Protezione del server di Exchange
Ultima modifica dell'argomento: 2005-05-24
In questo argomento vengono trattate in particolare le modalità con cui è possibile proteggere il proprio server Microsoft® Exchange. Per proteggere i server, effettuare le operazioni descritte di seguito e descritte in dettaglio nelle sezioni successive.
- Disattivare l'inoltro aperto su tutti i server SMTP virtuali. Le limitazioni di inoltro predefinite impediscono agli utenti non autorizzati di utilizzare il server di Exchange per inviare posta elettronica a postazioni esterne. Se il server è aperto per l'inoltro, gli utenti non autorizzati possono utilizzarlo per inviare posta indesiderata. Il server verrebbe quindi riconosciuto da altre organizzazioni come origine con inoltro aperto e, di conseguenza, impossibilitato a inviare posta legittima.
- Impedire l'accesso anonimo ai server virtuali SMTP interni e ai server virtuali SMTP dedicati per i client IMAP e POP. Poiché tutti i server di Exchange dell'organizzazione eseguono l'autenticazione reciproca per l'invio della posta elettronica, non è necessario attivare l'accesso anonimo ai server virtuali SMTP (Simple Mail Transfer Protocol) interni. Inoltre, tutti i client POP (Post Office Protocol) e IMAP (Internet Message Access Protocol) eseguono l'autenticazione con il server virtuale SMTP, quindi non viene richiesto l'accesso anonimo su un server utilizzato esclusivamente dai client POP e IMAP. Se si disattiva l'accesso anonimo su questi server, è possibile impedire l'accesso agli stessi da parte degli utenti non autorizzati.
- Limitare gli invii e l'accesso per l'inoltro ai server virtuali SMTP interni. In Microsoft Exchange Server 2003, è possibile limitare l'accesso ai server virtuali SMTP utilizzando delle identità di protezione mediante l'elenco di controllo di accesso discrezionale (DACL, Discretionary Access Control List) standard di Microsoft Windows® 2000 Server o Windows Server™ 2003. Questa opzione consente di concedere autorizzazioni esplicite agli utenti e ai gruppi ai quali si desidera consentire l'uso di un server virtuale SMTP.
Disattivazione dell'inoltro aperto su tutti i server virtuali SMTP
Come spiegato in Impostazione delle limitazioni di inoltro, è essenziale che non si autorizzi l'inoltro anonimo nei server virtuali SMTP. L'inoltro avviene quando un utente utilizza il server di Exchange per inviare messaggi di posta elettronica a un dominio esterno.
Nella configurazione predefinita, Exchange consente solo agli utenti autenticati di inoltrare la posta, in altre parole, solo gli utenti che dispongono di autenticazione possono utilizzare Exchange per inviare messaggi di posta elettronica a un dominio esterno. Se si modificano le impostazioni predefinite dell'inoltro per consentire agli utenti autenticati di inoltrare la posta oppure si consente l'inoltro aperto a un dominio attraverso un connettore, gli utenti non autorizzati possono utilizzare il server di Exchange per inviare posta indesiderata. Di conseguenza, il server viene inserito nell'elenco di blocco e impossibilitato a inviare posta elettronica ai server remoti legittimi. Per impedire che gli utenti non autorizzati utilizzino il server di Exchange per inoltrare la posta, occorre utilizzare sempre le limitazioni predefinite per l'inoltro.
Nota
L'inoltro viene spesso confuso con la posta indesiderata. Il controllo dell'inoltro non blocca la posta indesiderata. Per ulteriori informazioni sul controllo della posta indesiderata, vedere Configurazione dei filtri e controllo della posta indesiderata.
Per ulteriori informazioni sul controllo dell'inoltro, vedere l’articolo 304897 della Microsoft Knowledge Base, "XIMS: Microsoft SMTP Servers May Seem to Accept and Relay E-Mail Messages in Third-Party Tests".
Blocco dell'accesso anonimo ai server virtuali SMTP interni e ai server virtuali SMTP dedicati per i client IMAP e POP
Per ottimizzare la protezione, è possibile impedire l'accesso anonimo ai server virtuali SMTP interni e ai server virtuali SMTP dedicati all'accettazione della posta in arrivo dagli utenti IMAP e POP remoti. Quando si invia della posta elettronica interna, i server di Exchange eseguono automaticamente l'autenticazione. Di conseguenza, impedendo l'accesso anonimo sui server interni, il flusso della posta non viene interrotto e viene fornito un ulteriore livello di protezione sul server virtuale SMTP interno.
Analogamente, i client IMAP e POP eseguono l'autenticazione prima di inviare la posta ai server virtuali SMTP. Quindi, se si utilizzano dei server virtuali SMTP dedicati per i client IMAP e POP, è possibile configurarli per consentire solo l'accesso autenticato. Per impedire l'accesso anonimo, scegliere Autenticazione dalla scheda Accesso delle proprietà del server virtuale SMTP, quindi deselezionare la casella di controllo Accesso anonimo. Per istruzioni dettagliate su come bloccare l'accesso anonimo, vedere Configurazione dei controlli per l'accesso e dei metodi di autenticazione.
Importante
Non disattivare l'accesso anonimo ai server virtuali SMTP testa di poste per Internet. I server virtuali SMTP che accettano la posta elettronica da Internet devono consentire l'accesso anonimo.
Limitazione degli invii a liste di distribuzione e utenti
In Exchange 2003 è possibile limitare il numero di utenti che possono inviare messaggi di posta elettronica a un singolo utente o a una lista di distribuzione. Questa limitazione consente di impedire che mittenti non attendibili, ad esempio gli utenti Internet non autorizzati, possano inviare messaggi di posta a una lista di distribuzione costituita esclusivamente da utenti interni. Ad esempio, è opportuno che una lista di distribuzione Tutti i dipendenti non sia disponibile per gli utenti esterni alla società (tramite spoofing o altri metodi).
Nota
I gruppi di distribuzione limitati e le restrizioni sugli invii per gli utenti possono essere impostati soltanto sui server testa di ponte o sui server gateway SMTP che eseguono Exchange Server 2003.
Può essere utile impostare delle restrizioni per le liste di distribuzione interne relative a dipendenti a tempo pieno e altri gruppi interni. Mediante questa operazione, si proteggono le liste di distribuzione dalla posta indesiderata e si limitano gli invii da parte di utenti anonimi alle liste.
Per istruzioni dettagliate su come impostare rispettivamente le restrizioni sugli invii per gli utenti e i gruppi di distribuzione.Impostazione delle limitazioni su un utente e Impostazione delle limitazioni su un gruppo di distribuzione.
Limitazione delle autorizzazioni di invio e inoltro su un server virtuale SMTP interno
In Exchange Server 2003 è possibile limitare le autorizzazioni di invio e inoltro a un server virtuale SMTP impostando un numero ridotto di utenti o gruppi mediante l’elenco di controllo di accesso discrezionale (DACL, Discretionary Access Control List) di Windows 2000 Server o Windows Server 2003. In questo modo è possibile specificare gruppi di utenti autorizzati a inviare o inoltrare posta su un server virtuale.
Limitazione degli invii a un server virtuale SMTP
Impostare restrizioni in relazione agli invii effettuati a un server virtuale SMTP è utile se si desidera consentire ad alcuni utenti specifici di inviare posta di Internet su particolari server virtuali. È possibile concedere esclusivamente a questi utenti o gruppi di accedere per inviare messaggi di posta ai server virtuali SMTP.
Nota
Non impostare restrizioni relative agli invii sui server virtuali SMTP che accettano la posta Internet.
Per istruzioni dettagliate, vedere Limitazione degli invii a un server SMTP in base a un gruppo di protezione.
Limitazione dell'inoltro su un server virtuale SMTP
L’impostazione di restrizioni relative all’inoltro sui server virtuali è utile se si desidera consentire a un gruppo di utenti di inoltrare posta su Internet, ma negare i privilegi di inoltro a un altro gruppo.
Per istruzioni dettagliate, vedere Limitazione dell'inoltro basata su un gruppo di protezione.