Berichtbezorging door SMTP-client in Exchange 2003 beveiligen

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 823019 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

In dit artikel wordt beschreven hoe u beveiligingsinstellingen kunt configureren voor inkomende client-SMTP-verbindingen (Simple Mail Transfer Protocol) naar uw Exchange 2003-computers. Met deze instellingen kunnen uw gebruikers mogelijk gevoelig materiaal verifiëren en ontvangen en kunt u voorkomen dat de gebruikersnaam, het wachtwoord of de inhoud van het bericht worden onderschept. Mogelijk zijn er gebruikers die POP3 (Post Office Protocol 3) of IMAP4 (Internet Message Access Protocol 4) moeten gebruiken om verbinding te maken met uw Exchange 2003-computer. Deze protocollen zijn voor het bezorgen van berichten beide afhankelijk van SMTP.

Opmerking In een standaardinstallatie van Exchange 2003 hoeft u geen aanvullende opties te configureren voor POP3- of IMAP4-clients die verbinding maken met de server. In dit artikel worden enkele standaardbeveiligingsinstellingen beschreven. Het artikel bevat tevens informatie over aanvullende opties die beschikbaar zijn in Exchange 2003.

Overwegingen

Houd rekening met de volgende overwegingen:

Een aanvullende virtuele SMTP-server maken



Maak een nieuwe virtuele SMTP-server voor inkomende clientverbindingen.

Verbindingsbeheer



Met verbindingsbeheer voorkomt u verbindingen die zijn gebaseerd op IP-adres of domeinnaam, waaronder omgekeerde DNS-zoekopdrachten (Domain Name System). Met de opties voor verbindingsbeheer kunnen geen wachtwoorden of berichtgegevens worden gecodeerd.

Toegangsbeheer



U kunt basisverificatie, anonieme verificatie of geïntegreerde Windows-verificatie (voorheen NTLM of Windows NT Vraag/Antwoord-verificatie genoemd) configureren. Omdat bij basisverificatie gebruikersnamen en wachtwoorden als gewone tekst worden verzonden, is dit geen veilige methode. Als u gebruikersnamen en wachtwoorden wilt coderen, gebruikt u basisverificatie met TLS (Transport Layer Security) of geïntegreerde Windows-verificatie. Net zoals SSL (Secure Sockets Layer) codeert TLS gebruikersnamen, wachtwoorden en berichtgegevens. Geïntegreerde Windows-verificatie werkt alleen in scenario's waarin de clientcomputer contact kan opnemen met een Windows-domeincontroller om de referenties daarvan de valideren. In de meeste configuraties met een firewall is een dergelijk contact niet mogelijk. Bij interne implementaties van SMTP-toegang (waarbij de aanmeldingssessie niet via internet verloopt) kan echter wel geïntegreerde Windows-verificatie worden gebruikt.

Codering



Bij beveiligde communicatie wordt de SMTP-sessie, inclusief de gebruikersnaam, het wachtwoord en de berichtgegevens, gecodeerd met SSL-codering. Het is beter dat u SSL gebruikt voor alle SMTP-verbindingen met Exchange 2003 die via openbare netwerken zoals internet verlopen. U moet een certificaat installeren op uw virtuele SMTP-server. Voor het installeren van een certificaat kunt u een externe certificeringsinstantie gebruiken of Certificate Services installeren voor uw Microsoft Active Directory-forest.

Doorsturen beheren



Als u een virtuele SMTP-server maakt in Exchange 2003, wordt deze standaard zodanig geconfigureerd dat het doorsturen van e-mailberichten wordt geblokkeerd. Als uw POP3- of IMAP4-clients geen machtiging voor doorsturen hebben, kunnen gebruikers via de virtuele SMTP-server geen SMTP-mail verzenden naar externe domeinen. Als u het doorsturen van berichten echter toestaat, kan een gebruiker worden gebruikt voor het verspreiden van ongevraagde commerciële e-mailberichten (ongewenste e-mail). Als u de standaardinstellingen voor doorsturen gebruikt, kunnen alleen geverifieerde clients berichten doorsturen via de virtuele SMTP-server. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
319278Clienttoegang via Internet Message Access Protocol in Exchange 2000 beveiligen

Een nieuwe virtuele SMTP-server maken

  1. Klik op Start, wijs Programma's aan, wijs Microsoft Exchange aan en klik op System Manager.
  2. Vouw achtereenvolgens Beheergroepen (indien nodig), Beheergroep (indien nodig), Servers, Servernaam en Protocols uit.
  3. Klik met de rechtermuisknop op SMTP, wijs New aan en klik op SMTP Virtual Server.
  4. Typ in het vak Name de naam van de virtuele server en klik op Next.
  5. Klik op het IP-adres dat u wilt gebruiken en klik op Finish.
  6. Nadat u de virtuele SMTP-server hebt gemaakt, controleert u of de nieuwe virtuele server de juiste FQDN (Fully Qualified Domain Name) gebruikt. Ga hiervoor als volgt te werk:
    1. Klik met de rechtermuisknop op de virtuele SMTP-server die u hebt gemaakt en kies Eigenschappen.
    2. Open het tabblad Delivery en klik op Advanced.
    3. Controleer of de domeinnaam in het vak Fully-qualified domain name overeenkomt met de naam die uw gebruikers typen als ze hun clientsoftware configureren voor SMTP-mail. Controleer of de domeinnaam op de juiste manier wordt omgezet door op Check DNS te klikken.
    4. Klik op OK en klik nogmaals op OK.
Opmerking Als u een virtuele SMTP-server configureert voor clients die via internet toegang hebben tot deze virtuele SMTP-server, moet u wellicht externe DNS-servers configureren, omdat de FQDN van de virtuele SMTP-server moet worden omgezet in een extern internetadres. Klik hiervoor op Configure in het dialoogvenster Advanced Delivery, klik op Add en typ het IP-adres van de externe DNS-server. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
326992Uitgaande SMTP-e-mailberichten worden niet verzonden


IP-adresbeperkingen configureren

IP-adresbeperkingen configureren:
  1. Klik op Start, wijs Programma's aan, wijs Microsoft Exchange aan en klik op System Manager.
  2. Vouw achtereenvolgens Beheergroepen (indien nodig), Beheergroep (indien nodig), Servers, Servernaam en Protocols uit.
  3. Vouw SMTP uit, klik met de rechtermuisknop op Default SMTP Virtual Server en klik op Properties.
  4. Open het tabblad Access en klik op Connection.
  5. Klik in het dialoogvenster Connection op Only the list below.

    Hiermee geeft u aan dat alleen de IP-adressen en de domeinen in de lijst verbinding mogen maken met de virtuele SMTP-server.
  6. Klik op Add en ga op een van de volgende manieren te werk om één computer, een groep computers of een domein toe te voegen, afhankelijk van uw situatie:
    • Als u één computer wilt toevoegen, klikt u op Single Computer, typt u het IP-adres van de e-mailserver van uw internetprovider in het vak IP address en klikt u op OK.

      U kunt ook op DNS Lookup klikken, een hostnaam typen en op OK klikken.
    • Als u een groep computers wilt toevoegen, klikt u op Group of computers, typt u het subnetadres en het subnetmasker van de groep in de desbetreffende vakken en klikt u op OK.

      Deze optie wordt aangeraden als uw internetprovider nogal eens zonder waarschuwing het IP-adres van zijn e-mailserver wijzigt.
    • Als u een domein wilt toevoegen, klikt u op Domain, typt u de gewenste domeinnaam in het vak Naam en klikt u op OK.

      Voor deze optie moet bij elke inkomende verbinding een omgekeerde DNS-zoekactie worden uitgevoerd. Dit kan een negatieve invloed hebben op de prestaties van de Exchange-server. Zie de sectie Problemen oplossen verderop in dit artikel voor meer informatie.

Toegangsbeheer configureren

Toegangsbeheer configureren:
  1. Klik op Start, wijs Programma's aan, wijs Microsoft Exchange aan en klik op System Manager.
  2. Vouw achtereenvolgens Beheergroepen (indien nodig), Beheergroep (indien nodig), Servers, Servernaam en Protocols uit.
  3. Vouw SMTP uit, klikt met de rechtermuisknop op de virtuele SMTP-server en klik op Properties.
  4. Open het tabblad Toegang en klik op Verificatie.

    Standaard is anonieme toegang uitgeschakeld en zijn basisverificatie en geïntegreerde Windows-verificatie ingeschakeld. Configureer de virtuele SMTP-server voor het gebruik van basisverificatie met TSL-codering of voor geïntegreerde Windows-verificatie en klik op OK.
Opmerking U moet ook het aanmelden inschakelen met de optie Verificatie met beveiligd wachtwoord in de SMTP-clientsoftware. In Microsoft Outlook Express:
  1. Start Outlook Express.
  2. Klik op Accounts in het menu Extra.
  3. Open het tabblad E-mail en klik op Eigenschappen.
  4. Open het tabbladServers, schakel het selectievakje Aanmelden met beveiligd-wachtwoordverificatie in, klik op OK en klik op Sluiten.
    Zoals u ziet, zijn de gebruikersnaam en het wachtwoord gecodeerd. Berichtgegevens worden niet gecodeerd.

Codering configureren

Codering configureren:
  1. Klik op Start, wijs Programma's aan, wijs Microsoft Exchange aan en klik op System Manager.
  2. Vouw achtereenvolgens Beheergroepen (indien nodig), Beheergroep (indien nodig), Servers, Servernaam en Protocols uit.
  3. Vouw SMTP uit, klikt met de rechtermuisknop op de virtuele SMTP-server en klik op Properties.
  4. Open het tabblad Toegang en klik op Certificaat. De wizard Webservercertificaat wordt gestart.
  5. Klik op Volgende.
  6. Volg de aanwijzingen op de overige pagina's van de wizard om een nieuw certificaat te maken of om een bestaand certificaat toe te wijzen.
Nadat het certificaat is geïnstalleerd op de server, configureert u de communicatiemethode. Ga hiervoor als volgt te werk:
  1. Klik op Start, wijs Programma's aan, wijs Microsoft Exchange aan en klik op System Manager.
  2. Vouw achtereenvolgens Beheergroepen (indien nodig), Beheergroep (indien nodig), Servers, Servernaam en Protocols uit.
  3. Vouw SMTP uit, klikt met de rechtermuisknop op de virtuele SMTP-server en klik op Properties.
  4. Open het tabblad Toegang en klik op Communicatie.
  5. Schakel het selectievakje Beveiligd kanaal vereisen in.
  6. Als zowel de Exchange 2003-computer als de clients 128-bits codering ondersteunen, klikt u op 128-bits codering vereisen.
  7. Klik op OK en klik nogmaals op OK.
  8. Stop de virtuele SMTP-server en start deze vervolgens opnieuw.
Als uw clients Outlook Express gebruiken, configureert u Outlook Express voor het gebruik van SSL. Ga hiervoor als volgt te werk:
  1. Start Outlook Express.
  2. Klik op Accounts in het menu Extra.
  3. Open het tabblad E-mail.
  4. Dubbelklik op de e-mailaccount van de Exchange Server en open het tabblad Geavanceerd.
  5. Schakel onder Uitgaande e-mail (SMTP) het selectievakje Voor deze server is een beveiligde verbinding (SSL) nodig in.
  6. Klik op OK en klik op Sluiten.

Doorsturen configureren

Ga als volgt te werk om het doorsturen te configureren:
  1. Klik op Start, wijs Programma's aan, wijs Microsoft Exchange aan en klik op System Manager.
  2. Vouw achtereenvolgens Beheergroepen (indien nodig), Beheergroep (indien nodig), Servers, Servernaam en Protocols uit.
  3. Vouw SMTP uit, klikt met de rechtermuisknop op de virtuele SMTP-server en klik op Properties.
  4. Klik op de tab Access en vervolgens op Relay.

    Met de standaardinstellingen kunnen geverifieerde clients berichten doorsturen. Deze instellingen zijn meestal voldoende om ervoor te zorgen dat alleen clients met de juiste referenties berichten kunnen doorsturen via de virtuele SMTP-server. U kunt ook doorstuurmachtigingen beperken tot bepaalde IP-adressen, IP-adresbereiken of DNS-achtervoegsels.
  5. Klik op OK.

Testen of de door u geconfigureerde instellingen voor de virtuele SMTP-server goed werken

Ga als volgt te werk om te testen of de door u geconfigureerde instellingen voor de virtuele SMTP-server goed werken:
  • Als u wilt controleren of de IP-beperkingen goed werken, probeert u met een POP3- en een IMAP4-client verbinding te maken met de server vanaf een uitgesloten IP-adres. Als de IP-beperkingen goed zijn geconfigureerd, krijgt u een bericht waarin wordt gemeld dat een verbinding met de server is geweigerd.
  • Verificatiecodering controleren:
    1. Voer Network Monitor uit op de Exchange 2003-computer en gebruik de standaardverificatie-instellingen voor het initiëren van een SMTP-sessie vanaf de client terwijl u het verkeer naar de Exchange 2003-computer vastlegt.
    2. Bekijk de SMTP-sessie en kijk naar de pakketten die van de client naar de server gaan op poort 25 (0019h).

      U ziet dat de aanmeldingsnaam en het wachtwoord van de gebruiker in gewone tekst worden verzonden.
    3. Verwijder ondersteuning voor basisverificatie, configureer de client zodanig dat verificatie met een beveiligd wachtwoord verplicht is, initieer een nieuwe SMTP-sessie vanaf de client en leg het verkeer vast in Network Monitor.

      De gebruikersaccount en het wachtwoord zijn nu gecodeerd.
  • SSL-codering testen:
    1. Voeg een certificaat toe, configureer de instellingen zodanig dat een beveiligd kanaal op de virtuele SMTP-server verplicht is en configureer de client voor gebruik van SSL.
    2. Start het vastleggen in Network Monitor en initieer een SMTP-sessie voor het ophalen van e-mail vanaf de client.
    3. Beëindig het vastleggen en controleer de pakketten die zijn verzonden.

      U ziet dat alle pakketten van de client naar de server met poort 25 (0019h) als bestemming gecodeerd zijn.
    Opmerking Als u geen codering hebt ingeschakeld voor het ophalen van e-mail met POP3 of IMAP4, ziet u mogelijk nog ongecodeerde pakketten van de client die poort 110 (006Eh) of poort 143 (008Fh) als bestemming hebben.
  • Als u wilt testen of de beperkingen op doorsturen goed werken, stuurt u een e-mail vanaf een uitgezonderd IP-adres naar een extern domein. Er wordt een foutbericht weergegeven met de melding dat de server geen berichten kan doorsturen voor het adres van de geadresseerde.

Problemen oplossen

Beperkingen die zijn gebaseerd op DNS-zoekacties, kunnen een negatief effect hebben op de prestaties van de Exchange 2003-computer. Omdat de server bij elke inkomende verbinding een DNS-zoekactie uitvoert, moet er een zone voor omgekeerde DNS-zoekacties beschikbaar zijn en moet de verzendende host geregistreerd zijn bij die zone.

Referenties

Als u meer informatie wilt over Exchange Server 2003, gaat u naar de volgende Microsoft-website:
http://www.microsoft.com/exchange/library

Eigenschappen

Artikel ID: 823019 - Laatste beoordeling: maandag 26 november 2007 - Wijziging: 1.4
De informatie in dit artikel is van toepassing op:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Trefwoorden: 
kbhowto KB823019

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com