Jak pomóc zabezpieczyć dostarczanie wiadomości za pośrednictwem klienta SMTP w programie Exchange 2003

Streszczenie

W artykule opisano sposób konfiguracji ustawień zabezpieczeń dla połączeń przychodzących klienta protokołu SMTP (Simple Mail Transfer Protocol) na komputerach z programem Exchange 2003. Ustawienia te umożliwiają użytkownikom uwierzytelnianie i otrzymywanie potencjalnie wrażliwych informacji oraz ułatwiają zapobieganie przechwyceniu nazwy użytkownika, hasła lub treści wiadomości. Wśród użytkowników mogą być tacy, którzy muszą używać protokołu POP3 (Post Office Protocol 3) lub IMAP4 (Internet Message Access Protocol 4) w celu nawiązania połączenia z komputerem z programem Exchange 2003. Oba te protokoły wykorzystują protokół SMTP do dostarczania wiadomości.

Uwaga W przypadku domyślnej instalacji programu Exchange 2003 nie trzeba konfigurować dodatkowych opcji dla klientów protokołu POP3 lub IMAP4 łączących się z serwerem. W artykule opisano niektóre domyślne ustawienia zabezpieczeń oraz dodatkowe opcje dostępne w programie Exchange 2003.

Powrót do początku

Informacje

Należy rozważyć następujące informacje, które dotyczą tego tematu:

Tworzenie dodatkowego serwera wirtualnego SMTPTworzenie nowego serwera wirtualnego SMTP dla przychodzących połączeń klienta.

Sterowanie połączeniemFunkcja sterowania połączeniem ogranicza połączenia oparte na adresie IP lub nazwie domeny, w tym wsteczne wyszukiwania systemu DNS. Opcje sterowania połączeniem nie umożliwiają szyfrowania haseł ani danych wiadomości.

Kontrola dostępuMożna skonfigurować uwierzytelnianie podstawowe, anonimowe lub zintegrowane uwierzytelnianie systemu Windows (poprzednio nazywane uwierzytelnianiem NTLM lub uwierzytelnianiem typu Wezwanie/Odpowiedź systemu Windows NT). Uwierzytelnianie podstawowe nie jest bezpieczne, gdyż przy takim ustawieniu nazwy użytkowników oraz hasła są wysyłane jako zwykły tekst. Aby włączyć szyfrowanie nazw użytkowników i haseł, należy użyć uwierzytelniania podstawowego z protokołem TLS (Transport Layer Security) lub zintegrowanego uwierzytelniania systemu Windows. Podobnie jak protokół SSL (Secure Sockets Layer), protokół TLS szyfruje nazwy użytkowników, hasła i dane wiadomości. Należy zauważyć, że zintegrowane uwierzytelnianie systemu Windows działa tylko w przypadkach, gdy komputer kliencki może skontaktować się z kontrolerem domeny z systemem Windows w celu sprawdzenia jego poświadczeń. W większości przypadków konfiguracji zapór połączenie takie nie może zostać zrealizowane. Jednak w przypadku wewnętrznego wdrożenia dostępu SMTP (gdy sesja logowania nie przechodzi przez Internet) istnieje możliwość użycia zintegrowanego uwierzytelniania systemu Windows.

SzyfrowanieRozszerzony mechanizm zabezpieczeń komunikacji szyfruje sesję SMTP, w tym nazwę użytkownika, hasło i dane wiadomości, korzystając z szyfrowania SSL. Lepiej jest stosować protokół SSL dla wszystkich połączeń SMTP w programie Exchange 2003, które przechodzą przez sieci publiczne, takie jak Internet. Należy zainstalować certyfikat na wirtualnym serwerze SMTP. Można użyć zewnętrznego urzędu certyfikacji lub zainstalować Usługi certyfikatów w lesie usług katalogowych Microsoft Active Directory w celu zainstalowania certyfikatu.

Sterowanie przekazywaniemDomyślnie serwer wirtualny SMTP tworzony w programie Exchange 2003 jest konfigurowany w taki sposób, aby uniemożliwiać przekazywanie wiadomości e-mail. Należy zauważyć, że jeśli klienci protokołu POP3 lub IMAP4 nie mają uprawnień do przekazywania, użytkownicy nie mogą wysyłać wiadomości przy użyciu protokołu SMTP do domen zewnętrznych za pośrednictwem serwera wirtualnego SMTP. Jeśli jednak zezwoli się na przekazywanie wiadomości, użytkownik może zostać wykorzystany w celu rozsyłania niechcianej poczty komercyjnej (wiadomości-śmieci). Jeśli użyje się domyślnych ustawień przekazywania, tylko uwierzytelnieni klienci będą mogli przekazywać wiadomości za pośrednictwem serwera wirtualnego SMTP.Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

319278 How to secure Internet Message Access Protocol client access in Exchange 2000

Powrót do początku

Tworzenie nowego serwera wirtualnego SMTP

 1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Microsoft Exchange, a następnie kliknij polecenie System Manager.
 2. Rozwiń węzeł Administrative Groups (jeśli jest taka potrzeba), rozwiń węzeł AdministrativeGroup (jeśli jest taka potrzeba), rozwiń węzeł Servers, rozwiń węzeł ServerName, a następnie rozwiń węzeł Protocols.
 3. Kliknij prawym przyciskiem myszy pozycję SMTP, wskaż polecenie Nowy, a następnie kliknij polecenie Serwer wirtualny SMTP.
 4. W polu Nazwa wpisz nazwę serwera wirtualnego, a następnie kliknij przycisk Dalej.
 5. Kliknij adres IP, którego chcesz używać, a następnie kliknij przycisk Zakończ.
 6. Po utworzeniu serwera wirtualnego SMTP sprawdź, czy nowy serwer wirtualny korzysta z właściwej w pełni kwalifikowanej nazwy domeny (FQDN): W tym celu należy wykonać następujące czynności:
  1. Kliknij prawym przyciskiem myszy utworzony serwer wirtualny SMTP, a następnie kliknij polecenie Właściwości.
  2. Kliknij kartę Delivery, a następnie kliknij przycisk Advanced.
  3. Sprawdź, czy nazwa domeny w polu Fully-qualified domain name jest zgodna z nazwą wpisywaną przez użytkowników podczas konfigurowania oprogramowania klienta w celu dostarczania poczty wysyłanej przy użyciu protokołu SMTP. Aby sprawdzić, czy nazwa domeny jest prawidłowo rozpoznawana, kliknij opcję Check DNS.
  4. Kliknij przycisk OK, a następnie ponownie kliknij przycisk OK.
Uwaga Jeśli konfigurujesz serwer wirtualny SMTP dla klientów uzyskujących dostęp do niego za pośrednictwem Internetu, może zaistnieć potrzeba skonfigurowania zewnętrznych serwerów DNS, ponieważ w pełni kwalifikowana nazwa domeny serwera wirtualnego SMTP musi rozpoznawać zewnętrzny adres internetowy. W tym celu kliknij opcję Configure w oknie dialogowym Advanced Delivery, kliknij przycisk Add, a następnie wpisz adres IP zewnętrznego serwera DNS. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

326992 XFOR: Wychodzące komunikaty poczty SMTP nie są wysyłanePowrót do początku

Konfiguracja ograniczeń adresów IP

Aby skonfigurować ograniczenia adresów IP:
 1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Microsoft Exchange, a następnie kliknij polecenie System Manager.
 2. Rozwiń węzeł Administrative Groups (jeśli jest taka potrzeba), rozwiń węzeł AdministrativeGroup (jeśli jest taka potrzeba), rozwiń węzeł Servers, rozwiń węzeł ServerName, a następnie rozwiń węzeł Protocols.
 3. Rozwiń węzeł SMTP, kliknij prawym przyciskiem myszy pozycję Default SMTP Virtual Server, a następnie kliknij polecenie Properties.
 4. Kliknij kartę Access, a następnie kliknij przycisk Connection.
 5. W oknie dialogowym Connection kliknij opcję Only the list below.

  Oznacza to, że tylko adresy IP i domeny wymienione na liście mogą łączyć się z serwerem wirtualnym SMTP.
 6. Kliknij przycisk Add, a następnie wykonaj jedną z następujących czynności, aby dodać pojedynczy komputer, grupę komputerów lub domenę, stosownie do potrzeb:
  • Aby dodać jeden komputer, kliknij pozycję Single Computer, wpisz adres IP serwera poczty e-mail swojego usługodawcy internetowego (ISP) w polu IP address, a następnie kliknij przycisk OK.

   Można też kliknąć pozycję DNS Lookup, wpisać nazwę hosta, a następnie kliknąć przycisk OK.
  • Aby dodać grupę komputerów, kliknij pozycję Group of computers, wpisz adres podsieci oraz maskę podsieci grupy w odpowiednich polach, a następnie kliknij przycisk OK.


   Firma Microsoft zaleca korzystanie z tej opcji, jeśli istnieje prawdopodobieństwo, że usługodawca internetowy zmieni adres IP serwera poczty e-mail bez uprzedzenia.
  • Aby dodać domenę, kliknij pozycję Domain, wpisz nazwę domeny w polu Name, a następnie kliknij przycisk OK.

   Należy zauważyć, że opcja ta wymaga wyszukiwania wstecznego DNS przy każdym połączeniu przychodzącym. Może to negatywnie wpłynąć na wydajność serwera Exchange. Więcej informacji zawiera sekcja Rozwiązywanie problemów w dalszej części tego artykułu.
Powrót do początku

Konfiguracja kontroli dostępu

Aby skonfigurować kontrolę dostępu:
 1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Microsoft Exchange, a następnie kliknij polecenie System Manager.
 2. Rozwiń węzeł Administrative Groups (jeśli jest taka potrzeba), rozwiń węzeł AdministrativeGroup (jeśli jest taka potrzeba), rozwiń węzeł Servers, rozwiń węzeł ServerName, a następnie rozwiń węzeł Protocols.
 3. Rozwiń węzeł SMTP, kliknij prawym przyciskiem myszy serwer wirtualny SMTP, a następnie kliknij polecenie Properties.
 4. Kliknij kartę Access, a następnie kliknij przycisk Authentication.

  Domyślnie dostęp anonimowy jest wyłączony, a uwierzytelnianie podstawowe i zintegrowane uwierzytelnianie systemu Windows jest włączone. Skonfiguruj serwer wirtualny SMTP, aby korzystał z uwierzytelniania podstawowego z szyfrowaniem TLS lub zintegrowanego uwierzytelniania systemu Windows, a następnie kliknij przycisk OK.
Uwaga Należy także włączyć logowanie przy użyciu opcji Secure Password Authentication w oprogramowaniu klienta SMTP. W tym celu w programie Microsoft Outlook Express:
 1. Uruchom program Outlook Express.
 2. W menu Narzędzia kliknij polecenie Konta.
 3. Kliknij kartę Poczta, a następnie kliknij przycisk Właściwości.
 4. Kliknij kartę Serwery, kliknij, aby zaznaczyć pole wyboru Logowanie przy użyciu bezpiecznego uwierzytelniania hasła, kliknij przycisk OK, a następnie kliknij przycisk Zamknij.
  Należy zauważyć, że nazwa użytkownika i hasło są szyfrowane. Dane wiadomości nie są szyfrowane.
Powrót do początku

Konfiguracja szyfrowania

Aby skonfigurować szyfrowanie:
 1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Microsoft Exchange, a następnie kliknij polecenie System Manager.
 2. Rozwiń węzeł Administrative Groups (jeśli jest taka potrzeba), rozwiń węzeł AdministrativeGroup (jeśli jest taka potrzeba), rozwiń węzeł Servers, rozwiń węzeł ServerName, a następnie rozwiń węzeł Protocols.
 3. Rozwiń węzeł SMTP, kliknij prawym przyciskiem myszy serwer wirtualny SMTP, a następnie kliknij polecenie Properties.
 4. Kliknij kartę Access, a następnie kliknij przycisk Certificate. Uruchomiony zostanie Kreator certyfikatów serwera sieci Web.
 5. Kliknij przycisk Dalej.
 6. Wykonuj instrukcje wyświetlane na pozostałych stronach kreatora, aby utworzyć nową certyfikację lub przypisać istniejący certyfikat.
Po zainstalowaniu certyfikatu na serwerze skonfiguruj metodę komunikacji. W tym celu wykonaj następujące czynności:
 1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Microsoft Exchange, a następnie kliknij polecenie System Manager.
 2. Rozwiń węzeł Administrative Groups (jeśli jest taka potrzeba), rozwiń węzeł AdministrativeGroup (jeśli jest taka potrzeba), rozwiń węzeł Servers, rozwiń węzeł ServerName, a następnie rozwiń węzeł Protocols.
 3. Rozwiń węzeł SMTP, kliknij prawym przyciskiem myszy serwer wirtualny SMTP, a następnie kliknij polecenie Properties.
 4. Kliknij kartę Access, a następnie kliknij przycisk Communication.
 5. Kliknij, aby zaznaczyć pole wyboru Require secure channel.
 6. Jeśli zarówno komputer z programem Exchange 2003, jak i klienci obsługują szyfrowanie 128-bitowe, kliknij opcję Require 128-bit encryption.
 7. Kliknij przycisk OK, a następnie ponownie kliknij przycisk OK.
 8. Zatrzymaj, a następnie ponownie uruchom serwer wirtualny SMTP.
Jeśli klienci korzystają z programu Outlook Express, skonfiguruj go, aby używał protokołu SSL. W tym celu wykonaj następujące czynności:
 1. Uruchom program Outlook Express.
 2. W menu Narzędzia kliknij polecenie Konta.
 3. Kliknij kartę Poczta.
 4. Kliknij dwukrotnie konto poczty programu Exchange Server, a następnie kliknij kartę Zaawansowane.
 5. W obszarze Poczta wychodząca (SMTP) kliknij, aby zaznaczyć pole wyboru Ten serwer wymaga bezpiecznego połączenia (SSL).
 6. Kliknij przycisk OK, a następnie kliknij przycisk Zamknij.
Powrót do początku

Konfiguracja przekazywania

Aby skonfigurować przekazywanie:
 1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Microsoft Exchange, a następnie kliknij polecenie System Manager.
 2. Rozwiń węzeł Administrative Groups (jeśli jest taka potrzeba), rozwiń węzeł AdministrativeGroup (jeśli jest taka potrzeba), rozwiń węzeł Servers, rozwiń węzeł ServerName, a następnie rozwiń węzeł Protocols.
 3. Rozwiń węzeł SMTP, kliknij prawym przyciskiem myszy serwer wirtualny SMTP, a następnie kliknij polecenie Properties.
 4. Kliknij kartę Access, a następnie kliknij przycisk Relay.

  Ustawienia domyślne zezwalają na przekazywanie wiadomości przez uwierzytelnionych klientów. Zwykle ustawienia te wystarczają, aby tylko klienci z prawidłowymi poświadczeniami mogli przekazywać wiadomości za pośrednictwem serwera wirtualnego SMTP. Można także ograniczyć uprawnienia do przekazywania do pojedynczych adresów IP, zakresów adresów IP lub sufiksów DNS.
 5. Kliknij przycisk OK.
Powrót do początku

Sprawdzanie, czy skonfigurowane ustawienia serwera wirtualnego SMTP działają prawidłowo

Aby sprawdzić, czy skonfigurowane ustawienia serwera wirtualnego SMTP działają prawidłowo:
 • W celu sprawdzenia, czy ograniczenia adresów IP działają prawidłowo, użyj klientów POP3 i IMAP4, aby spróbować połączyć się z serwerem z wykluczonego adresu IP. Jeśli ograniczenia adresów IP są skonfigurowane prawidłowo, wyświetlony zostanie komunikat informujący o odrzuceniu połączenia z serwerem.
 • Aby sprawdzić szyfrowanie uwierzytelniania:
  1. Uruchom Monitor sieci na komputerze z programem Exchange 2003 i użyj domyślnych ustawień uwierzytelniania, aby zainicjować sesję SMTP z klienta podczas przechwytywania ruchu przychodzącego do komputera z programem Exchange 2003.
  2. Przejrzyj sesję SMTP i zwróć uwagę na pakiety przesyłane od klienta do serwera w porcie 25 (0019h).

   Zauważ, że nazwa logowania użytkownika oraz hasło są wysłane jako zwykły tekst.
  3. Usuń obsługę uwierzytelniania podstawowego, skonfiguruj klienta, aby wymagał Bezpiecznego uwierzytelniania hasła, zainicjuj inną sesję SMTP z klienta, a następnie przechwyć ruch w Monitorze sieci.

   Konto użytkownika i hasło są teraz szyfrowane.
 • Aby przetestować szyfrowanie SSL:
  1. Dodaj certyfikat, skonfiguruj ustawienia, aby na serwerze wirtualnym SMTP wymagany był kanał z rozszerzonymi zabezpieczeniami, a następnie skonfiguruj klienta, aby używał protokołu SSL.
  2. Rozpocznij przechwytywanie w Monitorze sieci, a następnie zainicjuj z klienta sesję odbierania poczty wysyłanej przy użyciu protokołu SMTP.
  3. Zatrzymaj przechwytywanie i sprawdź wysłane pakiety.

   Zauważ, że wszystkie pakiety o porcie docelowym 25 (0019h) wysyłane z klienta do serwera są szyfrowane.
  Uwaga Jeśli szyfrowanie odbierania poczty wysyłanej przy użyciu protokołu POP3 lub IMAP4 nie zostało włączone, można nadal obserwować wysyłane z klienta niezaszyfrowane pakiety, mające port docelowy 110 (006Eh) lub 143 (008Fh).
 • Aby sprawdzić, czy ograniczenia przekazywania działają prawidłowo, wyślij wiadomość e-mail z wykluczonego adresu IP do domeny zewnętrznej. Wyświetlony zostanie komunikat o błędzie informujący, że serwer nie mógł przekazać wiadomości na adres odbiorcy.
Powrót do początku

Rozwiązywanie problemów

Wszelkie ograniczenia oparte na wyszukiwaniu DNS mogą mieć negatywny wpływ na wydajność komputera z programem Exchange 2003. Ponieważ serwer wykonuje wyszukiwanie wsteczne DNS przy każdym połączeniu przychodzącym, strefa wyszukiwania wstecznego DNS musi być dostępna i host wysyłający musi być zarejestrowany w tej strefie.


Powrót do początku

Materiały referencyjne

Aby uzyskać więcej informacji dotyczących programu Exchange Server 2003, odwiedź następującą witrynę firmy Microsoft w sieci Web: Powrót do początku
Właściwości

Identyfikator artykułu: 823019 — ostatni przegląd: 09.06.2009 — zmiana: 1

Opinia