Sikre levering av SMTP-klientmeldinger i Exchange 2003

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 823019 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

På denne siden

Sammendrag

Denne artikkelen beskriver hvordan du konfigurerer sikkerhetsinnstillinger for innkommende tilkoblinger via SMTP-klient (Simple Mail Transfer Protocol) til Exchange 2003-datamaskiner. Disse innstillingene gjør at brukerne kan godkjenne og motta potensielt sensitivt materiale, og bidrar til å sikre at uvedkommende ikke får tak i brukernavn, passord eller meldingsinnhold. Enkelte brukere må kanskje bruke POP3 (Post Office Protocol 3) eller IMAP4 (Internet Message Access Protocol 4) for å koble seg til Exchange 2003-datamaskinen din. Begge disse protokollene er avhengige av SMTP for meldingslevering.

Obs!  I en standardinstallasjon av Exchange 2003 trenger du ikke å konfigurere flere alternativer for POP3- eller IMAP4-klienter som kobler seg til serveren. Denne artikkelen tar for seg noen av standardinnstillingene for sikkerhet og inneholder informasjon om flere alternativer som er tilgjengelige i Exchange 2003.

Vurderinger

Det må tas hensyn til følgende vurderinger:

Opprette en ekstra, virtuell SMTP-server



Opprett en ny virtuell SMTP-server som kan brukes til innkommende klienttilkoblinger.

Tilkoblingskontroll



Tilkoblingskontroll begrenser tilkoblinger som er basert på IP-adresse eller domenenavn, inkludert omvendte DNS-oppslag (domenenavnsystem). Alternativer for tilkoblingskontroll krypterer ikke passord eller meldingsdata.

Tilgangskontroll



Du kan konfigurere enten enkel godkjenning, anonym godkjenning eller integrert Windows-godkjenning (tidligere kjent som NTLM eller godkjenning for Windows NT Challenge/Response). Enkel godkjenning sender brukernavn og passord i klartekst, og er derfor ikke sikker. Hvis du vil kryptere brukernavn og passord, kan du bruke enkel godkjenning med TLS (Transport Layer Security), eller bruke integrert Windows-godkjenning. På samme måte som SSL (Secure Sockets Layer) krypterer TLS brukernavn, passord og meldingsdata. Integrert Windows-godkjenning fungerer bare hvis klientdatamaskinen kan kontakte en Windows-basert domenekontroller for å validere legitimasjonsbeskrivelsen. I de fleste brannmurkonfigurasjoner kan ikke denne kontakten forekomme. Interne implementeringer av SMTP-tilgang (der påloggingsøkten ikke går via Internett) kan imidlertid bruke integrert Windows-godkjenning.

Kryptering



Kommunikasjon med forbedret sikkerhet krypterer SMTP-økten, inkludert brukernavn, passord og meldingsdata, ved hjelp av SSL-kryptering. Det er bedre om du bruker SSL for alle SMTP-tilkoblinger til Exchange 2003 som går via offentlige nettverk som Internett. Du må installere et sertifikat på den virtuelle SMTP-serveren. Du kan enten bruke en ekstern sertifiseringsinstans eller installere sertifikattjenester i skogen for katalogtjenesten Microsoft Active Directory for å installere et sertifikat.

Videresendingskontroll



Når du oppretter en virtuell SMTP-server i Exchange 2003, blir den som standard konfigurert til å forhindre videresending av e-postmeldinger. Hvis POP3- eller IMAP4-klientene ikke har tillatelse til å foreta videresending, kan ikke brukerne sende SMTP-post til eksterne domener via den virtuelle SMTP-serveren. Hvis du derimot tillater videresending av meldinger, kan en bruker bli utnyttet til å overføre uoppfordrede kommersielle e-postmeldinger (søppelpost). Når du bruker standardinnstillingene for videresending, er det bare godkjente klienter som kan videresende meldinger via den virtuelle SMTP-serveren. Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
319278 Sikre IMAP-klienttilgang i Exchange 2000 (denne artikkelen kan være på engelsk)

Opprette en ny virtuell SMTP-server

  1. Klikk Start, pek på Programmer, pek på Microsoft Exchange, og klikk deretter System Manager.
  2. Utvid Administrative Groups (hvis aktuelt), administrativ gruppe (hvis aktuelt), Servers, servernavn og deretter Protocols.
  3. Høyreklikk SMTP, pek på New, og klikk deretter SMTP Virtual Server.
  4. Skriv inn navnet på den virtuelle serveren i Name-boksen, og klikk deretter Next.
  5. Klikk IP-adressen du vil bruke, og klikk deretter Finish.
  6. Etter at du har opprettet den virtuelle SMTP-serveren, må du bekrefte at den nye virtuelle serveren bruker riktig fullstendig domenenavn (FQDN). Du må da gjøre følgende:
    1. Høyreklikk den virtuelle SMTP-serveren du opprettet, og klikk deretter Properties.
    2. Klikk kategorien Delivery, og klikk deretter Advanced.
    3. Bekreft at domenenavnet i boksen Fully-qualified domain name samsvarer med navnet brukerne skriver inn når de konfigurerer klienprogramvaren til å levere SMTP-post. Klikk Check DNS for å kontrollere at domenenavnet løses på riktig måte.
    4. Klikk OK, og klikk deretter OK en gang til.
Obs!  Hvis du konfigurerer en virtuell SMTP-server for klienter som får tilgang til denne serveren via Internett, må du kanskje konfigurere eksterne DNS-servere fordi det fullstendige domenenavnet for den virtuelle SMTP-serveren må løses til en ekstern Internett-adresse. Klikk i så fall Configure i dialogboksen Advanced Delivery, klikk Add, og skriv deretter inn IP-adressen til den eksterne DNS-serveren. Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
326992 Utgående SMTP-meldinger blir ikke sendt (denne artikkelen kan være på engelsk)


Konfigurere begrensninger for IP-adresse

Slik konfigurerer du begrensninger for IP-adresse:
  1. Klikk Start, pek på Programmer, pek på Microsoft Exchange, og klikk deretter System Manager.
  2. Utvid Administrative Groups (hvis aktuelt), administrativ gruppe (hvis aktuelt), Servers, servernavn og deretter Protocols.
  3. Utvid SMTP, høyreklikk Default SMTP Virtual Server, og klikk deretter Properties.
  4. Klikk kategorien Access, og klikk deretter Connection.
  5. Klikk Only the list below i dialogboksen Connection.

    Dette gjør at bare IP-adressene og domenene som vises i listen, har tillatelse til å koble seg til den virtuelle SMTP-serveren.
  6. Klikk Add, og gjør deretter ett av følgende for å legge til én enkelt datamaskin, en gruppe med datamaskiner eller et domene, avhengig av situasjonen:
    • Klikk Single Computer for å legge til én enkelt datamaskin. Skriv inn IP-adressen til e-postserveren til Internett-leverandøren i IP address-boksen, og klikk deretter OK.

      Klikk eventuelt DNS Lookup, skriv inn et vertsnavn, og klikk deretter OK.
    • Klikk Group of computers for å legge til en gruppe med datamaskiner. Skriv inn nettverksadressen og nettverksmasken for gruppen i de tilsvarende boksene, og klikk deretter OK.

      Microsoft anbefaler dette alternativet hvis Internett-leverandøren har en tendens til å endre IP-adresse for e-postserveren uten forvarsel.
    • Klikk Domain for å legge til et domene. Skriv inn ønsket domenenavn i Name-boksen, og klikk deretter OK.

      Dette alternativet krever omvendt DNS-oppslag for hver innkommende tilkobling. Dette kravet kan ha negativ innvirkning på ytelsen til Exchange-serveren. Hvis du vil ha mer informasjon, kan du se delen Feilsøking senere i denne artikkelen.

Konfigurere tilgangskontroll

Slik konfigurerer du tilgangskontroll:
  1. Klikk Start, pek på Programmer, pek på Microsoft Exchange, og klikk deretter System Manager.
  2. Utvid Administrative Groups (hvis aktuelt), administrativ gruppe (hvis aktuelt), Servers, servernavn og deretter Protocols.
  3. Utvid SMTP, høyreklikk den virtuelle SMTP-serveren, og klikk deretter Properties.
  4. Klikk kategorien Access, og klikk deretter Authentication.

    Anonym tilgang er som standard deaktivert, mens enkel godkjenning og integrert Windows-godkjenning er aktivert. Konfigurer den virtuelle SMTP-serveren til å bruke enkel godkjenning med TLS-kryptering eller integrert Windows-godkjenning, og klikk deretter OK.
Obs!  Du må også aktivere påloggingen ved å bruke alternativet for sikker godkjenning av passord (Secure Password Authentication) i programvaren for SMTP-klienten. Slik gjør du dette i Microsoft Outlook Express:
  1. Start Outlook Express.
  2. Klikk KontoerVerktøy-menyen.
  3. Klikk kategorien E-post, og klikk deretter Egenskaper.
  4. Klikk kategorien Servere, merk av for Logg på med sikker godkjenning av passord, klikk OK, og klikk deretter Lukk.
    Brukernavn og passord blir kryptert. Meldingsdata blir ikke kryptert.

Konfigurere kryptering

Slik konfigurerer du kryptering:
  1. Klikk Start, pek på Programmer, pek på Microsoft Exchange, og klikk deretter System Manager.
  2. Utvid Administrative Groups (hvis aktuelt), administrativ gruppe (hvis aktuelt), Servers, servernavn og deretter Protocols.
  3. Utvid SMTP, høyreklikk den virtuelle SMTP-serveren, og klikk deretter Properties.
  4. Klikk kategorien Access, og klikk deretter Certificate. Veiviseren for webserversertifikat startes.
  5. Klikk Next.
  6. Følg instruksjonene i resten av veiviseren for å opprette en ny sertifisering eller tildele et eksisterende sertifikat.
Etter at sertifikatet er installert på serveren, må du konfigurere kommunikasjonsmetoden. Du må da gjøre følgende:
  1. Klikk Start, pek på Programmer, pek på Microsoft Exchange, og klikk deretter System Manager.
  2. Utvid Administrative Groups (hvis aktuelt), administrativ gruppe (hvis aktuelt), Servers, servernavn og deretter Protocols.
  3. Utvid SMTP, høyreklikk den virtuelle SMTP-serveren, og klikk deretter Properties.
  4. Klikk kategorien Access, og klikk deretter Communication.
  5. Merk av for Require secure channel.
  6. Hvis både Exchange 2003-datamaskinen og klientene støtter 128-biters kryptering, klikker du Require 128-bit encryption.
  7. Klikk OK, og klikk deretter OK en gang til.
  8. Stopp den virtuelle SMTP-server, og start den deretter på nytt.
Hvis klientene bruker Outlook Express, må du konfigurere Outlook Express til å bruke SSL. Du må da gjøre følgende:
  1. Start Outlook Express.
  2. Klikk KontoerVerktøy-menyen.
  3. Klikk kategorien E-post.
  4. Dobbeltklikk e-postkontoen for Exchange-serveren, og klikk deretter kategorien Avansert.
  5. Merk av for Denne serveren krever kryptert tilkobling (SSL) under Server for utgående e-post (SMTP).
  6. Klikk OK og deretter Lukk.

Konfigurere videresending

Slik konfigurerer du videresending:
  1. Klikk Start, pek på Programmer, pek på Microsoft Exchange, og klikk deretter System Manager.
  2. Utvid Administrative Groups (hvis aktuelt), administrativ gruppe (hvis aktuelt), Servers, servernavn og deretter Protocols.
  3. Utvid SMTP, høyreklikk den virtuelle SMTP-serveren, og klikk deretter Properties.
  4. Klikk kategorien Access, og klikk deretter Relay.

    Standardinnstillingene gjør at godkjente klienter har tillatelse til å videresende meldinger. Disse innstillingene er som regel tilstrekkelige, slik at bare klienter med riktige legitimasjonsbeskrivelser kan videresende meldinger via den virtuelle SMTP-serveren. Du kan også begrense videresendingstillatelser til enkeltstående IP-adresser, IP-adresseområder eller DNS-suffikser.
  5. Klikk OK.

Teste om innstillingene for den virtuelle SMTP-serveren er konfigurert på riktig måte

Slik tester du om innstillingene for den virtuelle SMTP-serveren er konfigurert på riktig måte:
  • Hvis du vil kontrollere om IP-begrensningene fungerer som de skal, kan du prøve å koble til serveren fra en ekskludert IP-adresse via en POP3- og en IMAP4-klient. Hvis IP-begrensningene er konfigurert på riktig måte, får du en melding om at tilkobling til serveren er avslått.
  • Slik kontrollerer du godkjenningskryptering:
    1. Kjør Network Monitor på Exchange 2003-datamaskinen, og bruk standardinnstillingene for godkjenning for å starte en SMTP-økt fra klienten mens du registrerer trafikken som kommer til Exchange 2003-datamaskinen.
    2. Undersøk SMTP-økten, og vær oppmerksom på pakkene fra klienten til serveren på port 25 (0019h).

      Påloggingsnavnet og passordet til brukeren blir sendt i klartekst.
    3. Fjern støtte for enkel godkjenning, konfigurer klienten til å kreve sikker godkjenning av passord (Secure Password Authentication), start en annen SMTP-økt fra klienten, og registrer deretter trafikken i Network Monitor.

      Brukerkonto og passord blir nå kryptert.
  • Slik tester du SSL-kryptering:
    1. Legg til et sertifikat, konfigurer innstillingene slik at du krever en kanal med forbedret sikkerhet på den virtuelle SMTP-serveren, og konfigurer deretter klienten til å bruke SSL.
    2. Start en Network Monitor-registrering, og start deretter en SMTP-økt for postsamling fra klienten.
    3. Stopp registreringen, og undersøk deretter pakkene som ble sendt.

      Alle pakker fra klient til server med port 25 (0019h) som mål, blir kryptert.
    Obs!  Hvis du ikke har aktivert kryptering av POP3- eller IMAP4-postsamlingen, kan du likevel se noen ukrypterte pakker fra klienten som har port 110 (006Eh) eller 143 (008Fh) som mål.
  • Hvis du vil teste om vidersendingsbegrensninger fungerer som de skal, kan du sende e-post fra en ekskludert IP-adresse til et eksternt domene. Du får en feilmelding om at serveren ikke kan utføre videresending for mottakerens adresse.

Feilsøking

Begrensninger som er basert på DNS-oppslag, kan ha negativ innvirkning på ytelsen til Exchange 2003-datamaskinen. Siden serveren utfører omvendt DNS-oppslag for hver innkommende tilkobling, må en sone for omvendt DNS-oppslag være tilgjengelig, og verten som sender, må være registrert med denne sonen.

Referanser

Hvis du vil ha mer informasjon om Exchange Server 2003, kan du gå til følgende Microsoft-webområde:
http://www.microsoft.com/exchange/library/

Egenskaper

Artikkel-ID: 823019 - Forrige gjennomgang: 26. november 2007 - Gjennomgang: 1.4
Informasjonen i denne artikkelen gjelder:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Nøkkelord: 
kbhowto KB823019

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com