Exchange Server中使用传输层安全协议保护SMTP

本文介绍如何在 Microsoft Exchange Server 2003 和 Microsoft Exchange 2000 Server 中使用传输层安全 (TLS) 协议来增强简单邮件传输协议 (SMTP) 通讯的安全。

在 SMTP 上使用传输层安全 (TLS) 协议可以提供基于证书的身份验证，并可以通过使用对称加密密钥提高数据传输的安全性。在对称密钥加密（又称共享的机密）中，使用同一密钥加密和解密邮件。TLS 应用基于散列的消息身份验证代码 (HMAC)。HMAC 将散列算法与共享密钥结合使用，以帮助确保数据在传输过程中不会被修改。共享密钥附加在要进行散列运算的数据后面。这可帮助提高散列的安全性，因为双方必须使用同一共享密钥来验证数据是否可信。

X.509 服务器证书是一种数字形式的标识，它一般由证书颁发机构 (CA) 颁发，并包含标识信息、有效期、公钥、序列号和颁发者的数字签名。通过提高密钥对的加密级别（从 40 位（默认）到 128 位）可以帮助保护通讯的安全。位数越多，对项目进行解密就越困难。由于出口限制，128 位密钥强度的加密特性只在美国和加拿大可用。

有关更多详细信息，请访问以下 Internet 工程任务组 (IETF) Web 站点，并查看下列 Requests for Comments (RFC) 文档：

•	RFC 2246：“The TLS Protocol Version 1.0” http://www.ietf.org/rfc/rfc2246.txt
•	RFC 2104：“HMAC:Keyed-Hashing for Message Authentication” http://www.ietf.org/rfc/rfc2104.txt

在配置虚拟服务器以要求基本身份验证时，强烈建议您同时使用 TLS 加密。如果不进行加密，用户名和密码会很容易被截取。尝试获得访问权限的用户必须 使用您设置的同一加密级别；否则，邮件将被退回并生成一份未送达报告 (NDR)。

TLS 可帮助保护传出邮件，但它并不能保护从客户端到服务器的通信。这些客户端具体包括 Microsoft Outlook Web Access (OWA)、POP3 和 IMAP4。要解决此问题，您可以在 Outlook Web Access 中启用安全套接字层 (SSL)。您还可以建议 POP3 或 IMAP4 用户使用支持 SSL 与 POP3 和 IMAP4 一起使用的客户端；例如，Microsoft Outlook Express。

如何使客户端要求传输层安全加密

要使客户端要求 TLS 加密，请按照下列步骤操作：

1.	创建和管理密钥证书。为此，请按照下列步骤操作： a. 在服务器上安装 X.509 服务器证书。 有关 X.509 证书的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 319574 HOW TO:Use Certificates with Virtual Servers in Exchange 2000 Server b. 启动 Exchange 系统管理器。 c. 展开 Exchange Server，单击“协议”，单击“SMTP”，右键单击“SMTP 虚拟服务器”，然后单击“属性”。 d. 单击“访问”选项卡，然后单击“证书”，以便为 SMTP 虚拟服务器设置新的密钥证书并管理已安装的密钥证书。
2.	为服务器设置 TLS 加密级别。为此，请按照下列步骤操作： a. 启动 Exchange 系统管理器。 b. 右键单击“SMTP 虚拟服务器”，然后单击“属性”。 c. 单击“访问”选项卡，然后单击“身份验证”。 d. 依次单击以选中“基本身份验证”复选框和“需要 TLS 加密”复选框，然后单击“确定”。

为 Exchange 组织中特定的远程域启用传输层安全加密

要在 Exchange Server 中为特定的远程域启用 TLS 加密，请按照下列步骤操作：

1.

在服务器上安装 X.509 服务器证书。 有关 X.509 证书的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 319574 HOW TO:Use Certificates with Virtual Servers in Exchange 2000 Server

2.

创建新的 SMTP 连接器。为此，请按照下列步骤操作： a. 启动 Exchange 系统管理器。 b. 如果启用了管理组，请展开要使用的管理组。 c. 如果该管理组可用，请展开“路由组”，然后展开要用作连接发起端的路由组。 d. 右键单击“连接器”，指向“新建”，然后单击“SMTP 连接器”。 e. 在“属性”对话框中，单击“常规”选项卡。 f. 在“名称”框中，键入连接器的描述性名称。 g. 选择下列操作之一： • 要使用智能主机进行路由，请单击“Forward all mail through this connector to the following smart hosts”（通过此连接器将所有邮件转发到以下智能主机），然后键入要用于路由邮件的服务器的完全限定域名 (FQDN) 或 IP 地址。如果使用 IP 地址，请用方括号将地址括起来。 • 要使用邮件交换器 (MX) 域名系统 (DNS) 记录进行路由，请单击“Use DNS to route to each address space on this connector”（使用 DNS 路由到此连接器上的每个地址空间）。MX 记录的优先顺序决定使用的服务器。 h. 指定至少一台桥头服务器。为此，请单击“添加”，在“添加桥头”对话框中单击要使用的 SMTP 虚拟服务器，然后单击“确定”。 i. 您必须设置连接器范围。单击“地址空间”选项卡，然后单击以下选项之一： • 如果要连接两个 Exchange Server 组织，请按照下列步骤操作： 1. 将连接器范围设置为“整个组织”，然后单击“添加”。 2. 在“地址空间”对话框中，单击 SMTP 地址类型，然后单击“确定”。 3. 输入电子邮件域和开销。连接器开销的范围为 1 到 100。最低的开销具有最高路由优先级。 • 如果要连接两个路由组，则请按照下列步骤操作： 1. 将连接器范围设置为“路由组”，然后单击“添加”。 2. 在“地址空间”对话框中，单击 SMTP 地址类型，然后单击“确定”。 3. 输入电子邮件域和开销。连接器开销的范围为 1 到 100。最低的开销具有最高路由优先级。 4. 单击“连接的路由组”选项卡，然后单击“添加”。选择要连接到的路由组。 注意：请确保将地址空间设置到一个特定的域（例如：contoso.com）。对于 SMTP 地址类型，您可以输入一个星号 (*) 作为电子邮件域，以便让连接器路由该路由组中所有域的邮件。如果使用星号值，则来自所有域的邮件都将使用此连接器发送。 j. 如果您想允许本地服务器将邮件中继到其他组织中的域或其他路由组，请单击以选中“Allow messages to be relayed to these domains”（允许将邮件中继到这些域）复选框，然后单击“确定”。 k. 要启用 TLS 加密，请右键单击 SMTP 虚拟服务器，然后单击“属性”。单击“高级”选项卡，单击“出站安全”，然后单击以选中“TLS 加密”复选框。

注意：如果远程域不支持 TLS 加密，将退回所有邮件并生成 NDR。

为 Exchange Server 中所有传出的 SMTP 连接启用传输层安全加密

要为所有传出的 SMTP 连接启用 TLS 加密，请按照下列步骤操作：

1.	在服务器上安装 X.509 服务器证书。 有关 X.509 证书的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 319574 HOW TO:Use Certificates with Virtual Servers in Exchange 2000 Server
2.	启动 Exchange 系统管理器。
3.	右键单击“SMTP 虚拟服务器”，然后单击“属性”。
4.	在 SMTP 虚拟服务器的“传送”选项卡上，单击“出站安全”，然后单击以选中“TLS 加密”复选框。

有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：