Säkerställa leverans av SMTP-klientmeddelanden i Exchange 2003

Artikelöversättning Artikelöversättning
Artikel-id: 823019 - Visa produkter som artikeln gäller.
Visa alla | Dölj alla

På den här sidan

Sammanfattning

I den här artikeln beskrivs konfigurering av säkerhetsinställningar för inkommande SMTP-anslutningar (Simple Mail Transfer Protocol) till datorer med Exchange 2003. Med hjälp av inställningarna kan användarna autentisera och ta emot känsligt material, utan att användarnamnet, lösenordet eller meddelandets innehåll fångas upp. Användarna kan använda POP3 (Post Office Protocol 3) eller IMAP4 (Internet Message Access Protocol 4) för att ansluta till Exchange 2003-datorn. I båda protokollen används SMTP för att leverera meddelanden.

Obs! I en standardinstallation av Exchange 2003 behöver du inte konfigurera ytterligare alternativ för POP3- eller IMAP4-klienter som ansluter till servern. I artikeln beskrivs vissa standardinställningar för säkerhet och ytterligare alternativ i Exchange 2003.

Att tänka på

Överväg följande åtgärder:

Skapa ytterligare en virtuell SMTP-server



Skapa en ny virtuell SMTP-server för inkommande klientanslutningar.

Anslutningskontroll



Genom anslutningskontroll begränsas anslutningar som baseras på IP-adress eller domännamn, inklusive omvända DNS-sökningar (Domain Name System). Alternativ för anslutningskontroll innebär inte kryptering av lösenord eller meddelandedata.

Åtkomstkontroll



Du kan konfigurera grundläggande verifiering, anonym verifiering eller integrerad Windows-verifiering (tidigare kallad NTLM- eller Windows NT-anrop/svar-verifiering). Eftersom användarnamn och lösenord skickas i klartext vid grundläggande verifiering är denna inte säker. Om du vill aktivera kryptering av användarnamn och lösenord använder du antingen grundläggande verifiering med TLS (Transport Layer Security) eller integrerad Windows-verifiering. Liksom vid SSL (Secure Sockets Layer) krypteras användarnamn, lösenord och meddelandedata i TLS. Observera att integrerad Windows-verifiering bara fungerar i sådana fall där klientdatorn kan kontakta en Windows-domänkontrollant för att validera identifieringsinformationen. I de flesta brandväggskonfigurationer är denna kontakt inte möjlig. I interna implementeringar av SMTP-åtkomst (där inloggningssessionen inte sker via Internet) kan emellertid integrerad Windows-verifiering användas.

Kryptering



Vid kommunikation med ökad säkerhet krypteras SMTP-sessionen, inklusive användarnamn, lösenord och meddelandedata, med hjälp av SSL-kryptering. Det är bäst om du använder SSL för alla SMTP-anslutningar till Exchange 2003 som sker via offentliga nätverk som Internet. Du måste installera ett certifikat på den virtuella SMTP-servern. Använd en extern certifikatutfärdare eller installera Certifikattjänster i skogen med Microsoft Active Directory-katalogtjänster för att installera ett certifikat.

Återutsändningskontroll



När du skapar en virtuell SMTP-server i Exchange 2003 konfigureras den som standard så att återutsändning av e-postmeddelanden förhindras. Om dina POP3- eller IMAP4-klienter saknar återutsändningsbehörighet kan användarna inte skicka SMTP-e-post till externa domäner via den virtuella SMTP-servern. Om du tillåter återutsändning av meddelanden kan en användare emellertid användas för att sprida oönskad kommersiell e-post (skräppost). När du använder standardinställningarna för återutsändning kan bara autentiserade klienter återutsända meddelanden via den virtuella SMTP-servern. Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
319278 Säkra IMAP-klientåtkomst i Exchange 2000 (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Skapa en ny virtuell SMTP-server

  1. Klicka på Start, peka på Program, peka på Microsoft Exchange och klicka på System Manager.
  2. Expandera Administratörsgrupper (om det är lämpligt), Administratörsgrupp (om det är lämpligt), Servrar, Servernamn och Protokoll.
  3. Högerklicka på SMTP, peka på Nytt och klicka på Virtuell SMTP-server.
  4. Skriv namnet på den virtuella servern i rutan Namn och klicka på Nästa.
  5. Klicka på önskad IP-adress och sedan på Slutför.
  6. När du har skapat den virtuella SMTP-servern kontrollerar du att rätt fullständigt kvalificerat domännamn (FQDN) används. Gör så här:
    1. Högerklicka på den virtuella SMTP-servern du har skapat, och klicka sedan på Egenskaper.
    2. Klicka på fliken Leverans och sedan på Avancerat.
    3. Kontrollera att domännamnet i rutan Fullständigt kvalificerat domännamn motsvarar namnet som dina användare skriver in när de konfigurerar sitt klientprogram för leverans av SMTP-post. Kontrollera att domännamnet matchar på rätt sätt genom att klicka på Kontrollera DNS.
    4. Klicka på OK och sedan på OK igen.
Obs! Om du konfigurerar en virtuell SMTP-server för klienter som kommer åt den via Internet måste du kanske konfigurera externa DNS-servrar, eftersom den virtuella SMTP-serverns fullständigt kvalificerade domännamn måste matcha till en extern Internet-adress. Gör det genom att klicka på Konfigurera i dialogrutan Avancerad leverans, klicka på Lägg till och sedan skriva IP-adressen till den externa DNS-servern. Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
326992 Utgående SMTP-e-post skickas inte (Länken kan leda till en webbplats som är helt eller delvis på engelska)


Konfigurera IP-adressbegränsningar

Så här konfigurerar du IP-adressbegränsningar:
  1. Klicka på Start, peka på Program, peka på Microsoft Exchange och klicka på System Manager.
  2. Expandera Administratörsgrupper (om det är lämpligt), Administratörsgrupp (om det är lämpligt), Servrar, Servernamn och Protokoll.
  3. Expandera SMTP, högerklicka på Virtuell standard SMTP-server och klicka på Egenskaper.
  4. Klicka på fliken Åtkomst och sedan på Anslutning.
  5. I dialogrutan Anslutning klickar du på Endast datorerna i listan nedan.

    Detta anger att endast IP-adresserna och domänerna i listan får ansluta till den virtuella SMTP-servern.
  6. Klicka på Lägg till och gör något av följande:
    • Om du vill lägga till en enstaka dator klickar du på Enstaka dator, skriver IP-adressen till Internet-leverantörens e-postserver i rutan IP-adress och klickar på OK.

      Du kan också klicka på DNS-sökning, skriva ett värdnamn och klicka på OK.
    • Om du vill lägga till en grupp datorer klickar du på Datorgrupp, skriver undernätverksadressen och nätmasken för gruppen i rutorna för detta och klickar på OK.

      Microsoft rekommenderar det här alternativet om Internet-leverantören brukar ändra IP-adressen till sin e-postserver utan varning.
    • Om du vill lägga till en domän klickar du på Domän, skriver önskat domännamn i rutan Namn och klickar på OK.

      Observera att det här alternativet kräver en omvänd DNS-sökning i varje inkommande anslutning, vilket kan påverka Exchange-serverns prestanda negativt. Mer information finns i Felsökning nedan.

Konfigurera åtkomstkontroll

Så här konfigurerar du åtkomstkontroll:
  1. Klicka på Start, peka på Program, peka på Microsoft Exchange och klicka på System Manager.
  2. Expandera Administratörsgrupper (om det är lämpligt), Administratörsgrupp (om det är lämpligt), Servrar, Servernamn och Protokoll.
  3. Expandera SMTP, högerklicka på den virtuella SMTP-servern och klicka på Egenskaper.
  4. Klicka på fliken Åtkomst och sedan på Verifiering.

    Anonym åtkomst inaktiveras som standard, och grundläggande verifiering och integrerad Windows-verifiering aktiveras. Konfigurera den virtuella SMTP-servern för grundläggande verifiering med TLS-kryptering eller integrerad Windows-verifiering, och klicka sedan på OK.
Obs! Du måste även aktivera inloggningen med hjälp av alternativet Säker lösenordsverifiering i SMTP-klientprogrammet. Gör så här i Microsoft Outlook Express:
  1. Starta Outlook Express.
  2. Klicka på KontonVerktyg-menyn.
  3. Klicka på fliken E-post och sedan på Egenskaper.
  4. Klicka på fliken Servrar, markera kryssrutan Logga in med säker lösenordsautentisering, klicka på OK och klicka på Stäng.
    Observera att användarnamnet och lösenordet krypteras, men inte meddelandedata.

Konfigurera kryptering

Så här konfigurerar du kryptering:
  1. Klicka på Start, peka på Program, peka på Microsoft Exchange och klicka på System Manager.
  2. Expandera Administratörsgrupper (om det är lämpligt), Administratörsgrupp (om det är lämpligt), Servrar, Servernamn och Protokoll.
  3. Expandera SMTP, högerklicka på den virtuella SMTP-servern och klicka på Egenskaper.
  4. Klicka på fliken Åtkomst och sedan på Certifikat. Certifikatguiden startar.
  5. Klicka på Nästa.
  6. Följ instruktionerna på återstående sidor i guiden för att skapa en ny certifiering eller tilldela ett befintligt certifikat.
När certifikatet har installerats på servern konfigurerar du kommunikationsmetoden så här:
  1. Klicka på Start, peka på Program, peka på Microsoft Exchange och klicka på System Manager.
  2. Expandera Administratörsgrupper (om det är lämpligt), Administratörsgrupp (om det är lämpligt), Servrar, Servernamn och Protokoll.
  3. Expandera SMTP, högerklicka på den virtuella SMTP-servern och klicka på Egenskaper.
  4. Klicka på fliken Åtkomst och sedan på Kommunikation.
  5. Markera kryssrutan Kräv säker kanal.
  6. Om både Exchange 2003-datorn och klienterna stöder 128-bitars kryptering klickar du på Kräv 128-bitars kryptering.
  7. Klicka på OK och sedan på OK igen.
  8. Stoppa och starta om den virtuella SMTP-servern.
Om Outlook Express används på klienterna konfigurerar du Outlook Express för SSL så här:
  1. Starta Outlook Express.
  2. Klicka på KontonVerktyg-menyn.
  3. Klicka på fliken E-post.
  4. Dubbelklicka på e-postkontot för Exchange Server och klicka på fliken Avancerat.
  5. Under Utgående e-post (SMTP) markerar du kryssrutan Den här servern kräver en säker anslutning (SSL).
  6. Klicka på OK och sedan på Stäng.

Konfigurera återutsändning

Så här konfigurerar du återutsändning:
  1. Klicka på Start, peka på Program, peka på Microsoft Exchange och klicka på System Manager.
  2. Expandera Administratörsgrupper (om det är lämpligt), Administratörsgrupp (om det är lämpligt), Servrar, Servernamn och Protokoll.
  3. Expandera SMTP, högerklicka på den virtuella SMTP-servern och klicka på Egenskaper.
  4. Klicka på fliken Åtkomst och sedan på Återutsänd.

    Standardinställningarna gör att verifierade klienter kan återutsända meddelanden. Normalt är dessa inställningar tillräckliga för att säkerställa att bara autentiserade klienter återutsända meddelanden via den virtuella SMTP-servern. Du kan även begränsa återutsändning till enstaka IP-adresser, intervall av IP-adresser eller DNS-suffix.
  5. Klicka på OK.

Testa om de konfigurerade inställningarna för den virtuella SMTP-servern fungerar som de ska

Så här testar du om de konfigurerade inställningarna för den virtuella SMTP-servern fungerar som de ska:
  • Använd en POP3- och en IMAP4-klient för att ansluta till servern från en utesluten IP-adress. Om IP-begränsningarna har konfigurerats på rätt sätt visas ett meddelande om att anslutningen till servern nekas.
  • Så här kontrollerar du krypteringen av verifieringen:
    1. Kör Network Monitor på Exchange 2003-datorn och använd standardinställningarna för verifiering för att initiera en SMTP-session från klienten medan du fångar upp trafiken till Exchange 2003-datorn.
    2. Granska SMTP-sessionen och observera vilka paket som skickas från klienten till servern på port 25 (0019h).

      Observera att användarens inloggningsnamn och lösenord skickas i klartext.
    3. Ta bort stödet för grundläggande verifiering, konfigurera klienten så att den kräver Säker lösenordsautentisering, initiera en ny SMTP-session från klienten och fånga sedan upp trafiken i Network Monitor.

      Användarkontot och lösenordet är nu krypterade.
  • Så här testar du SSL-kryptering:
    1. Lägg till ett certifikat, konfigurera inställningarna så att en kanal med utökad säkerhet krävs på den virtuella SMTP-servern och konfigurera sedan klienten så att SSL används.
    2. Börja samla in data med Network Monitor och initiera sedan en session med insamling av SMTP-e-post från klienten.
    3. Avbryt datainsamlingen med Network Monitor och granska paketen som har skickats.

      Observera att alla paket från en klient till servern med port 25 (0019h) som mål är krypterade.
    Obs! Om du inte har aktiverat kryptering för insamlingen av POP3- eller IMAP4-e-post, ser du kanske några okrypterade paket från klienten till port 110 (006Eh) eller 143 (008Fh).
  • Du kan undersöka om begränsningarna för återutsändning fungerar som de ska genom att skicka e-post från en utesluten IP-adress till en extern domän. Ett felmeddelande anger att återutsändning inte kunde ske till mottagarens adress.

Felsökning

Alla begränsningar som baseras på DNS-sökning kan påverka Exchange 2003-datorns prestanda negativt. Eftersom en omvänd DNS-sökning sker på servern för varje inkommande anslutning måste det finnas en zon för omvänd DNS-sökning, och den sändande värden måste vara registrerad för zonen.

Referenser

Mer information om Exchange Server 2003 finns på följande Microsoft-webbplats:
http://www.microsoft.com/exchange/library

Egenskaper

Artikel-id: 823019 - Senaste granskning: den 26 november 2007 - Revision: 1.4
Informationen i denna artikel gäller:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Nyckelord: 
kbhowto KB823019

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com