防御地址欺骗

 

上一次修改主题: 2006-03-20

垃圾邮件制造者常用的技术是配置电子邮件中的“发件人”行,以隐藏发件人的身份。虽然 SMTP 不要求验证发件人的身份,但是 Exchange 2003 提供下列功能来帮助尽量减少地址欺骗。

默认情况下,Exchange 2003 不解析发件人的电子邮件地址,除非发件人使用客户端程序(如 Outlook 或 Outlook Web Access)来对 Exchange 服务器进行身份验证。当 Exchange 收到来自通过身份验证的客户端的邮件时,将验证发件人是否位于全局地址列表 (GAL) 中,如果是,则解析该邮件上的用户显示名(位于“发件人”行)。如果未经身份验证就提交原始邮件,则 Exchange 2003 会在起点就将该邮件标记为未经过身份验证,然后将该信息从一个服务器传输到另一个服务器。这种情况下,不将发件人的地址解析为 GAL 显示名(如 Ted Bremer),而是将其以 SMTP 格式显示给收件人(如 ted@contoso.com)。应提醒用户警惕这样一类邮件:这些邮件声称来自组织中的其他用户,但并未解析为 GAL 显示名。

但是,Exchange 2000 不解析匿名提交的邮件。为此,如果要从 Exchange 2000 进行升级,建议在升级邮箱和其他 Exchange 服务器之前,先将网关服务器升级到 Exchange 2003。此外,若要禁止 Exchange 2000 服务器解析匿名邮件,可以执行如何禁止 Exchange 2000 解析匿名电子邮件中的步骤。

如果组织包含多个目录林,则可以在 SMTP 桥头服务器要求身份验证的目录林之间配置信任关系。

note注意:
工作流应用程序可以匿名提交邮件;因此,在组织中配置身份验证之前,应确保评估了工作流应用程序的需求。

有关如何配置跨目录林身份验证的信息,请参阅 Exchange Server 2003 新增功能中的“传输和邮件流功能”。

尽管 Exchange 2003 使客户端用户能够识别带有欺骗性的邮件,但仍应在所有内部 Exchange 服务器上关闭匿名 SMTP 访问功能。关闭匿名访问功能有助于确保只有已通过身份验证的用户才能在组织内部提交邮件。此外,要求身份验证会迫使使用 RPC over HTTP 的客户端程序(如 Outlook Express 和 Outlook)在发送邮件之前先通过身份验证。

如果直接从 Internet 上的其他域接收邮件,则可以配置 SMTP 虚拟服务器,对传入的电子邮件执行反向域名系统 (DNS) 查找。这样可以验证发件人邮件服务器的 Internet 协议 (IP) 地址和完全限定域名 (FQDN) 是否与邮件中列出的域名一致。但是,应考虑到反向 DNS 查找存在下列限制:

  • 发件人的 IP 地址可能不存在于反向 DNS 查找记录中,或者,发送方服务器可能对于同一个 IP 有多个名称,并且不是所有的这些名称都存在于反向 DNS 查找记录中。
  • 反向 DNS 查找加重了 Exchange 服务器的负担。
  • 反向 DNS 查找要求 Exchange 服务器能够与发送域的反向查找区域联系。
  • 对每个邮件执行反向 DNS 查找可能导致延迟增加,从而使性能大幅度下降。
note注意:
有关使用反向 DNS 查找的详细信息,请参阅 Microsoft 知识库文章 319356“如何在 Exchange 2000 Server 中组织未经请求的商业电子邮件”。
 
显示: