SMTP tiếp sức hành vi trong Windows 2000, Windows XP và Exchange Server

Hỗ trợ cho Windows XP đã kết thúc

Microsoft đã kết thúc hỗ trợ dành cho Windows XP vào ngày 8 tháng 4 năm 2014. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:304897
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
GIỚI THIỆU
Microsoft Simple Mail Transfer Protocol (SMTP) tiếp sức là một tính năng cho phép một khách hàng SMTP sử dụng một máy chủ SMTP để gửi thư điện tử cho một tên miền từ xa. Như mô tả trong yêu cầu ý kiến (RFC) 282, đoạn 2.1 và 3.7, SMTP được thiết kế với khả năng chuyển tiếp thư điện tử.

Tuy nhiên, nếu tiếp sức không được kiểm soát, một người sử dụng độc hại có thể dùng tiếp sức để gửi số lượng lớn thư điện tử không được yêu cầu. Một máy chủ không kiểm soát được gọi là một máy chủ lưu trữ "mở tiếp sức". Bằng cách gửi các thư điện tử không được yêu cầu đến máy chủ trung gian, người sử dụng độc hại có thể che giấu danh tính của mình. Điều này cũng có thể gây ra việc sử dụng quá nhiều tài nguyên trên máy chủ tiếp sức và ngăn chặn máy chủ tiếp sức từ việc gửi thư điện tử hợp lệ. Đặc biệt, một người sử dụng độc hại, người gửi thư điện tử không được yêu cầu có thể gửi một tin nhắn đơn cho nhiều người nhận mà không cần sử dụng băng thông của họ.

Theo mặc định, các sản phẩm của Microsoft được liệt kê trong phần "Applies để" không được cấu hình cho mở relay.
THÔNG TIN THÊM
Khi bạn sử dụng một số công cụ bên thứ ba để kiểm tra máy chủ SMTP cho relay, hệ phục vụ SMTP có vẻ thất bại thử nghiệm và sản phẩm Microsoft SMTP của bạn có thể có vẻ để được mở cửa cho relay, mặc dù nó không phải là. Điều này là bởi vì hệ phục vụ SMTP có thể không ngay lập tức từ chối thư điện tử. Thay vào đó, các máy chủ SMTP xử lý thư điện tử và sau đó sẽ gửi một không giao hàng báo cáo (NDR). Để biết thêm chi tiết về phản ứng máy chủ SMTP để tiếp sức, xem phản ứng máy chủ SMTP để tiếp sức phần. Để biết thêm chi tiết về làm thế nào để kiểm tra máy chủ SMTP của bạn cho relay, xem thử nghiệm cho tiếp sức phần.

Mỗi địa chỉ g hoặc từ trong một cuộc trò chuyện giao thức SMTP có hai phần: phần địa phương và một phần tên miền. Nếu tên miền phần, có nghĩa là, phần ngay lập tức sau những lúc đăng nhập (@), không được chỉ ra thư điện tử được giả định là địa phương. Một số sản phẩm Microsoft SMTP phụ thêm tên miền địa phương vì một số người dùng cấu hình SMTP khách hàng của họ để sử dụng chỉ là một tên người dùng làm địa chỉ thư điện tử. Bằng cách thêm các tên miền địa phương mặc định, máy chủ Microsoft có thể thêm những gì rất có thể là tên miền địa phương để giảm sự hỗ trợ chi phí.

Hành vi này xảy ra bởi vì một số sản phẩm Microsoft SMTP không thực hiện một tra cứu thư mục trước khi họ chấp nhận thư điện tử SMTP cho giao hàng. Sản phẩm Microsoft SMTP chỉ kiểm tra tên miền của người nhận để xem nếu nó là một tên miền địa phương hoặc một tên miền một cách rõ ràng được phép. Nếu tên miền của người nhận không phải là một tên miền địa phương hoặc một tên miền cho phép, máy chủ SMTP đáp ứng với một thông báo lỗi tương tự như dưới đây:
550 5.7.1 Relaying cấm
Yêu cầu duy nhất để ngăn chặn tiếp sức là một xác minh rằng phần miền địa chỉ đến là địa phương. Kiểm tra thư mục máy chủ thư để xem người nhận là hợp lệ là một lựa chọn, nhưng nó là không cần thiết. Nếu một máy chủ thư chấp nhận một tin nhắn và sau đó sau đó quyết định rằng nó không thể gửi thư, hệ phục vụ phải tạo ra một NDR. Các sản phẩm Microsoft SMTP tuân thủ các yêu cầu này.

Chú ý Microsoft Exchange Server 2003 có thể thực hiện tra cứu thư mục trong cuộc trò chuyện giao thức SMTP. Điều này có thể tính năng được kích hoạt có hiệu lực trong hệ thống quản lý. Để biết thêm chi tiết về người nhận lọc trong Exchange Server 2003, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
823866Làm thế nào để cấu hình kết nối lọc để sử dụng thời gian thực danh sách chặn (RBLs) và làm thế nào để cấu hình người nhận lọc trong Exchange 2003

Thực hiện một tra cứu thư mục trong cuộc trò chuyện giao thức SMTP có thể được sử dụng để xác minh địa chỉ. Vì vậy, chúng tôi khuyến cáo bạn hãy vào TarpitTime chức năng được mô tả trong bài viết cơ sở kiến thức sau:
842851 SMTP tar pit tính năng cho Microsoft Windows Server 2003
Quan trọng Nếu bạn phải thực hiện tra cứu thư mục trong cuộc trò chuyện giao thức SMTP, bạn có thể viết một Microsoft Windows 2000 SMTP giao thức sự kiện sink.Để thêm thông tin, hãy truy cập MSDN nền tảng SDK SMTP Server sự kiện Web site sau:

Phản ứng máy chủ SMTP để Relay

Các phản ứng hợp RFC được đề nghị là tương tự như sau:
550 5.1.1 Tên người dùng@DomainName.tên miền... Người dùng không biết
Trong các sản phẩm được liệt kê trong phần "Applies để", Microsoft đã chọn không để thực hiện tra cứu thư mục trong cuộc trò chuyện giao thức SMTP vì lý do sau:
  • Nếu hệ phục vụ SMTP trả về một lỗi 5xx để một người sử dụng độc hại, những người đang cố gắng để gửi hàng loạt không mong muốn thư điện tử, người sử dụng độc hại sẽ biết ngay lập tức địa chỉ đó là có thật. Nếu người dùng độc hại sẽ gửi một từ điển tên thông qua giao thức SMTP, người sử dụng độc hại có thể dễ dàng thu hoạch một danh sách các địa chỉ e-mail hợp lệ. Điều này cũng có thể là một rủi ro cho người dùng địa phương của bạn bởi vì tên tài khoản người dùng thường xuyên là giống như địa chỉ e-mail.
  • Một người sử dụng độc hại có thể sử dụng địa chỉ từ truy cập trái phép vào hệ thống và sau đó sử dụng máy chủ của nạn nhân để gửi NDRs đến người nhận dự định. Cuộc tấn công này, được gọi là giả mạo, chỉ số truy cập máy chủ này với càng nhiều dữ liệu như những kẻ tấn công sẽ gửi đến nó. Nói cách khác, nếu người sử dụng độc hại muốn gửi 1 megabyte (MB) dữ liệu để một bên thứ ba, người sử dụng độc hại phải chi tiêu 1 MB băng thông riêng của mình để gửi 1 MB dữ liệu tới hệ phục vụ SMTP. Thông thường, người dùng độc hại cố gắng gửi 1 MB dữ liệu, nhưng làm cho hàng chục hoặc hàng trăm MB dữ liệu để đạt một nạn nhân hoặc tập hợp các nạn nhân trên toàn Internet.
  • Nếu một tra cứu thư mục được thực hiện trong cuộc trò chuyện giao thức SMTP, trò chuyện giao thức SMTP có thể chậm hơn. Khi bài viết này được xuất bản, Microsoft đã hoạt động theo tiền đề rằng hệ phục vụ SMTP phải hoạt động càng nhanh càng tốt để ngăn chặn tắc nghẽn của SMTP thư trên Internet hoặc trên máy tính để bàn máy sử dụng SMTP. Đôi khi các thư mục cũng có thể không có sẵn, hoặc relay một tên miền cụ thể có thể yêu cầu, nhưng một bản sao của thư mục có thể không có sẵn. Hành vi này có thể xảy ra trong một cấp dịch vụ (ISP) lưu trữ môi trường.

Làm thế nào để kiểm tra cho relay

Bạn có thể kiểm tra máy chủ SMTP của bạn để xác định nếu nó được cấu hình để chuyển tiếp thư điện tử. Trong ví dụ sau đây, tiếp sức xét nghiệm 1 đến 5 không được chấp nhận bởi hệ phục vụ SMTP và ngay lập tức bị từ chối. Các xét nghiệm 6 và 7 được chấp nhận bởi các máy chủ STMP, nhưng thư điện tử không chuyển tiếp và hệ phục vụ cuối cùng tạo ra một NDR.

Để chạy thử nghiệm tiếp sau, lần đầu tiên bắt đầu một phiên Telnet và kết nối với cổng 25 trên máy chủ SMTP của bạn:
  1. Bắt đầu một dấu nhắc lệnh.
  2. Loại Telnet Tên máy chủ 25, nơi Tên máy chủ tên máy chủ SMTP hoặc địa chỉ IP và 25 là số hiệu cổng, và sau đó nhấn ENTER.
  3. Loại EHLO, sau đó nhấn ENTER.

Chuyển tiếp thử nghiệm 1

Đây là bài kiểm tra tiêu chuẩn cho SMTP relay. Ứng dụng khách SMTP không phải được phép tiếp nhận theo cách này, trừ khi các quản trị viên đặc biệt cho phép nó, hoặc trừ khi khách hàng đầu tiên authenticates. Làm bài kiểm tra này, hãy làm theo các bước sau:
  1. Tại dấu nhắc phiên Telnet, gõ RSET.

    Phiên telnet đáp ứng với văn bản đó là tương tự như sau:
    250 2.0.0 Resetting
  2. Loại THƯ TỪ:Tên người dùng@DomainName.tên miền, nơi Tên người dùng là tên của người sử dụng, DomainName là tên miền, và tên miền là tên miền cấp cao nhất như .com hoặc .net.

    Phiên telnet đáp ứng với văn bản đó là tương tự như sau:
    250 2.1.0 Tên người dùng@DomainName.tên miền....Người gửi OK
  3. Loại RCPT ĐẾN:RecipientName@DomainName.tên miền, nơi RecipientName là địa chỉ e-mail của người nhận.

    Phiên telnet đáp ứng với văn bản đó là tương tự như sau:
    550 5.7.1 Không thể tiếp sức cho RecipientName@ DomainName.tên miền

Chuyển tiếp thử nghiệm 2

Thử nghiệm này là gần như tương tự như chuyển tiếp thử nghiệm 1, nhưng người gửi là một người dùng địa phương thay vì của người dùng trong một tên miền từ xa. Bởi vì từ địa chỉ thường được dùng để truy cập trái phép vào hệ thống, các máy chủ phải không tiếp nhận thư điện tử. Làm bài kiểm tra này, hãy làm theo các bước sau:
  1. Tại dấu nhắc phiên Telnet, gõ RSET.

    Phiên telnet đáp ứng với văn bản đó là tương tự như sau:
    250 2.0.0 Resetting
  2. Loại THƯ TỪ:LocalUser, nơi LocalUser là một tên địa phương e-mail cho một trương mục người dùng trong tên miền, và sau đó nhấn ENTER.

    Phiên telnet đáp ứng với văn bản đó là tương tự như sau:
    250 2.1.0 LocalUser@DomainName.tên miền....Người gửi OK
  3. Loại RCPT ĐẾN:RecipientName@DomainName.tên miền

    Phiên telnet đáp ứng với văn bản đó là tương tự như sau:
    550 5.7.1 Không thể tiếp sức cho RecipientName@DomainName.tên miền

Chuyển tiếp thử nghiệm 3

Thử nghiệm này là cho một NULL hoặc trống từ phong bì địa chỉ. NDRs và thông báo khác có NULL từ phong bì ñòa chæ. Tuy nhiên, thông báo phải không được chuyển trừ khi các tên miền vào địa chỉ đến một miền địa phương. Làm bài kiểm tra này, hãy làm theo các bước sau:
  1. Tại dấu nhắc phiên Telnet, gõ RSET.

    Phiên telnet đáp ứng với văn bản đó là tương tự như sau:
    250 2.0.0 Resetting
  2. Loại THƯ TỪ:<>, sau đó nhấn ENTER.

    Phiên telnet đáp ứng với văn bản đó là tương tự như sau:
    250 2.1.0 <> </>....Người gửi OK
  3. Loại RCPT ĐẾN:RecipientName@DomainName.tên miền

    Phiên telnet đáp ứng với văn bản đó là tương tự như sau:
    550 5.7.1 Không thể tiếp sức cho RecipientName@DomainName.tên miền

Thử nghiệm tiếp sức 4

Thử nghiệm này là tương tự như tiếp sức kiểm tra 2, nhưng tên miền địa phương một cách rõ ràng được gửi đến địa chỉ thư điện tử. Một hệ phục vụ SMTP đóng cửa để tiếp sức không phải chuyển tiếp thư điện tử này. Làm bài kiểm tra này, hãy làm theo các bước sau:
  1. Tại dấu nhắc phiên Telnet, gõ RSET.

    Phiên telnet đáp ứng với văn bản đó là tương tự như sau:
    250 2.0.0 Resetting
  2. Loại THƯ TỪ:Tên người dùng@DomainName.tên miền, nơi DomainName là tên miền địa phương, và sau đó nhấn ENTER.

    Phiên telnet đáp ứng với văn bản đó là tương tự như sau:
    250 2.1.0 Tên người dùng@DomainName.tên miền....Người gửi OK
  3. Loại RCPT ĐẾN:Tên người dùng@DomainName.tên miền, sau đó nhấn ENTER.

    Phiên telnet đáp ứng với văn bản đó là tương tự như sau:
    550 5.7.1 Không thể tiếp sức cho Tên người dùng@DomainName.tên miền

Tiếp sức kiểm tra 5

Thử nghiệm này là cũng giống như tiếp sức test 2, nhưng các địa chỉ IP của máy chủ được sử dụng thay tên miền. Mặc dù định dạng địa chỉ này nói chung được chấp nhận, các máy chủ không phải chấp nhận chuyển tiếp sang một tên miền từ xa. Trong nhiều các xét nghiệm sử dụng "localhost" hoặc tên hệ thống tên miền (DNS) của máy chủ trong bài phát biểu từ, máy chủ phải không tiếp nhận thư điện tử sử dụng cách tiếp cận này. Làm bài kiểm tra này, hãy làm theo các bước sau:
  1. Tại dấu nhắc phiên Telnet, gõ RSET.

    Phiên telnet đáp ứng với văn bản đó là tương tự như sau:
    250 2.0.0 Resetting
  2. Loại THƯ TỪ:Tên người dùng@ 10.10.10.10, sau đó nhấn ENTER.

    Phiên telnet đáp ứng với văn bản đó là tương tự như sau:
    250 2.1.0 Tên người dùng@10.10.10.10....Người gửi OK
  3. Loại RCPT ĐẾN:Tên người dùng@DomainName.tên miền, sau đó nhấn ENTER.

    Phiên telnet đáp ứng với văn bản đó là tương tự như sau:
    550 5.7.1 Không thể tiếp sức cho Tên người dùng@DomainName.tên miền

Tiếp sức kiểm tra 6

Thử nghiệm này là đặc biệt cho các cũ hơn dựa trên UNIX Server tuyến đường thư điện tử bằng cách phụ thêm tên miền địa phương và thay đổi những lúc đăng nhập (@) biểu tượng phần trăm (%). Hệ phục vụ sau đó chuyển tiếp thư. Bởi vì một biểu tượng phần trăm (%) là một nhân vật hợp lệ ở địa phương của các địa chỉ thư điện tử, hệ phục vụ SMTP có thể chấp nhận tin nhắn và sau đó gửi một NDR nếu tra cứu thư mục không. Sản phẩm Microsoft SMTP không phải là dễ bị tổn thương để loại tư duy tiếp sức vì thư không được chuyển tiếp và một NDR được tạo ra. Làm bài kiểm tra này, hãy làm theo các bước sau:
  1. Tại dấu nhắc phiên Telnet, gõ RSET.

    Phiên telnet đáp ứng với văn bản đó là tương tự như sau:
    250 2.0.0 Resetting
  2. Loại THƯ TỪ:Tên người dùng, sau đó nhấn ENTER.

    Phiên telnet đáp ứng với văn bản đó là tương tự như sau:
    Tên người dùng@DomainName.tên miền....Người gửi OK
  3. Loại RCPT ĐẾN:Tên người dùng%DomainName.tên miền, sau đó nhấn ENTER.

    Phiên telnet đáp ứng với văn bản đó là tương tự như sau:
    250 2.1.5 Tên người dùng%DomainName.tên miền@DomainName.tên miềnTên người dùng@DomainName.tên miền
    Chú ý Tên miền địa phương được gắn vào người nhận tên miền vào địa chỉ thư điện tử.

Tiếp sức kiểm tra 7

Thử nghiệm này là một biến thể của thử nghiệm tiếp sức 6. Vì ký tự báo giá đánh dấu (") là một nhân vật hợp lệ ở địa phương của các địa chỉ thư điện tử, hệ phục vụ SMTP chấp nhận tin nhắn và sau đó sẽ gửi một NDR nếu tra cứu thư mục không. Sản phẩm Microsoft SMTP không phải là dễ bị tổn thương để loại tư duy tiếp sức vì thư không được chuyển tiếp và một NDR được tạo ra. Làm bài kiểm tra này, hãy làm theo các bước sau:
  1. Tại dấu nhắc phiên Telnet, gõ RSET.

    Phiên telnet đáp ứng với văn bản đó là tương tự như sau:
    250 2.0.0 Resetting
  2. Loại THƯ TỪ:Tên người dùng, sau đó nhấn ENTER.

    Phiên telnet đáp ứng với văn bản đó là tương tự như sau:
    Tên người dùng@DomainName.tên miền....Người gửi OK
  3. Loại RCPT ĐẾN: "Tên người dùng@DomainName.tên miền", sau đó nhấn ENTER.

    Phiên telnet đáp ứng với văn bản đó là tương tự như sau:
    "Tên người dùng@DomainName.tên miền"@DomainName.tên miền
    Chú ý Tên miền địa phương được gắn vào người nhận tên miền vào địa chỉ thư điện tử.

Cách nhận biết cho dù máy chủ SMTP của bạn đóng cửa để tiếp sức các bài kiểm tra 6 và 7

Khi bạn chạy thử nghiệm tiếp sức 6 và 7 đối với một máy tính Exchange 2000, tạo ra các bài kiểm tra tin nhắn cho một người nhận không giải quyết và NDRs được nhận bởi hộp thư đó là quy định hệ thống quản lý để trao đổi. Bạn có thể cấu hình hộp thư cho người nhận chưa được giải quyết trong các thuộc tính của máy chủ ảo SMTP mặc định trong các Chuyển tiếp tất cả thư với người nhận chưa được giải quyết để lưu trữ hộp trên các Tin nhắn tab trong trao đổi hệ thống quản lý.

Các NDRs là bằng chứng rằng thư điện tử không được chuyển tiếp.
THAM KHẢO
Để biết thêm chi tiết về những gì để làm gì nếu bạn đang chạy Exchange Server 5.5 và bạn muốn cấu hình máy chủ của bạn để nó không phải là một tiếp sức mở, bấm số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
196626Hạn chế việc định tuyến phục vụ thư Internet
Để biết thêm chi tiết về làm thế nào để ngăn chặn tiếp sức trong Windows 2000, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
310356Làm thế nào để ngăn chặn thư tiếp sức trong IIS 5.0 SMTP server trong Windows 2000
Phổ biến các bài kiểm tra tồn tại mà bạn có thể sử dụng để kiểm tra máy chủ SMTP cho relay. Ví dụ, bạn có thể sử dụng các trang Web bên thứ ba sau đây và các công cụ:Microsoft cung cấp thông tin liên hệ của bên thứ ba để giúp bạn tìm kiếm trợ giúp kỹ thuật. Thông tin liên hệ này có thể thay đổi mà không thông báo. Microsoft không bảo đảm độ chính xác về thông tin liên hệ của bên thứ ba này.

Các sản phẩm của bên thứ ba mà bài viết này thảo luận do các công ty độc lập với Microsoft sản xuất. Microsoft đưa ra không có bảo hành, ngụ ý hay cách khác, liên quan đến hiệu suất hoặc độ tin cậy của các sản phẩm này.
Lạm dụng XIMS orbs nhìn lên msn hotmail thư-abuse.org ordb.org osirusoft.com bản đồ

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 304897 - Xem lại Lần cuối: 12/06/2015 04:32:05 - Bản sửa đổi: 2.0

Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Exchange 2000 Enterprise Server, Microsoft Exchange Server 5.5 Standard Edition, Microsoft Exchange Server 5.0 Standard Edition

  • kbnosurvey kbarchive kbhowto kbwinservnetwork kbnetwork kbmt KB304897 KbMtvi
Phản hồi