为通过身份验证连接和匿名连接配置 SMTP
许多消息传递环境使用内部网关服务器来路由源自各种源的消息。这些源可能包括本地电子邮件环境中的服务器、电子邮件环境之外的应用程序服务器以及来自其他电子邮件环境的服务器。当环境使用多种技术时,允许匿名连接往往很有必要,因为所有主机之间的身份验证并非总是可能的或可行的。虽然存在这样的选择只是允许所有匿名连接,但这样将创建一个未托管的环境。反之,管理多个被允许连接的列表可能会导致不必要的管理开销。
Microsoft IT 将其 Exchange 基础结构中的 SMTP 传输视为宝贵资源,因此该小组在对该基础结构的访问方面进行了控制和管理。在某些情况下,Microsoft IT 需要允许某些特定的 SMTP 客户端进行匿名连接,但仍允许来自所有通过身份验证的客户端的连接。
在使用 Microsoft Exchange 2000 Server 的环境中,即便将某个单一 Internet 协议 (IP) 地址添加到了 SMTP 虚拟服务器上的允许连接列表中,也无法连接任何其他客户端(匿名的或通过身份验证的)。对于要连接的通过身份验证的客户端(例如,其他 Exchange 服务器),必须将其 IP 地址添加到允许连接列表中。在企业环境中,这样做可能要涉及几十个甚至数百个 IP 地址。由于进行的更改未被共享(这些更改都是在每台虚拟服务器上分别配置),因此,如果有多台 SMTP 虚拟服务器,则问题就复杂了。
图 1. Microsoft IT 中的 SMTP 需求拓扑结构图
在努力为 SMTP 路由环境提供安全性而又不产生大量管理开销的过程中,Microsoft IT 需要更改其 SMTP 虚拟服务器的行为。Microsoft IT 所实施的更改可使 SMTP 虚拟服务器允许来自明确的 IP 地址列表的匿名连接,但也允许来自其他 Exchange 服务器的所有通过身份验证的连接。
本文档专为 Exchange 管理员而准备。其假定读者已掌握了 Microsoft Windows Server 2003、Microsoft Exchange Server 2003 SMTP 以及路由概念和各种系统工具方面的应用知识。除了涉及完成各任务所必需的步骤之外,本文档并未在其中全面介绍任何系统工具方面的详细信息。
注意:出于安全原因,本文档样例中使用的林状结构名称、域名、内部资源名称、组织名称以及内部开发的应用程序和文件的名称,并不代表 Microsoft 内部使用的真实名称,它们仅供说明之用。此外,本文档中内容主要描述 Microsoft IT 运行企业数据中心的方式。本文档中的步骤和过程并非有关如何运行通用数据中心的规定性指导,而且可能不受“Microsoft 客户支持服务”的支持。
连接控制设置 | 行为 |
All except the list below(以下列表除外)(默认) | 除非表中列出的 IP 地址,否则所有客户端均可连接到 SMTP 虚拟服务器。 |
Only the list below(仅以下列表) | 只有表中列出其 IP 地址的客户端才可连接到 SMTP 虚拟服务器。 |
图 2 所示的流程图说明了在建立连接并提交消息后,SMTP 虚拟服务器所使用的逻辑。
连接控制设置 | 行为 |
Only the list below(仅以下列表) | 满足以下条件的所有 SMTP 服务器均可连接: · 如果连接通过身份验证,则客户端可提交消息*。 · 如果连接未通过身份验证,但客户端在允许的 IP 地址列表中,则客户端也可提交消息* · 否则,客户端将收到 SMTP 错误响应“5.7.3 Client was not authenticated(5.7.3 客户端未通过身份验证)”。 |
图 3 说明了表 2 中引用的连接控制设置。例如,在下列情况下,来自主机 10.168.0.1 的匿名 SMTP 连接和通过身份验证的 SMTP 连接将被接受。
图 3. 指定允许连接的 IP 地址
设置此标志仅影响被允许尝试提交电子邮件的客户端。此设置并不改变 SMTP 虚拟服务器有关处理匿名中继(相对于通过身份验证的中继而言)的行为。例如,通过匿名连接方式进行的提交仍然遵守 Sender Display Name Resolution(发送端显示名称解析)、Sender ID(发送端 ID)、Sender/Recipient Filtering(发送端/接收端过滤)和 Exchange Intelligent Message Filter(Exchange 智能消息筛选器)设置;它们不能跳过这些功能。
图 4 所示的流程图说明了在建立连接并提交消息后,SMTP 虚拟服务器所使用的逻辑。
图 4. 经修改的 SMTP 连接工作流方法
实施
实施更改分以下两步:
1. 在 IIS 元数据库中为 SmtpIpRestrictionFlag 属性创建一个新记录。
2. 设置其属性值。
默认情况下,元数据库中不存在 SmtpIpRestrictionFlag 属性。然而,管理员可使用 IIS Metabase Explorer 创建一个新记录并更改其属性值。IIS Metabase Explorer 是 IIS 6.0 Resource Kit Tools 集合的一部分,它可从 http://www.microsoft.com/downloads/details.aspx?FamilyID=56FC92EE-A71A-4C73-B628-ADE629C89499&displaylang=en 下载安装。IIS Metabase Explorer 的用户界面 (UI) 与 Microsoft Windows® Explorer 的 UI 类似。
要创建记录并设置其值:
1. 打开 IIS Metabase Explorer 并将其连接到要做更改的服务器。
2. 浏览到要做更改的 SMTP 虚拟服务器的容器。
3. 在 Edit(编辑)菜单上,指向 New(新建),然后单击 DWORD Record(双字节记录)。
4. 在 New Record(新记录)对话框中的 Record Name or Identifier(记录名称或标识符)列表中,选择 SmtpIpRestrictionFlag,如图 5 所示。
图 5. IIS Metabase Explorer 中的 New Record 对话框
注意:图 5 中列出的 Owner Key(所有者项)中的数字 1 表示 SMTP 虚拟服务器的编号。
5. 单击 OK(确定)保存新记录。
6. 双击此新记录打开其属性。
SmtpIpRestrictionFlag 属性可能有两个值:
· 0:启用通过身份验证的或受信任的 IP 地址连接(原始行为)。进行连接的服务器必须在 IP 列表中,而不管身份验证如何。
· 1:启用来自 Connection Control(连接控制)设置中所列出的 IP 地址的通过身份验证的连接和匿名连接。
7. 将其属性值更改为 1(如图 6 所示),然后保存更改。
图 6. 更改 IIS Metabase Explorer 中 SmtpIpRestrictionFlag 属性的值
除了在“允许连接列表”中列出的连接外,现在 SMTP 服务器还允许那些通过身份验证的连接。
更多信息
有关 Microsoft 产品或服务的更多信息,请拨打 Microsoft 销售信息中心的电话:(800) 426-9400。在加拿大,请拨打 Microsoft 加拿大信息中心的电话:(800) 563-9048。在美国 50 个州和加拿大以外的国家和地区,请联系当地的 Microsoft 子公司。要通过万维网获得信息,请访问:
http://www.microsoft.com/itshowcase
http://www.microsoft.com/technet/itshowcase
本文档所包含的信息代表 Microsoft Corporation 在发布时对所讨论的问题的当前观点。因为 Microsoft 必须紧跟瞬息万变的市场形势,所以不应认为这是 Microsoft 的承诺,并且 Microsoft 无法保证发布日期之后信息的准确性。
本文档仅用于提供信息之目的。MICROSOFT 对于本文档中的信息不做任何明示、暗示或法定的保持。
遵守所有适用版权法是用户的职责。Microsoft 准许您对本文档的全部或部分进行复制,特别是完全出于自学的目的。
Microsoft 可能拥有涉及本文档中主题的专利、专有应用程序、商标、版权或其他知识产权。除非得到 Microsoft 明确提供的任何书面许可协议,否则本文并未向您做出对这些专利、商标、版权或其他知识产权的任何授权。
除非另行说明,否则在此描述的示例公司、组织、产品、域名、电子邮件地址、徽标、人员、地点和事件纯属虚构的,与真实的公司、组织、产品、域名、电子邮件地址、徽标、人员、地点和事件没有任何联系,也不应推断出任何关联性。
© 2005 Microsoft Corporation。保留所有权利。
本文档仅用于提供信息之目的。MICROSOFT 在本摘要中未作任何明示或暗示担保。Microsoft、Active Directory、Windows 和 Windows Server 是 Microsoft Corporation 在美国和/或其他国家或地区的注册商标或商标。本文稿提及的真实公司和产品名称可能是其相应所有者的商标。
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |