Sådan øges sikkerheden for levering af SMTP-klientmeddelelser i Exchange 2003

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 823019 - Få vist de produkter, som denne artikel refererer til.
Udvid alle | Skjul alle

På denne side

Sammenfatning

I denne artikel beskrives, hvordan sikkerhedsindstillinger for indgående SMTP-klientforbindelser (Simple Mail Transfer Protocol) konfigureres på computerne med Exchange 2003. Disse indstillinger tillader dine brugere at godkende og modtage potentielt følsomt materiale, og de hjælper med at forhindre, at brugernavnet, adgangskoden eller meddelelsesindholdet opfanges. Du kan have brugere, der skal anvende enten POP3 (Post Office Protocol 3) eller IMAP4 (Internet Message Access Protocol 4) for at kunne oprette forbindelse til computeren med Exchange 2003. Begge protokoller er afhængige af SMTP i forbindelse med levering af meddelelser.

Bemærk! I forbindelse med en standardinstallation af Exchange 2003 skal du ikke konfigurere yderligere indstillinger for POP3- eller IMAP4-klienter, der opretter forbindelse til serveren. I denne artikel beskrives nogle standardsikkerhedsindstillinger, og artiklen indeholder også oplysninger om flere indstillinger, der er tilgængelige i Exchange 2003.

Overvejelser

Bemærk følgende overvejelser:

Oprettelse af en ekstra virtuel SMTP-server



Opret en ny virtuel SMTP-server, der skal bruges i forbindelse med indgående klientforbindelser.

Kontrol af forbindelse



Kontrol af forbindelse begrænser forbindelser, der er baseret på en IP-adresse eller et domænenavn, herunder omvendte DNS-opslag (Domain Name System). Indstillinger for kontrol af forbindelse krypterer ikke adgangskoder eller meddelelsesdata.

Adgangskontrol



Du kan konfigurere enten grundlæggende godkendelse eller integreret Windows-godkendelse (tidligere kaldet NTLM eller Windows NT Challenge/Response-identitetskontrol). Grundlæggende godkendelse er ikke sikker, fordi den sender brugernavne og adgangskoder i klartekst. Hvis du vil aktivere kryptering af brugernavne og adgangskoder, skal du bruge enten grundlæggende godkendelse med TLS (Transport Layer Security) eller integreret Windows-godkendelse. TLS krypterer brugernavne, adgangskoder og meddelelsesdata, som det er tilfældet med SSL (Secure Sockets Layer). Bemærk, at integreret Windows-godkendelse kun fungerer i scenarier, hvor klientcomputeren kan kontakte en Windows-baseret domænecontroller for at validere legitimationsoplysningerne. Denne kontakt kan ikke forekomme i forbindelse med de fleste firewallkonfigurationer. Interne implementeringer af SMTP-adgang (hvor logonsessionen ikke sker via internettet) kan dog bruge integreret Windows-godkendelse.

Kryptering



Kommunikation med forbedret sikkerhed krypterer SMTP-sessionen, herunder brugernavnet, adgangskoden og meddelelsesdata vha. SSL-kryptering. Det er bedre, hvis du bruger SSL til alle SMTP-forbindelser med Exchange 2003, der krydser offentlige netværk, f.eks. internettet. Du skal installere et certifikat på den virtuelle SMTP-server. Du kan enten bruge et eksternt nøglecenter, eller du kan installere Certificate Services til din Microsoft Active Directory-katalogtjenesteskov for at installere et certifikat.

Overførselskontrol



Når du opretter en virtuel SMTP-server i Exchange 2003, konfigureres den som standard til at forhindre overførsel af e-mail-meddelelser. Bemærk, at hvis din POP3- eller IMAP4-klient ikke har overførselstilladelse, kan brugerne ikke sende SMTP-post til eksterne domæner via den virtuelle SMTP-server. Hvis du tillader overførsel af meddelelser, kan en bruger måske blive brugt til at sprede reklame-e-mails (uønsket post). Når du bruger standardindstillingerne for overførsel, er det kun godkendte klienter, der kan overføre meddelelser via den virtuelle SMTP-server. Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
319278 Sådan sikres IMAP-klientadgang (Internet Message Access Protocol) i Exchange 2000. Artiklen er evt. på engelsk.

Sådan oprettes en ny virtuel SMTP-server

  1. Klik på Start, peg på Programmer, peg på Microsoft Exchange, og klik derefter på System Manager.
  2. Udvid Administrative Groups (hvis det er relevant), udvid AdministrativeGroup (hvis det er relevant), udvid Servers, udvid ServerName, og udvid derefter Protocols.
  3. Højreklik på SMTP, peg på New, og klik derefter på SMTP Virtual Server.
  4. Skriv et navn på den virtuelle server i feltet Navn, og klik derefter på Næste.
  5. Klik på den IP-adresse, du vil bruge, og klik derefter på Afslut.
  6. Når du har oprettet den virtuelle SMTP-server, skal du bekræfte, at den nye virtuelle server bruger det korrekte komplette domænenavn (FQDN). Det gør du ved at følgende nedenstående trin:
    1. Højreklik på den virtuelle SMTP-server, du har oprettet, og klik derefter på Egenskaber.
    2. Klik på fanen Levering, og klik derefter på Avanceret.
    3. Bekræft, at domænenavnet i feltet Fully-qualified domain name stemmer overens med det navn, brugerne skriver, når de konfigurerer deres klientsoftware til at levere SMTP-post. Klik på Check DNS for at bekræfte, at domænenavnet er korrekt.
    4. Klik på OK, og klik derefter på OK.
Bemærk! Hvis du konfigurerer en virtuel SMTP-server for klienter, der har adgang til denne virtuelle SMTP-server via internettet, skal du muligvis konfigurere eksterne DNS-servere, da det komplette domænenavn for den virtuelle SMTP-server skal blive til en ekstern internetadresse. Det gør du ved at klikke på Konfigurer i dialogboksen Advanced Delivery, klikke på Tilføj og derefter skrive IP-adressen for den eksterne DNS-server. Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
326992 Udgående SMTP-postmeddelelser sendes ikke. Artiklen er evt. på engelsk.


Sådan konfigureres restriktioner for IP-adresser

Sådan konfigureres restriktioner for IP-adresser:
  1. Klik på Start, peg på Programmer, peg på Microsoft Exchange, og klik derefter på System Manager.
  2. Udvid Administrative Groups (hvis det er relevant), udvid AdministrativeGroup (hvis det er relevant), udvid Servers, udvid ServerName, og udvid derefter Protocols.
  3. Udvid SMTP, højreklik på Default SMTP Virtual Server, og klik derefter på Egenskaber.
  4. Klik på fanen Access, og klik derefter på Connection.
  5. Klik på Only the list below i dialogboksen Connection.

    Dermed indikeres det, at det kun er de IP-adresser og domæner, der figurerer på listen, der har tilladelse til at oprette forbindelse til den virtuelle SMTP-server.
  6. Klik på Tilføj, og benyt derefter en af følgende fremgangsmåder for at tilføje en enkelt computer, en gruppe computere eller et domæne, afhængigt af den aktuelle situation:
    • Hvis du vil tilføje en enkelt computer, skal du klikke på Single Computer, skrive IP-adressen for din internetudbyders e-mail-meddelelsesserver i feltet IP address og derefter klikke på OK.

      Du kan også klikke på DNS Lookup, skrive et værtsnavn og derefter klikke på OK.
    • Hvis du vil tilføje en gruppe computere, skal du klikke på Group of computers, skrive gruppens undernetadresse og undernetmaske i de tilsvarende felter og derefter klikke på OK.

      Microsoft anbefaler denne indstilling, hvis din udbyder skifter IP-adresse for sin e-mail-meddelelsesserver uden varsel.
    • Hvis du vil tilføje et domæne, skal du klikke på Domæne, skrive det ønskede domænenavn i feltet Navn og derefter klikke på OK.

      Bemær, at denne indstilling kræver et omvendt DNS-opslag ved hver indgående forbindelse. Dette krav kan påvirke Exchange-serverens ydeevne. Du finder flere oplysninger i afsnittet Fejlfinding senere i denne artikel.

Sådan konfigureres adgangskontrol

Sådan konfigureres adgangskontrol:
  1. Klik på Start, peg på Programmer, peg på Microsoft Exchange, og klik derefter på System Manager.
  2. Udvid Administrative Groups (hvis det er relevant), udvid AdministrativeGroup (hvis det er relevant), udvid Servers, udvid ServerName, og udvid derefter Protocols.
  3. Udvid SMTP, højreklik på den virtuelle SMTP-server, og klik derefter på Egenskaber.
  4. Klik på fanen Access, og klik derefter på Authentication.

    Anonym adgang deaktiveres som standard, og grundlæggende godkendelse og integreret Windows-godkendelse aktiveres. Konfigurer den virtuelle SMTP-server til at bruge grundlæggende godkendelse med TLS-kryptering eller integreret Windows-godkendelse, og klik derefter på OK.
Bemærk! Du skal også aktivere logon vha. indstillingen Secure Password Authentication i SMTP-klientsoftwaren. Sådan gør du i Microsoft Outlook Express:
  1. Start Outlook Express.
  2. Klik på Konti i menuen Funktioner.
  3. Klik på fanen Post, og klik derefter på Egenskaber.
  4. Klik på fanen Servere, klik for at markere afkrydsningsfeltet Log på med godkendelse af sikker adgangskode, klik på OK, og klik derefter på Luk.
    Bemærk, at brugernavnet og adgangskoden krypteres. Meddelelsesdata krypteres ikke.

Sådan konfigureres kryptering

Sådan konfigureres kryptering:
  1. Klik på Start, peg på Programmer, peg på Microsoft Exchange, og klik derefter på System Manager.
  2. Udvid Administrative Groups (hvis det er relevant), udvid AdministrativeGroup (hvis det er relevant), udvid Servers, udvid ServerName, og udvid derefter Protocols.
  3. Udvid SMTP, højreklik på den virtuelle SMTP-server, og klik derefter på Egenskaber.
  4. Klik på fanen Access, og klik derefter på Certificate. Guiden Webservercertifikat startes.
  5. Klik på Næste.
  6. Følg instruktionerne på de resterende sider i guiden for at oprette en ny certificering eller for at tildele et eksisterende certifikat.
Når certifikatet er installeret på serveren, skal du konfigurere kommunikationsmåden. Det gør du ved at følgende nedenstående trin:
  1. Klik på Start, peg på Programmer, peg på Microsoft Exchange, og klik derefter på System Manager.
  2. Udvid Administrative Groups (hvis det er relevant), udvid AdministrativeGroup (hvis det er relevant), udvid Servers, udvid ServerName, og udvid derefter Protocols.
  3. Udvid SMTP, højreklik på den virtuelle SMTP-server, og klik derefter på Egenskaber.
  4. Klik på fanen Access, og klik derefter på Communication.
  5. Klik for at markere afkrydsningsfeltet Kræv sikker kanal.
  6. Hvis både computeren med Exchange 2003 og klienterne understøtter 128-bit kryptering, skal du klikke på Require 128-bit encryption.
  7. Klik på OK, og klik derefter på OK.
  8. Stop og genstart den virtuelle SMTP-server.
Hvis klienterne bruger Outlook Express, skal du konfigurere Outlook Express til at bruge SSL. Det gør du ved at følgende nedenstående trin:
  1. Start Outlook Express.
  2. Klik på Konti i menuen Funktioner.
  3. Klik på fanen Post.
  4. Dobbeltklik på Exchange Server-e-mail-kontoen og klik derefter på fanen Avanceret.
  5. Under Udgående post (SMTP) skal du klikke for at markere afkrydsningsfeltet Denne server kræver en sikker forbindelse (SSL).
  6. Klik på OK, og klik derefter på Luk.

Sådan konfigureres overførsel

Sådan konfigureres overførsel:
  1. Klik på Start, peg på Programmer, peg på Microsoft Exchange, og klik derefter på System Manager.
  2. Udvid Administrative Groups (hvis det er relevant), udvid AdministrativeGroup (hvis det er relevant), udvid Servers, udvid ServerName, og udvid derefter Protocols.
  3. Udvid SMTP, højreklik på den virtuelle SMTP-server, og klik derefter på Egenskaber.
  4. Klik på fanen Access, og klik derefter på Relay.

    Standardindstillingerne tillader overførsel af meddelelser for godkendte klienter. Disse indstillinger er typisk utilstrækkelige, så det er kun klienter med de korrekte oplysninger, der kan overføre meddelelser via den virtuelle SMTP-server. Du kan også begrænse overførselstilladelerne til enkelte IP-adresser, IP-adresseområder eller DNS-suffikser.
  5. Klik på OK.

Sådan testes, om de indstillinger, der er konfigureret for den virtuelle SMTP-server, fungerer korrekt

Sådan testes, om de indstillinger, der er konfigureret for den virtuelle SMTP-server, fungerer korrekt:
  • Hvis du vil bekræfte, at IP-begrænsningerne fungerer korrekt, skal du bruge en POP3- og en IMAP4-klient til at forsøge at oprette forbindelse til serveren fra en udelukket IP-adresse. Hvis IP-begrænsningerne er konfigureret korrekt, modtager du en meddelelse om, at en forbindelse til serveren er blevet afvist.
  • Sådan bekræftes kryptering af godkendelse:
    1. Kør Netværksovervågning på computeren med Exchange 2003, og anvend standardindstillingerne for godkendelse for at starte en SMTP-session fra klienten, mens du henter den trafik, der kommer til computeren med Exchange 2003.
    2. Gennemse SMTP-sessionen, og noter pakkerne fra klienten til serveren på port 25 (0019h).

      Bemærk, at brugerens logonnavn og adgangskode sendes i klartekst.
    3. Fjern support af grundlæggende godkendelse, konfigurer klienten, så der kræves Secure Password Authentication, start en anden SMTP-session fra klienten, og hent derefter trafikken i Netværksovervågning.

      Brugerkontoen og adgangskontoen er nu krypteret.
  • Sådan testes SSL-kryptering:
    1. Tilføj et certifikat, konfigurer indstillingerne, så du kan kræve en kanal på den virtuelle SMTP-server med forbedret sikkerhed, og konfigurer derefter klienten til at bruge SSL.
    2. Start en overførsel via Netværksovervågning, og start derefter en overførselssession af SMTP-post fra klienten.
    3. Stop overførslen, og undersøg derefter de pakker, der blev sendt.

      Bemærk, at alle klient til server-pakker med en port 25-destination (0019h) er krypteret.
    Bemærk! Hvis du ikke har aktiveret kryptering på POP3- eller IMAP4-postsamling, kan du stadig opleve ukrypterede pakker fra klienten, der har destinationen port 110 (006Eh) eller port 143 (008Fh).
  • Hvis du vil teste, om overførselsbegrænsninger fungerer korrekt, skal du sende en e-mail fra en ekskluderet IP-adresse til et eksternt domæne. Du modtager en fejlmeddelelse om, at serveren ikke kunne overføre data til modtagerens adresse.

Fejlfinding

Eventuelle begrænsninger, der er baseret DNS-opslag kan have indflydelse på ydeevnen af computeren med Exchange 2003. Da serveren udfører et omvendt DNS-opslag i forbindelse med alle indgående forbindelser, skal zonen for omvendte DNS-opslag være tilgængelig, og den afsendende vært skal være registreret i zonen.

Referencer

Du finder flere oplysninger om Exchange Server 2003 på følgende Microsoft-websted:
http://www.microsoft.com/exchange/library

Egenskaber

Artikel-id: 823019 - Seneste redigering: 26. november 2007 - Redigering: 1.4
Oplysningerne i denne artikel gælder:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Nøgleord: 
kbhowto KB823019

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com