本文分步介绍如何配置与您的 Exchange 2000 计算机建立的传入客户端简单邮件传输协议 (SMTP) 连接的安全性,以便
用户可以验证并接收潜在敏感性邮件而不会面临用户名、密码或邮件内容被截取的风险。
可能会有一些用户需要使用邮局协议版本 3 (POP3) 或
Internet 邮件访问协议 (IMAP4) 来连接到您的 Exchange 2000 计算机。这两种协议均依靠 SMTP 进行邮件传递。与 POP3 或 IMAP4 一样,SMTP
身份验证和邮件传输使用可能被截取的明文命令。另外,默认情况下,SMTP 使用匿名身份验证。
要求
下面的列表概述了推荐使用的硬件、软件、
网络基础结构以及所需的 Service Pack:
| %26#8226; | 带有 Service Pack 2 (SP2) 的 Microsoft Windows 2000 Server |
| %26#8226; | Active Directory |
| %26#8226; | 域中的一台基于 Windows 2000 的成员服务器上安装了带有 Service Pack 1 (SP1) 的 Exchange Server 2000。 |
| %26#8226; | IMAP4 客户端,如 Outlook Express v5.0 或更高版本 |
本文假定您熟悉下列主题:
| %26#8226; | Exchange 系统管理器 |
| %26#8226; | TCP/IP 配置问题 |
| %26#8226; | 安全概念,如安全套接字层 (SSL) 和加密 |
| %26#8226; | 安全证书 |
| %26#8226; | 网络监视器捕获 |
| %26#8226; | 如何创建 SMTP 虚拟服务器 |
计划安全级别
在开始配置 IMAP4 虚拟服务器前,必须考虑要实现的安全级别。必须考虑以下五个因素:
| %26#8226; | 创建一个新的 SMTP 虚拟服务器 |
| %26#8226; | 连接控制 |
| %26#8226; | 访问控制 |
| %26#8226; | 安全通信 |
| %26#8226; | 中继控制 |
配置 SMTP 安全性时,请注意默认的 SMTP 虚拟服务器通常用来创建 Internet 邮件连接器的一个实例。Internet 邮件连接器可以连接到远程 Internet 域,以便向外部组织发送邮件,或接收来自外部组织的邮件。由于 Internet 上的大多数 SMTP 服务器仅支持匿名身份验证,因此如果为 POP3 或 IMAP4 客户端配置身份验证或加密设置,则来自外部 SMTP 服务器的入站会话将受影响。要保证 SMTP 客户端访问的安全,必须首先创建一个新的 SMTP 虚拟服务器以使用入站客户端连接。
连接控制限制基于 Internet 协议 (IP) 地址或域名的连接,包括反向
DNS 查找。这一安全级别是基本级别,仅当能够保证传入连接的 IP 地址时才可使用。这一安全级别不对密码或邮件数据进行加密;但您可对其他
安全设置使用此级别。
访问控制允许您配置基本身份验证、匿名身份验证或集成 Windows 验证(NTLM 验证)。由于基本身份验证允许明文用户名和密码,因此建议您禁用此身份验证类型。如果禁用基本身份验证,则需要在 SMTP
客户端软件上使用安全密码验证以启用登录。单击“帐户”属性中的
服务器选项卡上的“邮件发送服务器身份验证设置”按钮,以启用 Microsoft Outlook Express 中的安全密码验证。请注意,安全密码验证仅加密登录会话,而不加密邮件正文。
注意:
| %26#8226; | 集成 Windows 验证仅在客户机可以联系域控制器以验证其凭据的情况下使用。在大多数防火墙配置中,不可能存在且不需要这种情况。不过,SMTP 访问的内部实现(其中的登录会话不遍历 Internet)可以使用 NTLM 验证。 |
| %26#8226; | 使用基本身份验证时,可以使用传输层安全性 (TLS)。与安全套接字层 (SSL) 一样,TLS 可对登录序列和邮件流量进行加密。 |
安全通信使用 SSL 加密对整个 SMTP 会话(包括登录序列和邮件正文的传输)进行编码。建议您对所有通过公用网络(如 Internet)与 Exchange 2000 建立的 SMTP 连接使用 SSL。您必须在 SMTP 虚拟服务器上安装一个证书。您可以使用外部证书颁发机构,也可以将证书服务安装到您的 Active Directory 林中,以安装证书。
注意:如果加密 SMTP 协议,则只有在向 Exchange 2000 计算机传递邮件时,会话才会受到保护。但是,POP3 或 IMAP4 邮件集合不会被加密。建议您采取其他防范措施来加密邮件集合。 有关如何加密邮件集合的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
319273 (http://support.microsoft.com/kb/319273/) 如何保证 Exchange 2000 中的邮局协议客户端访问的安全
319278 (http://support.microsoft.com/kb/319278/) 如何保证 Exchange 2000 中的 Internet 邮件访问协议客户端访问的安全
最后,还需要控制邮件通过 SMTP 虚拟服务器中继的方式。如果您的 POP3 或 IMAP4 客户端没有权限进行中继,则用户无法使用您的 Exchange 2000 计算机将 SMTP 邮件发送到外部域。但是,如果您的设置过于简单而不能中继邮件,则用户可能会传播未经请求的商业
电子邮件。如果使用默认设置进行中继,则只有经过身份验证的客户端可以使用您的 Exchange 2000 计算机中继邮件。
访问 SMTP 协议对象
| 1. | 单击开始,依次指向程序、Microsoft Exchange,然后单击系统管理器。 |
| 2. | 在左窗格中,双击服务器。 |
| 3. | 单击要配置的服务器,然后单击协议。
将显示 SMTP 协议对象。 |
如何新建 SMTP 虚拟服务器
| 1. | 右键单击 SMTP 协议对象,指向新建,然后单击 SMTP 虚拟服务器。 |
| 2. | 为 SMTP 虚拟服务器键入一个名称,然后单击下一步。
建议您使用描述该虚拟服务器功能的名称,如“客户端访问虚拟服务器”。 |
| 3. | 单击该 SMTP 虚拟服务器将要绑定到的 IP 地址,然后单击完成。 |
| 4. | 在您创建 SMTP 虚拟服务器后,请确认这个新的虚拟服务器使用的是正确的完全限定的域名称 (FQDN): | a. | 右键单击在步骤 3 中创建的 SMTP 虚拟服务器,然后单击属性。 | | b. | 单击传送选项卡,然后单击高级。 | | c. | 确认完全限定的域名称框中的域名,是否与用户在将其要连接的客户端软件配置为传送 SMTP 邮件时键入的名称匹配。
要验证是否正确解析了域名,请单击检查 DNS。 | | d. | 单击确定,然后再次单击确定。 |
|
注意:如果您正在配置一个 SMTP 虚拟服务器,以便客户端能够通过 Internet 访问此 SMTP 虚拟服务器,则可能需要配置外部 DNS 服务器,因为 SMTP 虚拟服务器的 FQDN 需要解析为一个外部 Internet 地址。为此,请单击
高级传递对话框中的
配置,再单击
添加,然后键入外部 DNS 服务器的 IP 地址。
如何配置 IP 地址限制
| 1. | 启动 Exchange 系统管理器,右键单击新创建的 SMTP 虚拟服务器,再单击访问选项卡,然后单击连接。 |
| 2. | 单击“仅以下列表”。
如果执行此操作,则只允许列表中的 IP 地址和域连接到 SMTP 虚拟服务器。使用下列任一种方法将项目添加到列表中: | %26#8226; | 一次添加一个 IP 地址。为此,请键入一个主机名,然后单击 DNS 查找以将此名称自动解析为 IP 地址。如果远程用户总是从固定的 IP 地址进行连接,而这些 IP 地址又不连续,则请使用这种方法。 | | %26#8226; | 添加一个地址范围(如带有子网掩码 255.255.255.0 的 131.107.2.0)。您可以使用子网掩码(如 255.255.255.252)将可接受的主机限制在一个仅包含六个 IP 地址的范围内。 | | %26#8226; | 以域为基础设置限制。例如,您可以限制连接,从而仅接受来自 contoso.com 的连接。但是,如果使用此方法,则必须对每个传入的连接执行 DNS 反向查找,这可能会对 Exchange 2000 计算机的性能产生不良影响。有关更多信息,请参考本文末尾的“疑难解答”部分。 |
|
| 3. | 单击确定以接受 IP 地址限制。 |
如何配置访问控制
| 1. | 启动 Exchange 系统管理器,右键单击新创建的 SMTP 虚拟服务器,然后单击属性。 |
| 2. | 单击访问选项卡,然后单击身份验证。
默认情况下,匿名身份验证、基本身份验证和集成 Windows 验证方法处于选中状态。如果您的环境支持 Windows 身份验证,则可以同时清除匿名身份验证复选框和基本身份验证复选框。单击确定以接受更改。 |
| 3. | 启动 Outlook Express,然后配置 SMTP 帐户设置以使用安全密码验证。为此,请按照下列步骤操作: | a. | 单击工具菜单上的帐户。 | | b. | 单击邮件选项卡,再单击适当的邮件帐户,然后单击属性。 | | c. | 单击服务器选项卡,然后确认选中“使用安全密码验证登录”复选框。
注意:安全密码验证仅加密登录会话,而不加密邮件正文。 |
|
| 4. | 单击确定,然后单击关闭。
|
如何配置安全通信(第一部分)
| 1. | 右键单击新 SMTP 虚拟服务器,然后单击属性。 |
| 2. | 单击访问选项卡,然后单击证书。 |
| 3. | 启动 IIS 证书向导后,单击“创建新证书”或“从外部证书颁发机构分配现有证书”,然后单击下一步。 |
| 4. | 如果安装了证书颁发机构 (CA),请单击“立即将证书请求发送到联机证书颁发机构”。
如果未安装 CA,请单击“现在准备证书请求,但稍后发送”,然后单击下一步。 |
| 5. | 如果将证书请求发送到联机 CA,请为证书请求指定一个合适的名称,键入长度为一个位的密钥,然后单击下一步。
注意:过长的密钥长度会影响性能。 |
| 6. | 在相应的框中键入通过其请求证书的 CA 的组织和组织单位信息,然后单击下一步。 |
| 7. | 键入站点的公用名称,然后单击下一步。
注意:请确保此公用名称与配置新 SMTP 虚拟服务器时使用的 DNS FQDN 匹配。如果从 Internet 启用访问,则必须使用可在外部解析的完全限定的域名称 (FQDN)。 |
| 8. | 在相应的框中为您的 CA 键入国家或地区、省或自治区及市县信息,然后单击下一步。 |
| 9. | 如果在步骤 4 中选择立即将证书请求发送到联机 CA,则请确认显示了您组织的 CA,然后单击下一步。
但是,如果在步骤 4 中选择现在准备证书请求,但稍后发送,则请接受证书请求的默认文件名或将其保存到其他文件,然后单击下一步。 |
| 10. | 查看“证书请求提交”信息,然后单击下一步。 |
| 11. | 单击完成。 |
如何配置安全通信(第二部分)
在服务器上安装证书后,请强制安全通信:
| 1. | 右键单击新 SMTP 虚拟服务器,然后单击属性。 |
| 2. | 单击访问选项卡,然后单击通信。 |
| 3. | 单击以选中“要求安全通道”复选框。 |
| 4. | 如果 Exchange 2000 计算机和客户端均支持 128 位加密,请单击“要求 128 位加密”。 |
| 5. | 单击确定,再单击确定。 |
| 6. | 停止 SMTP 虚拟服务器并重新启动。 |
| 7. | 启动 Outlook Express,单击工具菜单上的帐户,然后单击邮件选项卡。 |
| 8. | 双击 Exchange Server 邮件帐户,单击高级选项卡,然后单击“邮件发送 (SMTP) 服务器”部分中的“此服务器要求安全连接 (SSL)”。
此邮件发送 (SMTP) 端口不能从端口 25 进行更改。 |
| 9. | 单击确定,然后单击关闭。 |
如何配置中继限制
| 1. | 右键单击新 SMTP 虚拟服务器,然后单击属性。 |
| 2. | 单击访问选项卡,然后单击中继。
默认设置允许经过身份验证的客户端中继邮件。通常情况下,这些设置已足够;只有拥有连接凭据的客户端能够通过 SMTP 虚拟服务器中继邮件。您可以将中继权限限制为单个 IP 地址、IP 地址范围或 DNS 后缀。为此,请使用相同步骤配置本文“如何配置 IP 地址限制”部分中描述的传入地址限制。 |
注意:如果删除所有中继限制,则会增加您的 Exchange 2000 计算机用来传递未经请求的商业电子邮件的可能性。如果允许匿名身份验证,则强烈建议您不要删除中继限制。
有关如何保证 Exchange 2000 Server 计算机的安全以防范未经请求的商业电子邮件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
319356 (http://support.microsoft.com/kb/319356/) 如何在 Exchange 2000 Server 中防范未经请求的商业电子邮件
如何确认您已正确配置 SMTP 安全性
| %26#8226; | 要验证 IP 限制是否按预期方式工作,请尝试使用有效用户名从一个已排除的 IP 地址进行连接。
您会收到一条消息,表示到服务器的连接被拒绝。 |
| %26#8226; | 要验证身份验证加密,请按照下列步骤操作: | 1. | 在 Exchange 2000 计算机上运行网络监视器,然后在您捕获传入 Exchange 2000 计算机的流量时使用默认身份验证设置以从客户端启动 SMTP 会话。 | | 2. | 检查 SMTP 会话并注意端口 25 (0019h) 上从客户端传向服务器的数据包。
请注意,用户的登录名和密码是以明文形式发送的。 | | 3. | 删除对基本身份验证的支持,将客户端配置为请求安全密码验证,从客户端启动另一个 SMTP 会话,然后使用网络监视器捕获流量。
用户帐户和密码详细信息现在已被加密。 |
|
| %26#8226; | 要验证完全 SSL 加密,请按照下列步骤操作: | 1. | 添加一个证书,配置设置以便可以在 SMTP 虚拟服务器上要求安全通道,然后配置客户端以使用 SSL。 | | 2. | 启动一个网络监视器捕获,然后从客户端启动一个 SMTP 邮件集合会话。 | | 3. | 停止捕获,然后检查已发送的数据包。
请注意,所有从客户端传向服务器的、以端口 25 (0019h) 为目标的数据包均已加密。
注意:如果尚未对 POP3 或 IMAP4 邮件集合启用加密,则可能仍会看到一些未加密数据包从客户端发往端口 110 (006Eh) 或端口 143 (008Fh)。 |
|
| %26#8226; | 要确认中继限制是否起作用,请从已排除的 IP 地址向外部域发送邮件。您会收到一条错误信息,表示服务器未能对收件人地址进行中继。 |
疑难解答
如果您限制基于 DNS 查找的 IP 地址,则可能会对 Exchange 2000 计算机的性能造成不良影响。因为 Exchange 2000 计算机会对每个传入连接执行反向 DNS 查找,因此必须存在可用 DNS 反向搜索区域,并且 SMTP 客户端必须向该区域注册。如果您有大量传入 SMTP 连接,则应考虑禁用反向 DNS 查找。 有关如何配置反向搜索区域的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
251509 (http://support.microsoft.com/kb/251509/) XFOR:如果未正确配置 DNS,则无法通过域名限制访问
如果您没有为服务器名或组织指定正确的值,则当您在默认的 SMTP 虚拟服务器上创建 SSL 证书时,用户可能会收到下面的消息:
您要连接到的服务器使用的安全证书与其 Internet 地址不匹配。是否要继续使用该服务器?
要避免显示此消息,请确保证书的公用名称与其 Internet 地址匹配。
有关如何配置 SMTP 安全性的更多信息,请参考 Exchange 2000 帮助和 Exchange 2000 Server 资源工具包。
更多内容请看路由安全配置专题、系统安全设置、配置安全的操作系统专题,或进入讨论组讨论。
