设置中继限制

上一次修改主题： 2005-05-04

中继是指将邮件转发到您所在域以外的域的能力。更具体地说，当使用与您的 SMTP 服务器的入站连接来向外部域发送电子邮件时，便发生了中继。默认情况下，Exchange 服务器接受内部用户或已通过身份验证的用户提交的邮件，并将其发送到外部域。如果服务器开放了中继功能，或者服务器上的中继功能未加以保护，那么未经授权的用户便可以使用您的服务器来发送未经请求的商业电子邮件（垃圾邮件）。因此，要保护 SMTP 虚拟服务器，至关重要的一点是设置中继限制。

了解已通过身份验证的中继与匿名中继或开放中继之间的区别很重要：

• 已通过身份验证的中继   已通过身份验证的中继允许内部用户向 Exchange 组织以外的域发送邮件，但在发送邮件之前要求身份验证。默认情况下，Exchange 仅允许已通过身份验证的中继。
• 匿名中继   匿名中继允许任何用户连接到 Exchange 服务器，并使用它将邮件发送到 Exchange 组织以外的目的地。

下面的示例说明了 Exchange Server 2003 如何使用已通过身份验证的中继来接受和中继邮件：

• 匿名用户连接到 SMTP 虚拟服务器，并尝试将邮件传递到 Exchange 组织中的内部用户。
  在这种情况下，SMTP 虚拟服务器接受邮件，因为它是发往内部域的，并且该用户存在于 Active Directory 中。
• 匿名用户连接到 SMTP 虚拟服务器，并尝试将邮件传递到外部域中的外部用户。
  在这种情况下，SMTP 虚拟服务器拒绝该邮件，因为它是发往不在 Exchange 服务器职责范围内的外部域的。由于用户未通过身份验证，因此 SMTP 虚拟服务器不会将此邮件中继到 Exchange 组织以外的目的地。
• 用户使用邮局协议 (POP) 或 Internet 邮件访问协议 (IMAP) 客户端（如 Microsoft Outlook® Express）连接到 SMTP 虚拟服务器，通过身份验证，然后尝试将邮件发送到外部域中的用户。
  在这种情况下，电子邮件客户端直接连接到 SMTP 虚拟服务器，并证明该用户的身份。虽然邮件是发往远程域的，但是 SMTP 虚拟服务器接受并中继此邮件，因为用户通过了身份验证。

通过使用 Exchange Server 2003 的中继控制功能，可以阻止第三方通过您的服务器中继邮件。通过中继控制可以指定有权通过您的服务器中继邮件的传入远程 IP 地址和子网掩码对列表。Exchange 根据允许中继邮件的 IP 网络列表检查传入 SMTP 客户端的 IP 地址。如果不允许该客户端中继邮件，将只允许发送到本地收件人的邮件。还可以通过域来实现中继控制。但是，这种方法需要实现反向 DNS 解析（在 SMTP 虚拟服务器级别控制）。

配置默认中继限制

默认情况下，SMTP 虚拟服务器仅允许已通过身份验证的用户中继邮件。此配置设计用于防止未经授权的用户使用您的 Exchange 服务器中继邮件。虚拟服务器的默认配置仅允许已通过身份验证的计算机中继邮件。

未经请求的商业电子邮件通常来自带欺骗性质或伪造的地址，并且经常使用没有受到中继保护的服务器来进行中继。为此，默认情况下，Exchange Server 2003 仅允许已通过身份验证的用户中继。更改此设置时请小心 -- 许多 Internet 提供商阻止开放中继功能的服务器。