SMTP-asiakkaiden viestien toimittamisen suojaaminen Exchange 2003:ssa

Artikkeleiden käännökset Artikkeleiden käännökset
Artikkelin tunnus: 823019 - Näytä tuotteet, joita tämä artikkeli koskee.
Laajenna kaikki | Kutista kaikki

Tällä sivulla

Yhteenveto

Tässä artikkelissa kerrotaan, miten Exchange 2003 -tietokoneiden saapuvien SMTP (Simple Mail Transfer Protocol) -asiakasyhteyksien suojausasetukset määritetään. Nämä asetukset antavat käyttäjien tehdä todennuksen ja vastaanottaa mahdollisesti henkilökohtaista materiaalia. Ne myös auttavat estämään käyttäjänimen, salasanan tai viestin sisällön kaappaamista. Käyttäjät, jotka muodostavat yhteyden Exchange 2003 -tietokoneeseesi, saattaa olla käytössään POP3 (Post Office Protocol 3) tai IMAP4 (Internet Message Access Protocol 4). Nämä molemmat protokollat käyttävät viestin toimittamiseen SMTP-protokollaa.

Huomautus Exchange 2003:n oletusasetuksessa sinun ei tarvitse määrittää lisäasetuksia palvelimeen yhteyden muodostaville POP3- tai IMAP4-asiakkaille. Tässä artikkelissa käsitellään joitakin oletusarvon mukaisia suojausasetuksia. Artikkeli sisältää tietoja lisäasetuksista, jotka ovat käytettävissä Exchange 2003:ssa.

Huomioon otettavia seikkoja

Huomaa seuraavat seikat:

Uuden SMTP-näennäispalvelimen luominen



Luo uusi SMTP-näennäispalvelin käytettäväksi tuleville asiakasyhteyksille.

Yhteyksien hallinta



Yhteyksien hallinta rajoittaa yhteyksiä IP-osoitteen tai toimialuenimen perusteella, DNS (Domain Name System) -haut mukaan lukien. Yhteyksien hallinnan asetukset eivät salaa salasanoja tai viestitietoja.

Käytönvalvonta



Voit määrittää perustodennuksen, anonyymin todennuksen tai integroidun Windows-todennuksen (kutsuttiin aiemmin nimellä NTLM tai Windows NT:n haaste-vastaus-todennus). Koska perustodennus lähettää käyttäjänimet ja salasanat tekstimuodossa, se ei ole turvallinen. Jos haluat ottaa käyttäjänimien ja salasanojen salaamisen käyttöön, käytä perustodennusta ja TLS (Transport Layer Security) -suojausta tai käytä integroitua Windows-todennusta. TLS salaa käyttäjänimet, salasanat ja viestitiedot samalla tavalla kuin SSL (Secure Sockets Layer). Huomaa, että integroitu Windows-todennus toimii vain skenaarioissa, joissa asiakastietokone voi muodostaa yhteyden toimialueen Windows-ohjauskoneeseen käyttäjätietojen vahvistusta varten. Useimmissa palomuurikokoonpanoissa tätä yhteyttä ei voi muodostaa. SMTP-käytön sisäiset toteutukset (joissa kirjautumisistunto ei kulje Internetin läpi) voivat kuitenkin käyttää sisäistä Windows-todennusta.

Salaus



Suojattu tietoliikenne salaa SSL-salauksen avulla SMTP-istunnon, mukaan lukien käyttäjänimen, salasanan ja viestitiedot. SSL-suojausta kannattaa käyttää kaikissa Exchange 2003:een muodostettavissa SMTP-yhteyksissä, jotka kulkevat julkisten verkkojen (kuten Internetin) kautta. SMTP-näennäispalvelimeen on asennettava sertifikaatti. Voit käyttää ulkoista sertifikaattien myöntäjää tai asentaa sertifikaatin asentamalla sertifikaattipalvelut Microsoft Active Directory -hakemistopalvelun toimialuepuuryhmään.

Välityksen hallinta



Kun luot Exchange 2003:ssa SMTP-näennäispalvelimen, se määritetään oletusarvon mukaan estämään sähköpostiviestien välittäminen. Huomaa, että jos POP3- ja IMAP4-asiakkaillasi ei ole oikeuksia välitykseen, käyttäjät eivät pysty lähettämään SMTP-sähköpostia ulkoisiin toimialueisiin SMTP-näennäispalvelimen kautta. Jos kuitenkin sallit viestien välityksen, käyttäjää voidaan käyttää luvattomien kaupallisten sähköpostiviestien (roskapostin) levittämiseen. Kun käytät oletusarvon mukaisia välitysasetuksia, vain todennetut asiakkaat voivat välittää viestejä SMTP-näennäispalvelimen kautta. Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
319278 IMAP (Internet Message Access Protocol) -asiakkaan käytön suojaaminen Exchange 2000:ssa (tämä artikkeli saattaa olla englanninkielinen)

Uuden SMTP-näennäispalvelimen luominen

  1. Napsauta Käynnistä-painiketta, valitse Ohjelmat, valitse Microsoft Exchange ja valitse sitten System Manager.
  2. Laajenna Administrative Groups (tilanteen mukaan), laajenna Järjestelmänvalvojaryhmä (tilanteen mukaan), laajenna Servers, laajenna PalvelimenNimi ja laajenna sitten Protocols.
  3. Napsauta hiiren kakkospainikkeella SMTP, valitse New ja valitse sitten SMTP Virtual Server.
  4. Kirjoita Name-ruutuun näennäispalvelimen nimi ja valitse sitten Seuraava.
  5. Valitse käytettävä IP-osoite ja valitse sitten Valmis.
  6. Kun olet luonut SMTP-näennäispalvelimen, varmista, että uusi näennäispalvelin käyttää oikeaa täydellistä toimialuenimeä (FQDN). Voit tehdä tämän seuraavasti:
    1. Napsauta luomaasi SMTP-näennäispalvelinta hiiren kakkospainikkeella ja valitse sitten Properties.
    2. Valitse Delivery-välilehti ja valitse sitten Advanced.
    3. Varmista, että Fully-qualified domain name -ruudussa oleva toimialuenimi vastaa nimeä, jonka käyttäjät kirjoittavat määrittäessään asiakasohjelmistonsa SMTP-sähköpostin toimittamista varten. Varmista, että toimialuenimi selvitetään oikein, valitsemalla Check DNS.
    4. Valitse OK ja valitse sitten OK.
Huomautus Jos määrität SMTP-näennäispalvelinta asiakkaille, jotka käyttävät kyseistä palvelinta Internetin välityksellä, saatat joutua määrittämään ulkoisia DNS-palvelimia, koska SMTP-näennäispalvelimen täydellinen toimialuenimi on selvitettävä ulkoiseksi Internet-osoitteeksi. Voit tehdä tämän valitsemalla Advanced Delivery -valintaikkunassa Configure, valitsemalla Add ja kirjoittamalla sitten ulkoisen DNS-palvelimen IP-osoitteen. Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
326992 Lähteviä SMTP-sähköpostiviestejä ei lähetetä (tämä artikkeli saattaa olla englanninkielinen)


IP-osoiterajoitusten määrittäminen

Voit määrittää IP-osoiterajoitukset seuraavasti:
  1. Napsauta Käynnistä-painiketta, valitse Ohjelmat, valitse Microsoft Exchange ja valitse sitten System Manager.
  2. Laajenna Administrative Groups (tilanteen mukaan), laajenna Järjestelmänvalvojaryhmä (tilanteen mukaan), laajenna Servers, laajenna PalvelimenNimi ja laajenna sitten Protocols.
  3. Laajenna SMTP, napsauta hiiren kakkospainikkeella Default SMTP Virtual Server ja valitse sitten Properties.
  4. Valitse Access-välilehti ja valitse sitten Connection.
  5. Valitse Connection-valintaikkunassa Only the list below.

    Tämä ilmaisee, että vain luettelossa olevat IP-osoitteet ja toimialueet voivat muodostaa yhteyden SMTP-näennäispalvelimeen.
  6. Valitse Add ja lisää sitten yksittäinen tietokone, ryhmä tietokoneita tai toimialue tekemällä jokin seuraavista tilanteesi mukaisesti:
    • Jos haluat lisätä yksittäisen tietokoneen, valitse Single Computer, kirjoita Internet-palveluntarjoajasi sähköpostiviestinnän palvelimen IP-osoite IP address -ruutuun ja valitse sitten OK.

      Voit myös valita DNS Lookup, kirjoittaa isännän nimen ja valita sitten OK.
    • Jos haluat lisätä ryhmän tietokoneita, valitse Group of computers, kirjoita aliverkon osoite ja aliverkon peite niille tarkoitettuihin ruutuihin ja valitse sitten OK.

      Microsoft suosittelee tätä vaihtoehtoa, jos Internet-palveluntarjoajallasi on tapana muuttaa sähköpostiviestinnän palvelimensa IP-osoitetta ilmoittamatta.
    • Jos haluat lisätä toimialueen, valitse Domain, kirjoita haluamasi toimialuenimi Name-ruutuun ja valitse sitten OK.

      Huomaa, että tämän vaihtoehdon käyttäminen edellyttää käänteisen DNS-haun kullekin saapuvalle yhteydelle. Tämä edellytys saattaa heikentää Exchange-palvelimen suorituskykyä. Lisätietoja on jäljempänä tässä artikkelissa olevassa Vianmääritys-osassa.

Käytönvalvonnan määrittäminen

Voit määrittää käytönvalvonnan seuraavasti:
  1. Napsauta Käynnistä-painiketta, valitse Ohjelmat, valitse Microsoft Exchange ja valitse sitten System Manager.
  2. Laajenna Administrative Groups (tilanteen mukaan), laajenna Järjestelmänvalvojaryhmä (tilanteen mukaan), laajenna Servers, laajenna PalvelimenNimi ja laajenna sitten Protocols.
  3. Laajenna SMTP, napsauta hiiren kakkospainikkeella SMTP-näennäispalvelinta ja valitse sitten Properties.
  4. Valitse Access-välilehti ja valitse sitten Authentication.

    Oletusarvon mukaan anonyymi käyttö on poistettu käytöstä ja perustodennus ja integroitu Windows-todennus ovat käytössä. Määritä SMTP-näennäispalvelin käyttämään perustodennusta ja TLS-salausta tai integroitua Windows-todennusta ja valitse sitten OK.
Huomautus Sinun on myös otettava kirjautuminen käyttöön SMTP-asiakasohjelmiston Secure Password Authentication -asetuksen avulla. Voit tehdä tämän Microsoft Outlook Expressissä seuraavasti:
  1. Käynnistä Outlook Express.
  2. Valitse Työkalut-valikosta Tilit.
  3. Valitse Sähköposti-välilehti ja valitse sitten Ominaisuudet.
  4. Valitse Palvelimet-välilehdessä Käytä suojattua salasanan vahvistusta -valintaruutu, valitse OK ja valitse sitten Sulje.
    Huomaa, että käyttäjänimi ja salasana salataan. Viestitietoja ei salata.

Salauksen määrittäminen

Voit määrittää salauksen seuraavasti:
  1. Napsauta Käynnistä-painiketta, valitse Ohjelmat, valitse Microsoft Exchange ja valitse sitten System Manager.
  2. Laajenna Administrative Groups (tilanteen mukaan), laajenna Järjestelmänvalvojaryhmä (tilanteen mukaan), laajenna Servers, laajenna PalvelimenNimi ja laajenna sitten Protocols.
  3. Laajenna SMTP, napsauta hiiren kakkospainikkeella SMTP-näennäispalvelinta ja valitse sitten Properties.
  4. Valitse Access-välilehti ja valitse sitten Certificate. Ohjattu Web Server Certificate Wizard -toiminto käynnistyy.
  5. Valitse Seuraava.
  6. Luo uusi sertifikaatti tai määritä aiemmin luotu sertifikaatti toimimalla ohjatun toiminnon jäljellä olevien sivujen ohjeiden mukaisesti.
Kun sertifikaatti on asennettu palvelimeen, määritä tietoliikennetapa. Voit tehdä tämän seuraavasti:
  1. Napsauta Käynnistä-painiketta, valitse Ohjelmat, valitse Microsoft Exchange ja valitse sitten System Manager.
  2. Laajenna Administrative Groups (tilanteen mukaan), laajenna Järjestelmänvalvojaryhmä (tilanteen mukaan), laajenna Servers, laajenna PalvelimenNimi ja laajenna sitten Protocols.
  3. Laajenna SMTP, napsauta hiiren kakkospainikkeella SMTP-näennäispalvelinta ja valitse sitten Properties.
  4. Valitse Access-välilehti ja valitse sitten Communication.
  5. Valitse Require secure channel -valintaruutu.
  6. Jos sekä Exchange 2003 -tietokone että asiakaskoneet tukevat 128-bittistä salausta, valitse Require 128-bit encryption.
  7. Valitse OK ja valitse sitten OK.
  8. Pysäytä SMTP-näennäispalvelin ja käynnistä se sitten uudelleen.
Jos asiakaskoneet käyttävät Outlook Expressiä, määritä Outlook Express käyttämään SSL-salausta. Voit tehdä tämän seuraavasti:
  1. Käynnistä Outlook Express.
  2. Valitse Työkalut-valikosta Tilit.
  3. Valitse Sähköposti-välilehti.
  4. Kaksoisnapsauta Exchange Server -postitiliä ja valitse sitten Lisäasetukset-välilehti.
  5. Valitse Lähtevä posti (SMTP) -kohdassa Tämä palvelin edellyttää SSL-suojausta -valintaruutu.
  6. Valitse OK ja valitse sitten Sulje.

Välityksen määrittäminen

Voit määrittää välityksen seuraavasti:
  1. Napsauta Käynnistä-painiketta, valitse Ohjelmat, valitse Microsoft Exchange ja valitse sitten System Manager.
  2. Laajenna Administrative Groups (tilanteen mukaan), laajenna Järjestelmänvalvojaryhmä (tilanteen mukaan), laajenna Servers, laajenna PalvelimenNimi ja laajenna sitten Protocols.
  3. Laajenna SMTP, napsauta hiiren kakkospainikkeella SMTP-näennäispalvelinta ja valitse sitten Properties.
  4. Valitse Access-välilehti ja valitse sitten Relay.

    Oletusasetukset sallivat todennettujen asiakkaiden välittää viestejä. Yleensä nämä asetukset ovat riittävät niin, että vain oikeat käyttäjätiedot omistavat asiakkaat voivat välittää viestejä SMTP-näennäispalvelimen kautta. Voit myös rajoittaa välitysoikeudet yksittäisiin IP-osoitteisiin, IP-osoitealueisiin tai DNS-päättteisiin.
  5. Valitse OK.

Määritettyjen SMTP-näennäispalvelinasetusten toimivuuden testaaminen

Seuraavalla tavalla voit testata, toimivatko määrittämäsi SMTP-näennäispalvelinasetukset oikein:
  • Voit varmistaa, että IP-rajoitukset toimivat oikein, yrittämällä muodostaa palvelimeen yhteyden pois jätetystä IP-osoitteesta POP3- ja IMAP4-asiakkaan avulla. Jos IP-rajoitukset on määritetty oikein, näyttöön tulee sanoma, jossa ilmoitetaan, että yhteys palvelimeen on hylätty.
  • Voit tarkistaa todennuksen salauksen seuraavasti:
    1. Suorita verkonvalvonta Exchange 2003 -tietokoneessasi ja aloita SMTP-istunto asiakkaasta oletusarvon mukaisten todennusasennusten avulla niin, että kaappaat samalla Exchange 2003 -tietokoneeseen tulevan tietoliikenteen.
    2. Tarkastele SMTP-istuntoa ja etsi asiakkaasta palvelimeen portin 25 (0019h) välityksellä tulevat paketit.

      Huomaa, että käyttäjän kirjautumisnimi ja salasana lähetetään tekstimuodossa.
    3. Poista perustodennuksen tuki, määritä asiakas vaatimaan suojattu salasanan vahvistaminen, käynnistä asiakkaasta toinen SMTP-istunto ja kaappaa tietoliikenne sitten verkonvalvontaan.

      Käyttäjänimi ja salasana ovat nyt salattuja.
  • Voit testata SSL-salausta seuraavasti:
    1. Lisää sertifikaatti, määritä asetukset niin, että tarvitset suojatun kanavan SMTP-näennäispalvelimeen, ja määritä asiakas sitten käyttämään SSL-salausta.
    2. Käynnistä verkonvalvonnan kaappaus ja käynnistä sitten asiakkaasta SMTP-sähköpostin noutamisistunto.
    3. Pysäytä kaappaus ja tarkastele lähetettyjä paketteja.

      Huomaa, että kaikki asiakkaasta palvelimeen lähetettävät paketit, joiden kohde on portti 25 (0019h), salataan.
    Huomautus Jos et ole ottanut salausta käyttöön POP3- tai IMAP4-sähköpostin noutamiseen, saatat silti nähdä joitakin salaamattomia paketteja, jotka asiakas on lähettänyt porttiin 110 (006Eh) tai 143 (008Fh).
  • Voit testata, toimivatko välityksen rajoitukset oikein, lähettämällä sähköpostia pois jätetystä IP-osoitteesta johonkin ulkoiseen toimialueeseen. Näyttöön tulee virhesanoma, joka ilmoittaa, ettei palvelin pystynyt tekemään välitystä vastaanottajan osoitteelle.

Vianmääritys

DNS-hakuun perustuvat rajoitukset saattavat heikentää Exchange 2003 -tietokoneen suorituskykyä. Koska palvelin tekee käänteisen DNS-haun kullekin saapuvalle yhteydelle, käänteisen DNS-haun vyöhykkeen on oltava käytettävissä ja lähettävä isäntä on oltava rekisteröitynä kyseiselle vyöhykkeelle.

Suositukset

Lisätietoja Exchange Server 2003:sta on seuraavassa Microsoftin Web-sivustossa:
http://www.microsoft.com/exchange/library

Ominaisuudet

Artikkelin tunnus: 823019 - Viimeisin tarkistus: 26. marraskuuta 2007 - Versio: 1.4
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Hakusanat: 
kbhowto KB823019

Anna palautetta

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com