首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件服务器

技术前沿 | Qmail | IMail | MDaemon | Exchange | Domino | 其它 | Foxmail | James | Kerio | JavaMail | WinMail | Sendmail | Postfix | Winwebmail | Merak | CMailServer | 邮件与开发 | 金笛 |
首页 > 邮件服务器 > Exchange Server > Exchange 2007经验谈:匿名中继权限配置 > 正文

Exchange 2007经验谈:匿名中继权限配置

出处:IT168 作者:风华正茂 时间:2008-9-24 18:17:54

中继是指一封邮件从一个SMTP服务器传送到另外一台服务器,当接受邮件的SMTP服务器不是目标服务器。如果没有限制的话,Internet 上的SMTP服务器的匿名中继是一个严重的安全隐患,未经请求的商业电子邮件、垃圾邮件会利用它来隐藏自己的源地址。因此应该在面向Internet的邮件服务器上禁止它来阻止中继到非授权的目标地址。

    在Exchange 2007中,中继是通过接受域来处理。可以在中心传输服务器或者边缘传输服务器上配置接受域,我们在这里不详细介绍接受域的概念。

    您也可以根据进来的消息的源地址来限制匿名中继。如果一个没有经过认证的程序或者消息服务器必须使用中心传输服务器或者边缘传输服务器来作为中继服务器的话,该方法很有用。

执行前的准备

    在执行该操作之前,您使用的账号必须具有具有下面的权限:

    • Exchange Server Administrator 和目标服务器的本地管理员组

    创建接收连接器并将匿名中继授予特定IP

    当您创建接受连接器并允许匿名中继的时候,您应该在该接受连接器上配置下面的限制:

    • Local network settings 在中心传输服务器或者边缘传输服务器上限制接受连接器只在某个特定的网卡上侦听
    • Remote network settings 限制接受连接器只指定的服务器或者服务器组,该限制是必须的,因为接收连接器接受匿名用户的中继,通过IP地址来限制源服务器是在接收连接器上唯一的保护方法。
 
    要将接收连接器上的中继权限授权给匿名用户,您可以使用下面的两种方法中的任何一种,每种方法都有好处和坏处。
方法一 授权中继权限给匿名连接

    该方法涉及到下面的几个任务:

    • 创建一个接收连机器并将使用类型设置为custom
    • 增加匿名权限组给该接收连接器
    • 在接收连接器上指派中继权限给匿名登录 的安全主体

    在接收连接器上,匿名权限组授予下面的权限给匿名登录的安全主体:

    • Ms-Exch-Accept-Headers-Routing
    • Ms-Exch-SMTP-Accept-Any-Sender
    • Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
    • Ms-Exch-SMTP-Submit

    然后要在接收连机器上允许匿名中继,您必须在接收连接器上将下面的权限授予匿名登录的安全主体

    • Ms-Exchange-SMTP-Accept-Any-Recipient

    使用该方法的好处是,只授予最小的中继权限给特定的远程主机IP地址

    该方法有下面几个坏处:

    • 在创建接收连接器后,您只能单独使用Exchange Management Shell来指派中继权限给接收连接器上的匿名登录的安全主体 
    • 那些来自特定IP地址的消息被认为是匿名消息,因此,这些消息不会绕过反垃圾邮件的检查,不会绕过消息大小限制 的检查,也不能解析匿名发件人。对于匿名消息,解析匿名发件人企图强制匹配发件人的邮件地址和全局地址簿中对应的显示名称。
    使用Exchange Management Console创建一个新的接收连接器,并授权中继权限给匿名连接,具体的方法如下:

    1、 打开Exchange Management Console,然后执行下面的步骤:

    注意:这里我们举例说明在安装了中心传输服务器角色的服务器上的配置过程。

    2、 定位到Server Configuration---Hub Transport,点击New Receive Connector,如图1所示,


    3、 The New SMTP Receive Connector 的向导将会启动,在Name 中输入名称,在Select the intended use for this connector 中选择Custom,如图2所示,


    4、 点击下一步,

    5、 在Local network settings设置中,选中“All Available”点击删除,如图3所示,


    6、 然后点击增加,输入该服务器上的某个指定的IP地址和端口,如图4所示,


    7、 点击OK,然后点击下一步,

    8、 在Remote network settings设置中,选中“0.0.0.0-255.255.255.255”,选择删除,如图5所示,


    9、 然后点击增加,输入指定的远程主机的IP地址,点击OK,如图6所示,


    10、 然后点击下一步,

    11、 在New Connector的页面上,检查该连接器的摘要信息,确认无误后,点击New,

    12、 在完成的页面上点击Finish,如图8所示。

 
    13、 右键选中该接收连接器,选择属性,如图9所示,


    14、 然后点击Permission Groups。选中Anonymous users,点击确定,如图10所示,


    15、 然后进入Exchange Management Shell,输入下面的命令,如图11所示,


     Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" –ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

    当然,我们也可以通过下面的命令行来创建接收连接器:

    New-ReceiveConnector -Name <Name> -Usage Custom -PermissionGroups AnonymousUsers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>

    然后在通过下面的命令行来设置匿名中继权限:

    Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

方法二 将接收连接器配置为Externally Secured

    该方法涉及到下面的几个任务:

    • 创建一个接收连机器并将使用类型设置为custom
    • 增加Exchange Servers权限组给该接收连接器
    • 增加ExternalAuthoritative认证机制给该接收连接器

    当您选中ExternalAuthoritative认证机制的时候,Exchange Servers权限组是必须的。该认证机制和权限组的组合将下面的权限授予接收连接器上的任何进入连接:

    • Ms-Exch-Accept-Headers-Routing
    • Ms-Exch-SMTP-Accept-Any-Sender
    • Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
    • Ms-Exch-SMTP-Submit
    • Ms-Exch-Accept-Exch50
    • Ms-Exch-Bypass-Anti-Spam
    • Ms-Exch-Bypass-Message-Size-Limit
    • Ms-Exch-SMTP-Accept-Any-Recipient
    • Ms-Exch-SMTP-Accept-Authentication-Flag

    该方法有下面这些好处:

    • 容易配置
    • 那些来自特定IP地址的消息被认为是经过认证的消息,这些消息会绕过反垃圾邮件的检查,会绕过消息大小限制 的检查,也能解析匿名发件人。

    该方法的坏处是,远程IP地址被认为是完全信任的,被授予权限的IP允许远程主机提交消息,好象它们来自您的组织的内部发件人一样。

    使用Exchange Management Console创建一个新的接收连接器,并授权中继权限给匿名连接,并配置外部安全。

    有关创建接收连接器的步骤和前面的一样,在此就不在叙述了。我们重点介绍如何配置外部安全:

    1. 假设您已经创建好了一个接收连接器,名称为external secure,

    2. 在EMC中,右键选中该接收连接器,选择属性,如图12所示,


    3. 点击Permission Groups,选中Exchange servers,如图13所示,


    4. 点击Authentication,选中Externally Secured (for example, with IPSec),如图14所示,


    5. 点击确定,保存该设置。

    我们也可以通过运行下面的命令来将创建一个新的接受连接器,然后为它设置外部安全设置,具体的命令如下:

    New-ReceiveConnector -Name <Name> -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>

相关文章 热门文章
  • Outlook 2003与Exchange 2010结合使用中可能出现的问题及建议的解决方法
  • 在配置完 Exchange Server 2010 CAS Array后需要做的两件事
  • 如何通过Exchange2010 OWA更改过期密码
  • Windows server 2008 R2上安装exchange 2010注意的问题
  • 关于Exchange数据库文件过大的正确处理方法
  • Exchange 2007 HUB服务器默认证书过期解决办法
  • Exchange 2010 SP1个人邮件归档配置
  • 邮件系统双雄PK: TurboMail vs Exchange
  • 利用Windows Server Backup备份Exchange 2010 DAG
  • Exchange Server 2010与RMS集成
  • Exchange Server 2010 跨组织移动邮箱
  • 配置Exchange 2010+Outlook 2010自动发现功能
    		•
  • Exchange 2000 Server 常见问题(四)
  • Exchange 2000 Server 常见问题(一)
  • Exchange 2000 Server 常见问题(三)
  • Exchange 2000 Server 常见问题(五)
  • Exchange 2000 Server 常见问题(二)
  • 部署Exchange Server 2003问题集(1)
  • Telnet到端口25以测试SMTP通信
  • 限制Exchange用户从Internet收发邮件
  • Exchange Server管理与设定(一)
  • 使用Exchange 2000 Server 构建多域名邮件系统
  • 虚拟内存碎片的检测和EXCHANGE的内存优化
  • Exchange Server 公用程序(一)
    		•
    自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
    • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
    		•
    最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
    		•
    分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号