本文說明如何設定傳入用戶端對您 Exchange 2003 電腦之簡易郵件傳送通訊協定 (SMTP)
連線的安全性設定。這些設定可讓您的使用者驗證及接收可能出現的重要資料,以避免使用者名稱、密碼或郵件內容遭到攔截。您的使用者之中,可能有人使用郵局通訊協定,第
3 版 (POP3) 或網際網路訊息存取通訊協定 (IMAP4) 連線至您的 Exchange 2003 電腦。這兩種通訊協定都必須仰賴 SMTP
傳遞郵件。
注意 在預設的 Exchange 2003 安裝中,您無需針對要連線至伺服器的 POP3 或 IMAP4
用戶端設定額外的選項。本文除了討論部分的預設安全性設定之外,還包含 Exchange 2003
所提供之額外選項的相關資訊。
注意事項
請留意下列您所適用的注意事項:
建立額外的 SMTP 虛擬伺服器
建立傳入用戶端連線所要使用的新 SMTP 虛擬伺服器。
連線控制
連線控制會對採用 IP 位址或網域名稱 (包括反向網域名稱系統 (DNS) 查閱)
的連線加以限制。連線控制選項不會對密碼或郵件資料加密。
存取控制
您可以設定基本驗證、匿名驗證或整合式 Windows 驗證 (之前稱為 NTLM 或 Windows NT
挑戰/回應驗證)。由於基本驗證會以純文字格式傳送使用者名稱及密碼,因此並不安全。如果要加密使用者名稱及密碼,可以搭配使用基本驗證與傳輸層安全性
(TLS),或使用整合式 Windows 驗證。和 Secure Sockets Layer (SSL) 一樣,TLS
會對使用者名稱、密碼及郵件資料加密。請注意,用戶端電腦必須能夠連絡 Windows 網域控制站驗證其認證,整合式 Windows
驗證才能運作。大多數防火牆組態皆不允許這類連絡動作。但如果是在內部施行 SMTP 存取 (即登入工作階段不會在網際網路上周遊),即可使用整合式 Windows
驗證。
加密
安全性增強的通訊會使用 SSL 加密對 SMTP
工作階段加密,包括使用者名稱、密碼與郵件資料。如果能夠對所有透過公用網路 (如網際網路) 連至 Exchange 2003 的 SMTP 連線使用
SSL,效果會更好。您必須在 SMTP 虛擬伺服器上安裝憑證。您可以使用外部憑證授權單位,或將「憑證服務」安裝到您的 Microsoft Active
Directory 目錄服務樹系下來安裝憑證。
轉送控制
當您在 Exchange 2003 中建立 SMTP
虛擬伺服器時,預設會將其設定不轉送電子郵件。請注意,如果您的 POP3 或 IMAP4 用戶端不具備轉送的權限,使用者即無法透過 SMTP 虛擬伺服器將
SMTP 郵件傳送至外部網域。但您如果允許進行郵件轉送,使用者便可藉此傳播來路不明的商業電子郵件
(垃圾電子郵件)。當您使用預設的轉送設定時,只有經過驗證的使用者,才可以透過 SMTP 虛擬伺服器轉送郵件。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
319278?
(http://support.microsoft.com/kb/319278/
)
How to secure Internet Message Access Protocol client access in Exchange 2000
建立新的 SMTP 虛擬伺服器
- 按一下 [開始],並指向 [程式集],再指向
[Microsoft Exchange],然後按一下
[系統管理員]。
- 依序展開 [Administrative
Groups]
(如其適用)、[AdministrativeGroup]
(如其適用)、[伺服器]、[ServerName]
及 [通訊協定]。
- 用滑鼠右鍵按一下 [SMTP],再指向
[新增],然後按一下 [SMTP 虛擬伺服器]。
- 在 [名稱] 方塊中,輸入虛擬伺服器的名稱,然後按
[下一步]。
- 選取您要使用的 IP 位址,然後按一下 [完成]。
- SMTP 虛擬伺服器建立完成之後,請確認新伺服器是否使用了正確的完整格式網域名稱 (FQDN)。如果要執行這項操作:
- 用滑鼠右鍵按一下您所建立的 SMTP 虛擬伺服器,然後按一下
[內容]。
- 按一下 [傳遞] 索引標籤,然後按一下
[進階]。
- 確認 [完整格式的網域名稱]
方塊中的網域名稱,符合使用者在設定其用戶端軟體以傳遞 SMTP 郵件時所輸入的名稱。如果要確認網域名稱解析正確,請按一下 [檢查
DNS]。
- 按一下 [確定],然後按一下
[確定]。
注意 如果您要為使用網際網路存取 SMTP 虛擬伺服器的用戶端,設定其 SMTP 虛擬伺服器,必須設定外部 DNS 伺服器;這是因為
SMTP 虛擬伺服器的 FQDN 必須解析成外部網際網路位址。如果要執行這項操作,請按一下
[進階傳遞] 對話方塊中的
[設定],再按一下
[新增],然後輸入外部 DNS 伺服器的 IP 位址。
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
326992?
(http://support.microsoft.com/kb/326992/
)
Outgoing SMTP mail messages are not sent
設定 IP 位址的限制
如果要設定 IP 位址的限制:
- 按一下 [開始],並指向 [程式集],再指向
[Microsoft Exchange],然後按一下
[系統管理員]。
- 依序展開 [Administrative
Groups]
(如其適用)、[AdministrativeGroup]
(如其適用)、[伺服器]、[ServerName]
及 [通訊協定]。
- 展開 [SMTP],再用滑鼠右鍵按一下 [預設 SMTP
虛擬伺服器],然後按一下 [內容]。
- 按一下 [存取] 索引標籤,再按一下
[連線]。
- 在 [連線] 對話方塊中,按一下
[僅限下列清單]。
這表示只有清單中的 IP 位址及網域才能連線至 SMTP
虛擬伺服器。 - 按一下
[新增],然後視情況執行下列其中一項操作,以新增一部電腦、一組電腦或一個網域:
- 如果要新增一部電腦,請按一下 [單一電腦],並在 [IP
位址] 方塊中輸入網際網路服務提供者 (ISP) 之電子郵件伺服器的 IP 位址,然後按一下
[確定]。
此外也可以按一下 [DNS
查閱],再輸入主機名稱,然後按一下 [確定]。 - 如果要新增一組電腦,請按一下
[電腦群組],並在對應的方塊中輸入群組的子網路位置與子網路遮罩,然後按一下 [確定]。
如果您的 ISP 在變更其電子郵件伺服器的 IP 位址時不會發出警告,Microsoft 建議您採用此選項。 - 如果要新增網域,請按一下 [網域],並在
[名稱] 方塊中輸入所需要的網域名稱,然後按一下
[確定]。
請注意,這個選項會對每一個傳入連線執行 DNS 反向查閱。這項必要動作可能會降低
Exchange 伺服器的效能。如需詳細資訊,請參閱本文後面的<疑難排解>一節。
設定存取控制
如果要設定存取控制:
- 按一下 [開始],並指向 [程式集],再指向
[Microsoft Exchange],然後按一下
[系統管理員]。
- 依序展開 [Administrative
Groups]
(如其適用)、[AdministrativeGroup]
(如其適用)、[伺服器]、[ServerName]
及 [通訊協定]。
- 展開 [SMTP],再用滑鼠右鍵按一下 SMTP 虛擬伺服器,然後按一下
[內容]。
- 按一下 [存取] 索引標籤,然後按一下
[驗證]。
預設會停用匿名存取,而啟用基本驗證與整合式 Windows 驗證。將 SMTP
虛擬伺服器設定成搭配使用基本驗證與 TLS 加密,或使用整合式 Windows 驗證,然後按一下
[確定]。
注意 您也須使用 SMTP 用戶端軟體的
[安全密碼驗證登入] 選項啟用登入。如果要在
Microsoft Outlook Express 中執行這項操作:
- 啟動 Outlook Express。
- 在 [工具] 功能表上,按一下
[帳戶]。
- 按一下 [郵件] 索引標籤,然後按一下
[內容]。
- 按一下 [伺服器] 索引標籤,再按一下以選取
[使用安全密碼驗證登入] 核取方塊,然後按一下 [確定],最後再按一下
[關閉]。
請注意,使用者與密碼皆會加密。但郵件資料不會加密。
設定加密
如果要設定加密:
- 按一下 [開始],並指向 [程式集],再指向
[Microsoft Exchange],然後按一下
[系統管理員]。
- 依序展開 [Administrative
Groups]
(如其適用)、[AdministrativeGroup]
(如其適用)、[伺服器]、[ServerName]
及 [通訊協定]。
- 展開 [SMTP],再用滑鼠右鍵按一下 SMTP 虛擬伺服器,然後按一下
[內容]。
- 按一下 [存取] 索引標籤,再按
[憑證]。[Web 伺服器憑證精靈] 會啟動。
- 按 [下一步]。
- 依照精靈之剩餘頁面上的指示建立新的憑證,或指定現有的憑證。
將憑證安裝至伺服器之後,請設定通訊方法。如果要執行這項操作:
- 按一下 [開始],並指向 [程式集],再指向
[Microsoft Exchange],然後按一下
[系統管理員]。
- 依序展開 [Administrative
Groups]
(如其適用)、[AdministrativeGroup]
(如其適用)、[伺服器]、[ServerName]
及 [通訊協定]。
- 展開 [SMTP],再用滑鼠右鍵按一下 SMTP 虛擬伺服器,然後按一下
[內容]。
- 按一下 [存取] 索引標籤,然後按一下
[通訊]。
- 按一下以選取 [需要安全通道] 核取方塊。
- Exchange 2003 電腦與用戶端如果都支援 128 位元加密,請按一下 [需要 128
位元加密]。
- 按一下 [確定],然後按一下
[確定]。
- 請停止然後再重新啟動 SMTP 虛擬伺服器。
如果您的用戶端是使用 Outlook Express,請將 Outlook Express 設定成使用
SSL。如果要執行這項操作:
- 啟動 Outlook Express。
- 在 [工具] 功能表上,按一下
[帳戶]。
- 按一下 [郵件] 索引標籤。
- 按兩下 Exchange Server 郵件帳戶,然後按一下 [進階]
索引標籤。
- 在 [外寄郵件 - SMTP] 下,按一下以選取
[這個伺服器需要安全連線 - SSL] 核取方塊。
- 按一下 [確定],然後按一下
[關閉]。
設定轉送
如果要設定轉送:
- 按一下 [開始],並指向 [程式集],再指向
[Microsoft Exchange],然後按一下
[系統管理員]。
- 依序展開 [Administrative
Groups]
(如其適用)、[AdministrativeGroup]
(如其適用)、[伺服器]、[ServerName]
及 [通訊協定]。
- 展開 [SMTP],再用滑鼠右鍵按一下 SMTP 虛擬伺服器,然後按一下
[內容]。
- 按一下 [存取] 索引標籤,再按一下
[轉送]。
預設設定允許經過驗證的用戶端轉送郵件。在一般情況下,這些設定即足以讓只有具備正確認證的用戶端,才可以透過
SMTP 虛擬伺服器轉送郵件。您也可以將轉送權限侷限在個別的 IP 位址、IP 位址範圍或 DNS 尾碼。 - 按一下 [確定]。
測試您所設定之 SMTP 虛擬伺服器設定是否正確運作
如果要測試您所設定之 SMTP 虛擬伺服器設定是否正確運作:
- 如果要確定 IP 限制是否正確運作,可使用 POP3 與 IMAP4 用戶端,嘗試從排除的 IP
位址連線至伺服器。如果 IP 限制的設定正確,即會收到訊息通知您對該伺服器的連線被拒。
- 如果要確認驗證加密:
- 在您的 Exchange 2003 電腦上執行「網路監視器」,並在擷取到連入 Exchange 2003
電腦的流量時,使用預設的驗證設定,從用戶端初始 SMTP 工作階段。
- 檢視 SMTP 工作階段,並留意從用戶端傳送至伺服器連接埠 25 (0019h)
的封包。
請注意,使用者的登入名稱及密碼會以純文字格式傳送。 - 請移除基本驗證支援,並將用戶端設定成使用
[安全密碼驗證],再從用戶端初始其他 SMTP
工作階段,然後在「網路監視器」中擷取流量。
此時使用者帳戶及密碼會加密。
- 如果要測試 SSL 加密:
- 新增憑證,並將 SMTP 虛擬伺服器設定成需要安全性增強的通道,然後再將用戶端設定成使用
SSL。
- 啟動「網路監視器」擷取,然後從用戶端初始 SMTP 郵件收集工作階段。
- 停止擷取,然後檢查所傳送的封包。
請注意,從用戶端傳至伺服器的封包只要是以連接埠 25
(0019h) 為目的地,都會予以加密。
注意 如果還未對 POP3 或 IMAP4 郵件收集啟用加密,便還會見到用戶端有部分未加密的封包,會以連接埠
110 (006Eh) 或 143 (008Fh) 為目的地。 - 如果要測試轉送限制是否正確運作,可以從排除的 IP
位址傳送郵件至外部網域。您應會收到錯誤訊息通知您伺服器無法為該收件者位址進行轉送。
疑難排解
所有以 DNS 查閱為依據的限制,都可能會降低 Exchange 2003 Server
電腦的效能。由於伺服器會對每一個輸入連線執行反向 DNS 查閱,因此 DNS 反向查閱區域必須可供使用,且傳送主機亦須在該區域上註冊。
如需有關 Exchange Server 2003 的詳細資訊,請造訪下列 Microsoft 網站:
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
回此頁最上方
