepněte na tlačítko OK.

      Společnost Microsoft doporučuje tuto možnost, jestliže má poskytovatel služeb Internetu (ISP) tendenci bez upozornění měnit adresu IP serveru pro zasílání e-mailů.
    • Chcete-li přidat doménu, klepněte na položku Domain (Doména), do pole Name (Název) zadejte požadovaný název domény a klepněte na tlačítko OK.

      Upozorňujeme, že tato možnost vyžaduje zpětné vyhledávání v systému DNS při každém příchozím připojení. Tento požadavek může mít negativní vliv na výkon serveru Exchange. Další informace naleznete v části Poradce při potížích v tomto článku.

Konfigurace řízení přístupu

Postup konfigurace řízení přístupu:
  1. Klepněte na tlačítko Start, přejděte na příkaz Programy, přejděte na položku Microsoft Exchange a potom klepněte na položku System Manager.
  2. Rozbalte položku Administrative Groups (Skupiny správy) (pokud to lze), rozbalte položku Skupina_správy (pokud to lze), rozbalte položku Servers (Servery), dále položku Název_serveru a položku Protocols (Protokoly).
  3. Rozbalte položku SMTP, klepněte pravým tlačítkem myši na virtuální server SMTP a potom klepněte na příkaz Properties (Vlastnosti).
  4. Klepněte na kartu Access (Přístup) a poté na položku Authentication (Ověřování).

    Ve výchozím nastavení je zakázán anonymní přístup a je povoleno základní ověřování a integrované ověřování systému Windows. Nakonfigurujte virtuální server SMTP tak, aby používal základní ověřování se šifrováním TLS nebo integrované ověřování systému Windows, a klepněte na tlačítko OK.
Poznámka: Také je třeba povolit přihlašování pomocí možnosti Secure Password Authentication (Zabezpečené ověřování hesla) v klientském softwaru SMTP. Postup v aplikaci Microsoft Outlook Express:
  1. Spusťte aplikaci Outlook Express.
  2. V nabídce Nástroje klepněte na příkaz Účty.
  3. Klepněte na kartu Pošta a poté na tlačítko Vlastnosti.
  4. Klepněte na kartu Servery, zaškrtněte políčko Přihlašovat se zabezpečeným ověřováním hesla, klepněte na tlačítko OK a potom na tlačítko Zavřít.
    Povšimněte si, že uživatelské jméno a heslo jsou šifrována. Data zpráva šifrována nejsou.

Konfigurace šifrování

Postup konfigurace šifrování:
  1. Klepněte na tlačítko Start, přejděte na příkaz Programy, přejděte na položku Microsoft Exchange a potom klepněte na položku System Manager.
  2. Rozbalte položku Administrative Groups (Skupiny správy) (pokud to lze), rozbalte položku Skupina_správy (pokud to lze), rozbalte položku Servers (Servery), dále položku Název_serveru a položku Protocols (Protokoly).
  3. Rozbalte položku SMTP, klepněte pravým tlačítkem myši na virtuální server SMTP a potom klepněte na příkaz Properties (Vlastnosti).
  4. Klepněte na kartu Access (Přístup) a poté na tlačítko Certificate (Certifikát). Spustí se Průvodce certifikátem webového serveru.
  5. Klepněte na tlačítko Další.
  6. Podle pokynů na zbývajících stránkách průvodce vytvořte novou certifikaci nebo přiřaďte stávající certifikát.
Po instalaci certifikátu na server nakonfigurujte způsob komunikace. Postup:
  1. Klepněte na tlačítko Start, přejděte na příkaz Programy, přejděte na položku Microsoft Exchange a potom klepněte na položku System Manager.
  2. Rozbalte položku Administrative Groups (Skupiny správy) (pokud to lze), rozbalte položku Skupina_správy (pokud to lze), rozbalte položku Servers (Servery), dále položku Název_serveru a položku Protocols (Protokoly).
  3. Rozbalte položku SMTP, klepněte pravým tlačítkem myši na virtuální server SMTP a potom klepněte na příkaz Properties (Vlastnosti).
  4. Klepněte na kartu Access (Přístup) a poté na položku Communication (Komunikace).
  5. Zaškrtněte políčko Require secure channel (Požadovat zabezpečený kanál).
  6. Pokud počítač se serverem Exchange 2003 i klienti podporují 128bitové šifrování, klepněte na položku Require 128-bit encryption (Požadovat 128bitové šifrování).
  7. Klepněte na tlačítko OK a potom opět klepněte na tlačítko OK.
  8. Zastavte a znovu spusťte virtuální server SMTP.
Pokud klienti používají aplikaci Outlook Express, nakonfigurujte ji tak, aby používala protokol SSL. Postup:
  1. Spusťte aplikaci Outlook Express.
  2. V nabídce Nástroje klepněte na příkaz Účty.
  3. Klepněte na kartu Pošta.
  4. Poklepejte na poštovní účet na serveru Exchange Server a poté klepněte na kartu Upřesnit.
  5. Ve skupinovém rámečku Odchozí pošta (SMTP) zaškrtněte políčko Tento server požaduje zabezpečené připojení (SSL).
  6. Klepněte na tlačítko OK a potom na tlačítko Zavřít.

Konfigurace přenosu

Postup konfigurace přenosu:
  1. Klepněte na tlačítko Start, přejděte na příkaz Programy, přejděte na položku Microsoft Exchange a potom klepněte na položku System Manager.
  2. Rozbalte položku Administrative Groups (Skupiny správy) (pokud to lze), rozbalte položku Skupina_správy (pokud to lze), rozbalte položku Servers (Servery), dále položku Název_serveru a položku Protocols (Protokoly).
  3. Rozbalte položku SMTP, klepněte pravým tlačítkem myši na virtuální server SMTP a potom klepněte na příkaz Properties (Vlastnosti).
  4. Klepněte na kartu Access (Přístup) a poté na položku Relay (Přenos).

    Výchozí nastavení povoluje přenos zpráv oprávněným uživatelům. Toto nastavení obvykle postačuje k tomu, aby byl přenos zpráv prostřednictvím virtuálního serveru SMTP umožněn pouze klientům se správnými pověřeními. Oprávnění k přenosu lze také omezit na jedinou adresu IP, na rozsahy adres IP nebo na přípony systému DNS.
  5. Klepněte na tlačítko OK.

Testování správného fungování nakonfigurovaných nastavení virtuálního serveru SMTP

Postup testování správného fungování nakonfigurovaných nastavení virtuálního serveru SMTP:
  • Chcete-li ověřit, zda omezení adres IP funguje správně, zkuste se připojit k serveru z vyloučené adresy IP prostřednictvím klienta používajícího protokoly POP3 a IMAP4. Pokud je omezení adres IP správně nakonfigurováno, zobrazí se zpráva, že připojení k serveru bylo zamítnuto.
  • Postup kontroly šifrování ověření:
    1. Spusťte program Sledování sítě v počítači se serverem Exchange 2003 a použijte výchozí nastavení ověřování k zahájení relace SMTP z klienta. Přitom sledujte příchozí provoz do počítače se serverem Exchange 2003.
    2. Zkontrolujte relaci SMTP a zaznamenejte pakety přenesené z klienta do serveru na portu 25 (0019h).

      Povšimněte si, že přihlašovací jméno uživatele a heslo jsou odeslány jako prostý text.
    3. Odeberte podporu základního ověřování, nakonfigurujte klienta tak, aby vyžadoval Secure Password Authentication (Zabezpečené ověřování hesla), spusťte další relaci z klienta a sledujte provoz v programu Sledování sítě.

      Nyní jsou uživatelský účet a heslo šifrované.
  • Postup testování šifrování SSL:
    1. Přidejte certifikát, nakonfigurujte nastavení tak, aby byl na virtuálním serveru SMTP vyžadován kanál s vyšším zabezpečením, a nakonfigurujte klienta tak, aby používal šifrování SSL.
    2. Spusťte program Sledování sítě a zahajte relaci stahování pošty SMTP z klienta.
    3. Zastavte zachytávání a zkontrolujte odeslané pakety.

      Povšimněte si, že všechny pakety odeslané z klienta na server s cílovým portem 25 (0019h) jsou šifrovány.
    Poznámka: Pokud jste nepovolili šifrování stahování pošty v protokolu POP3 nebo IMAP4 , pravděpodobně z klienta obdržíte několik nezašifrovaných paketů, jejichž cílovým portem je port 110 (006Eh) nebo 143 (008Fh).
  • Chcete-li otestovat správné fungování omezení přenosu, odešlete poštu z vyloučené adresy IP do externí domény. Zobrazí se chybová zpráva, že server nebyl schopen přenosu pro danou adresu příjemce.

Poradce při potížích

Veškerá omezení založená na vyhledávání v systému DNS mohou negativně ovlivnit výkon počítače se serverem Exchange 2003. Jelikož server provádí zpětné vyhledávání v systému DNS při každém příchozím připojení, musí být k dispozici zóna zpětného vyhledávání v systému DNS a odesílající hostitel musí být registrován s touto zónou.

Odkazy

Další informace o serveru Exchange Server 2003 naleznete na následujícím webu společnosti Microsoft:
http://www.microsoft.com/exchange/library

Vlastnosti

ID článku: 823019 - Poslední aktualizace: 26. listopadu 2007 - Revize: 1.4
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Klíčová slova: 
kbhowto KB823019

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com