如何在 Exchange 2003 中帮助加强 SMTP 客户端邮件传递的安全

文章翻译 文章翻译
文章编号: 823019 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本文介绍如何配置 Exchange 2003 计算机的传入客户端简单邮件传输协议 (SMTP) 连接的安全设置。这些设置允许您的用户验证和检索潜在的敏感材料,并可帮助防范用户名、密码或邮件内容被他人截取。可能会有一些用户必须使用 Post Office Protocol 3 (POP3) 或 Internet 邮件访问协议 4 (IMAP4) 来连接到您的 Exchange 2003 计算机。这两种协议均依靠 SMTP 来进行邮件传递。

注意:在 Exchange 2003 的默认安装中,您不必为连接到服务器的 POP3 或 IMAP4 客户端配置其他选项。本文将讨论一些默认安全设置,并将介绍一些有关 Exchange 2003 中提供的其他选项的信息。

注意事项

请注意以下适用的注意事项:

创建一个附加的 SMTP 虚拟服务器



创建一个要用于传入的客户端连接的新的 SMTP 虚拟服务器。

连接控制



连接控制限制基于 IP 地址或域名的连接,包括域名系统 (DNS) 逆向搜索功能。连接控制选项不能给密码或邮件数据加密。

访问控制



您可以配置基本身份验证、匿名身份验证或集成 Windows 身份验证(以前称为 NTLM 或 Windows NT 请求/响应身份验证)。因为基本身份验证以明文形式发送用户名和密码,所以它很不安全。要想能够给用户名和密码加密,请联合使用基本身份验证与传输层安全 (TLS),或使用集成 Windows 身份验证。与安全套接字层 (SSL) 一样,TLS 可以给用户名、密码和邮件数据加密。注意,只有在客户机能够与一个基于 Windows 的域控制器联系以验证其凭据时,才能使用集成 Windows 身份验证。但是,多数防火墙配置中不允许进行这种联系。不过,SMTP 访问的内部实现(其中的登录会话不遍历 Internet)可以使用集成 Windows 身份验证。

加密



安全增强型通讯会通过使用 SSL 加密方法来加密 SMTP 会话(包括用户名、密码和邮件数据)。对于所有通过公共网络(例如 Internet)与 Exchange 2003 间建立的 SMTP 连接,最好使用 SSL。您必须在 SMTP 虚拟服务器上安全一个证书。若要安装证书,您可以使用一个外部证书颁发机构,也可以在您的 Microsoft Active Directory 目录服务目录林中安装证书服务。

中继控制



当您在 Exchange 2003 中创建一个 SMTP 虚拟服务器时,默认情况下它被配置为禁止中继电子邮件。注意,如果您的 POP3 或 IMAP4 客户端还没有中继权限,用户就不能通过 SMTP 虚拟服务器将 SMTP 邮件发送到外部域。但是,如果允许中继邮件,则可能会通过用户来传播不请自来的商业电子邮件(垃圾电子邮件)。当您使用默认中继设置时,只有那些通过了身份验证的客户端才能通过 SMTP 虚拟服务器中继邮件。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
319278 HOW TO:Secure Internet Message Access Protocol Client Access in Exchange 2000

创建一个新的 SMTP 虚拟服务器

  1. 单击“开始”,依次指向“程序”和“Microsoft Exchange”,然后单击“系统管理器”。
  2. 展开“管理组”(如果有),展开“AdministrativeGroup”(如果有),展开“服务器”,展开“ServerName ”,然后展开“协议”。
  3. 右键单击“SMTP”,指向“新建”,然后单击“SMTP 虚拟服务器”。
  4. 在“名称”框中,键入虚拟服务器的名称,然后单击“下一步”。
  5. 单击要使用的 IP 地址,然后单击“完成”。
  6. 在您创建 SMTP 虚拟服务器后,确认这个新的虚拟服务器使用的是正确的完全合格的域名 (FQDN)。为此,请按下列步骤操作:
    1. 右键单击您创建的 SMTP 虚拟服务器,然后单击“属性”。
    2. 单击“传送”选项卡,然后单击“高级”。
    3. 确认“完全合格的域名称”框中的域名匹配您的用户在为传递 SMTP 邮件而相应地配置他们的客户软件时键入的名称。若要验证是否正确解析了域名,请单击“检查 DNS”。
    4. 单击“确定”,然后再单击“确定”。
注意:如果您在配置一个 SMTP 虚拟服务器,使客户端能够通过 Internet 访问此 SMTP 虚拟服务器,则可能必须配置外部 DNS 服务器,因为 SMTP 虚拟服务器的 FQDN 必须解析为一个外部 Internet 地址。为实现上述目的,请在“高级传送”对话框中单击“配置”,单击“添加”,然后键入外部 DNS 服务器的 IP 地址。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
326992 Outgoing SMTP Mail Messages Are Not Sent


配置 IP 地址限制

配置 IP 地址限制:
  1. 单击“开始”,依次指向“程序”和“Microsoft Exchange”,然后单击“系统管理器”。
  2. 展开“管理组”(如果有),展开“AdministrativeGroup”(如果有),展开“服务器”,展开“ServerName ”,然后展开“协议”。
  3. 展开“SMTP”,右键单击“默认 SMTP 虚拟服务器”,然后单击“属性”。
  4. 单击“访问”选项卡,然后单击“连接”。
  5. 在“连接”对话框中,单击“仅以下列表”。

    这表明只允许列表中的 IP 地址和域连接到 SMTP 虚拟服务器。
  6. 单击“添加”,然后根据您的具体情况,执行下面的相应操作来添加一台计算机、一组计算机或一个域:
    • 若要添加一台计算机,请单击“单台计算机”,在“IP 地址”框中键入您的 Internet 服务提供商 (ISP) 的电子邮件服务器的 IP 地址,然后单击“确定”。

      或者,也可以单击“DNS 查找”,键入一个主机名,然后单击“确定”。
    • 若要添加一组计算机,请单击“一组计算机”,在相应的框中键入该组的子网地址和子网掩码,然后单击“确定”。

      如果您的 ISP 倾向于在不给出警告的情况下更改他们的电子邮件服务器的 IP 地址,Microsoft 建议您选用此选项。
    • 若要添加一个域,请单击“域”,在“名称”框中键入您想要的域名,然后单击“确定”。

      注意,此选项要求对每个传入的连接执行 DNS 逆向搜索。此要求可能会对 Exchange 服务器的性能造成不良影响。有关更多信息,请参见下文中的疑难解答部分。

配置访问控制

配置访问控制:
  1. 单击“开始”,依次指向“程序”和“Microsoft Exchange”,然后单击“系统管理器”。
  2. 展开“管理组”(如果有),展开“AdministrativeGroup”(如果有),展开“服务器”,展开“ServerName ”,然后展开“协议”。
  3. 展开“SMTP”,右键单击 SMTP 虚拟服务器,然后单击“属性”。
  4. 单击“访问”选项卡,然后单击“验证”。

    默认情况下禁用匿名访问,而启用基本身份验证和集成 Windows 身份验证。将 SMTP 虚拟服务器配置为联合使用基本身份验证和 TLS 加密或使用集成 Windows 身份验证,然后单击“确定”。
注意:您还必须通过使用 SMTP 客户软件上的“安全密码验证”选项来启用登录。若要在 Microsoft Outlook Express 中配置访问控制,请按下面的步骤操作:
  1. 启动 Outlook Express。
  2. 在“工具”菜单上,单击“帐户”。
  3. 单击“邮件”选项卡,然后单击“属性”。
  4. 单击“服务器”选项卡,单击以选中“使用安全密码验证登录”复选框,单击“确定”,然后单击“关闭”。
    注意,用户名和密码已加密。但邮件数据未加密。

配置加密

配置加密:
  1. 单击“开始”,依次指向“程序”和“Microsoft Exchange”,然后单击“系统管理器”。
  2. 展开“管理组”(如果有),展开“AdministrativeGroup”(如果有),展开“服务器”,展开“ServerName ”,然后展开“协议”。
  3. 展开“SMTP”,右键单击 SMTP 虚拟服务器,然后单击“属性”。
  4. 单击“访问”选项卡,然后单击“证书”。Web 服务器证书向导将启动。
  5. 单击“下一步”。
  6. 按照向导中剩余的页面上的说明操作来创建一个新的证书或指定一个现有的证书。
当证书安装到服务器上后,请配置通讯方法。为此,请按下列步骤操作:
  1. 单击“开始”,依次指向“程序”和“Microsoft Exchange”,然后单击“系统管理器”。
  2. 展开“管理组”(如果有),展开“AdministrativeGroup”(如果有),展开“服务器”,展开“ServerName ”,然后展开“协议”。
  3. 展开“SMTP”,右键单击 SMTP 虚拟服务器,然后单击“属性”。
  4. 单击“访问”选项卡,然后单击“通讯”。
  5. 单击以选中“需要安全通道”复选框。
  6. 如果 Exchange 2003 计算机和客户端都支持 128 位加密,请单击“需要 128 位加密”。
  7. 单击“确定”,然后再单击“确定”。
  8. 关闭 SMTP 虚拟服务器,然后将其重新启动。
如果您的客户端当前正在使用 Outlook Express,请将 Outlook Express 配置为使用 SSL。为此,请按下列步骤操作:
  1. 启动 Outlook Express。
  2. 在“工具”菜单上,单击“帐户”。
  3. 单击“邮件”选项卡。
  4. 双击 Exchange Server 邮件帐户,然后单击“高级”选项卡。
  5. 在“发送邮件 (SMTP)”下,单击以选中“此服务器要求安全连接 (SSL)”复选框。
  6. 单击“确定”,然后单击“关闭”。

配置中继

配置中继:
  1. 单击“开始”,依次指向“程序”和“Microsoft Exchange”,然后单击“系统管理器”。
  2. 展开“管理组”(如果有),展开“AdministrativeGroup”(如果有),展开“服务器”,展开“ServerName ”,然后展开“协议”。
  3. 展开“SMTP”,右键单击 SMTP 虚拟服务器,然后单击“属性”。
  4. 单击“访问”选项卡,然后单击“中继”。

    默认设置允许已通过身份验证的客户端来中继邮件。通常,这些设置已足以保证只有那些拥有正确凭据的客户端能够通过 SMTP 虚拟服务器中继邮件。您还可以将中继权限限制给单个 IP 地址、IP 地址范围或 DNS 后缀。
  5. 单击“确定”。

测试您配置的 SMTP 虚拟服务器设置是否正常工作

测试您配置的 SMTP 虚拟服务器设置是否正常工作:
  • 若要检查 IP 限制是否正常工作,请使用一个 POP3 和一个 IMAP4 客户端来尝试从一个已排除的 IP 地址连接到服务器。如果 IP 限制的配置正确,您会看到一条消息,告诉您到服务器的连接被拒绝。
  • 检查身份验证加密:
    1. 在 Exchange 2003 计算机上运行网络监视器,在您捕获传给 Exchange 2003 计算机的通讯流时从客户端使用默认身份验证设置启动 SMTP 会话。
    2. 检查 SMTP 会话并注意通过端口 25 (0019h) 从客户端传向服务器的数据包。

      注意用户的登录名和密码是用明文形式发送的。
    3. 移除对基本身份验证的支持,将客户端配置为要求“安全密码验证”,从客户端启动另一个 SMTP 会话,然后在网络监视器中捕获通讯流。

      用户帐户和密码现在已经加密。
  • 测试 SSL 加密:
    1. 添加一个证书,在 SMTP 虚拟服务器上将设置相应地配置为要求安全增强型通道,然后将客户端配置为使用 SSL。
    2. 启动一个网络监视器捕获,然后从客户端启动一个 SMTP 邮件连接会话。
    3. 停止捕获,然后检验已发送的数据包。

      注意,所有从客户端传向服务器的、以端口 25 (0019h) 为目标的数据包均已加密。
    注意:如果您还没有对 POP3 或 IMAP4 邮件集合启用加密,则可能还会看到一些从客户端传出的、发动到端口 110 (006Eh) 或端口 143 (008Fh) 的未加密数据包。
  • 若要测试中继限制是否正常工作,请从一个已排除的 IP 地址向一个外部域发送邮件。您会看到一条错误信息,告诉您服务器未能向收件人的地址进行中继。

疑难解答

任何基于 DNS 查找的限制都可能会对 Exchange 2003 计算机的性能产生不良影响。因为服务器会对每个入站连接执行逆向 DNS 查找,所以必须有一个 DNS 逆向搜索区域,并且发送主机必须向该区域注册。

参考

有关 Exchange 2003 Server 的更多信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/exchange/library

属性

文章编号: 823019 - 最后修改: 2007年11月26日 - 修订: 1.2
这篇文章中的信息适用于:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
关键字:?
kbhowto KB823019
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com