Обеспечение безопасности при доставке сообщений клиента SMTP в Exchange 2003

Переводы статьи Переводы статьи
Код статьи: 823019 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье описывается настройка параметров безопасности клиентского соединения входящей почты по протоколу SMTP для компьютеров с системой Exchange 2003 Server. Эти параметры позволяют пользователям проходить проверку подлинности и получать конфиденциальные сведения, а также помогают предотвратить перехват имени пользователя, пароля или содержимого сообщения. Для подключения к компьютеру с сервером Exchange 2003 Server можно использовать протоколы POP3 или IMAP4. Оба эти протокола для доставки сообщений используют протокол SMTP.

Примечание. При установке сервера Exchange 2003 Server по умолчанию нет необходимости в дополнительной настройке параметров для клиентов POP3 или IMAP4, подключающихся к серверу. В этой статье обсуждаются некоторые параметры безопасности, установленные по умолчанию, а также приведены сведения о дополнительных параметрах, доступных в версии Exchange 2003 Server.

Предположения

Примечание. Используются следующие предположения.

Создание дополнительного виртуального сервера SMTP



Создание нового виртуального сервера SMTP для работы с входящими подключениями клиентов .

Контроль подключений



Контроль подключений ограничивает подключения на основе IP-адреса или имени домена, включая обратный поиск DNS. Параметры контроля подключений не предусматривают шифрование паролей или данных сообщения.

Контроль доступа



Можно задать обычную проверку подлинности, анонимную проверку подлинности или встроенную в Windows проверку подлинности (ранее называвшуюся проверкой NTLM или Windows NT Challenge/Response). Поскольку при обычной проверке подлинности отправка имен пользователей и паролей производится открытым текстом, такой метод проверки подлинности не является безопасным. Чтобы включить шифрование имен пользователей и паролей, используйте обычную проверку подлинности с протоколом TLS или используйте встроенную проверку подлинности Windows. Подобно протоколу SSL, TLS осуществляет шифрование имен пользователей, паролей и данных сообщения. Примечание. Встроенная проверка подлинности Windows работает только в тех случаях, когда компьютер клиента может связаться с контроллером домена Windows для проверки учетных данных. Для большинства конфигураций брандмауэра такую связь осуществить нельзя. Тем не менее, внутренние реализации доступа к SMTP (когда сеанс входа в систему происходит не через Интернет) могут использовать встроенную проверку подлинности Windows.

Шифрование



При связи с повышенной безопасностью происходит шифрование сеанса SMTP, включая имя пользователя, пароль и данные сообщения, с помощью алгоритма SSL. Для всех SMTP-подключений к серверу Exchange 2003 Server, которые используют сети общего доступа, такие как Интернет, лучше использовать SSL. На свой виртуальный сервер SMTP необходимо установить сертификат. Для установки сертификата можно использовать внешний центр сертификации либо установить службы сертификации в свой лес службы каталогов Microsoft Active Directory.

Контроль ретрансляции



По умолчанию при создании виртуального сервера SMTP в Exchange 2003 он настраивается таким образом, чтобы не допускать ретрансляцию сообщений электронной почты. Примечание. Если клиенты POP3 или IMAP4 не имеют разрешения на ретрансляцию, пользователи не могут отправлять почту SMTP во внешние домены через виртуальный сервер SMTP. Однако, если разрешить ретрансляцию сообщений, компьютер пользователя могут использовать для рассылки нежелательных коммерческих сообщений электронной почты (нежелательной почты). При использовании заданных по умолчанию параметров ретрансляции ретранслировать сообщения через виртуальный сервер SMTP могут только клиенты, прошедшие проверку. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
319278 Обеспечение безопасности подключений клиентов по протоколу IMAP в Exchange 2000 (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Создание виртуального сервера SMTP

  1. В меню Пуск, выберите пункты Программы, Microsoft Exchange, а затем System Manager.
  2. Раскройте пункт Administrative Groups (если необходимо), раскройте административную группу (если необходимо), затем раскройте пункт Servers, пункт имя_сервера, а затем пункт Protocols.
  3. Щелкните правой кнопкой мыши пункт SMTP, выберите пункт New, а затем SMTP Virtual Server.
  4. В поле Name введите имя виртуального сервера и нажмите кнопку Далее.
  5. Выберите IP-адрес, который требуется использовать, и нажмите кнопку Готово.
  6. После создания виртуального сервера SMTP убедитесь в том, что новый виртуальный сервер использует правильное полное доменное имя (FQDN). Для этого выполните следующие действия.
    1. Щелкните правой кнопкой мыши по созданному виртуальному серверу SMTP и выберите Свойства.
    2. Перейдите на вкладку Delivery, а затем нажмите кнопку Дополнительно.
    3. Убедитесь в том, что имя домена в поле Fully-qualified domain name соответствует имени, которое вводят пользователи при настройке своего клиентского программного обеспечения для доставки почты SMTP. Чтобы убедиться в том, что доменное имя разрешается правильно, нажмите кнопку Check DNS.
    4. Нажмите кнопку OK, а затем нажмите кнопку OK еще раз.
Примечание. При настройке виртуального сервера SMTP для клиентов, получающих доступ к этому виртуальному серверу SMTP через Интернет, может потребоваться настроить внешние DNS-серверы, поскольку полное доменное имя виртуального сервера SMTP должно разрешаться во внешний адрес в Интернете. Чтобы это сделать, нажмите кнопку Configure в диалоговом окне Advanced Delivery, затем нажмите на кнопку Добавить и введите IP-адрес внешнего DNS-сервера. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
326992 XFOR: Не отправляются исходящие почтовые сообщения SMTP


Настройка ограничений IP-адреса

Чтобы настроить ограничения IP-адреса, выполните следующие действия.
  1. В меню Пуск, выберите пункты Программы, Microsoft Exchange, а затем System Manager.
  2. Раскройте пункт Administrative Groups (если необходимо), раскройте административную_группу (если необходимо), затем раскройте пункт Servers, пункт имя_сервера, а затем пункт Protocols.
  3. Раскройте пункт SMTP, щелкните правой кнопкой мыши элемент Default SMTP Virtual Server и выберите пункт Свойства.
  4. Откройте вкладку Access и нажмите кнопку Connection.
  5. В диалоговом окне Connection выберите вариант Only the list below

    (к виртуальному серверу SMTP могут подключаться только IP-адреса и домены из этого списка).
  6. Нажмите кнопку Добавить, а затем выполните одно из следующих действий, чтобы добавить отдельный компьютер, группу компьютеров или домен в соответствии с ситуацией.
    • Чтобы добавить отдельный компьютер, выберите Single Computer, введите IP-адрес сервера электронной почты своего поставщика услуг Интернета в поле IP address и нажмите кнопку OK.

      Можно также нажать на кнопку DNS Lookup, ввести имя узла и нажать кнопку OK.
    • Чтобы добавить группу компьютеров, выберите Group of computers, введите в соответствующие поля адрес и маску подсети этой группы и нажмите кнопку OK.

      Корпорация Майкрософт рекомендует использовать этот параметр, если поставщик услуг Интернета меняет IP-адрес своего почтового сервера без предупреждения.
    • Чтобы добавить домен, выберите Domain, введите требуемое имя домена в поле Name и нажмите кнопку OK.

      Этот параметр требует обратного поиска DNS для каждого входящего подключения. Это требование может оказать негативное влияние на производительность сервера Exchange Server. Дополнительные сведения см. в разделе Устранение неполадок этой статьи.

Настройка контроля доступа

Чтобы настроить контроль доступа, выполните следующие действия.
  1. В меню Пуск, выберите пункты Программы, Microsoft Exchange, а затем System Manager.
  2. Раскройте пункт Administrative Groups (если необходимо), раскройте административную_группу (если необходимо), затем раскройте пункт Servers, пункт имя_сервера, а затем пункт Protocols.
  3. Раскройте пункт SMTP, щелкните правой кнопкой мыши виртуальный сервер SMTP и выберите пункт Свойства.
  4. Перейдите на вкладку Access и нажмите кнопку Authentication.

    По умолчанию анонимный доступ отключен, а обычная проверка подлинности и встроенная проверка подлинности Windows включены. Настройте виртуальный сервер SMTP для использования обычной проверки подлинности с шифрованием TLS или встроенной проверки подлинности Windows и щелкните OK.
Примечание. Необходимо также включить вход в систему с использованием Защищенного подтверждения пароля (SPA) в клиентском программном обеспечении SMTP. Чтобы это сделать в программе Microsoft Outlook Express, выполните следующие действия:
  1. Запустите Outlook Express.
  2. В меню Сервис выберите команду Учетные записи.
  3. На вкладке Почта нажмите кнопку Свойства.
  4. Щелкните по вкладке Серверы, установите флажок Использовать безопасную проверку пароля (SPA), нажмите кнопку OK, а затем кнопку Закрыть.
    Теперь имя пользователя и пароль зашифрованы. Данные сообщений не шифруются.

Настройка шифрования

Чтобы настроить шифрование:
  1. В меню Пуск, выберите пункты Программы, Microsoft Exchange, а затем System Manager.
  2. Раскройте пункт Administrative Groups (если необходимо), раскройте административную_группу (если необходимо), затем раскройте пункт Servers, пункт имя_сервера, а затем пункт Protocols.
  3. Раскройте пункт SMTP, щелкните правой кнопкой мыши виртуальный сервер SMTP и выберите пункт Свойства.
  4. Перейдите на вкладку Access и нажмите кнопку Certificate. Запустится мастер сертификатов веб-сервера.
  5. Нажмите кнопку Далее.
  6. Следуйте инструкциям мастера по созданию нового или назначению существующего сертификата.
После установки на сервер сертификата настройте способ взаимодействия. Для этого выполните следующие действия.
  1. В меню Пуск, выберите пункты Программы, Microsoft Exchange, а затем System Manager.
  2. Раскройте пункт Administrative Groups (если необходимо), раскройте административную_группу (если необходимо), затем раскройте пункт Servers, пункт имя_сервера, а затем пункт Protocols.
  3. Раскройте пункт SMTP, щелкните правой кнопкой мыши виртуальный сервер SMTP и выберите пункт Свойства.
  4. Перейдите на вкладку Access и нажмите кнопку Communication.
  5. Установите флажок Require secure channel.
  6. Если компьютер с сервером Exchange 2003 Server и клиенты поддерживают 128-битное шифрование, щелкните Require 128-bit encryption.
  7. Нажмите кнопку OK, а затем нажмите кнопку OK еще раз.
  8. Остановите и перезапустите виртуальный сервер SMTP.
Если клиенты используют Outlook Express, настройте Outlook Express на использование SSL. Для этого выполните следующие действия.
  1. Запустите Outlook Express.
  2. В меню Сервис выберите команду Учетные записи.
  3. Перейдите на вкладку Почта.
  4. Дважды щелкните учетную запись почты сервера Exchange Server, а затем перейдите на вкладку Дополнительно.
  5. В разделе Исходящая почта (SMTP) установите флажок Подключаться через безопасное соединение (SSL).
  6. Щелкните OK, а затем щелкните Закрыть.

Настройка ретрансляции

Чтобы настроить ретрансляцию, выполните следующие действия.
  1. В меню Пуск, выберите пункты Программы, Microsoft Exchange, а затем System Manager.
  2. Раскройте пункт Administrative Groups (если необходимо), раскройте административную_группу (если необходимо), затем раскройте пункт Servers, пункт имя_сервера, а затем пункт Protocols.
  3. Раскройте пункт SMTP, щелкните правой кнопкой мыши виртуальный сервер SMTP и выберите пункт Свойства.
  4. Откройте вкладку Access и нажмите кнопку Relay.

    Параметры по умолчанию разрешают ретранслировать сообщения клиентам, прошедшим проверку. Обычно этих параметров достаточно, поскольку только клиенты с верными учетными данными могут ретранслировать сообщения через виртуальный сервер SMTP. Разрешить ретрансляцию можно также конкретным IP-адресам, диапазонам IP-адресов или суффиксам DNS.
  5. Нажмите кнопку ОК.

Проверка работоспособности указанных при настройке параметров виртуального сервера SMTP

Чтобы проверить работоспособность указанных при настройке параметров виртуального сервера SMTP, выполните следующие действия.
  • Чтобы убедиться в правильной работе ограничений по IP-адресу, используйте клиенты POP3 и IMAP4, чтобы подключиться к серверу с исключенного IP-адреса. Если ограничения по IP-адресу настроены правильно, появится сообщение, уведомляющее о том, что подключение к серверу отклонено.
  • Чтобы проверить шифрование при проверке подлинности:
    1. Запустите сетевой монитор на компьютере с сервером Exchange 2003 Server и используйте параметры проверки подлинности по умолчанию для инициализации сеанса SMTP со стороны клиента, перехватывая трафик, поступающий на компьютер с сервером Exchange 2003 Server.
    2. Просмотрите сеанс SMTP и выберите пакеты, поступающие от клиента на сервер на порт 25 (0019h).

      Примечание. Имя пользователя и пароль отправляются открытым текстом.
    3. Отключите поддержку обычной проверки подлинности, настройте клиент на использование функции Безопасная проверка пароля, инициализируйте другой сеанс SMTP от клиента, а затем перехватывайте трафик в мониторе сети.

      Теперь учетная запись пользователя и пароль зашифрованы.
  • Чтобы проверить шифрование SSL, выполните следующие действия.
    1. Добавьте сертификат, настройте параметры таким образом, чтобы требовать использование канала с повышенной безопасностью на виртуальном сервере SMTP, а затем настройте клиент на использование SSL.
    2. Запустите монитор сети для перехвата трафика, а затем инициализируйте сеанс SMTP для получения почты от клиента.
    3. Остановите перехват трафика и изучите отправленные пакеты.

      Обратите внимание на то, что все пакеты, отправленные клиентом на сервер на порт назначения 25 (0019h), шифруются.
    Примечание. Если шифрование при получении почты по протоколам POP3 или IMAP4 не включено , можно увидеть некоторые незашифрованные пакеты от клиента, отправленные на порт 110 (006Eh) или 143 (008Fh).
  • Чтобы проверить правильность работы ограничений ретрансляции, отправьте почту с исключенного IP-адреса на внешний домен. Появится сообщение об ошибке, уведомляющее, что серверу не удалось ретранслировать сообщение на адрес получателя.

Устранение неполадок

Любые ограничения, основанные на поиске DNS, могут оказать негативное влияние на производительность компьютера с Exchange 2003. Поскольку сервер выполняет обратный поиск DNS для каждого входящего подключения, зона обратного поиска DNS должна быть доступна, а отправляющий узел должен быть зарегистрирован в этой зоне.

Ссылки

Для получения дополнительных сведений о сервере Exchange Server 2003 посетите следующий веб-узел корпорации Майкрософт:
http://www.microsoft.com/exchange/library

Свойства

Код статьи: 823019 - Последний отзыв: 26 ноября 2007 г. - Revision: 1.4
Информация в данной статье относится к следующим продуктам.
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Ключевые слова: 
kbhowto KB823019

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com