如何協助保護 Exchange 2003 中之 SMTP 用戶端郵件傳遞的安全

文章翻譯 文章翻譯
文章編號: 823019 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文說明如何設定傳入用戶端對您 Exchange 2003 電腦之簡易郵件傳送通訊協定 (SMTP) 連線的安全性設定。這些設定可讓您的使用者驗證及接收可能出現的重要資料,以避免使用者名稱、密碼或郵件內容遭到攔截。您的使用者之中,可能有人使用郵局通訊協定,第 3 版 (POP3) 或網際網路訊息存取通訊協定 (IMAP4) 連線至您的 Exchange 2003 電腦。這兩種通訊協定都必須仰賴 SMTP 傳遞郵件。

注意 在預設的 Exchange 2003 安裝中,您無需針對要連線至伺服器的 POP3 或 IMAP4 用戶端設定額外的選項。本文除了討論部分的預設安全性設定之外,還包含 Exchange 2003 所提供之額外選項的相關資訊。

注意事項

請留意下列您所適用的注意事項:

建立額外的 SMTP 虛擬伺服器



建立傳入用戶端連線所要使用的新 SMTP 虛擬伺服器。

連線控制



連線控制會對採用 IP 位址或網域名稱 (包括反向網域名稱系統 (DNS) 查閱) 的連線加以限制。連線控制選項不會對密碼或郵件資料加密。

存取控制



您可以設定基本驗證、匿名驗證或整合式 Windows 驗證 (之前稱為 NTLM 或 Windows NT 挑戰/回應驗證)。由於基本驗證會以純文字格式傳送使用者名稱及密碼,因此並不安全。如果要加密使用者名稱及密碼,可以搭配使用基本驗證與傳輸層安全性 (TLS),或使用整合式 Windows 驗證。和 Secure Sockets Layer (SSL) 一樣,TLS 會對使用者名稱、密碼及郵件資料加密。請注意,用戶端電腦必須能夠連絡 Windows 網域控制站驗證其認證,整合式 Windows 驗證才能運作。大多數防火牆組態皆不允許這類連絡動作。但如果是在內部施行 SMTP 存取 (即登入工作階段不會在網際網路上周遊),即可使用整合式 Windows 驗證。

加密



安全性增強的通訊會使用 SSL 加密對 SMTP 工作階段加密,包括使用者名稱、密碼與郵件資料。如果能夠對所有透過公用網路 (如網際網路) 連至 Exchange 2003 的 SMTP 連線使用 SSL,效果會更好。您必須在 SMTP 虛擬伺服器上安裝憑證。您可以使用外部憑證授權單位,或將「憑證服務」安裝到您的 Microsoft Active Directory 目錄服務樹系下來安裝憑證。

轉送控制



當您在 Exchange 2003 中建立 SMTP 虛擬伺服器時,預設會將其設定不轉送電子郵件。請注意,如果您的 POP3 或 IMAP4 用戶端不具備轉送的權限,使用者即無法透過 SMTP 虛擬伺服器將 SMTP 郵件傳送至外部網域。但您如果允許進行郵件轉送,使用者便可藉此傳播來路不明的商業電子郵件 (垃圾電子郵件)。當您使用預設的轉送設定時,只有經過驗證的使用者,才可以透過 SMTP 虛擬伺服器轉送郵件。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
319278 How to secure Internet Message Access Protocol client access in Exchange 2000

建立新的 SMTP 虛擬伺服器

  1. 按一下 [開始],並指向 [程式集],再指向 [Microsoft Exchange],然後按一下 [系統管理員]
  2. 依序展開 [Administrative Groups] (如其適用)、[AdministrativeGroup] (如其適用)、[伺服器][ServerName][通訊協定]
  3. 用滑鼠右鍵按一下 [SMTP],再指向 [新增],然後按一下 [SMTP 虛擬伺服器]
  4. [名稱] 方塊中,輸入虛擬伺服器的名稱,然後按 [下一步]
  5. 選取您要使用的 IP 位址,然後按一下 [完成]
  6. SMTP 虛擬伺服器建立完成之後,請確認新伺服器是否使用了正確的完整格式網域名稱 (FQDN)。如果要執行這項操作:
    1. 用滑鼠右鍵按一下您所建立的 SMTP 虛擬伺服器,然後按一下 [內容]
    2. 按一下 [傳遞] 索引標籤,然後按一下 [進階]
    3. 確認 [完整格式的網域名稱] 方塊中的網域名稱,符合使用者在設定其用戶端軟體以傳遞 SMTP 郵件時所輸入的名稱。如果要確認網域名稱解析正確,請按一下 [檢查 DNS]
    4. 按一下 [確定],然後按一下 [確定]
注意 如果您要為使用網際網路存取 SMTP 虛擬伺服器的用戶端,設定其 SMTP 虛擬伺服器,必須設定外部 DNS 伺服器;這是因為 SMTP 虛擬伺服器的 FQDN 必須解析成外部網際網路位址。如果要執行這項操作,請按一下 [進階傳遞] 對話方塊中的 [設定],再按一下 [新增],然後輸入外部 DNS 伺服器的 IP 位址。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
326992 Outgoing SMTP mail messages are not sent


設定 IP 位址的限制

如果要設定 IP 位址的限制:
  1. 按一下 [開始],並指向 [程式集],再指向 [Microsoft Exchange],然後按一下 [系統管理員]
  2. 依序展開 [Administrative Groups] (如其適用)、[AdministrativeGroup] (如其適用)、[伺服器][ServerName][通訊協定]
  3. 展開 [SMTP],再用滑鼠右鍵按一下 [預設 SMTP 虛擬伺服器],然後按一下 [內容]
  4. 按一下 [存取] 索引標籤,再按一下 [連線]
  5. [連線] 對話方塊中,按一下 [僅限下列清單]

    這表示只有清單中的 IP 位址及網域才能連線至 SMTP 虛擬伺服器。
  6. 按一下 [新增],然後視情況執行下列其中一項操作,以新增一部電腦、一組電腦或一個網域:
    • 如果要新增一部電腦,請按一下 [單一電腦],並在 [IP 位址] 方塊中輸入網際網路服務提供者 (ISP) 之電子郵件伺服器的 IP 位址,然後按一下 [確定]

      此外也可以按一下 [DNS 查閱],再輸入主機名稱,然後按一下 [確定]
    • 如果要新增一組電腦,請按一下 [電腦群組],並在對應的方塊中輸入群組的子網路位置與子網路遮罩,然後按一下 [確定]

      如果您的 ISP 在變更其電子郵件伺服器的 IP 位址時不會發出警告,Microsoft 建議您採用此選項。
    • 如果要新增網域,請按一下 [網域],並在 [名稱] 方塊中輸入所需要的網域名稱,然後按一下 [確定]

      請注意,這個選項會對每一個傳入連線執行 DNS 反向查閱。這項必要動作可能會降低 Exchange 伺服器的效能。如需詳細資訊,請參閱本文後面的<疑難排解>一節。

設定存取控制

如果要設定存取控制:
  1. 按一下 [開始],並指向 [程式集],再指向 [Microsoft Exchange],然後按一下 [系統管理員]
  2. 依序展開 [Administrative Groups] (如其適用)、[AdministrativeGroup] (如其適用)、[伺服器][ServerName][通訊協定]
  3. 展開 [SMTP],再用滑鼠右鍵按一下 SMTP 虛擬伺服器,然後按一下 [內容]
  4. 按一下 [存取] 索引標籤,然後按一下 [驗證]

    預設會停用匿名存取,而啟用基本驗證與整合式 Windows 驗證。將 SMTP 虛擬伺服器設定成搭配使用基本驗證與 TLS 加密,或使用整合式 Windows 驗證,然後按一下 [確定]
注意 您也須使用 SMTP 用戶端軟體的 [安全密碼驗證登入] 選項啟用登入。如果要在 Microsoft Outlook Express 中執行這項操作:
  1. 啟動 Outlook Express。
  2. [工具] 功能表上,按一下 [帳戶]
  3. 按一下 [郵件] 索引標籤,然後按一下 [內容]
  4. 按一下 [伺服器] 索引標籤,再按一下以選取 [使用安全密碼驗證登入] 核取方塊,然後按一下 [確定],最後再按一下 [關閉]
    請注意,使用者與密碼皆會加密。但郵件資料不會加密。

設定加密

如果要設定加密:
  1. 按一下 [開始],並指向 [程式集],再指向 [Microsoft Exchange],然後按一下 [系統管理員]
  2. 依序展開 [Administrative Groups] (如其適用)、[AdministrativeGroup] (如其適用)、[伺服器][ServerName][通訊協定]
  3. 展開 [SMTP],再用滑鼠右鍵按一下 SMTP 虛擬伺服器,然後按一下 [內容]
  4. 按一下 [存取] 索引標籤,再按 [憑證]。[Web 伺服器憑證精靈] 會啟動。
  5. [下一步]
  6. 依照精靈之剩餘頁面上的指示建立新的憑證,或指定現有的憑證。
將憑證安裝至伺服器之後,請設定通訊方法。如果要執行這項操作:
  1. 按一下 [開始],並指向 [程式集],再指向 [Microsoft Exchange],然後按一下 [系統管理員]
  2. 依序展開 [Administrative Groups] (如其適用)、[AdministrativeGroup] (如其適用)、[伺服器][ServerName][通訊協定]
  3. 展開 [SMTP],再用滑鼠右鍵按一下 SMTP 虛擬伺服器,然後按一下 [內容]
  4. 按一下 [存取] 索引標籤,然後按一下 [通訊]
  5. 按一下以選取 [需要安全通道] 核取方塊。
  6. Exchange 2003 電腦與用戶端如果都支援 128 位元加密,請按一下 [需要 128 位元加密]
  7. 按一下 [確定],然後按一下 [確定]
  8. 請停止然後再重新啟動 SMTP 虛擬伺服器。
如果您的用戶端是使用 Outlook Express,請將 Outlook Express 設定成使用 SSL。如果要執行這項操作:
  1. 啟動 Outlook Express。
  2. [工具] 功能表上,按一下 [帳戶]
  3. 按一下 [郵件] 索引標籤。
  4. 按兩下 Exchange Server 郵件帳戶,然後按一下 [進階] 索引標籤。
  5. [外寄郵件 - SMTP] 下,按一下以選取 [這個伺服器需要安全連線 - SSL] 核取方塊。
  6. 按一下 [確定],然後按一下 [關閉]

設定轉送

如果要設定轉送:
  1. 按一下 [開始],並指向 [程式集],再指向 [Microsoft Exchange],然後按一下 [系統管理員]
  2. 依序展開 [Administrative Groups] (如其適用)、[AdministrativeGroup] (如其適用)、[伺服器][ServerName][通訊協定]
  3. 展開 [SMTP],再用滑鼠右鍵按一下 SMTP 虛擬伺服器,然後按一下 [內容]
  4. 按一下 [存取] 索引標籤,再按一下 [轉送]

    預設設定允許經過驗證的用戶端轉送郵件。在一般情況下,這些設定即足以讓只有具備正確認證的用戶端,才可以透過 SMTP 虛擬伺服器轉送郵件。您也可以將轉送權限侷限在個別的 IP 位址、IP 位址範圍或 DNS 尾碼。
  5. 按一下 [確定]

測試您所設定之 SMTP 虛擬伺服器設定是否正確運作

如果要測試您所設定之 SMTP 虛擬伺服器設定是否正確運作:
  • 如果要確定 IP 限制是否正確運作,可使用 POP3 與 IMAP4 用戶端,嘗試從排除的 IP 位址連線至伺服器。如果 IP 限制的設定正確,即會收到訊息通知您對該伺服器的連線被拒。
  • 如果要確認驗證加密:
    1. 在您的 Exchange 2003 電腦上執行「網路監視器」,並在擷取到連入 Exchange 2003 電腦的流量時,使用預設的驗證設定,從用戶端初始 SMTP 工作階段。
    2. 檢視 SMTP 工作階段,並留意從用戶端傳送至伺服器連接埠 25 (0019h) 的封包。

      請注意,使用者的登入名稱及密碼會以純文字格式傳送。
    3. 請移除基本驗證支援,並將用戶端設定成使用 [安全密碼驗證],再從用戶端初始其他 SMTP 工作階段,然後在「網路監視器」中擷取流量。

      此時使用者帳戶及密碼會加密。
  • 如果要測試 SSL 加密:
    1. 新增憑證,並將 SMTP 虛擬伺服器設定成需要安全性增強的通道,然後再將用戶端設定成使用 SSL。
    2. 啟動「網路監視器」擷取,然後從用戶端初始 SMTP 郵件收集工作階段。
    3. 停止擷取,然後檢查所傳送的封包。

      請注意,從用戶端傳至伺服器的封包只要是以連接埠 25 (0019h) 為目的地,都會予以加密。
    注意 如果還未對 POP3 或 IMAP4 郵件收集啟用加密,便還會見到用戶端有部分未加密的封包,會以連接埠 110 (006Eh) 或 143 (008Fh) 為目的地。
  • 如果要測試轉送限制是否正確運作,可以從排除的 IP 位址傳送郵件至外部網域。您應會收到錯誤訊息通知您伺服器無法為該收件者位址進行轉送。

疑難排解

所有以 DNS 查閱為依據的限制,都可能會降低 Exchange 2003 Server 電腦的效能。由於伺服器會對每一個輸入連線執行反向 DNS 查閱,因此 DNS 反向查閱區域必須可供使用,且傳送主機亦須在該區域上註冊。

?考

如需有關 Exchange Server 2003 的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/taiwan/technet/prodtechnol/exchange/2003/library/default.mspx

屬性

文章編號: 823019 - 上次校閱: 2007年11月26日 - 版次: 1.4
這篇文章中的資訊適用於:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
關鍵字:?
kbhowto KB823019
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com