כיצד לסייע באבטחת המסירה של הודעות לקוח SMTP ב-Exchange 2003

תרגומי מאמרים תרגומי מאמרים
Article ID: 823019 - View products that this article applies to.
הרחב הכל | כווץ הכל

On This Page

תקציר

מאמר זה מתאר כיצד לקבוע הגדרות אבטחה עבור חיבורי Simple Mail Transfer Protocol? (SMTP) נכנסים למחשבי Exchange 2003. הגדרות אלה מאפשרות למשתמשים לאמת ולקבל חומר העלול להיות רגיש, וכן לסייע במניעת היירוט של שם המשתמש, הסיסמה או תוכן ההודעה. ייתכן שאחדים מהמשתמשים יצטרכו להשתמש ב-Post Office Protocol 3? (POP3) או ב-Internet Message Access Protocol 4? (IMAP4) כדי להתחבר למחשב Exchange 2003. שני הפרוטוקולים האלה גם יחד מסתמכים על SMTP במסירת הודעות.

שים לב בהתקנת ברירת מחדל של Exchange 2003, אין צורך להגדיר אפשרויות נוספות עבור לקוחות POP3 או IMAP4 המתחברים לשרת. מאמר זה דן במספר הגדרות ברירת מחדל של אבטחה וכולל מידע על אפשרויות נוספות הזמינות ב-Exchange 2003.

שיקולים

יש להביא בחשבון את השיקולים הרלוונטיים הבאים:

יצירת שרת SMTP וירטואלי נוסף



צור שרת SMTP וירטואלי חדש כדי להשתמש בו עבור חיבורי לקוח נכנסים.

בקרת חיבור



בקרת חיבור מגבילה חיבורים המבוססים על כתובת IP או שם תחום, לרבות בדיקה לאחור של Domain Name System? (DNS). אפשרויות בקרת חיבור אינן מצפינות סיסמאות או נתוני הודעות.

בקרת גישה



באפשרותך להגדיר אימות בסיסי, אימות אנונימי או אימות משולב של Windows (שנקרא בעבר NTLM או אימות Windows NT Challenge/Response). מאחר שאימות בסיסי שולח שמות משתמשים וסיסמאות בטקסט גלוי, הוא לא מאובטח. כדי לאפשר הצפנה של שמות משתמש וסיסמאות, יש להשתמש באימות בסיסי עם Transport Layer Security? (TLS) או להשתמש באימות המשולב של Windows. בדומה ל-Secure Sockets Layer? (SSL), שכבת TLS מצפינה שמות משתמש, סיסמאות ונתוני הודעות. שים לב לעובדה כי האימות המשולב של Windows פועל רק בתרחישים שבהם מתאפשר למחשב הלקוח להתחבר לבקר תחום מבוסס Windows כדי לאמת את אישוריו. במרבית התצורות של חומת אש לא יכול קשר כזה להתרחש. עם זאת, יישומים פנימיים של גישת SMTP (שבהם הפעלת הכניסה אינה חוצה את רשת האינטרנט) עשויים להשתמש באימות משולב של Windows.

הצפנה



תקשורת בעלת אבטחה משופרת מצפינה את הפעלת SMTP, לרבות שם המשתמש, הסיסמה ונתוני ההודעה, באמצעות הצפנת SSL. עדיף להשתמש ב-SSL עבור כל התקשרויות SMTP ל-Exchange 2003 החוצות רשתות ציבוריות דוגמת האינטרנט. יש להתקין אישור בשרת SMTP הווירטואלי. באפשרותך להשתמש ברשות אישורים חיצונית או להתקין 'שירותי אישורים' (Certificate Services) ביער שירותי התיקיות Microsoft Active Directory כדי להתקין אישור.

בקרת ממסר



כברירת מחדל, כאשר יוצרים שרת SMTP וירטואלי ב-Exchange 2003, הוא מוגדר למנוע ממסר של הודעות דואר אלקטרוני. שים לב כי כאשר ללקוחות POP3 או IMAP4 אין אישור לממסר, למשתמשים אין אפשרות לשלוח דואר SMTP לתחומים חיצוניים באמצעות שרת ה-SMTP הווירטואלי. עם זאת, כאשר מותר ליצור ממסר הודעות, ניתן להפיץ הודעות דואר אלקטרוני מסחריות לא רצויות (הודעות דואר זבל) באמצעות אחד המשתמשים. כאשר משתמשים בהגדרות ברירת המחדל של ממסר, רק ללקוחות המאומתים יש אפשרות למסור הודעות דרך שרת ה-SMTP הווירטואלי. לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
319278 כיצד לאבטח גישת לקוח Internet Message Access Protocol ב-Exchange 2000 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)

כדי ליצור שרת SMTP וירטואלי חדש

  1. לחץ על התחל, הצבע על תוכניות, על Microsoft Exchange ולאחר מכן לחץ על מנהל מערכת.
  2. הרחב את קבוצות ניהוליות (אם רלוונטי), את AdministrativeGroup (אם רלוונטי), את שרתים, את ServerName ולאחר מכן את פרוטוקולים.
  3. לחץ באמצעות לחצן העכבר הימני על SMTP, הצבע על חדש ולאחר מכן לחץ על SMTP Virtual Server.
  4. בתיבה שם, הקלד את שם השרת הווירטואלי ולאחר מכן לחץ על הבא.
  5. לחץ על כתובת ה-IP שבה ברצונך להשתמש ולאחר מכן לחץ על סיום.
  6. לאחר יצירת שרת ה-SMTP הווירטואלי, אשר שהשרת הווירטואלי החדש אכן משתמש בשם התחום המלא (FQDN) הנכון. לשם כך:
    1. לחץ באמצעות לחצן העכבר הימני על שרת ה-SMTP הווירטואלי שיצרת ולאחר מכן לחץ על מאפיינים.
    2. לחץ על הכרטיסייה מסירה ולאחר מכן לחץ על מתקדם.
    3. אשר כי שם התחום בתיבה שם תחום מלא תואם לשם שמקלידים המשתמשים כאשר הם מגדירים את תצורת תוכנת הלקוח למסירת דואר SMTP. כדי לאשר כי שם התחום מפוענח באופן נכון, לחץ על בדיקת DNS.
    4. לחץ על אישור ולאחר מכן לחץ על אישור.
שים לב כאשר מגדירים תצורה של שרת SMTP וירטואלי עבור לקוחות שגישתם אליו מתבצעת דרך האינטרנט, ייתכן שיהיה צורך להגדיר שרתי DNS חיצוניים, מכיוון שהפענוח של שם התחום המלא (FQDN) של שרת ה-SMTP הווירטואלי חייב להיות כתובת אינטרנט חיצונית. לשם כך, לחץ על הגדרת תצורה בתיבת הדו-שיח מסירה מתקדמת, לחץ על הוסף ולאחר מכן הקלד את כתובת ה-IP של שרת ה-DNS החיצוני. לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
326992 הודעות דואר SMTP יוצאות אינן נשלחות (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)


כדי להגדיר הגבלות על כתובות IP

כדי להגדיר הגבלות על כתובות IP:
  1. לחץ על התחל, הצבע על תוכניות, על Microsoft Exchange ולאחר מכן לחץ על מנהל מערכת.
  2. הרחב את קבוצות ניהוליות (אם רלוונטי), את AdministrativeGroup (אם רלוונטי), את שרתים, את ServerName ולאחר מכן את פרוטוקולים.
  3. הרחב את SMTP, לחץ באמצעות לחצן העכבר הימני על ברירת המחדל של שרת וירטואלי SMTP ולאחר מכן לחץ על מאפיינים.
  4. לחץ על הכרטיסייה גישה ולאחר מכן לחץ על התחברות.
  5. בתיבת הדו-שיח התחברות, לחץ על הרשימה שלהלן בלבד.

    הדבר מציין כי רק לכתובות ה-IP ולתחומים שברשימה מותר להתחבר לשרת ה-SMTP הווירטואלי.
  6. לחץ על הוסף ולאחר מכן בצע אחת מהפעולות הבאות כדי להוסיף מחשב בודד, קבוצת מחשבים או תחום, בהתאם למקרה שלך:
    • כדי להוסיף מחשב בודד, לחץ על מחשב בודד, הקלד את כתובת ה-IP של שרת הודעות הדואר האלקטרוני של ספק האינטרנט (ISP) בתיבה כתובת IP ולאחר מכן לחץ על אישור.

      לחלופין, לחץ על בדיקת DNS, הקלד שם מחשב מארח ולאחר מכן לחץ על אישור.
    • כדי להוסיף קבוצת מחשבים, לחץ על קבוצת מחשבים, הקלד את כתובת רשת המשנה ומסיכת רשת המשנה של הקבוצה בתיבות המתאימות ולאחר מכן לחץ על אישור.

      Microsoft ממליצה על אפשרות זו כאשר ספק שירותי האינטרנט (ISP) שלך נוטה להחליף את כתובת ה-IP של שרת הודעות הדואר האלקטרוני שלו ללא אזהרה.
    • כדי להוסיף תחום, לחץ על תחום, הקלד את שם התחום הרצוי בתיבה שם ולאחר מכן לחץ על אישור.

      שים לב לעובדה שאפשרות זו מחייבת בדיקה לאחור של DNS בכל חיבור נכנס. דרישה זו עלולה להשפיע לרעה על ביצועי שרת Exchange. לקבלת פרטים נוספים, עיין בסעיף פתרון בעיות בהמשך מאמר זה.

כדי להגדיר בקרת גישה

כדי להגדיר בקרת גישה:
  1. לחץ על התחל, הצבע על תוכניות, על Microsoft Exchange ולאחר מכן לחץ על מנהל מערכת.
  2. הרחב את קבוצות ניהוליות (אם רלוונטי), את AdministrativeGroup (אם רלוונטי), את שרתים, את ServerName ולאחר מכן את פרוטוקולים.
  3. הרחב את SMTP, לחץ באמצעות לחצן העכבר הימני על שרת ה-SMTP הווירטואלי ולאחר מכן לחץ על מאפיינים.
  4. לחץ על הכרטיסייה גישה ולאחר מכן לחץ על אימות.

    כברירת מחדל, הגישה האנונימית לא זמינה ואילו האימות הבסיסי והאימות המשולב של Windows זמינים. הגדר את תצורת השרת הווירטואלי SMTP כך שישתמש באימות בסיסי עם הצפנת TLS או באימות משולב של Windows ולאחר מכן לחץ על אישור.
שים לב עליך גם להפוך את הכניסה לזמינה באמצעות האפשרות אימות סיסמה מאובטחת בתוכנת לקוח ה-SMTP. כדי לבצע זאת ב-Microsoft Outlook Express:
  1. הפעל את Outlook Express.
  2. בתפריט כלים, לחץ על חשבונות.
  3. לחץ על הכרטיסייה דואר ולאחר מכן לחץ על מאפיינים.
  4. לחץ על הכרטיסייה שרתים, לחץ כדי לסמן את תיבת הסימון היכנס באמצעות אימות סיסמה מאובטחת, לחץ על אישור ולאחר מכן לחץ על סגור.
    שים לב לכך ששם המשתמש והסיסמה מוצפנים. נתוני ההודעה אינם מוצפנים.

כדי להגדיר הצפנה

כדי להגדיר הצפנה:
  1. לחץ על התחל, הצבע על תוכניות, על Microsoft Exchange ולאחר מכן לחץ על מנהל מערכת.
  2. הרחב את קבוצות ניהוליות (אם רלוונטי), את AdministrativeGroup (אם רלוונטי), את שרתים, את ServerName ולאחר מכן את פרוטוקולים.
  3. הרחב את SMTP, לחץ באמצעות לחצן העכבר הימני על שרת ה-SMTP הווירטואלי ולאחר מכן לחץ על מאפיינים.
  4. לחץ על הכרטיסייה גישה ולאחר מכן לחץ על אישור. כעת מופעל אשף אישורי שרת האינטרנט.
  5. לחץ על הבא.
  6. בצע את ההוראות בדפים הנותרים של האשף כדי ליצור אישור חדש או כדי להקצות אישור קיים.
לאחר התקנת האישור בשרת, הגדר את התצורה של שיטת התקשורת. לשם כך:
  1. לחץ על התחל, הצבע על תוכניות, על Microsoft Exchange ולאחר מכן לחץ על מנהל מערכת.
  2. הרחב את קבוצות ניהוליות (אם רלוונטי), את AdministrativeGroup (אם רלוונטי), את שרתים, את ServerName ולאחר מכן את פרוטוקולים.
  3. הרחב את SMTP, לחץ באמצעות לחצן העכבר הימני על שרת ה-SMTP הווירטואלי ולאחר מכן לחץ על מאפיינים.
  4. לחץ על הכרטיסייה גישה ולאחר מכן לחץ על תקשורת.
  5. לחץ כדי לסמן את תיבת הסימון דרוש ערוץ מאובטח.
  6. אם גם מחשב ה-Exchange 2003 וגם הלקוחות תומכים בהצפנת 128-סיביות, לחץ על דרוש הצפנת 128-סיביות.
  7. לחץ על אישור ולאחר מכן לחץ על אישור.
  8. הפסק והפעל מחדש את שרת ה-SMTP הווירטואלי.
אם הלקוחות משתמשים ב-Outlook Express, הגדר את Outlook Express לשימוש ב-SSL. לשם כך:
  1. הפעל את Outlook Express.
  2. בתפריט כלים, לחץ על חשבונות.
  3. לחץ על הכרטיסייה דואר.
  4. לחץ פעמיים על חשבון הדואר של שרת Exchange ולאחר מכן לחץ על הכרטיסייה מתקדם.
  5. תחת דואר יוצא (SMTP), לחץ כדי לסמן את תיבת הסימון שרת זה מחייב חיבור מאובטח (SSL).
  6. לחץ על אישור ולאחר מכן על סגור.

כדי להגדיר ממסר

כדי להגדיר ממסר:
  1. לחץ על התחל, הצבע על תוכניות, על Microsoft Exchange ולאחר מכן לחץ על מנהל מערכת.
  2. הרחב את קבוצות ניהוליות (אם רלוונטי), את AdministrativeGroup (אם רלוונטי), את שרתים, את ServerName ולאחר מכן את פרוטוקולים.
  3. הרחב את SMTP, לחץ באמצעות לחצן העכבר הימני על שרת ה-SMTP הווירטואלי ולאחר מכן לחץ על מאפיינים.
  4. לחץ על הכרטיסייה גישה ולאחר מכן לחץ על ממסר.

    הגדרות ברירת המחדל מתירות ללקוחות מאומתים להעביר הודעות. בדרך כלל הגדרות אלה מספיקות, כך שרק ללקוחות בעלי האישורים הנכונים יש אפשרות להעביר הודעות דרך שרת ה-SMTP הווירטואלי. ניתן גם להגביל את הרשאות הממסר לכתובות IP בודדות, לטווחים של כתובות IP או לסיומות DNS.
  5. לחץ על אישור.

כדי לבדוק אם הגדרות שרת ה-SMTP הווירטואלי שקבעת פועלות באופן נכון

כדי לבדוק אם הגדרות שרת ה-SMTP הווירטואלי שקבעת פועלות באופן נכון:
  • כדי לאשר שהגבלות ה-IP פועלות באופן נכון, יש להשתמש בלקוח POP3 ובלקוח IMAP4 כדי לנסות להתחבר לשרת מכתובת IP שנשללה ממנה הגישה. אם הגבלות ה-IP מוגדרות באופן נכון, תופיע הודעה המציינת כי החיבור לשרת נדחה.
  • כדי לוודא את הצפנת האימות:
    1. הפעל את 'צג הרשת' במחשב Exchange 2003 והשתמש בהגדרות ברירת המחדל של אימות כדי להתחיל בהפעלת SMTP מהלקוח תוך כדי לכידת התעבורה הנכנסת למחשב Exchange 2003.
    2. סקור את הפעלת ה-SMTP ורשום את המנות מהלקוח אל השרת ביציאה 25 (0019h).

      שים לב לעובדה כי שם המשתמש והסיסמה של הכניסה נשלחים בטקסט גלוי.
    3. הסר את התמיכה באימות בסיסי, הגדר את הלקוח לדרוש אימות סיסמה מאובטח, התחל הפעלת SMTP נוספת מהלקוח ולכוד את התעבורה ב'צג הרשת'.

      חשבון המשתמש והסיסמה מוצפנים כעת.
  • כדי לבדוק את הצפנת SSL:
    1. הוסף אישור, קבע את ההגדרות כך שתדרוש ערוץ בעל אבטחה משופרת בשרת ה-SMTP הווירטואלי ולאחר מכן הגדר את הלקוח להשתמש בהצפנת SSL.
    2. התחל בלכידה ב'צג הרשת' ולאחר מכן התחל בהפעלת איסוף דואר SMTP מהלקוח.
    3. עצור את הלכידה ובדוק את המנות שנשלחו.

      שים לב לעובדה כי כל המנות מהלקוח לשרת עם יציאת יעד 25 (0019h) מוצפנות.
    שים לב אם לא הפעלת הצפנה באיסוף דואר POP3 או IMAP4 , ייתכן שתראה מספר מנות לא מוצפנות מהלקוח המיועדות ליציאה 110 (006Eh) או ליציאה 143 (008Fh).
  • כדי לבדוק אם הגבלות הממסר פועלות באופן נכון, שלח דואר מכתובת IP שנשללה ממנה הגישה לתחום חיצוני. כעת תופיע הודעת שגיאה המציינת כי לא היה באפשרות השרת להקים ממסר עבור כתובת הנמען.

פתרון בעיות

הגבלות המבוססות על בדיקת DNS עלולות להשפיע לרעה על ביצועיו של מחשב ה-Exchange 2003. מאחר שהשרת מבצע בדיקה לאחור של DNS עם כל חיבור נכנס, חייב להיות אזור זמין של בדיקה לאחור של DNS והמחשב המארח חייב להיות רשום באותו אזור.

מידע נוסף

לקבלת פרטים נוספים על Exchange Server 2003, בקר באתר האינטרנט הבא של Microsoft:
http://www.microsoft.com/exchange/library

מאפיינים

Article ID: 823019 - Last Review: יום שני 26 נובמבר 2007 - Revision: 1.4
המידע במאמר זה חל על:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
מילות מפתח 
kbhowto KB823019

ספק משוב

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com