如何在Exchange 2000 Server中保证简单邮件传输协议客户端邮件传递的安全

本文分步介绍如何配置与您的 Exchange 2000 计算机建立的传入客户端简单邮件传输协议 (SMTP) 连接的安全性，以便用户可以验证并接收潜在敏感性邮件而不会面临用户名、密码或邮件内容被截取的风险。

可能会有一些用户需要使用邮局协议版本 3 (POP3) 或 Internet 邮件访问协议 (IMAP4) 来连接到您的 Exchange 2000 计算机。这两种协议均依靠 SMTP 进行邮件传递。与 POP3 或 IMAP4 一样，SMTP 身份验证和邮件传输使用可能被截取的明文命令。另外，默认情况下，SMTP 使用匿名身份验证。

要求

下面的列表概述了推荐使用的硬件、软件、网络基础结构以及所需的 Service Pack：

•	带有 Service Pack 2 (SP2) 的 Microsoft Windows 2000 Server
•	Active Directory
•	域中的一台基于 Windows 2000 的成员服务器上安装了带有 Service Pack 1 (SP1) 的 Exchange Server 2000。
•	IMAP4 客户端，如 Outlook Express v5.0 或更高版本

本文假定您熟悉下列主题：

•	Exchange 系统管理器
•	TCP/IP 配置问题
•	安全概念，如安全套接字层 (SSL) 和加密
•	安全证书
•	网络监视器捕获
•	如何创建 SMTP 虚拟服务器

计划安全级别

在开始配置 IMAP4 虚拟服务器前，必须考虑要实现的安全级别。必须考虑以下五个因素：

•	创建一个新的 SMTP 虚拟服务器
•	连接控制
•	访问控制
•	安全通信
•	中继控制

配置 SMTP 安全性时，请注意默认的 SMTP 虚拟服务器通常用来创建 Internet 邮件连接器的一个实例。Internet 邮件连接器可以连接到远程 Internet 域，以便向外部组织发送邮件，或接收来自外部组织的邮件。由于 Internet 上的大多数 SMTP 服务器仅支持匿名身份验证，因此如果为 POP3 或 IMAP4 客户端配置身份验证或加密设置，则来自外部 SMTP 服务器的入站会话将受影响。要保证 SMTP 客户端访问的安全，必须首先创建一个新的 SMTP 虚拟服务器以使用入站客户端连接。

连接控制限制基于 Internet 协议 (IP) 地址或域名的连接，包括反向 DNS 查找。这一安全级别是基本级别，仅当能够保证传入连接的 IP 地址时才可使用。这一安全级别不对密码或邮件数据进行加密；但您可对其他安全设置使用此级别。

访问控制允许您配置基本身份验证、匿名身份验证或集成 Windows 验证（NTLM 验证）。由于基本身份验证允许明文用户名和密码，因此建议您禁用此身份验证类型。如果禁用基本身份验证，则需要在 SMTP 客户端软件上使用安全密码验证以启用登录。单击“帐户”属性中的服务器选项卡上的“邮件发送服务器身份验证设置”按钮，以启用 Microsoft Outlook Express 中的安全密码验证。请注意，安全密码验证仅加密登录会话，而不加密邮件正文。

注意：

•	集成 Windows 验证仅在客户机可以联系域控制器以验证其凭据的情况下使用。在大多数防火墙配置中，不可能存在且不需要这种情况。不过，SMTP 访问的内部实现（其中的登录会话不遍历 Internet）可以使用 NTLM 验证。
•	使用基本身份验证时，可以使用传输层安全性 (TLS)。与安全套接字层 (SSL) 一样，TLS 可对登录序列和邮件流量进行加密。

安全通信使用 SSL 加密对整个 SMTP 会话（包括登录序列和邮件正文的传输）进行编码。建议您对所有通过公用网络（如 Internet）与 Exchange 2000 建立的 SMTP 连接使用 SSL。您必须在 SMTP 虚拟服务器上安装一个证书。您可以使用外部证书颁发机构，也可以将证书服务安装到您的 Active Directory 林中，以安装证书。


注意：如果加密 SMTP 协议，则只有在向 Exchange 2000 计算机传递邮件时，会话才会受到保护。但是，POP3 或 IMAP4 邮件集合不会被加密。建议您采取其他防范措施来加密邮件集合。 有关如何加密邮件集合的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 最后，还需要控制邮件通过 SMTP 虚拟服务器中继的方式。如果您的 POP3 或 IMAP4 客户端没有权限进行中继，则用户无法使用您的 Exchange 2000 计算机将 SMTP 邮件发送到外部域。但是，如果您的设置过于简单而不能中继邮件，则用户可能会传播未经请求的商业电子邮件。如果使用默认设置进行中继，则只有经过身份验证的客户端可以使用您的 Exchange 2000 计算机中继邮件。

访问 SMTP 协议对象

1.	单击开始，依次指向程序、Microsoft Exchange，然后单击系统管理器。
2.	在左窗格中，双击服务器。
3.	单击要配置的服务器，然后单击协议。 将显示 SMTP 协议对象。

如何新建 SMTP 虚拟服务器

1.	右键单击 SMTP 协议对象，指向新建，然后单击 SMTP 虚拟服务器。
2.	为 SMTP 虚拟服务器键入一个名称，然后单击下一步。 建议您使用描述该虚拟服务器功能的名称，如“客户端访问虚拟服务器”。
3.	单击该 SMTP 虚拟服务器将要绑定到的 IP 地址，然后单击完成。
4.	在您创建 SMTP 虚拟服务器后，请确认这个新的虚拟服务器使用的是正确的完全限定的域名称 (FQDN)： a. 右键单击在步骤 3 中创建的 SMTP 虚拟服务器，然后单击属性。 b. 单击传送选项卡，然后单击高级。 c. 确认完全限定的域名称框中的域名，是否与用户在将其要连接的客户端软件配置为传送 SMTP 邮件时键入的名称匹配。 要验证是否正确解析了域名，请单击检查 DNS。 d. 单击确定，然后再次单击确定。

注意：如果您正在配置一个 SMTP 虚拟服务器，以便客户端能够通过 Internet 访问此 SMTP 虚拟服务器，则可能需要配置外部 DNS 服务器，因为 SMTP 虚拟服务器的 FQDN 需要解析为一个外部 Internet 地址。为此，请单击高级传递对话框中的配置，再单击添加，然后键入外部 DNS 服务器的 IP 地址。

如何配置 IP 地址限制

1.	启动 Exchange 系统管理器，右键单击新创建的 SMTP 虚拟服务器，再单击访问选项卡，然后单击连接。
2.	单击“仅以下列表”。 如果执行此操作，则只允许列表中的 IP 地址和域连接到 SMTP 虚拟服务器。使用下列任一种方法将项目添加到列表中： • 一次添加一个 IP 地址。为此，请键入一个主机名，然后单击 DNS 查找以将此名称自动解析为 IP 地址。如果远程用户总是从固定的 IP 地址进行连接，而这些 IP 地址又不连续，则请使用这种方法。 • 添加一个地址范围（如带有子网掩码 255.255.255.0 的 131.107.2.0）。您可以使用子网掩码（如 255.255.255.252）将可接受的主机限制在一个仅包含六个 IP 地址的范围内。 • 以域为基础设置限制。例如，您可以限制连接，从而仅接受来自 contoso.com 的连接。但是，如果使用此方法，则必须对每个传入的连接执行 DNS 反向查找，这可能会对 Exchange 2000 计算机的性能产生不良影响。有关更多信息，请参考本文末尾的“疑难解答”部分。
3.	单击确定以接受 IP 地址限制。

如何配置访问控制

1.	启动 Exchange 系统管理器，右键单击新创建的 SMTP 虚拟服务器，然后单击属性。
2.	单击访问选项卡，然后单击身份验证。 默认情况下，匿名身份验证、基本身份验证和集成 Windows 验证方法处于选中状态。如果您的环境支持 Windows 身份验证，则可以同时清除匿名身份验证复选框和基本身份验证复选框。单击确定以接受更改。
3.	启动 Outlook Express，然后配置 SMTP 帐户设置以使用安全密码验证。为此，请按照下列步骤操作： a. 单击工具菜单上的帐户。 b. 单击邮件选项卡，再单击适当的邮件帐户，然后单击属性。 c. 单击服务器选项卡，然后确认选中“使用安全密码验证登录”复选框。 注意：安全密码验证仅加密登录会话，而不加密邮件正文。
4.	单击确定，然后单击关闭。

如何配置安全通信（第一部分）

1.	右键单击新 SMTP 虚拟服务器，然后单击属性。
2.	单击访问选项卡，然后单击证书。
3.	启动 IIS 证书向导后，单击“创建新证书”或“从外部证书颁发机构分配现有证书”，然后单击下一步。
4.	如果安装了证书颁发机构 (CA)，请单击“立即将证书请求发送到联机证书颁发机构”。 如果未安装 CA，请单击“现在准备证书请求，但稍后发送”，然后单击下一步。
5.	如果将证书请求发送到联机 CA，请为证书请求指定一个合适的名称，键入长度为一个位的密钥，然后单击下一步。 注意：过长的密钥长度会影响性能。
6.	在相应的框中键入通过其请求证书的 CA 的组织和组织单位信息，然后单击下一步。
7.	键入站点的公用名称，然后单击下一步。 注意：请确保此公用名称与配置新 SMTP 虚拟服务器时使用的 DNS FQDN 匹配。如果从 Internet 启用访问，则必须使用可在外部解析的完全限定的域名称 (FQDN)。
8.	在相应的框中为您的 CA 键入国家或地区、省或自治区及市县信息，然后单击下一步。
9.	如果在步骤 4 中选择立即将证书请求发送到联机 CA，则请确认显示了您组织的 CA，然后单击下一步。 但是，如果在步骤 4 中选择现在准备证书请求，但稍后发送，则请接受证书请求的默认文件名或将其保存到其他文件，然后单击下一步。
10.	查看“证书请求提交”信息，然后单击下一步。
11.	单击完成。

如何配置安全通信（第二部分）

在服务器上安装证书后，请强制安全通信：

1.	右键单击新 SMTP 虚拟服务器，然后单击属性。
2.	单击访问选项卡，然后单击通信。
3.	单击以选中“要求安全通道”复选框。
4.	如果 Exchange 2000 计算机和客户端均支持 128 位加密，请单击“要求 128 位加密”。
5.	单击确定，再单击确定。
6.	停止 SMTP 虚拟服务器并重新启动。
7.	启动 Outlook Express，单击工具菜单上的帐户，然后单击邮件选项卡。
8.	双击 Exchange Server 邮件帐户，单击高级选项卡，然后单击“邮件发送 (SMTP) 服务器”部分中的“此服务器要求安全连接 (SSL)”。 此邮件发送 (SMTP) 端口不能从端口 25 进行更改。
9.	单击确定，然后单击关闭。

如何配置中继限制

1.	右键单击新 SMTP 虚拟服务器，然后单击属性。
2.	单击访问选项卡，然后单击中继。 默认设置允许经过身份验证的客户端中继邮件。通常情况下，这些设置已足够；只有拥有连接凭据的客户端能够通过 SMTP 虚拟服务器中继邮件。您可以将中继权限限制为单个 IP 地址、IP 地址范围或 DNS 后缀。为此，请使用相同步骤配置本文“如何配置 IP 地址限制”部分中描述的传入地址限制。

注意：如果删除所有中继限制，则会增加您的 Exchange 2000 计算机用来传递未经请求的商业电子邮件的可能性。如果允许匿名身份验证，则强烈建议您不要删除中继限制。

有关如何保证 Exchange 2000 Server 计算机的安全以防范未经请求的商业电子邮件的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

如何确认您已正确配置 SMTP 安全性

•	要验证 IP 限制是否按预期方式工作，请尝试使用有效用户名从一个已排除的 IP 地址进行连接。 您会收到一条消息，表示到服务器的连接被拒绝。
•	要验证身份验证加密，请按照下列步骤操作： 1. 在 Exchange 2000 计算机上运行网络监视器，然后在您捕获传入 Exchange 2000 计算机的流量时使用默认身份验证设置以从客户端启动 SMTP 会话。 2. 检查 SMTP 会话并注意端口 25 (0019h) 上从客户端传向服务器的数据包。 请注意，用户的登录名和密码是以明文形式发送的。 3. 删除对基本身份验证的支持，将客户端配置为请求安全密码验证，从客户端启动另一个 SMTP 会话，然后使用网络监视器捕获流量。 用户帐户和密码详细信息现在已被加密。
•	要验证完全 SSL 加密，请按照下列步骤操作： 1. 添加一个证书，配置设置以便可以在 SMTP 虚拟服务器上要求安全通道，然后配置客户端以使用 SSL。 2. 启动一个网络监视器捕获，然后从客户端启动一个 SMTP 邮件集合会话。 3. 停止捕获，然后检查已发送的数据包。 请注意，所有从客户端传向服务器的、以端口 25 (0019h) 为目标的数据包均已加密。 注意：如果尚未对 POP3 或 IMAP4 邮件集合启用加密，则可能仍会看到一些未加密数据包从客户端发往端口 110 (006Eh) 或端口 143 (008Fh)。
•	要确认中继限制是否起作用，请从已排除的 IP 地址向外部域发送邮件。您会收到一条错误信息，表示服务器未能对收件人地址进行中继。

疑难解答

如果您限制基于 DNS 查找的 IP 地址，则可能会对 Exchange 2000 计算机的性能造成不良影响。因为 Exchange 2000 计算机会对每个传入连接执行反向 DNS 查找，因此必须存在可用 DNS 反向搜索区域，并且 SMTP 客户端必须向该区域注册。如果您有大量传入 SMTP 连接，则应考虑禁用反向 DNS 查找。 有关如何配置反向搜索区域的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 如果您没有为服务器名或组织指定正确的值，则当您在默认的 SMTP 虚拟服务器上创建 SSL 证书时，用户可能会收到下面的消息： 要避免显示此消息，请确保证书的公用名称与其 Internet 地址匹配。

有关如何配置 SMTP 安全性的更多信息，请参考 Exchange 2000 帮助和 Exchange 2000 Server 资源工具包。