Az SMTP-ügyfelek üzenetkézbesítésének biztonságossá tétele az Exchange 2003 rendszerben

A cikk fordítása A cikk fordítása
Cikk azonosítója: 823019 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

Összefoglaló

A cikk az Exchange 2003 programot futtató számítógépek bejövő SMTP ügyfélkapcsolatainak biztonsági beállításait ismerteti. Ezek a beállítások lehetővé teszik a felhasználók hitelesítését, bizalmas anyagok biztonságos kézbesítését, valamint segítenek megelőzni, hogy a felhasználók neve, jelszava és üzeneteik tartalma illetéktelenek számára hozzáférhető legyen. Az Exchange 2003 programot futtató számítógéphez csatlakozó felhasználók használhatják a POP3 és az IMAP4 protokollt is. Az üzenetkézbesítésben mindkét protokoll az SMTP protokollra támaszkodik.

Megjegyzés: Az alapértelmezett beállításokkal telepített Exchange 2003 rendszereken nem szükséges további beállításokat végezni a kiszolgálóhoz csatlakozó, POP3 vagy IMAP4 protokollt használó ügyfelek számára. Ez a cikk egyes alapértelmezett biztonsági beállításokat ismertet, valamint az Exchange 2003 program további beállításaival is foglalkozik.

Megfontolandó szempontok

Vegye figyelembe a következőket:

Hozzon létre új virtuális SMTP-kiszolgálót



Hozzon létre egy új virtuális SMTP-kiszolgálót a bejövő ügyfélkapcsolatok kiszolgálására.

Kapcsolatvezérlés



A kapcsolatvezérlés korlátozza az IP-cím alapú és a tartománynév alapú kapcsolatokat, beleértve a fordított DNS-címkereséseket is. A kapcsolatvezérlési funkciók nem titkosítják a jelszavakat és az üzenetek adatait.

Hozzáférés-szabályozás



Egyszerű hitelesítés, névtelen hitelesítés és beépített Windows-hitelesítés (korábban ez NTLM vagy Windows NT kérdésen-válaszon alapuló hitelesítési módszerként volt ismert) állítható be. Az egyszerű hitelesítés nem biztonságos, mivel a felhasználónevek és jelszavak egyszerű szöveges formátumban kerülnek elküldésre. A felhasználónevek és jelszavak titkosítása érdekében használja együtt az egyszerű hitelesítést és a TLS protokollt, vagy használja a beépített Windows-hitelesítést. Az SSL protokollhoz hasonlóan a TLS protokoll is titkosítja a felhasználóneveket, jelszavakat és az üzenetek adatait. A beépített Windows-hitelesítés csak olyan esetekben használható, amikor az ügyfélszámítógép kapcsolatba tud lépni Windows-alapú tartományvezérlővel a hitelesítési adatainak ellenőrzése céljából. A legtöbb tűzfal-konfiguráció megakadályozza ezt a fajta kapcsolatfelvételt. Az SMTP-alapú hozzáférés belső megvalósítása esetén (amikor a bejelentkezési munkamenetek adatai nem az interneten kerülnek továbbításra) azonban használható a beépített Windows-hitelesítés is.

Titkosítás



A biztonságos kommunikáció az SSL titkosítás használatával a teljes SMTP munkamenetet titkosítja, beleértve a felhasználónevet, a jelszót és az üzenet adatait is. Az Exchange 2003 rendszerrel nyilvános hálózaton (például az interneten) át létesített SMTP-alapú kapcsolatokhoz célszerű az SSL protokollt használni. A virtuális SMTP-kiszolgálóra tanúsítványt kell telepíteni. Erre a célra külső tanúsítványszolgáltatók is használhatók, vagy telepíthetők tanúsítványszolgáltatások a Microsoft Active Directory címtárszolgáltatás erdőjébe is.

Továbbítás vezérlése



Az Exchange 2003 rendszerben létrehozott virtuális SMTP-kiszolgáló konfigurációja az alapértelmezés szerint nem teszi lehetővé az e-mail üzenetek továbbítását. Ha a POP3 vagy IMAP4 protokollt használó ügyfelek számára nincs engedélyezve a továbbítás, a felhasználók nem tudnak külső tartományokba SMTP-alapú üzeneteket küldeni a virtuális SMTP-kiszolgálón keresztül. Ha azonban az üzenettovábbítás engedélyezve van, a felhasználókat kéretlen reklámlevelek, levélszemét terjesztésére használhatják fel. Az alapértelmezett továbbítási beállítások használata esetén csak a hitelesített ügyfelek továbbíthatnak üzeneteket a virtuális SMTP-kiszolgálón keresztül. A Microsoft Tudásbázis kapcsolódó cikke:
319278 IMAP-alapú ügyfelek hozzáférésének biztonságossá tétele az Exchange 2000 rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Új virtuális SMTP-kiszolgáló létrehozása

  1. Mutasson a Start menü Programok, majd Microsoft Exchange pontjára, és kattintson a System Manager (Rendszerkezelő) parancsra.
  2. Bontsa ki (ha szükséges) az Administrative Groups (Felügyeleti csoportok), továbbá (ha szükséges) a FelügyeletiCsoport, a Servers (Kiszolgálók), a Kiszolgálónév, végül a Protocols (Protokollok) csomópontot.
  3. Kattintson a jobb gombbal az SMTP elemre, mutasson a New (Új) parancsra, majd kattintson az SMTP Virtual Server (Virtuális SMTP-kiszolgáló) elemre.
  4. Írja be a virtuális kiszolgáló nevét a Name (Név) mezőbe, majd kattintson a Next (Tovább) gombra.
  5. Kattintson a használni kívánt IP-címre, majd a Finish (Befejezés) gombra.
  6. A virtuális SMTP-kiszolgáló létrehozása után ellenőrizze, hogy a kiszolgáló a megfelelő teljesen minősített tartománynevet (FQDN) használja-e. Ehhez tegye a következőket:
    1. Kattintson a jobb gombbal a most létrehozott virtuális SMTP-kiszolgálóra, majd kattintson a Properties (Tulajdonságok) parancsra.
    2. Kattintson a Delivery (Kézbesítés) fülre, majd az Advanced (Speciális) gombra.
    3. Ellenőrizze, hogy a Fully-qualified domain name (Teljesen minősített tartománynév) mezőben megjelenő tartománynév megegyezik-e azzal a névvel, amelyet a felhasználók fognak használni az ügyfélszoftverek SMTP-alapú üzenetküldésének konfigurálásakor. Annak ellenőrzéséhez, hogy a tartománynév feloldása helyesen történik-e meg, kattintson a Check DNS (DNS ellenőrzése) gombra.
    4. Kattintson az OK, majd ismét az OK gombra.
Megjegyzés: Ha a virtuális SMTP-kiszolgálót olyan ügyfelek számára konfigurálja, amelyek a kiszolgálót az interneten keresztül érik el, előfordulhat, hogy meg kell adnia külső DNS-kiszolgálókat. Ennek oka az, hogy a virtuális SMTP-kiszolgáló teljesen minősített tartománynevét (FQDN) külső internetcímre kell feloldani. Ehhez kattintson az Advanced Delivery (Speciális kézbesítés) párbeszédpanel Configure (Beállítás) elemére, majd az Add (Hozzáadás) gombra, és írja be a külső DNS-kiszolgáló IP-címét. A Microsoft Tudásbázis kapcsolódó cikke:
326992 A rendszer nem küldi el az SMTP-alapú kimenő üzeneteket (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)


IP-címek korlátozásainak beállítása

A korlátozott IP-címek beállításához tegye a következőket:
  1. Mutasson a Start menü Programok, majd Microsoft Exchange pontjára, és kattintson a System Manager (Rendszerkezelő) parancsra.
  2. Bontsa ki (ha szükséges) az Administrative Groups (Felügyeleti csoportok), továbbá (ha szükséges) a FelügyeletiCsoport, a Servers (Kiszolgálók), a Kiszolgálónév, végül a Protocols (Protokollok) csomópontot.
  3. Bontsa ki az SMTP csomópontot, kattintson a jobb gombbal a Default SMTP Virtual Server (Alapértelmezett virtuális SMTP-kiszolgáló) elemre, majd kattintson a Properties (Tulajdonságok) parancsra.
  4. Kattintson az Access (Hozzáférés) fülre, majd a Connection (Kapcsolat) gombra.
  5. A Connection (Kapcsolat) párbeszédpanelen jelölje be az Only the list below (Csak a listán láthatók) választógombot.

    Ez azt határozza meg, hogy csak a listában szereplő IP-címekről és tartományokból lehetséges kapcsolatot létesíteni a virtuális SMTP-kiszolgálóval.
  6. Kattintson az Add (Hozzáadás) gombra, majd számítógépek, számítógépcsoportok vagy tartományok felvételéhez tegye a következőket:
    • Egy önálló számítógép hozzáadásához kattintson a Single Computer (Egy számítógép) gombra, írja be az internetszolgáltató (ISP) e-mail kiszolgálójának IP-címét az IP address (IP-cím) mezőbe, majd kattintson az OK gombra.

      Másik lehetőségként kattintson a DNS Lookup (DNS-címkeresés) gombra, írja be az állomásnevet, és kattintson az OK gombra.
    • Számítógépcsoport hozzáadásához kattintson a Group of computers (Számítógépcsoport) gombra, írja be a csoport alhálózati címét és az alhálózati maszkot a megfelelő mezőkbe, majd kattintson az OK gombra.

      A Microsoft abban az esetben ajánlja ezt a beállítást, ha az internetszolgáltató figyelmeztetés nélkül meg szokta változtatni az e-mail kiszolgáló IP-címét.
    • Tartomány felvételéhez kattintson a Domain (Tartomány) gombra, írja be a tartomány nevét a Name (Név) mezőbe, majd kattintson az OK gombra.

      E beállítás esetén a rendszer fordított DNS-címkeresést hajt végre minden bejövő kapcsolatnál. Ez hátrányosan érintheti az Exchange kiszolgáló teljesítményét. További információt a cikk Hibaelhárítás című szakaszában talál.

Hozzáférés-szabályozás beállítása

A hozzáférés-szabályozás beállításához tegye a következőket:
  1. Mutasson a Start menü Programok, majd Microsoft Exchange pontjára, és kattintson a System Manager (Rendszerkezelő) parancsra.
  2. Bontsa ki (ha szükséges) az Administrative Groups (Felügyeleti csoportok), továbbá (ha szükséges) a FelügyeletiCsoport, a Servers (Kiszolgálók), a Kiszolgálónév, végül a Protocols (Protokollok) csomópontot.
  3. Bontsa ki az SMTP csomópontot, kattintson a jobb gombbal a virtuális SMTP-kiszolgálóra, majd kattintson a Properties (Tulajdonságok) parancsra.
  4. Kattintson az Access (Hozzáférés) fülre, majd az Authentication (Hitelesítés) elemre.

    Az alapértelmezés szerint a névtelen hozzáférés tiltott, az egyszerű hitelesítés és a beépített Windows-hitelesítés pedig engedélyezett. Állítsa be úgy a virtuális SMTP-kiszolgálót, hogy az egyszerű hitelesítést használja a TLS titkosítással együtt, vagy a beépített Windows-hitelesítést használja, majd kattintson az OK gombra.
Megjegyzés: Az SMTP ügyfélszoftvereken a bejelentkezéshez a Biztonságos jelszó-hitelesítés használatának beállítását engedélyezni kell. Ezt a Microsoft Outlook Express programban a következőképpen végezheti el:
  1. Indítsa el az Outlook Express alkalmazást.
  2. Kattintson az Eszközök menü Fiókok pontjára.
  3. Kattintson a Levelezés fülre, majd a Tulajdonságok gombra.
  4. Kattintson a Kiszolgálók fülre, majd jelölje be a Bejelentkezés biztonságos jelszó-hitelesítés használatával jelölőnégyzetet. Kattintson az OK, majd a Bezárás gombra.
    Ne feledje, hogy a felhasználónév és a jelszó titkosítva lesznek, az üzenetek adatai viszont nem.

Titkosítás beállítása

A titkosítás beállításához tegye a következőket:
  1. Mutasson a Start menü Programok, majd Microsoft Exchange pontjára, és kattintson a System Manager (Rendszerkezelő) parancsra.
  2. Bontsa ki (ha szükséges) az Administrative Groups (Felügyeleti csoportok), továbbá (ha szükséges) a FelügyeletiCsoport, a Servers (Kiszolgálók), a Kiszolgálónév, végül a Protocols (Protokollok) csomópontot.
  3. Bontsa ki az SMTP csomópontot, kattintson a jobb gombbal a virtuális SMTP-kiszolgálóra, majd kattintson a Properties (Tulajdonságok) parancsra.
  4. Kattintson az Access (Hozzáférés) fülre, majd a Certificate (Tanúsítvány) gombra. Elindul a Webkiszolgáló tanúsítványa varázsló.
  5. Kattintson a Tovább gombra.
  6. Kövesse a varázsló további lapjain megjelenő utasításokat az új tanúsítvány létrehozásához vagy egy létező tanúsítvány hozzárendeléséhez.
Miután a tanúsítványt telepítette a kiszolgálóra, állítsa be a kommunikáció módját. Ehhez tegye a következőket:
  1. Mutasson a Start menü Programok, majd Microsoft Exchange pontjára, és kattintson a System Manager (Rendszerkezelő) parancsra.
  2. Bontsa ki (ha szükséges) az Administrative Groups (Felügyeleti csoportok), továbbá (ha szükséges) a FelügyeletiCsoport, a Servers (Kiszolgálók), a Kiszolgálónév, végül a Protocols (Protokollok) csomópontot.
  3. Bontsa ki az SMTP csomópontot, kattintson a jobb gombbal a virtuális SMTP-kiszolgálóra, majd kattintson a Properties (Tulajdonságok) parancsra.
  4. Kattintson az Access (Hozzáférés) fülre, majd a Communication (Kommunikáció) gombra.
  5. Jelölje be a Require secure channel (Biztonságos csatorna szükséges) jelölőnégyzetet.
  6. Ha az Exchange 2003 programot futtató számítógép és az ügyfelek is támogatják a 128 bites titkosítást, akkor jelölje be a Require 128-bit encryption (128 bites titkosítás szükséges) jelölőnégyzetet is.
  7. Kattintson az OK, majd ismét az OK gombra.
  8. Ezután állítsa le, majd indítsa újra a virtuális SMTP-kiszolgálót.
Ha az ügyfelek az Outlook Express alkalmazást használják, állítsa be az alkalmazást az SSL protokoll használatára. Ehhez tegye a következőket:
  1. Indítsa el az Outlook Express alkalmazást.
  2. Kattintson az Eszközök menü Fiókok pontjára.
  3. Kattintson a Levelezés fülre.
  4. Kattintson duplán az Exchange Server e-mail fiókra, majd kattintson a Speciális fülre.
  5. A Kimenő levelek (SMTP) alatt jelölje be A kiszolgáló biztonságos kapcsolatot (SSL) igényel jelölőnégyzetet.
  6. Kattintson az OK, majd a Bezárás gombra.

Továbbítás beállítása

A továbbítás beállításához tegye a következőket:
  1. Mutasson a Start menü Programok, majd Microsoft Exchange pontjára, és kattintson a System Manager (Rendszerkezelő) parancsra.
  2. Bontsa ki (ha szükséges) az Administrative Groups (Felügyeleti csoportok), továbbá (ha szükséges) a FelügyeletiCsoport, a Servers (Kiszolgálók), a Kiszolgálónév, végül a Protocols (Protokollok) csomópontot.
  3. Bontsa ki az SMTP csomópontot, kattintson a jobb gombbal a virtuális SMTP-kiszolgálóra, majd kattintson a Properties (Tulajdonságok) parancsra.
  4. Kattintson az Access (Hozzáférés) fülre, majd a Relay (Továbbítás) gombra.

    Az alapértelmezett beállítások lehetővé teszik az üzenettovábbítást a hitelesített ügyfelek számára. Ezek a beállítások általában elegendőek, mert csak a megfelelő jogosultságokkal rendelkező ügyfelek tudnak üzeneteket továbbítani a virtuális SMTP-kiszolgálón keresztül. A továbbítási engedélyek köre leszűkíthető egyes IP-címekre, IP-címtartományokra és DNS-utótagokra.
  5. Kattintson az OK gombra.

Annak ellenőrzése, hogy a virtuális SMTP-kiszolgáló megfelelően működik-e az új beállításokkal

A virtuális SMTP-kiszolgáló helyes működésének ellenőrzéséhez kövesse az alábbi lépéseket:
  • Az IP-címek korlátozásának ellenőrzéséhez próbáljon meg egy POP3 és egy IMAP4 protokollt használó, kizárt IP-címmel rendelkező ügyfélszámítógépről csatlakozni a kiszolgálóhoz. Ha az IP-címek korlátozása helyesen van beállítva, akkor egy üzenet tájékozatja arról, hogy a kapcsolatot a kiszolgáló visszautasította.
  • A hitelesítés titkosításának ellenőrzéséhez kövesse az alábbi lépéseket:
    1. Az Exchange 2003 programot futtató számítógépen indítsa el a Hálózatfigyelő segédprogramot, majd az ügyfélszámítógépről kezdeményezzen egy SMTP munkamenetet az alapértelmezett hitelesítési beállításokkal, és rögzítse az Exchange 2003 programot futtató számítógépre bejövő forgalmat.
    2. Nézze át az SMTP munkamenetet, és keresse meg az ügyféltől a kiszolgáló 25-ös (0019h) portjára érkező csomagokat.

      A felhasználó bejelentkezési neve és jelszava egyszerű szöveges formátumban került elküldésre.
    3. Szüntesse meg az egyszerű hitelesítés használatát, és állítsa be az ügyfelet Biztonságos jelszó-hitelesítés használatára, majd az ügyfélszámítógépről kezdeményezzen egy újabb SMTP munkamenetet, és rögzítse a forgalmat a Hálózatfigyelő segédprogrammal.

      A felhasználói fiók és a jelszó most titkosítva szerepel.
  • Az SSL-titkosítás ellenőrzéséhez kövesse az alábbi lépéseket:
    1. Vegyen fel egy tanúsítványt. Állítsa be a virtuális SMTP-kiszolgálót úgy, hogy biztonságos csatornát használjon, majd állítsa be az ügyfelet az SSL protokoll használatára.
    2. A Hálózatfigyelő segédprogramban indítsa el a forgalom rögzítését, majd kezdeményezzen egy üzenetlekérdezési SMTP munkamenetet az ügyfélszámítógépen.
    3. Állítsa le a rögzítést, és tanulmányozza a küldött csomagokat.

      Az ügyféltől a kiszolgáló 25-ös (0019h) portjára érkezett valamennyi csomag titkosított.
    Megjegyzés: Ha a POP3- és az IMAP4-alapú üzenetlekérdezés titkosítását nem engedélyezte, akkor lehetnek az ügyféltől származó titkosítatlan, a 110-es (006Eh) és a 143-as (008Fh) portra irányuló csomagok.
  • A korlátozások helyes működésének ellenőrzéséhez küldjön e-mailt egy kizárt IP-címről egy külső tartományba. Egy olyan üzenetnek kell megjelennie, amely arról tájékoztat, hogy a kiszolgáló nem tudta a továbbítást végrehajtani.

Hibaelhárítás

A DNS-címkeresésen alapuló korlátozások hátrányosan érinthetik az Exchange 2003 programot futtató számítógép teljesítményét. Mivel a kiszolgáló fordított DNS-címkeresést hajt végre minden bejövő kapcsolatnál, ezért léteznie kell egy fordított DNS-címkeresési zónának, és a küldő állomást regisztrálni kell a zónába.

Hivatkozások

Az Exchange Server 2003 rendszerről további információt a Microsoft következő angol nyelvű weblapján talál:
http://www.microsoft.com/exchange/library

Tulajdonságok

Cikk azonosítója: 823019 - Utolsó ellenőrzés: 2007. november 26. - Verziószám: 1.4
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Kulcsszavak: 
kbhowto KB823019
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com