本页
 |
概要 | ||||
|
要求 | ||||
|
计划安全级别 | ||||
|
访问 SMTP 协议对象 | ||||
|
如何新建 SMTP 虚拟服务器 | ||||
|
如何配置 IP 地址限制 | ||||
|
如何配置访问控制 | ||||
|
如何配置安全通信(第一部分) | ||||
|
如何配置安全通信(第二部分) | ||||
|
如何配置中继限制 | ||||
|
如何确认您已正确配置 SMTP 安全性 | ||||
|
疑难解答 | ||||
|
参考 | ||||
|
这篇文章中的信息适用于: | ||||
概要
可能会有一些用户需要使用邮局协议版本 3 (POP3) 或 Internet 邮件访问协议 (IMAP4) 来连接到您的 Exchange 2000 计算机。这两种协议均依靠 SMTP 进行邮件传递。与 POP3 或 IMAP4 一样,SMTP 身份验证和邮件传输使用可能被截取的明文命令。另外,默认情况下,SMTP 使用匿名身份验证。
要求
下面的列表概述了推荐使用的硬件、软件、网络基础结构以及所需的 Service Pack:
| • | 带有 Service Pack 2 (SP2) 的 Microsoft Windows 2000 Server |
| • | Active Directory |
| • | 域中的一台基于 Windows 2000 的成员服务器上安装了带有 Service Pack 1 (SP1) 的 Exchange Server 2000。 |
| • | IMAP4 客户端,如 Outlook Express v5.0 或更高版本 |
本文假定您熟悉下列主题:
| • | Exchange 系统管理器 |
| • | TCP/IP 配置问题 |
| • | 安全概念,如安全套接字层 (SSL) 和加密 |
| • | 安全证书 |
| • | 网络监视器捕获 |
| • | 如何创建 SMTP 虚拟服务器 |
计划安全级别
在开始配置 IMAP4 虚拟服务器前,必须考虑要实现的安全级别。必须考虑以下五个因素:
| • | 创建一个新的 SMTP 虚拟服务器 |
| • | 连接控制 |
| • | 访问控制 |
| • | 安全通信 |
| • | 中继控制 |
配置 SMTP 安全性时,请注意默认的 SMTP 虚拟服务器通常用来创建 Internet 邮件连接器的一个实例。Internet 邮件连接器可以连接到远程 Internet 域,以便向外部组织发送邮件,或接收来自外部组织的邮件。由于 Internet 上的大多数 SMTP 服务器仅支持匿名身份验证,因此如果为 POP3 或 IMAP4 客户端配置身份验证或加密设置,则来自外部 SMTP 服务器的入站会话将受影响。要保证 SMTP 客户端访问的安全,必须首先创建一个新的 SMTP 虚拟服务器以使用入站客户端连接。
连接控制限制基于 Internet 协议 (IP) 地址或域名的连接,包括反向 DNS 查找。这一安全级别是基本级别,仅当能够保证传入连接的 IP 地址时才可使用。这一安全级别不对密码或邮件数据进行加密;但您可对其他安全设置使用此级别。
访问控制允许您配置基本身份验证、匿名身份验证或集成 Windows 验证(NTLM 验证)。由于基本身份验证允许明文用户名和密码,因此建议您禁用此身份验证类型。如果禁用基本身份验证,则需要在 SMTP 客户端软件上使用安全密码验证以启用登录。单击“帐户”属性中的服务器选项卡上的“邮件发送服务器身份验证设置”按钮,以启用 Microsoft Outlook Express 中的安全密码验证。请注意,安全密码验证仅加密登录会话,而不加密邮件正文。
注意:
| • | 集成 Windows 验证仅在客户机可以联系域控制器以验证其凭据的情况下使用。在大多数防火墙配置中,不可能存在且不需要这种情况。不过,SMTP 访问的内部实现(其中的登录会话不遍历 Internet)可以使用 NTLM 验证。 |
| • | 使用基本身份验证时,可以使用传输层安全性 (TLS)。与安全套接字层 (SSL) 一样,TLS 可对登录序列和邮件流量进行加密。 |
安全通信使用 SSL 加密对整个 SMTP 会话(包括登录序列和邮件正文的传输)进行编码。建议您对所有通过公用网络(如 Internet)与 Exchange 2000 建立的 SMTP 连接使用 SSL。您必须在 SMTP 虚拟服务器上安装一个证书。您可以使用外部证书颁发机构,也可以将证书服务安装到您的 Active Directory 林中,以安装证书。
注意:如果加密 SMTP 协议,则只有在向 Exchange 2000 计算机传递邮件时,会话才会受到保护。但是,POP3 或 IMAP4 邮件集合不会被加密。建议您采取其他防范措施来加密邮件集合。 有关如何加密邮件集合的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
最后,还需要控制邮件通过 SMTP 虚拟服务器中继的方式。如果您的 POP3 或 IMAP4 客户端没有权限进行中继,则用户无法使用您的 Exchange 2000 计算机将 SMTP 邮件发送到外部域。但是,如果您的设置过于简单而不能中继邮件,则用户可能会传播未经请求的商业电子邮件。如果使用默认设置进行中继,则只有经过身份验证的客户端可以使用您的 Exchange 2000 计算机中继邮件。
访问 SMTP 协议对象
| 1. | 单击开始,依次指向程序、Microsoft Exchange,然后单击系统管理器。 |
| 2. | 在左窗格中,双击服务器。 |
| 3. | 单击要配置的服务器,然后单击协议。
将显示 SMTP 协议对象。 |
如何新建 SMTP 虚拟服务器
| 1. | 右键单击 SMTP 协议对象,指向新建,然后单击 SMTP 虚拟服务器。 | ||||||||
| 2. | 为 SMTP 虚拟服务器键入一个名称,然后单击下一步。
建议您使用描述该虚拟服务器功能的名称,如“客户端访问虚拟服务器”。 |
||||||||
| 3. | 单击该 SMTP 虚拟服务器将要绑定到的 IP 地址,然后单击完成。 | ||||||||
| 4. | 在您创建 SMTP 虚拟服务器后,请确认这个新的虚拟服务器使用的是正确的完全限定的域名称 (FQDN):
|
注意:如果您正在配置一个 SMTP 虚拟服务器,以便客户端能够通过 Internet 访问此 SMTP 虚拟服务器,则可能需要配置外部 DNS 服务器,因为 SMTP 虚拟服务器的 FQDN 需要解析为一个外部 Internet 地址。为此,请单击高级传递对话框中的配置,再单击添加,然后键入外部 DNS 服务器的 IP 地址。
如何配置 IP 地址限制
| 1. | 启动 Exchange 系统管理器,右键单击新创建的 SMTP 虚拟服务器,再单击访问选项卡,然后单击连接。 | ||||||
| 2. | 单击“仅以下列表”。
如果执行此操作,则只允许列表中的 IP 地址和域连接到 SMTP 虚拟服务器。使用下列任一种方法将项目添加到列表中:
|
||||||
| 3. | 单击确定以接受 IP 地址限制。 |
如何配置访问控制
| 1. | 启动 Exchange 系统管理器,右键单击新创建的 SMTP 虚拟服务器,然后单击属性。 | ||||||
| 2. | 单击访问选项卡,然后单击身份验证。
默认情况下,匿名身份验证、基本身份验证和集成 Windows 验证方法处于选中状态。如果您的环境支持 Windows 身份验证,则可以同时清除匿名身份验证复选框和基本身份验证复选框。单击确定以接受更改。 |
||||||
| 3. | 启动 Outlook Express,然后配置 SMTP 帐户设置以使用安全密码验证。为此,请按照下列步骤操作:
|
||||||
| 4. | 单击确定,然后单击关闭。 |
如何配置安全通信(第一部分)
| 1. | 右键单击新 SMTP 虚拟服务器,然后单击属性。 |
| 2. | 单击访问选项卡,然后单击证书。 |
| 3. | 启动 IIS 证书向导后,单击“创建新证书”或“从外部证书颁发机构分配现有证书”,然后单击下一步。 |
| 4. | 如果安装了证书颁发机构 (CA),请单击“立即将证书请求发送到联机证书颁发机构”。
如果未安装 CA,请单击“现在准备证书请求,但稍后发送”,然后单击下一步。 |
| 5. | 如果将证书请求发送到联机 CA,请为证书请求指定一个合适的名称,键入长度为一个位的密钥,然后单击下一步。
注意:过长的密钥长度会影响性能。 |
| 6. | 在相应的框中键入通过其请求证书的 CA 的组织和组织单位信息,然后单击下一步。 |
| 7. | 键入站点的公用名称,然后单击下一步。
注意:请确保此公用名称与配置新 SMTP 虚拟服务器时使用的 DNS FQDN 匹配。如果从 Internet 启用访问,则必须使用可在外部解析的完全限定的域名称 (FQDN)。 |
| 8. | 在相应的框中为您的 CA 键入国家或地区、省或自治区及市县信息,然后单击下一步。 |
| 9. | 如果在步骤 4 中选择立即将证书请求发送到联机 CA,则请确认显示了您组织的 CA,然后单击下一步。
但是,如果在步骤 4 中选择现在准备证书请求,但稍后发送,则请接受证书请求的默认文件名或将其保存到其他文件,然后单击下一步。 |
| 10. | 查看“证书请求提交”信息,然后单击下一步。 |
| 11. | 单击完成。 |
如何配置安全通信(第二部分)
在服务器上安装证书后,请强制安全通信:
| 1. | 右键单击新 SMTP 虚拟服务器,然后单击属性。 |
| 2. | 单击访问选项卡,然后单击通信。 |
| 3. | 单击以选中“要求安全通道”复选框。 |
| 4. | 如果 Exchange 2000 计算机和客户端均支持 128 位加密,请单击“要求 128 位加密”。 |
| 5. | 单击确定,再单击确定。 |
| 6. | 停止 SMTP 虚拟服务器并重新启动。 |
| 7. | 启动 Outlook Express,单击工具菜单上的帐户,然后单击邮件选项卡。 |
| 8. | 双击 Exchange Server 邮件帐户,单击高级选项卡,然后单击“邮件发送 (SMTP) 服务器”部分中的“此服务器要求安全连接 (SSL)”。
此邮件发送 (SMTP) 端口不能从端口 25 进行更改。 |
| 9. | 单击确定,然后单击关闭。 |
如何配置中继限制
| 1. | 右键单击新 SMTP 虚拟服务器,然后单击属性。 |
| 2. | 单击访问选项卡,然后单击中继。
默认设置允许经过身份验证的客户端中继邮件。通常情况下,这些设置已足够;只有拥有连接凭据的客户端能够通过 SMTP 虚拟服务器中继邮件。您可以将中继权限限制为单个 IP 地址、IP 地址范围或 DNS 后缀。为此,请使用相同步骤配置本文“如何配置 IP 地址限制”部分中描述的传入地址限制。 |
注意:如果删除所有中继限制,则会增加您的 Exchange 2000 计算机用来传递未经请求的商业电子邮件的可能性。如果允许匿名身份验证,则强烈建议您不要删除中继限制。
有关如何保证 Exchange 2000 Server 计算机的安全以防范未经请求的商业电子邮件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
如何确认您已正确配置 SMTP 安全性
| • | 要验证 IP 限制是否按预期方式工作,请尝试使用有效用户名从一个已排除的 IP 地址进行连接。
您会收到一条消息,表示到服务器的连接被拒绝。 |
||||||
| • | 要验证身份验证加密,请按照下列步骤操作:
|
||||||
| • | 要验证完全 SSL 加密,请按照下列步骤操作:
|
||||||
| • | 要确认中继限制是否起作用,请从已排除的 IP 地址向外部域发送邮件。您会收到一条错误信息,表示服务器未能对收件人地址进行中继。 |
疑难解答
如果您限制基于 DNS 查找的 IP 地址,则可能会对 Exchange 2000 计算机的性能造成不良影响。因为 Exchange 2000 计算机会对每个传入连接执行反向 DNS 查找,因此必须存在可用 DNS 反向搜索区域,并且 SMTP 客户端必须向该区域注册。如果您有大量传入 SMTP 连接,则应考虑禁用反向 DNS 查找。 有关如何配置反向搜索区域的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
如果您没有为服务器名或组织指定正确的值,则当您在默认的 SMTP 虚拟服务器上创建 SSL 证书时,用户可能会收到下面的消息:
要避免显示此消息,请确保证书的公用名称与其 Internet 地址匹配。
参考
关键字: |
kbhowto kbhowtomaster KB319267 |
,
