Sichern der Client-Nachrichtenübermittlung über SMTP in Exchange 2003

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 823019 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
823019 How to help secure SMTP client message delivery in Exchange 2003
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

In diesem Artikel wird beschrieben, wie Sie Sicherheitseinstellungen für eingehende Client-Verbindungen über Simple Mail Transfer Protocol (SMTP) zu Ihren Exchange 2003-Computern konfigurieren. Mithilfe dieser Einstellungen können die Benutzer potentiell sensible Daten authentifizieren und empfangen, und es wird verhindert, dass der Benutzername, das Kennwort oder der Inhalt der Nachricht abgefangen werden. Möglicherweise gibt es Benutzer, die entweder Post Office Protocol 3 (POP3) oder Internet Message Access Protocol 4 (IMAP4) verwenden müssen, um eine Verbindung zu Ihrem Exchange 2003-Computer herstellen zu können. Bei beiden Protokollen basiert die Nachrichtenübermittlung auf SMTP.

Hinweis: Bei einer Standardinstallation von Exchange 2003 müssen Sie keine zusätzlichen Optionen für POP3- oder IMAP4-Clients konfigurieren, die eine Verbindung zum Server herstellen. In diesem Artikel werden einige Standardsicherheitseinstellungen beschrieben, und Sie erhalten Informationen zu zusätzlichen Optionen, die in Exchange 2003 verfügbar sind.

Überlegungen

Folgende Aspekte sind zu berücksichtigen:

Erstellen eines zusätzlichen virtuellen SMTP-Servers



Erstellen Sie einen neuen virtuellen SMTP-Servers, den Sie für eingehende Client-Verbindungen verwenden möchten.

Verbindungskontrolle



Die Verbindungskontrolle schränkt Verbindungen ein, die auf der IP-Adresse oder dem Domänennamen basieren. Dazu gehören auch Reverse Domain Name System (DNS)-Lookups. Verbindungskontrolloptionen dienen nicht zur Verschlüsselung von Kennwörtern oder Nachrichtendaten.

Zugriffssteuerung



Sie können den Server entweder mit Standardauthentifizierung, anonymer Authentifizierung oder integrierter Windows-Authentifizierung (früher als NTLM oder Windows NT-Herausforderung/Rückmeldung-Authentifizierung bezeichnet) konfigurieren. Standardauthentifizierung ist nicht sicher, da sie das Versenden von Benutzernamen und Kennwörtern in Klartext beinhaltet. Zum Aktivieren der Verschlüsselung von Benutzernamen und Kennwörtern verwenden Sie entweder die Standardauthentifizierung mit Transport Layer Security (TLS) oder die integrierte Windows-Authentifizierung. Ebenso wie Secure Sockets Layer (SSL) sorgt TLS für die Verschlüsselung von Benutzernamen, Kennwörtern und Nachrichtendaten. Beachten Sie, dass die integrierte Windows-Authentifizierung nur in Szenarien funktioniert, in denen der Client-Computer eine Verbindung zu einem Windows-basierten Domänencontroller herstellen kann, um die Benutzeranmeldeinformationen zu überprüfen. Bei den meisten Konfigurationen mit Firewall kann diese Verbindung nicht hergestellt werden. Wenn der SMTP-Zugriff jedoch intern implementiert ist, d. h. wenn die Anmeldesitzung nicht über das Internet erfolgt, kann integrierte Windows-Authentifizierung verwendet werden.

Verschlüsselung



Bei Kommunikation mit verstärkter Sicherheit wird die SMTP-Sitzung verschlüsselt; dies beinhaltet den Benutzernamen, das Kennwort und die Nachrichtendaten und erfolgt durch SSL-Verschlüsselung. Sie verwenden SSL am besten für alle SMTP-Verbindungen zu Exchange 2003, die über öffentliche Netzwerke wie beispielsweise das Internet hergestellt werden. Sie müssen auf Ihrem virtuellen SMTP-Server ein Zertifikat installieren. Sie können entweder eine externe Zertifizierungsstelle verwenden oder Zertifikatsdienste in Ihrer Microsoft Active Directory-Verzeichnisdienststruktur einrichten, um ein Zertifikat zu installieren.

Steuerung der Weiterleitung



Wenn Sie in Exchange 2003 einen virtuellen SMTP-Server erstellen, ist dieser standardmäßig so konfiguriert, dass die Weiterleitung von E-Mail-Nachrichten verhindert wird. Beachten Sie, dass Benutzer keine SMTP-E-Mail über den virtuellen SMTP-Server an externe Domänen senden können, wenn Ihre POP3- oder IMAP4-Clients keine Berechtigung zur Weiterleitung haben. Wenn Sie die Weiterleitung von Nachrichten jedoch zulassen, kann ein Benutzer dazu benutzt werden, unerwünschte Werbe-E-Mail-Nachrichten (Junk-E-Mail-Nachrichten) zu verbreiten. Wenn Sie die Standardeinstellungen zur Weiterleitung verwenden, können nur authentifizierte Clients Nachrichten über den virtuellen SMTP-Server verbreiten. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
319278 Welcher VERFAHRENSWEISE: AN: Sie sichern Client-IMAP4-Zugriff in Exchange 2000

Erstellen eines neuen virtuellen SMTP-Servers

  1. Klicken Sie auf Start, zeigen Sie auf Programme und auf Microsoft Exchange, und klicken Sie dann auf System-Manager.
  2. Erweitern Sie ggf. Administrative Gruppen, erweitern Sie ggf. Administrative Gruppe, erweitern Sie Server, erweitern Sie Servername, und erweitern Sie anschließend Protokolle.
  3. Klicken Sie mit der rechten Maustaste auf SMTP und zeigen Sie auf Neu. Klicken Sie dann auf Virtueller SMTP-Server.
  4. Geben Sie in das Feld Name den Namen des virtuellen Servers ein, und klicken Sie anschließend auf Weiter.
  5. Wählen Sie die gewünschte IP-Adresse aus, und klicken Sie dann auf Fertig stellen.
  6. Bestätigen Sie nach der Erstellung des virtuellen SMTP-Servers, dass der neue virtuelle Server den richtigen vollständig qualifizierten Domänennamen (Fully Qualified Domain Name = FQDN) verwendet. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie mit der rechten Maustaste auf den von Ihnen erstellten virtuellen SMTP-Server, und klicken Sie anschließend auf Eigenschaften.
    2. Klicken Sie auf die Registerkarte Übermittlung und anschließend auf Erweitert.
    3. Bestätigen Sie, dass der Domänenname im Feld Vollständig qualifizierter Domänenname mit dem Namen übereinstimmt, den die Benutzer eingeben, wenn sie ihre Client-Software für die Übermittlung von SMTP-E-Mail konfigurieren. Klicken Sie auf DNS überprüfen, um zu bestätigen, dass der Domänenname richtig aufgelöst wird.
    4. Klicken Sie auf OK und anschließend erneut auf OK.
Hinweis: Wenn Sie einen virtuellen SMTP-Server für Clients konfigurieren, die auf diesen virtuellen SMTP-Server über das Internet zugreifen, müssen Sie möglicherweise externe DNS-Server konfigurieren, weil sich der FQDN des virtuellen SMTP-Servers in eine externe Internet-Adresse auflösen lassen muss. Klicken Sie dazu im Dialogfeld Erweiterte Übermittlungsoptionen auf Konfigurieren, klicken Sie auf Hinzufügen, und geben Sie anschließend die IP-Adresse des externen DNS-Servers ein. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
326992 Ausgehende SMTP-Nachrichten werden nicht gesendet


Konfigurieren von Beschränkungen für IP-Adressen

So konfigurieren Sie Beschränkungen für IP-Adressen:
  1. Klicken Sie auf Start, zeigen Sie auf Programme und auf Microsoft Exchange, und klicken Sie dann auf System-Manager.
  2. Erweitern Sie ggf. Administrative Gruppen, erweitern Sie ggf. Administrative Gruppe, erweitern Sie Server, erweitern Sie Servername, und erweitern Sie anschließend Protokolle.
  3. Erweitern Sie SMTP, klicken Sie mit der rechten Maustaste auf Virtueller Standardserver für SMTP, und klicken Sie anschließend auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Zugriff und dann auf Verbindung.
  5. Klicken Sie im Dialogfeld Verbindung auf Nur Computern in der Liste unten.

    Dies bedeutet, dass nur die IP-Adressen und Domänen, die in der Liste aufgeführt sind, eine Verbindung zum virtuellen SMTP-Server herstellen können.
  6. Klicken Sie auf Hinzufügen, und führen Sie dann einen der folgenden Schritte aus, um Ihrer Situation entsprechend einen einzelnen Computer, eine Gruppe von Computern oder eine Domäne hinzuzufügen:
    • Um einen einzelnen Computer hinzuzufügen, klicken Sie auf Einzelner Computer, geben Sie die IP-Adresse des E-Mail-Nachrichtenservers Ihres Internetdienstanbieters in das Feld IP-Adresse ein, und klicken Sie anschließend auf OK.

      Alternativ können Sie auch auf DNS-Lookup klicken, einen Hostnamen eingeben und anschließend auf OK klicken.
    • Um eine Gruppe von Computern hinzuzufügen, klicken Sie auf Gruppe von Computern, geben Sie die Subnetzadresse und die Subnetzmaske der Gruppe in die entsprechenden Felder ein, und klicken Sie anschließend auf OK.

      Microsoft empfiehlt diese Option, wenn Ihr Internetdienstanbieter dazu tendiert, die IP-Adressen seiner E-Mail-Nachrichtenserver ohne Vorwarnung zu ändern.
    • Um eine Domäne hinzuzufügen, klicken Sie auf Domäne, geben Sie den gewünschten Domänennamen in das Feld Name ein, und klicken Sie anschließend auf OK.

      Beachten Sie, dass diese Option bei jeder eingehenden Verbindung ein Reverse-DNS-Lookup erfordert. Diese Anforderung kann die Leistung des Exchange Servers möglicherweise beeinträchtigen. Weitere Informationen hierzu finden Sie im Abschnitt Problembehandlung.

Konfigurieren der Zugriffssteuerung

So konfigurieren Sie die Zugriffssteuerung:
  1. Klicken Sie auf Start, zeigen Sie auf Programme und auf Microsoft Exchange, und klicken Sie dann auf System-Manager.
  2. Erweitern Sie ggf. Administrative Gruppen, erweitern Sie ggf. Administrative Gruppe, erweitern Sie Server, erweitern Sie Servername, und erweitern Sie anschließend Protokolle.
  3. Erweitern Sie SMTP, klicken Sie mit der rechten Maustaste auf den virtuellen Server für SMTP, und klicken Sie anschließend auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Zugriff und anschließend auf Authentifizierung.

    Standardmäßig ist anonymer Zugriff deaktiviert. Standardauthentifizierung und integrierte Windows-Authentifizierung sind aktiviert. Konfigurieren Sie den virtuellen SMTP-Server so, dass Standardauthentifizierung mit TLS-Verschlüsselung oder die integrierte Windows-Authentifizierung verwendet wird, und klicken Sie anschließend auf OK.
Hinweis: Außerdem müssen Sie für die Anmeldung die Option Sichere Kennwortauthentifizierung in der SMTP-Client-Software aktivieren. In Microsoft Outlook Express gehen Sie dazu folgendermaßen vor:
  1. Starten Sie Outlook Express.
  2. Klicken Sie im Menü Extras auf Konten.
  3. Klicken Sie auf die Registerkarte Mail und dann auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Server, und aktivieren Sie dann das Kontrollkästchen Anmeldung durch gesicherte Kennwortauthentifizierung, klicken Sie auf OK und dann auf Schließen.
    Beachten Sie, dass der Benutzername und das Kennwort verschlüsselt sind. Nachrichtendaten sind nicht verschlüsselt.

Konfigurieren der Verschlüsselung

So konfigurieren Sie die Verschlüsselung:
  1. Klicken Sie auf Start, zeigen Sie auf Programme und auf Microsoft Exchange, und klicken Sie dann auf System-Manager.
  2. Erweitern Sie ggf. Administrative Gruppen, erweitern Sie ggf. Administrative Gruppe, erweitern Sie Server, erweitern Sie Servername, und erweitern Sie anschließend Protokolle.
  3. Erweitern Sie SMTP, klicken Sie mit der rechten Maustaste auf den virtuellen SMTP-Server, und klicken Sie anschließend auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Zugriff und dann auf Zertifikat. Der Assistent für Webserverzertifikate wird gestartet.
  5. Klicken Sie auf Weiter.
  6. Folgen Sie den Anweisungen auf den weiteren Seiten des Assistenten, um eine neue Zertifizierung zu erstellen bzw. ein vorhandenes Zertifikat zuzuweisen.
Nach der Installation des Zertifikats auf dem Server konfigurieren Sie die Kommunikationsmethode. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start, zeigen Sie auf Programme und auf Microsoft Exchange, und klicken Sie dann auf System-Manager.
  2. Erweitern Sie ggf. Administrative Gruppen, erweitern Sie ggf. Administrative Gruppe, erweitern Sie Server, erweitern Sie Servername, und erweitern Sie anschließend Protokolle.
  3. Erweitern Sie SMTP, klicken Sie mit der rechten Maustaste auf den virtuellen SMTP-Server, und klicken Sie anschließend auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Zugriff und anschließend auf Kommunikation.
  5. Aktivieren Sie das Kontrollkästchen Sicherer Channel erforderlich.
  6. Wenn sowohl der Exchange 2003-Computer als auch die Clients 128-Bit-Verschlüsselung unterstützen, klicken Sie auf 128-Bit-Verschlüsselung erforderlich.
  7. Klicken Sie auf OK und anschließend erneut auf OK.
  8. Beenden Sie den virtuellen SMTP-Server, und starten Sie ihn anschließend neu.
Wenn die Clients Outlook Express verwenden, konfigurieren Sie Outlook Express für die Verwendung von SSL. Gehen Sie hierzu folgendermaßen vor:
  1. Starten Sie Outlook Express.
  2. Klicken Sie im Menü Extras auf Konten.
  3. Klicken Sie auf die Registerkarte E-Mail.
  4. Doppelklicken Sie auf das Exchange Server-E-Mail-Konto und anschließend auf die Registerkarte Erweitert.
  5. Unter Postausgangsserver (SMTP) klicken Sie auf das Kontrollkästchen Dieser Server erfordert eine sichere Verbindung (SSL).
  6. Klicken Sie auf OK und anschließend auf Schließen.

Konfigurieren der Weiterleitung

So konfigurieren Sie eine Weiterleitung:
  1. Klicken Sie auf Start, zeigen Sie auf Programme und auf Microsoft Exchange, und klicken Sie dann auf System-Manager.
  2. Erweitern Sie ggf. Administrative Gruppen, erweitern Sie ggf. Administrative Gruppe, erweitern Sie Server, erweitern Sie Servername, und erweitern Sie anschließend Protokolle.
  3. Erweitern Sie SMTP, klicken Sie mit der rechten Maustaste auf den virtuellen Server für SMTP, und klicken Sie anschließend auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Zugriff und anschließend auf Weitergabe.

    Die Standardeinstellungen berechtigen authentifizierte Clients, Nachrichten weiterzuleiten. In der Regel reichen diese Einstellungen aus, um zu gewährleisten, dass nur Clients mit den richtigen Anmeldeinformationen Nachrichten über den virtuellen SMTP-Server weiterleiten können. Sie können die Berechtigungen zur Weiterleitung auch auf einzelne IP-Adressen, IP-Adressbereiche oder DNS-Suffixe beschränken.
  5. Klicken Sie auf OK.

Testen, ob die Einstellungen, die Sie für den virtuellen SMTP-Server konfiguriert haben, richtig funktionieren

So testen Sie, ob die Einstellungen, die Sie für den virtuellen SMTP-Server konfiguriert haben, richtig funktionieren:
  • Zur Bestätigung, dass die IP-Beschränkungen richtig funktionieren, verwenden Sie einen POP3- und einen IMAP4-Client und versuchen Sie, von einer nicht zugelassenen IP-Adresse aus, eine Verbindung zum Server herzustellen. Wenn die IP-Beschränkungen richtig konfiguriert sind, erhalten Sie eine Meldung, dass eine Verbindung zu dem Server nicht zugelassen wird.
  • So überprüfen Sie die Authentifizierungsverschlüsselung:
    1. Führen Sie auf Ihrem Exchange 2003-Computer den Netzwerkmonitor aus, und verwenden Sie die Standardauthentifizierungseinstellungen, um eine SMTP-Sitzung vom Client aus zu initiieren, während Sie den auf dem Exchange 2003-Computer ankommenden Netzwerkverkehr aufzeichnen.
    2. Überprüfen Sie die SMTP-Sitzung und beachten Sie die Pakete vom Client an den Server auf Port 25 (0019h).

      Achten Sie darauf, dass der Anmeldename des Benutzers und das Kennwort in Klartext gesendet werden.
    3. Entfernen Sie die Unterstützung für Standardauthentifizierung, konfigurieren Sie den Client für die Anmeldung durch gesicherte Kennwort-Authentifizierung, initiieren Sie eine weitere SMTP-Sitzung vom Client aus und zeichnen Sie dann den Netzwerkverkehr mit dem Netzwerkmonitor auf.

      Das Benutzerkonto und das Kennwort sind nun verschlüsselt.
  • So testen Sie die SSL-Verschlüsselung:
    1. Fügen Sie ein Zertifikat hinzu, konfigurieren Sie die Einstellungen so, dass auf dem virtuellen SMTP-Server ein Channel mit verstärkter Sicherheit erforderlich ist, und konfigurieren Sie den Client für die Verwendung von SSL.
    2. Starten Sie eine Aufzeichnung mit dem Netzwerkmonitor, und initiieren Sie anschließend vom Client aus eine Sitzung zum Abrufen der SMTP-E-Mails.
    3. Beenden Sie die Aufzeichnung und untersuchen Sie anschließend die Pakete, die gesendet wurden.

      Beachten Sie, dass alle vom Client an den Server an den Ziel-Port 25 (0019h) gesendeten Pakete verschlüsselt sind.
    Hinweis: Wenn Sie für das Abrufen von E-Mails über POP3- bzw. IMAP4 keine Verschlüsselung aktiviert haben, werden Sie möglicherweise noch einige unverschlüsselte Pakete vom Client sehen, die für Port 110 (006Eh) oder für Port 143 (008Fh) bestimmt sind.
  • Wenn Sie testen möchten, ob Relayeinschränkungen richtig funktionieren, senden Sie eine E-Mail von einer nicht zugelassenen IP-Adresse an eine externe Domäne. Sie erhalten eine Fehlermeldung, dass der Server E-Mails für die Empfängeradresse nicht weiterleiten konnte.

Problembehandlung

Alle auf DNS-Lookup basierenden Beschränkungen können die Leistung des Exchange 2003 Server-Computers negativ beeinflussen. Da der Server für jede eingehende Verbindung ein Reverse-DNS-Lookup durchführt, muss eine DNS-Reverse-Lookupzone verfügbar sein, und der sendende Host muss bei dieser Zone registriert sein.

Informationsquellen

Weitere Informationen zu Exchange Server 2003 finden Sie auf folgender Microsoft-Website:
http://www.microsoft.com/germany/exchange/default.mspx

Eigenschaften

Artikel-ID: 823019 - Geändert am: Montag, 26. November 2007 - Version: 1.4
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Keywords: 
kbhowto KB823019
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com