Wie sicheren SMTP-Client-Nachrichtenübermittlung in Exchange 2003

Zusammenfassung

Dieser Artikel beschreibt, wie Sicherheit für eingehende (SMTP = Simple Mail Transfer Protocol)-Clientverbindungen mit Exchange 2003-Computer konfigurieren. Diese Einstellungen ermöglichen Benutzer authentifizieren und sensible erhalten und verhindern den Benutzernamen, das Kennwort und den Nachrichteninhalt abgefangen. Sie müssen Benutzer, die Post Office Protocol 3 (POP3) oder Internet Message Access Protocol 4 (IMAP4) verwenden, um Exchange 2003-Computer herstellen. Bei beiden Protokollen basiert SMTP für die Nachrichtenübermittlung.

Hinweis Bei einer Standardinstallation von Exchange 2003 müssen Sie keinen zusätzliche Optionen für POP3 oder IMAP4-Clients konfigurieren, die mit dem Server herstellen. Dieser Artikel beschreibt einige Standardeinstellungen und enthält Informationen über zusätzliche Exchange 2003 verfügbaren Optionen.

zurück zum Anfang

Hinweise

Beachten Sie Folgendes gelten:

Erstellen eines zusätzlichen virtuellen SMTP-Servers



Erstellen Sie einen neuen virtuellen SMTP-Server eingehende Clientverbindungen verwendet.

Verbindungsoptionen



Verbindungskontrolle schränkt Verbindungen, die auf IP-Adresse oder Domänenname mit Domain Name System (DNS)-reverse-Lookups. Steueroptionen Verbindung verschlüsseln nicht Kennwörter und Daten.

Zugriffskontrolle



Konfigurieren Sie die Standardauthentifizierung, die anonyme Authentifizierung oder integrierte Windows-Authentifizierung (früher benannten NTLM oder Windows NT Challenge/Response-Authentifizierung). Da die Standardauthentifizierung Benutzernamen und Kennwörter als Klartext sendet, ist nicht sicher. Um die Verschlüsselung von Benutzernamen und Kennwörtern zu aktivieren, verwenden Sie entweder die Standardauthentifizierung mit Transport Layer Security (TLS) oder verwenden Sie integrierte Windows-Authentifizierung. Wie Secure Sockets Layer (SSL), werden TLS verschlüsselt Benutzernamen, Kennwörter und Nachrichtendaten. Anmerkung die integrierte Windows-Authentifizierung nur in Szenarien funktioniert, Client-Computer einen Windows-basierte Domänencontroller seine Anmeldeinformationen erreichen können. Dieser Kontakt kann nicht in den meisten Firewallkonfigurationen auftreten. Interne Implementierung auf SMTP (wo die Sitzung nicht das Internet durchsucht) können jedoch integrierte Windows-Authentifizierung.

Verschlüsselung



Gesicherte Kommunikation verschlüsselt die SMTP-Sitzung einschließlich der Benutzername, das Kennwort und den Daten mit SSL-Verschlüsselung. Es ist besser, wenn Sie SSL für alle SMTP-Verbindung mit Exchange 2003 verwenden, die auf öffentliche Netzwerke wie das Internet gesendet. Sie müssen ein Zertifikat auf dem virtuellen SMTP-Server installieren. Sie können entweder eine externe Zertifizierungsstelle verwenden oder Zertifikatsdienste können auf der Microsoft Active Directory-Verzeichnisdienststruktur So installieren Sie ein Zertifikat installieren.

Steuerung der Weiterleitung



Standardmäßig Erstellung einen virtuellen SMTP-Server in Exchange 2003 ist es konfiguriert um die Weiterleitung von e-Mail-Nachrichten zu verhindern. Beachten Sie, dass Benutzer haben Ihre POP3 oder IMAP4-Clients keine Berechtigung zur Weiterleitung, SMTP-Nachrichten an externe Domänen über den virtuellen SMTP-Server senden können. Wenn Sie die Weiterleitung von Nachrichten gestatten, kann, ein Benutzer verwendet werden unerwünschte kommerzielle e-Mail-Nachrichten (junk-Mail-Nachrichten) zu verbreiten. Wenn Sie die Relay-Standardeinstellungen verwenden, können nur authentifizierte Clients Nachrichten über den virtuellen SMTP-Server weiterleiten. Für Weitere Informationen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

Sichern des Clientzugriffs in Exchange 2000 Internet Message Access Protocol 319278 wie

zurück zum Anfang

Erstellen Sie einen neuen virtuellen SMTP-Server

  1. Klicken Sie auf Start, zeigen Sie auf
    Programme, zeigen Sie auf Microsoft Exchangeund klicken Sie dann auf System-Manager.
  2. Erweitern Sie Administrative_gruppen (gegebenenfalls)
    Administrative Gruppe (gegebenenfalls), erweitern Sie Server, erweitern Sie
    ServerName, und erweitern Sie dann
    Protokolle.
  3. Maustaste auf SMTP, zeigen Sie auf
    Neu, und klicken Sie dann auf Virtuellen SMTP-Server.
  4. Geben Sie im Feld Name den Namen des virtuellen Servers, und klicken Sie auf Weiter.
  5. Klicken Sie auf die IP-Adresse, die Sie möchten, und klicken Sie dann auf
    Fertig stellen.
  6. Nach dem Erstellen des virtuellen SMTP-Servers bestätigen Sie, dass der neue virtuelle Server den richtigen vollständig qualifizierten Domänennamen (FQDN) verwenden. Dazu:
    1. Maustaste erstellten virtuellen SMTP-Server, und klicken Sie dann auf Eigenschaften.
    2. Klicken Sie auf die Registerkarte Übermittlung , und klicken Sie dann auf
      Erweiterte.
    3. Überprüfen Sie, ob der Domänenname in der
      Vollqualifizierter Domänenname im Feld entspricht dem Namen, den der Benutzer eingeben, wenn sie ihre Client-Software SMTP-Mail zu konfigurieren. Klicken Sie auf DNS überprüfen, bestätigen, dass der Domänenname richtig aufgelöst wird.
    4. Klicken Sie auf OK, und klicken Sie dann auf
      OK.
Hinweis Wenn Sie einen virtuellen SMTP-Server für Clients, die virtuelle SMTP-Server über das Internet zugreifen konfigurieren, müssen Sie externe DNS-Server konfigurieren, weil der FQDN des virtuellen SMTP-Servers in eine externe Internetadresse auflösen muss. Dazu klicken Sie im Dialogfeld Erweiterte Übermittlungsoptionen Konfigurieren , klicken Sie auf Hinzufügenund geben Sie die IP-Adresse des externen DNS-Servers. Für Weitere Informationen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

326992 ausgehende SMTP-Nachrichten werden nicht gesendet.



zurück zum Anfang

So konfigurieren Sie IP-Adressbeschränkungen

So konfigurieren Sie IP-Adressbeschränkungen
  1. Klicken Sie auf Start, zeigen Sie auf
    Programme, zeigen Sie auf Microsoft Exchangeund klicken Sie dann auf System-Manager.
  2. Erweitern Sie Administrative_gruppen (gegebenenfalls)
    Administrative Gruppe (gegebenenfalls), erweitern Sie Server, erweitern Sie
    ServerName, und erweitern Sie dann
    Protokolle.
  3. Erweitern Sie SMTPrechten Maustaste auf Virtueller Standardserver für SMTPund klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Zugriff , und klicken Sie dann auf
    Verbindung.
  5. Klicken Sie im Dialogfeld Verbindung auf
    Nur Computer in der Liste.

    Dies bedeutet, dass nur die IP-Adressen und Domänen, die in der Liste Verbindung zum virtuellen SMTP-Server zulässig sind.
  6. Klicken Sie auf Hinzufügen, und führen Sie dann eine der folgenden, abhängig von Ihrer Situation einen einzelnen Computer, eine Gruppe von Computern oder eine Domäne hinzufügen:
    • Um einen einzelnen Computer hinzuzufügen, klicken Sie auf EinzelcomputerGeben Sie im Feld IP-Adresse die IP-Adresse des e-Mail-Nachrichtenservers Internetdienstanbieter (ISP) und klicken Sie dann auf
      OK.

      Alternativ klicken Sie auf DNS-SucheGeben Sie einen Hostnamen ein und klicken Sie dann auf OK.
    • Um eine Gruppe von Computern hinzuzufügen, klicken Sie auf Gruppe von Computern, geben Sie die Subnetzadresse und die Subnetzmaske der Gruppe in die entsprechenden Felder ein und klicken Sie auf OK.


      Microsoft empfiehlt diese Option, wenn Ihr Internetdienstanbieter dazu tendiert, die IP-Adresse seiner e-Mail-Nachrichtenserver ohne Vorwarnung zu ändern.
    • Um eine Domäne hinzuzufügen, klicken Sie auf Domäne, geben Sie den Domänennamen ein, dem im Feld Name soll und klicken Sie dann auf
      OK.

      Beachten Sie, dass diese Option einen DNS-reverse-Lookup für jede eingehende Verbindung erfordert. Diese Anforderung kann die Leistung des Exchange-Servers beeinträchtigen. Weitere Informationen finden Sie unter der
      Abschnitt Problembehandlung in diesem Artikel.
zurück zum Anfang

Konfigurieren der Access Control

So konfigurieren Sie die Zugriffskontrolle
  1. Klicken Sie auf Start, zeigen Sie auf
    Programme, zeigen Sie auf Microsoft Exchangeund klicken Sie dann auf System-Manager.
  2. Erweitern Sie Administrative_gruppen (gegebenenfalls)
    Administrative Gruppe (gegebenenfalls), erweitern Sie Server, erweitern Sie
    ServerName, und erweitern Sie dann
    Protokolle.
  3. Erweitern Sie SMTP, Maustaste virtuellen SMTP-Server und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Zugriff , und klicken Sie dann auf
    Authentifizierung.

    Standardmäßig ist der anonyme Zugriff deaktiviert und Standardauthentifizierung und integrierte Windows-Authentifizierung aktiviert. Konfigurieren Sie den virtuellen Server Standardauthentifizierung mit TLS-Verschlüsselung oder die integrierte Windows-Authentifizierung verwenden, und klicken Sie auf
    OK.
Hinweis Die Anmeldung müssen mit der Option Kennwortauthentifizierung SMTP-Client-Software. Dazu in Microsoft Outlook Express:
  1. Starten Sie Outlook Express.
  2. Klicken Sie im Menü Extras auf
    Konten.
  3. Klicken Sie auf die Registerkarte E-Mail , und klicken Sie dann auf
    Eigenschaften.
  4. Klicken Sie auf die Registerkarte Server , aktivieren das Kontrollkästchen Anmeldung durch gesicherte Kennwort-Authentifizierung und auf OK Klicken.
    Beachten Sie, dass der Benutzername und das Kennwort verschlüsselt werden. Daten werden nicht verschlüsselt.
zurück zum Anfang

Konfigurieren der Verschlüsselung

Konfigurieren der Verschlüsselung:
  1. Klicken Sie auf Start, zeigen Sie auf
    Programme, zeigen Sie auf Microsoft Exchangeund klicken Sie dann auf System-Manager.
  2. Erweitern Sie Administrative_gruppen (gegebenenfalls)
    Administrative Gruppe (gegebenenfalls), erweitern Sie Server, erweitern Sie
    ServerName, und erweitern Sie dann
    Protokolle.
  3. Erweitern Sie SMTP, Maustaste virtuellen SMTP-Server und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Zugriff , und klicken Sie dann auf
    Zertifikat. Assistent für Webserverzertifikate wird gestartet.
  5. Klicken Sie auf Weiter.
  6. Gehen Sie die verbleibenden Seiten des Assistenten ein neues Zertifikat erstellen oder ein vorhandenes Zertifikat zuweisen.
Nachdem das Zertifikat auf dem Server installiert ist, konfigurieren Sie die Kommunikationsmethode. Dazu:
  1. Klicken Sie auf Start, zeigen Sie auf
    Programme, zeigen Sie auf Microsoft Exchangeund klicken Sie dann auf System-Manager.
  2. Erweitern Sie Administrative_gruppen (gegebenenfalls)
    Administrative Gruppe (gegebenenfalls), erweitern Sie Server, erweitern Sie
    ServerName, und erweitern Sie dann
    Protokolle.
  3. Erweitern Sie SMTP, Maustaste virtuellen SMTP-Server und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Zugriff , und klicken Sie dann auf
    Kommunikation.
  5. Aktivieren Sie das Kontrollkästchen sicheren Kanal verlangen.
  6. Wenn Exchange 2003-Computer und die Clients 128-Bit-Verschlüsselung unterstützen, klicken Sie auf erfordert 128-Bit-Verschlüsselung.
  7. Klicken Sie auf OK, und klicken Sie dann auf
    OK.
  8. Beenden Sie und starten Sie den virtuellen SMTP-Server.
Wenn die Clients Outlook Express verwenden, konfigurieren Sie Outlook Express zum Verwenden von SSL. Dazu:
  1. Starten Sie Outlook Express.
  2. Klicken Sie im Menü Extras auf
    Konten.
  3. Klicken Sie auf die Registerkarte E-Mail .
  4. Doppelklicken Sie auf das Exchange Server-Konto, und klicken Sie dann auf die Registerkarte Erweitert .
  5. Klicken Sie unter Postausgang (SMTP)das Kontrollkästchen dieser Server erfordert eine sichere Verbindung (SSL).
  6. Klicken Sie auf OK, und klicken Sie dann auf
    Schließen.
zurück zum Anfang

Konfigurieren der Weiterleitung

Konfigurieren der Weiterleitung:
  1. Klicken Sie auf Start, zeigen Sie auf
    Programme, zeigen Sie auf Microsoft Exchangeund klicken Sie dann auf System-Manager.
  2. Erweitern Sie Administrative_gruppen (gegebenenfalls)
    Administrative Gruppe (gegebenenfalls), erweitern Sie Server, erweitern Sie
    ServerName, und erweitern Sie dann
    Protokolle.
  3. Erweitern Sie SMTP, Maustaste virtuellen SMTP-Server und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Zugriff , und klicken Sie dann auf
    Relay.

    Die Standardeinstellungen berechtigen authentifizierte Clients, Nachrichten weiterzuleiten. Normalerweise reichen dazu, dass nur Clients mit den richtigen Anmeldeinformationen Nachrichten über den virtuellen SMTP-Server weiterleiten können. Sie können Relayberechtigungen auch auf einzelne IP-Adressen, IP-Adressbereiche oder DNS-Suffixe beschränken.
  5. Klicken Sie auf OK.
zurück zum Anfang

Überprüft, ob SMTP virtuellen Server konfigurieren, die Konfiguration ordnungsgemäß funktioniert

Testen Sie, ob SMTP virtuellen Server konfigurieren, die Konfiguration ordnungsgemäß funktioniert:
  • Bestätigen, dass IP-Einschränkungen ordnungsgemäß verwenden Sie POP3- und IMAP4-Clients, mit ausgeschlossenen IP-Adresse eine Verbindung mit dem Server. Wenn IP-Einschränkungen ordnungsgemäß konfiguriert sind, erhalten Sie eine Meldung, die besagt, dass eine Verbindung mit dem Server abgelehnt.
  • Authentifizierung Verschlüsselung überprüfen:
    1. Führen Sie Netzwerkmonitor auf Ihrem Exchange 2003-Computer und verwenden Sie die Standardeinstellungen Authentifizierung initiiert eine SMTP-Sitzung vom Client während den Datenverkehr zu erfassen, die zu Exchange 2003-Computer.
    2. Überprüfen der SMTP-Sitzung und beachten Sie die Pakete vom Client an den Server auf Port 25 (0019h).

      Beachten Sie, dass Anmeldenamen und das Kennwort des Benutzers als Klartext gesendet werden.
    3. Unterstützung für Standardauthentifizierung, konfigurieren Sie den Client Gesicherte Kennwortauthentifizierungerfordert, einen anderen SMTP-Sitzung vom Client initiiert und erfassen den Netzwerkverkehr im Netzwerkmonitor.

      Das Benutzerkonto und das Kennwort sind nun verschlüsselt.
  • So testen Sie die SSL-Verschlüsselung:
    1. Hinzufügen eines Zertifikats, konfigurieren, damit Sie einen sicheren auf dem virtuellen SMTP-Server Kanal, und konfigurieren Sie den Client SSL verwenden.
    2. Starten einer Netzwerkmonitor-Aufzeichnung und initiiert eine SMTP-Mail Auflistung Clientsitzung.
    3. Beenden Sie die Aufzeichnung und untersuchen Sie die Pakete, die gesendet wurden.

      Beachten Sie, dass alle vom Client an den Serverpakete mit Ziel-Port 25 (0019h) verschlüsselt.
    Hinweis Wenn Verschlüsselung für POP3 oder IMAP4 e-Mail-Auflistung nicht aktiviert haben, wird möglicherweise noch einige unverschlüsselte Pakete vom Client angezeigt, die für Port 110 (006Eh) oder Port 143 (008Fh) bestimmt sind.
  • Prüfen Sie, ob Relayeinschränkungen richtig funktionieren, Senden von ausgeschlossenen IP-Adresse an eine externe Domäne. Sie erhalten eine Fehlermeldung, die besagt, dass der Server für die Adresse des Empfängers weiterleiten konnte.
zurück zum Anfang

Problembehandlung

Eingeschränkt, die auf DNS-Suche können die Leistung des Exchange 2003-Computers beeinträchtigen. Da der Server für jede eingehende Verbindung ein reverse-DNS-Lookup durchführt, muss DNS-reverse-Lookupzone verfügbar sein und der sendende Host muss bei dieser Zone registriert sein.


zurück zum Anfang

Referenzen

Weitere Informationen zu Exchange Server 2003 finden Sie auf der folgenden Microsoft-Website:zurück zum Anfang
Eigenschaften

Artikelnummer: 823019 – Letzte Überarbeitung: 16.01.2017 – Revision: 2

Feedback