كيفية المساعدة في تأمين تسليم رسائل عميل SMTP في Exchange 2003

تمت أرشفة هذه المقالة. وتظهر "كما هي" ولن يتم تحديثها بعد الآن.
الموجز
تتناول هذه المقالة كيفية تكوين إعدادات أمان اتصالات Simple Mail Transfer Protocol (SMTP) الواردة الخاصة بالعميل لأجهزة الكمبيوتر التي تعمل بـ Exchange 2003. تسمح هذه الإعدادات بمصادقة المستخدمين وتلقيهم لمواد من المحتمل أن تكون حساسة، كما تساعد على منع الاطلاع على اسم المستخدم أو كلمة المرور أو محتوى الرسالة. قد يكون لديك مستخدمون يتحتم عليهم استخدام إما بروتوكول Post Office Protocol 3 (POP3) أو بروتوكول الوصول إلى الرسائل عبر الإنترنت 4 (IMAP4) للاتصال بجهاز الكمبيوتر الذي يعمل بـ Exchange 2003. يعتمد كل من هذين البروتوكولين على بروتوكول SMTP لتسليم الرسائل.

ملاحظة عند التثبيت الافتراضي لـ Exchange 2003، لن تحتاج إلى تكوين خيارات إضافية لعملاء بروتوكول POP3 أو بروتوكول IMAP4 المتصلة بالخادم. توضح هذه المقالة بعض إعدادات الأمان الافتراضية، كما تحتوي على معلومات حول الخيارات الإضافية المتوفرة في Exchange 2003.

عودة إلى الأعلى

اعتبارات

لاحظ الاعتبارات المنطبقة التالية:

إنشاء خادم SMTP ظاهري إضافي



قم بإنشاء خادم SMTP ظاهري جديد لاستخدامه في اتصالات العميل الواردة.

التحكم بالاتصال



يعمل التحكم بالاتصال على تقييد الاتصالات التي تعتمد على عنوان IP أو اسم مجال، بما في ذلك عمليات البحث العكسي لنظام أسماء المجالات (DNS). لا تقوم خيارات التحكم بالاتصال بتشفير كلمات المرور أو بيانات الرسالة.

التحكم بالوصول



يمكنك تكوين إما مصادقة أساسية أو مصادقة مجهولة أو مصادقة Windows متكاملة (والتي كانت تسمى مسبقًا NTLM أو مصادقة Windows NT Challenge/Response). ونظرًا لأن المصادقة الأساسية تقوم بإرسال أسماء المستخدمين وكلمات المرور بنص واضح، فهي ليست آمنة. لتمكين تشفير أسماء المستخدمين وكلمات المرور، استخدم إما مصادقة أساسية مع بروتوكول أمن طبقة النقل (TLS)، أو استخدم مصادقة Windows متكاملة. يقوم بروتوكول TLS بتشفير أسماء المستخدمين وكلمات المرور وبيانات الرسالة مثل طبقة مآخذ التوصيل الآمنة (SSL). لاحظ أن مصادقة Windows المتكاملة تعمل فقط في وحدات السيناريو التي يكون الكمبيوتر العميل فيها قادرًا على الاتصال بوحدة تحكم بمجال تعمل بأحد أنظمة تشغيل Windows للتحقق من صحة بيانات الاعتماد الخاصة بها. في معظم تكوينات جُدُر الحماية، لا يمكن حدوث هذا الاتصال. ولكن، يمكن للتطبيقات الداخلية الخاصة بوصول SMTP (حيث لا تجتاز جلسة عمل تسجيل الدخول الإنترنت) استخدام مصادقة Windows المتكاملة.

التشفير



تقوم الاتصالات المزودة بإجراءات أمان محسنة بتشفير جلسة عمل الـ SMTP، بما في ذلك اسم المستخدم وكلمة المرور وبيانات الرسالة عن طريق استخدام تشفير SSL. من الأفضل استخدام SSL لكل اتصالات SMTP بـ Exchange 2003 التي تعبر شبكات عامة مثل الإنترنت. يجب تثبيت شهادة على خادم SMTP الظاهري الذي تعمل عليه. يمكنك استخدام إما مرجع مصدق خارجي أو تثبيت خدمات الشهادات على المجال الأم لخدمة دليل Microsoft Active Directory حتى يمكن تثبيت شهادة.

التحكم بالترحيل



افتراضيًا، عندما تقوم بإنشاء خادم SMTP ظاهري في Exchange 2003، يتم تكوينه لمنع ترحيل رسائل البريد الإلكتروني. لاحظ أنه إذا كانت عملاء POP3 أو IMAP4 لا تملك أذونات للترحيل، لا يمكن للمستخدمين إرسال بريد SMTP إلى مجالات خارجية من خلال خادم SMTP الظاهري. ومع ذلك، إذا سمحت بترحيل الرسائل، قد يتم استخدام مستخدم لنشر رسائل بريد إلكتروني عشوائي (رسائل بريد إلكتروني مهملة). عندما تستخدم إعدادات الترحيل الافتراضية، يمكن للعملاء المصادق عليها فقط القيام بترحيل رسائل من خلال خادم SMTP الظاهري.للحصول على مزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft" (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):
319278 كيفية تأمين وصول عميل بروتوكول الوصول إلى الرسائل عبر الإنترنت في Exchange 2000
عودة إلى الأعلى

إنشاء خادم SMTP ظاهري جديد

  1. انقر فوق ابدأ، ثم أشر إلى البرامج، ثم أشر إلى Microsoft Exchange، ثم انقر فوق System Manager.
  2. قم بتوسيع المجموعات الإدارية (عند الحاجة)، ثم قم بتوسيع مجموعة إدارية (عند الحاجة)، ثم قم بتوسيع Servers، ثم توسيع اسم الخادم، وأخيرًا قم بتوسيع Protocols.
  3. انقر بزر الماوس الأيمن فوق SMTP، وأشر إلى جديد، ثم انقر فوق SMTP Virtual Server.
  4. في المربع الاسم، اكتب اسم الخادم الظاهري، ثم انقر فوق التالي.
  5. انقر فوق عنوان IP الذي تريد استخدامه، ثم انقر فوق إنهاء.
  6. بعد قيامك بإنشاء خادم SMTP الظاهري، تأكد من أن الخادم الظاهري الجديد يستخدم اسم المجال المؤهل بالكامل (FQDN) الصحيح. للقيام بذلك، اتبع الخطوات التالية:
    1. انقر بزر الماوس الأيمن فوق خادم SMTP الظاهري الذي قمت بإنشائه، ثم انقر فوق خصائص.
    2. انقر فوق علامة التبويب Delivery، ثم انقر فوق خيارات متقدمة.
    3. تأكد من أن اسم المجال الموجود في المربع اسم مجال مؤهل بالكامل يطابق الاسم الذي يكتبه المستخدمون عند قيامهم بتكوين برنامج العميل الخاص بهم لتسليم بريد SMTP. للتأكد من أن اسم المجال يتم تحليله بشكلٍ صحيح، انقر فوق Check DNS.
    4. انقر فوق موافق، ثم انقر فوق موافق.
ملاحظة إذا كنت تقوم بتكوين خادم SMTP ظاهري لعملاء تقوم بالوصول إلى خادم SMTP الظاهري هذا من خلال الإنترنت، فقد تحتاج إلى تكوين خوادم DNS خارجية لأن اسم المجال المؤهل بالكامل الخاص بخادم SMTP الظاهري لابد أن يتم تحليله إلى عنوان إنترنت خارجي. للقيام بذلك، انقر فوق Configure في مربع الحوار Advanced Delivery، ثم انقر فوق إضافة، ثم اكتب عنوان IP الخاص بخادم الـ DNS الخارجي. للحصول على مزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft" (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):
326992 عدم إرسال رسائل بريد SMTP الصادرة


عودة إلى الأعلى

تكوين تقييدات عنوان IP

لتكوين تقييدات عنوان IP:
  1. انقر فوق ابدأ، ثم أشر إلى البرامج، ثم أشر إلى Microsoft Exchange، ثم انقر فوق System Manager.
  2. قم بتوسيع المجموعات الإدارية (عند الحاجة)، ثم قم بتوسيع مجموعة إدارية (عند الحاجة)، ثم قم بتوسيع Servers، ثم توسيع اسم الخادم، وأخيرًا قم بتوسيع Protocols.
  3. قم بتوسيع SMTP، ثم انقر بزر الماوس الأيمن فوق Default SMTP Virtual Server، ثم انقر فوق خصائص.
  4. انقر فوق علامة التبويب Access، ثم انقر فوق Connection.
  5. في مربع الحوار Connection، انقر فوق Only the list below.

    يشير هذا إلى أنه مسموح لعناوين IP والمجالات المسردة في القائمة فقط بالاتصال بخادم SMTP الظاهري.
  6. انقر فوق إضافة، ثم قم بعمل أحد الإجراءات التالية لإضافة جهاز كمبيوتر واحد أو مجموعة أجهزة كمبيوتر أو مجال، حسب ما يتلاءم مع موقفك:
    • لإضافة جهاز كمبيوتر واحد، انقر فوق كمبيوتر واحد، ثم اكتب عنوان IP لخادم مراسلة البريد الإلكتروني الخاص بموفر خدمة الإنترنت الخاص بك (ISP) في المربع عنوان IP، ثم انقر فوق موافق.

      بدلاً من ذلك، يمكنك النقر فوق البحث عن DNS، وكتابة اسم مضيف، ثم النقر فوق موافق.
    • لإضافة مجموعة من أجهزة الكمبيوتر، انقر فوق مجموعة من أجهزة الكمبيوتر، واكتب عنوان الشبكة الفرعية وقناع الشبكة الفرعية الخاص بالمجموعة في المربعات المقابلة، ثم انقر فوق موافق.

      توصي Microsoft بهذا الخيار إذا كان موفر خدمة الإنترنت الذي تتعامل معه لديه استعداد لتغيير عنوان IP لخادم مراسلة البريد الإلكتروني بدون تحذير.
    • لإضافة مجال، انقر فوق مجال، واكتب اسم المجال الذي تريده في المربع الاسم، ثم انقر فوق موافق.

      لاحظ أن هذا الخيار يتطلب بحث DNS عكسي في كل اتصال وارد. قد يؤثر هذا المتطلب بشكل عكسي على أداء خادم Exchange. للحصول على مزيد من المعلومات، راجع قسم استكشاف الأخطاء وإصلاحها لاحقًا في هذه المقالة.
عودة إلى الأعلى

تكوين تحكم بالوصول

لتكوين تحكم بالوصول:
  1. انقر فوق ابدأ، ثم أشر إلى البرامج، ثم أشر إلى Microsoft Exchange، ثم انقر فوق System Manager.
  2. قم بتوسيع المجموعات الإدارية (عند الحاجة)، ثم قم بتوسيع مجموعة إدارية (عند الحاجة)، ثم قم بتوسيع Servers، ثم توسيع اسم الخادم، وأخيرًا قم بتوسيع Protocols.
  3. قم بتوسيع SMTP، ثم انقر بزر الماوس الأيمن فوق خادم SMTP الظاهري، ثم انقر فوق خصائص.
  4. انقر فوق علامة التبويب Access، ثم انقر فوق Authentication.

    افتراضيًا، يكون الوصول المجهول معطلاً، ويكون كل من المصادقة الأساسية ومصادقة Windows المتكاملة ممكنتين. قم بتكوين خادم SMTP الظاهري ليستخدم مصادقة أساسية مع تشفير TLS أو مصادقة Windows متكاملة، ثم انقر فوق موافق.
ملاحظة لابد أيضًا أن تقوم بتمكين تسجيل الدخول باستخدام خيار مصادقة آمنة لكلمة المرور على برنامج عميل SMTP. للقيام بذلك في برنامج Microsoft Outlook Express:
  1. قم بتشغيل برنامج Outlook Express.
  2. من القائمة أدوات، انقر فوق حسابات.
  3. انقر فوق علامة التبويب بريد، ثم انقر فوق خصائص.
  4. انقر فوق علامة التبويب خوادم، ثم انقر لتحديد خانة الاختيار تسجيل الدخول باستخدام مصادقة كلمة المرور الآمنة، ثم انقر فوق موافق، ثم انقر فوق إغلاق.
    لاحظ أن كلاً من اسم المستخدم وكلمة المرور مشفران. بيانات الرسالة ليست مشفرة.
عودة إلى الأعلى

تكوين تشفير

لتكوين تشفير:
  1. انقر فوق ابدأ، ثم أشر إلى البرامج، ثم أشر إلى Microsoft Exchange، ثم انقر فوق System Manager.
  2. قم بتوسيع المجموعات الإدارية (عند الحاجة)، ثم قم بتوسيع مجموعة إدارية (عند الحاجة)، ثم قم بتوسيع Servers، ثم توسيع اسم الخادم، وأخيرًا قم بتوسيع Protocols.
  3. قم بتوسيع SMTP، ثم انقر بزر الماوس الأيمن فوق خادم SMTP الظاهري، ثم انقر فوق خصائص.
  4. انقر فوق علامة التبويب Access، ثم انقر فوق Certificate. يبدأ تشغيل معالج شهادات خادم ويب.
  5. انقر فوق التالي.
  6. اتبع الإرشادات الموجودة في الصفحات المتبقية من المعالج لإنشاء شهادة جديدة أو لتعيين شهادة موجودة بالفعل.
بعد تثبيت الشهادة على الخادم، قم بتكوين أسلوب الاتصالات. للقيام بذلك، اتبع الخطوات التالية:
  1. انقر فوق ابدأ، ثم أشر إلى البرامج، ثم أشر إلى Microsoft Exchange، ثم انقر فوق System Manager.
  2. قم بتوسيع المجموعات الإدارية (عند الحاجة)، ثم قم بتوسيع مجموعة إدارية (عند الحاجة)، ثم قم بتوسيع Servers، ثم توسيع اسم الخادم، وأخيرًا قم بتوسيع Protocols.
  3. قم بتوسيع SMTP، ثم انقر بزر الماوس الأيمن فوق خادم SMTP الظاهري، ثم انقر فوق خصائص.
  4. انقر فوق علامة التبويب Access، ثم انقر فوق Communication.
  5. انقر لتحديد خانة الاختيار يتطلب قناة آمنة.
  6. إذا كان كل من جهاز الكمبيوتر الذي يعمل بـ Exchange 2003 والأجهزة العميلة تدعم تشفير ١٢٨ بت، انقر فوق Require 128-bit encryption.
  7. انقر فوق موافق، ثم انقر فوق موافق.
  8. توقف عن العمل ثم قم بإعادة تشغيل خادم SMTP الظاهري.
إذا كانت العملاء تستخدم برنامج Outlook Express، قم بتكوين Outlook Express ليستخدم SSL. للقيام بذلك، اتبع الخطوات التالية:
  1. قم بتشغيل برنامج Outlook Express.
  2. من القائمة أدوات، انقر فوق حسابات.
  3. انقر فوق علامة التبويب بريد.
  4. انقر نقرًا مزدوجًا فوق حساب بريد خادم Exchange، ثم انقر فوق علامة التبويب خيارات متقدمة.
  5. تحت البريد الصادر (SMTP)، انقر لتحديد خانة الاختيار يتطلب هذا الملقم اتصالاً آمناً (SSL).
  6. انقر فوق موافق، ثم انقر فوق إغلاق.
عودة إلى الأعلى

تكوين ترحيل

لتكوين ترحيل:
  1. انقر فوق ابدأ، ثم أشر إلى البرامج، ثم أشر إلى Microsoft Exchange، ثم انقر فوق System Manager.
  2. قم بتوسيع المجموعات الإدارية (عند الحاجة)، ثم قم بتوسيع مجموعة إدارية (عند الحاجة)، ثم قم بتوسيع Servers، ثم توسيع اسم الخادم، وأخيرًا قم بتوسيع Protocols.
  3. قم بتوسيع SMTP، ثم انقر بزر الماوس الأيمن فوق خادم SMTP الظاهري، ثم انقر فوق خصائص.
  4. انقر فوق علامة التبويب Access، ثم انقر فوق Relay.

    تسمح الإعدادات الافتراضية للعملاء المصادق عليهم بترحيل الرسائل. عادةً ما تكون تلك الإعدادات كافية لكي يتمكن العملاء الذين لديهم بيانات اعتماد صحيحة فقط من القيام بترحيل الرسائل من خلال خادم SMTP الظاهري. يمكنك كذلك تقييد أذونات الترحيل إلى عناوين IP مفردة أو نطاقات عناوين IP أو لاحقات DNS.
  5. انقر فوق موافق.
عودة إلى الأعلى

اختبار ما إذا كانت إعدادات خادم SMTP الظاهري التي قمت بتكوينها تعمل بشكلٍ صحيحٍ أم لا

لاختبار ما إذا كانت إعدادات خادم SMTP الظاهري التي قمت بتكوينها تعمل بشكلٍ صحيحٍ أم لا:
  • للتأكد من أن تقييدات IP تعمل بشكلٍ صحيح، استخدم عميل IMAP4 وPOP3 لمحاولة الاتصال بالخادم من عنوان IP مستثنى. إذا كانت تقييدات الـ IP مكونة بشكلٍ صحيح، ستظهر لك رسالة تخبرك بأنه تم رفض الاتصال بالخادم.
  • للتحقق من تشفير المصادقة:
    1. قم بتشغيل "مراقبة الشبكة" على كمبيوتر يعمل بـ Exchange 2003، واستخدم إعدادات المصادقة الافتراضية لبدء جلسة عمل SMTP من العميل أثناء قيامك بتعيين منفذ لنقل البيانات الواردة إلى كمبيوتر Exchange 2003.
    2. قم بمراجعة جلسة عمل SMTP ولاحظ الرزم من العميل إلى الخادم على منفذ 25 (0019h).

      لاحظ أنه يتم إرسال اسم تسجيل دخول المستخدم وكلمة المرور الخاصة به بنصٍ واضح.
    3. قم بإزالة دعم المصادقة الأساسية، قم بتكوين العميل لطلب مصادقة آمنة لكلمة المرور، وقم ببدء جلسة عمل SMTP أخرى من العميل، ثم قم بتعيين منفذ نقل البيانات في "مراقبة الشبكة".

      يكون الآن قد تم تشفير حساب المستخدم وكلمة المرور الخاصة به.
  • لاختبار تشفير SSL:
    1. قم بإضافة شهادة، ثم قم بتكوين الإعدادات بحيث يكون مطلوبًا توفّر قناة مزودة بإجراءات أمان محسنة على خادم SMTP الظاهري، ثم قم بتكوين العميل ليستخدم SSL.
    2. قم بتشغيل تعيين منفذ لـ "مراقبة الشبكة"، ثم قد ببدء جلسة عمل مجموعة بريد SMTP من العميل.
    3. قم بإيقاف تعيين المنفذ، ثم تفحص الرزم التي تم إرسالها.

      لاحظ أن كافة رزم العميل إلى الخادم ذات الوجهة إلى المنفذ 25 (0019h) قد تم تشفيرها.
    ملاحظة إذا لم تقم بتمكين التشفير على مجموعة بريد POP3 أو IMAP4، فقد يستمر ظهور بعض الرزم غير المشفرة من العميل موجهة إلى المنفذ 110 (006Eh) أو إلى المنفذ 143 (008Fh).
  • لاختبار ما إذا كانت تقييدات الترحيل تعمل بشكلٍ صحيح، قم بإرسال بريد من عنوان IP مستثنى إلى مجال خارجي. ستظهر لك رسالة خطأ تفيد بأن الخادم غير قادر على الترحيل إلى عنوان المستلم.
عودة إلى الأعلى

استكشاف الأخطاء وإصلاحها

يمكن أن تؤثر أي تقييدات تعتمد على بحث عن DNS بشكلٍ عكسي على أداء الكمبيوتر الذي يعمل بـ Exchange 2003. ونظرًا لأن الخادم يقوم بالبحث العكسي لـ DNS على كل اتصال داخلي، يجب أن تكون منطقة البحث العكسي لـ DNS متوفرة كما يجب أن يكون مضيف الإرسال مسجلاً مع تلك المنطقة.

عودة إلى الأعلى
مراجع
للحصول على مزيد من المعلومات حول Exchange Server 2003، الرجاء زيارة موقع Microsoft التالي على الويب: عودة إلى الأعلى
خصائص

رقم الموضوع: 823019 - آخر مراجعة: 12/08/2015 03:14:13 - المراجعة: 1.4

Microsoft Exchange Server 2003 Enterprise Edition, Microsoft Exchange Server 2003 Standard Edition

  • kbnosurvey kbarchive kbhowto KB823019
تعليقات