Předávání pošty protokolem SMTP v systému Windows 2000, Windows XP a Exchange Server

ÚVOD

Relay Microsoft Simple Mail Transfer Protocol (SMTP) je funkce, která umožňuje klientovi protokolu SMTP pomocí serveru SMTP na předávání e-mailové zprávy do vzdálené domény. Jak je popsáno v Request for Comments (RFC) 282, body 2.1 a 3.7, SMTP byl navržen s možností předávání e-mailových zpráv.



Nicméně pokud není toto předávání řízeno, uživateli se zlými úmysly použít předávání k odeslání hromadné nevyžádané e-mailové zprávy. Neřízený hostitel je známé jako "open relay" hostitele. Odesláním těchto nevyžádaných e-mailových zpráv zprostředkujícímu hostiteli, uživateli se zlými úmysly skrýt svou identitu. To může také způsobit nadměrnému využívání prostředků na hostiteli předávání a zabránit hostiteli předávání v odesílání platné e-mailové zprávy. Zejména může uživatel se zlými úmysly rozesílající nevyžádané e-mailové zprávy odeslat jedinou zprávu mnoha příjemcům bez použití vlastní šířky pásma.

Produkty společnosti Microsoft, které jsou uvedeny v části "Platí pro" nejsou ve výchozím nastavení nakonfigurována pro režim open relay.

Další informace

Při použití některé nástroje jiných výrobců otestovat předávání pošty na serveru SMTP, SMTP server zdánlivě testem a produkt SMTP společnosti Microsoft mohou zdát open relay, ačkoli to není. Je to proto, že SMTP server nemusí okamžitě e-mailovou zprávu odmítnout. Místo toho SMTP server zpracuje e-mailové zprávy a potom odešle nedoručení zprávy (NDR). Další informace o odezva serveru SMTP na předávání naleznete v tématu odezva serveru SMTP na předávání zpráv. Další informace o testování serveru SMTP Relay, naleznete v části Testování předávání zpráv.



Obsahuje všechny adresy a odesílatele v konverzaci prostřednictvím protokolu SMTP dvě části: místní část a doménovou část. Pokud domény část, což je část následující bezprostředně zavináč (@), není zadána e-mailová zpráva je považována za místní. Některé produkty SMTP společnosti Microsoft připojují místní doménu, protože někteří uživatelé nakonfigurovat klienty SMTP používat uživatelské jméno jako e-mailovou adresu. Přidáním výchozí místní doméně serveru přidat, co je s největší pravděpodobností místní domény snížit náklady na podporu.



K tomuto chování dochází, protože některé produkty SMTP společnosti Microsoft nelze provádět vyhledávání v adresáři před přijetím e-mailové zprávy SMTP pro doručení. Produkty SMTP společnosti Microsoft pouze zkontrolujte, zda doména příjemce, zda je místní doménu nebo explicitně povolenou doménu. Pokud není doména příjemce místní domény nebo povolená, odpoví SMTP server chybovou zprávu, která je podobná následující:
550 5.7.1 Relaying zakázáno
Jediným požadavkem k zabránění přenosu je ověření, že je místní doménová část adresy příjemce. Kontrola adresáře poštovního serveru, zda příjemce je platný, je možnost, ale není vyžadován. Pokud poštovní server přijme zprávu a později rozhodne, že zprávu nelze doručit, musí vygenerovat zprávu o Nedoručení. Produkty SMTP společnosti Microsoft v souladu s tímto požadavkem.



Poznámka: Microsoft Exchange Server 2003 může provádět vyhledávání v adresáři během konverzace protokolu SMTP. Tuto funkci lze povolit povolit ve Správci systému. Další informace o filtrování příjemců na serveru Exchange Server 2003 klepněte na následující číslo článku databáze Microsoft Knowledge Base:

823866 konfigurace filtrování připojení pro použití seznamů blokovaných Realtime (RBL) a konfigurace filtrování příjemců na serveru Exchange 2003


Vyhledávání v adresáři během konverzace protokolu SMTP může použít k ověření adresy. Proto doporučujeme zapnout funkci TarpitTime, která je popsána v následujícím článku znalostní báze Microsoft Knowledge Base:
842851 funkce tar pit protokolu SMTP pro Microsoft Windows Server 2003

Důležité: Pokud musíte provádět vyhledávání v adresáři během konverzace protokolu SMTP, můžete napsat jímky událostí protokolu SMTP systému Microsoft Windows 2000. Další informace naleznete následujícím webu služby MSDN Platform SDK SMTP Server událostí:

Odezva serveru SMTP na předávání

Je doporučeno specifikaci RFC odpověď podobná následující:
550 5.1.1 uživatelské_jméno@název_domény. tld... Neznámý uživatel
S produkty, které jsou uvedeny v části "Platí pro" Microsoft rozhodla provádět vyhledávání v adresáři během konverzace protokolu SMTP z následujících důvodů:
  • Pokud SMTP server vrátí chybu 5xx uživateli se zlými úmysly, který se pokouší odeslat hromadné nevyžádané e-mailové zprávy uživateli se zlými úmysly okamžitě vědět, které adresy jsou skutečné. Pokud uživatel se zlými úmysly odešle jmen prostřednictvím protokolu SMTP, uživateli se zlými úmysly může jednoduše vytěžit seznam platných e-mailových adres. Také to může být riziko pro místní uživatele, protože názvy uživatelských účtů jsou často stejné jako e-mailové adresy.
  • Uživatel se zlými úmysly může použít adresu odesílatele získat neoprávněný přístup do systému a poté použít server oběti k odesílání zpráv o nedoručení zamýšlenému příjemci. Tento typ útoku, známý jako falšování, zasáhne pouze tento server dat, jaký útočník odešle. Jinými slovy Pokud uživatel se zlými úmysly chce odeslat 1 megabajt (MB) dat třetí straně, uživatel se zlými úmysly strávit 1 MB své šířky pásma 1 MB dat odeslat na SMTP server. Obvykle uživatel se zlými úmysly pokusí odeslat 1 MB dat, ale způsobit desítky či stovky MB dat na své oběti nebo skupině obětí prostřednictvím Internetu.
  • Pokud provedení vyhledávání v adresáři během konverzace protokolu SMTP konverzace protokolu SMTP může být pomalejší. Při publikování tohoto článku, Microsoft pracovala s předpokladem, že SMTP server musí fungovat co nejrychleji, aby se zabránilo zablokování zpráv SMTP v síti Internet nebo na stolní klienti SMTP. Někdy do adresáře mohou být také k dispozici, nebo přenosu určité domény mohou být požadovány, ale nemusí být k dispozici kopii adresáře. K tomuto chování může dojít v poskytovatel metadat Internetu (ISP), hostitelského prostředí.

Jak lze otestovat předávání zpráv

Můžete testovat váš server SMTP lze zjistit, zda je nakonfigurován na předávání e-mailových zpráv. V následujících příkladech testy předávání zpráv 1 až 5 nejsou serverem SMTP přijaty a jsou okamžitě odmítnuty. Testy 6 a 7 jsou přijímány serverem SMTP, ale e-mailová zpráva není předána a server nakonec vygeneruje zprávu o Nedoručení.

Spustit následující testy předávání zpráv, nejprve spustit relaci Telnet a připojte k portu 25 na serveru SMTP:

  1. Spusťte příkazový řádek.
  2. Zadejte příkaz telnet název_serveru 25, kde název_serveru je název serveru nebo adresu IP a 25 je číslo portu a stiskněte klávesu ENTER.
  3. Zadejte příkaz EHLOa stiskněte klávesu ENTER.

Test předávání zpráv 1

Toto je standardní test předávání zpráv protokolem SMTP. Klient SMTP nesmí mít povoleno předávání zpráv tímto způsobem, pokud ji výslovně připouští správce, nebo pokud klient nejprve ověřuje. Chcete-li provést tento test, postupujte takto:
  1. Na řádku relace programu Telnet zadejte příkaz RSET.

    Relace telnet odpoví text, který je podobný následujícímu:
    250 2.0.0 Resetting
  2. Typ MAIL:uživatelské_jméno@název_domény. TLD, kde uživatelské_jméno je jméno uživatele, název_domény je název domény a domény nejvyšší úrovně je doména nejvyšší úrovně, například .com nebo .net.


    Relace telnet odpoví text, který je podobný následujícímu:
    250 2.1.0 uživatelské_jméno@název_domény. tld.... Odesílatel: OK
  3. Typ RCPT:JménoPříjemce@název_domény. TLD, kde JménoPříjemce je e-mailová adresa příjemce.


    Relace telnet odpoví text, který je podobný následujícímu:
    550 5.7.1 Unable to relay JménoPříjemce@ název_domény. TLD

Test předávání zpráv 2

Tento test je téměř shodný s testem 1, ale odesílatelem je místní uživatel místo uživatele ve vzdálené doméně. Vzhledem k tomu, že z adresy jsou obecně používány k získání neoprávněného přístupu k systému, nesmí server předat e-mailovou zprávu. Chcete-li provést tento test, postupujte takto:
  1. Na řádku relace programu Telnet zadejte příkaz RSET.

    Relace telnet odpoví text, který je podobný následujícímu:
    250 2.0.0 Resetting
  2. Typ MAIL FROM:LocalUser, kde LocalUser je místní e-mailové jméno pro uživatelský účet v doméně a potom stiskněte klávesu ENTER.

    Relace telnet odpoví text, který je podobný následujícímu:
    250 2.1.0 LocalUser@název_domény. tld.... Odesílatel: OK
  3. Typ RCPT:JménoPříjemce@název_domény. TLD

    Relace telnet odpoví text, který je podobný následujícímu:
    550 5.7.1 Unable to relay JménoPříjemce@název_domény. TLD

Test předávání zpráv 3

Tento test je NULL nebo prázdné z adresy na obálku. Zprávy o nedoručitelnosti a další upozornění mají adresy obálky NULL. Oznámení však nesmí být předána, pokud je doména v adrese příjemce místní domény. Chcete-li provést tento test, postupujte takto:
  1. Na řádku relace programu Telnet zadejte příkaz RSET.

    Relace telnet odpoví text, který je podobný následujícímu:
    250 2.0.0 Resetting
  2. Typ MAIL FROM: <>, a stiskněte klávesu ENTER.

    Relace telnet odpoví text, který je podobný následujícímu:
    <> 250 2.1.0... Odesílatel: OK
  3. Typ RCPT:JménoPříjemce@název_domény. TLD

    Relace telnet odpoví text, který je podobný následujícímu:
    550 5.7.1 Unable to relay JménoPříjemce@název_domény. TLD

Test předávání zpráv 4

Tento test je shodný s testem 2, ale místní domény je explicitně přidat e-mailovou adresu. Server SMTP uzavřený pro nesmí předat tuto e-mailovou zprávu. Chcete-li provést tento test, postupujte takto:
  1. Na řádku relace programu Telnet zadejte příkaz RSET.

    Relace telnet odpoví text, který je podobný následujícímu:
    250 2.0.0 Resetting
  2. Typ MAIL:uživatelské_jméno@název_domény. TLD, kde název_domény je název místní domény a potom stiskněte klávesu ENTER.

    Relace telnet odpoví text, který je podobný následujícímu:
    250 2.1.0 uživatelské_jméno@název_domény. tld.... Odesílatel: OK
  3. Typ RCPT:uživatelské_jméno@název_domény. TLD, a stiskněte klávesu ENTER.

    Relace telnet odpoví text, který je podobný následujícímu:
    550 5.7.1 Unable to relay uživatelské_jméno@název_domény. TLD

Test předávání zpráv 5

Tento test je také stejný jako testem 2, ale místo názvu domény je použita adresa IP serveru. Přestože tento formát adresy všeobecně přijímán, server nesmí přijmout předání na vzdálenou doménu. V různých dalších testech, které používají "localhost" nebo název systému DNS (Domain Name) serveru v adrese odesílatele server nesmí předat e-mailové zprávy, které používají tento přístup. Chcete-li provést tento test, postupujte takto:
  1. Na řádku relace programu Telnet zadejte příkaz RSET.

    Relace telnet odpoví text, který je podobný následujícímu:
    250 2.0.0 Resetting
  2. Typ MAIL FROM:uživatelské jméno@10.10.10.10, a stiskněte klávesu ENTER.

    Relace telnet odpoví text, který je podobný následujícímu:
    250 2.1.0 uživatelské_jméno@10.10.10.10... Odesílatel: OK
  3. Typ RCPT:uživatelské_jméno@název_domény. TLD, a stiskněte klávesu ENTER.

    Relace telnet odpoví text, který je podobný následujícímu:
    550 5.7.1 Unable to relay uživatelské_jméno@název_domény. TLD

Test předávání zpráv 6

Tento test je konkrétně u starších serverů založených na systému UNIX, které připojují místní doménu a změnou směrovat e-mailové zprávy zavináč (@) na symbol procenta (%). Server potom zprávu předá. Symbol procenta (%) je platným znakem v místní části e-mailové adresy, a proto SMTP server může přijímat zprávy a pak v případě neúspěšného vyhledávání v adresáři odešle zprávu o Nedoručení. Produkty SMTP společnosti Microsoft nejsou zranitelné vůči tomuto druhu předávání, protože zpráva není předána dál a je vygenerována zpráva o Nedoručení. Chcete-li provést tento test, postupujte takto:
  1. Na řádku relace programu Telnet zadejte příkaz RSET.

    Relace telnet odpoví text, který je podobný následujícímu:
    250 2.0.0 Resetting
  2. Typ MAIL FROM:uživatelské jméno, a stiskněte klávesu ENTER.

    Relace telnet odpoví text, který je podobný následujícímu:
    @Název_domény uživatelské_jméno. tld.... Odesílatel: OK
  3. Typ RCPT: %jméno_uživatelenázev_domény. TLD, a stiskněte klávesu ENTER.

    Relace telnet odpoví text, který je podobný následujícímu:
    250 2.1.5 UserName%DomainName. @název_domény domény nejvyšší úrovně. TLD @Název_domény uživatelské_jméno. TLD
    Poznámka: Místní domény je připojen k doméně v e-mailovou adresu příjemce.

Test předávání zpráv 7

Tento test je variantou testu 6. Vzhledem k tomu, že znak uvozovky (") je platným znakem v místní části e-mailové adresy, SMTP server přijme zprávu a pak v případě neúspěšného vyhledávání v adresáři odešle zprávu o Nedoručení. Produkty SMTP společnosti Microsoft nejsou zranitelné vůči tomuto druhu předávání, protože zpráva není předána dál a je vygenerována zpráva o Nedoručení. Chcete-li provést tento test, postupujte takto:
  1. Na řádku relace programu Telnet zadejte příkaz RSET.

    Relace telnet odpoví text, který je podobný následujícímu:
    250 2.0.0 Resetting
  2. Typ MAIL FROM:uživatelské jméno, a stiskněte klávesu ENTER.

    Relace telnet odpoví text, který je podobný následujícímu:
    @Název_domény uživatelské_jméno. tld.... Odesílatel: OK
  3. Typ RCPT: "uživatelské_jméno@název_domény. TLD", a stiskněte klávesu ENTER.

    Relace telnet odpoví text, který je podobný následujícímu:
    "UserName@DomainName.tld"@DomainName.tld
    Poznámka: Místní domény je připojen k doméně v e-mailovou adresu příjemce.

Jak zjistit, zda je váš server SMTP uzavřený pro testy předávání zpráv 6 a 7

Pokud spustíte testy předávání zpráv 6 a 7 proti počítači se serverem Exchange 2000, testy vygenerují zprávu příjemci, který se nepřekládá a jsou přijímány zprávy o nedoručení poštovní schránku, která je uvedené v nástroji Exchange System Manager. Poštovní schránku lze nakonfigurovat pro nepřeložená jména příjemců ve vlastnostech výchozího virtuálního serveru SMTP v poli předávat všechny pošty s nevyřešené příjemci hostitele na kartě zprávy v nástroji Exchange System Manager.


Zprávy o nedoručení jsou důkazy, že e-mailové zprávy nejsou předány.

Odkazy

Další informace o tom, co dělat v případě, že používáte Exchange Server 5.5 a chcete-li nakonfigurovat server tak, aby nebyl v režimu open relay klepněte na následující číslo článku databáze Microsoft Knowledge Base:

196626 XFOR: omezení směrování služby Internet Mail

Další informace o tom, jak zabránit předávání pošty v systému Windows 2000 klepněte na následující číslo článku databáze Microsoft Knowledge Base:

310356 jak zabránit předávání pošty na serveru SMTP služby IIS 5.0 v systému Windows 2000

Existují obecné testy můžete otestovat předávání pošty na serveru SMTP. Například můžete použít nástroje a následujících webech jiných výrobců:

Společnost Microsoft poskytuje kontaktní informace jiného výrobce, a tím vám usnadňuje získání technické podpory. Tyto kontaktní informace se mohou změnit bez předchozího upozornění. Společnost Microsoft nezaručuje přesnost kontaktních informací jiných výrobců.

Produkty třetích stran, které tento článek popisuje jsou vyráběny společnostmi nezávislými na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku, implicitně předpokládanou ani jinou, ohledně výkonu nebo spolehlivosti těchto produktů.

Vlastnosti

ID článku: 304897 - Poslední kontrola: 20. 1. 2017 - Revize: 2

Váš názor