限制对 SMTP 的匿名访问

 

上一次修改主题: 2005-06-21

默认情况下,Exchange 2003 设置在匿名 SMTP 访问的安全模式下。匿名中继或开放中继是禁用的,因此从组织提交到 Exchange 2003 的未通过身份验证的邮件不以解析的形式显示在 Outlook 客户端上。因此,限制对 SMTP 的匿名访问在默认情况下是部分实现的,因为匿名中继被禁用。但是,内部匿名 SMTP 访问未被禁用。此部分提供检查和验证中继配置并进一步限制内部匿名 SMTP 访问的建议。

在 SMTP 虚拟服务器上禁用匿名中继至关重要。当某人使用您的 Exchange 服务器向外部域发送邮件时,便发生了中继。开放中继使得发送垃圾邮件的某人可以使用您的外部 SMTP 服务器代表其发送邮件。此活动可能导致您的网关服务器作为垃圾邮件中继在 Internet 阻止列表中列出。

默认配置下的 Exchange 仅允许已通过身份验证的用户中继邮件。只有已通过身份验证的用户能够使用 Exchange 向外部域发送邮件。如果修改默认中继设置,以便允许未通过身份验证的用户中继邮件,或者,允许开放中继支持(即允许任何用户通过连接器将邮件中继到某个域),则未经授权的用户或恶意蠕虫将能够使用您的 Exchange 服务器发送垃圾邮件。您的服务器可能出现在阻止列表中,从而无法向合法的远程服务器发送邮件。要阻止未经授权的用户使用您的 Exchange 服务器中继邮件,至少应使用默认的中继限制。

如果您有合理的理由允许中继,应遵循相应的准则以确保实施方案具备必要的安全性。实现这一点的主要方法是保留全部拒绝默认设置,而只添加将接受其中继邮件的 IP 地址,并禁止已通过身份验证的用户访问。

检查内置帐户(本地管理员)和其他用户是如何在网关服务器上使用的。您不可能对所有类型的中继都使用内置帐户。如果允许中继,则中继可能被一组已知的用户或计算机使用。建议只对明确的用户和计算机或 IP 地址授予中继权限。

配置明确的中继权限将有助于进一步增强服务器的安全性。恶意用户可以使用强力攻击来试图获得内置帐户或 Internet 上的用户帐户的密码,以便可以将您的服务器用作垃圾邮件代理。因此,建议不要对可以从 Internet 访问到的计算机使用默认设置,因为该设置允许任何已通过身份验证的计算机中继。建议禁用该设置。

Exchange 2003 显示未通过身份验证的邮件的实际 SMTP 地址,而不是显示其出现在全局地址列表 (GAL) 中的显示名,从而使客户端用户具备了识别带欺骗性质的邮件的能力。但是,建议在所有内部 Exchange 服务器上禁用匿名 SMTP 访问。Outlook 对未通过身份验证(或可能具有欺骗性质)的邮件的行为是很难以把握的。只有观察细致且经验丰富的用户才能识别出表示发件人未通过身份验证的实际 SMTP 地址。因此,禁用匿名访问功能确保了只有已通过身份验证的用户才能在组织内部提交邮件。此外,要求身份验证还迫使 Internet 模式(邮局协议版本 3 或 POP3,或者 Internet 邮件访问协议版本 4rev1,或 IMAP4)下的 Outlook Express 和 Outlook 等客户端程序在发送邮件之前,先通过身份验证。。

建议

  • 检查中继配置。相应地配置所有的 SMTP 虚拟服务器,以便只允许明确的用户、计算机或 IP 地址中继到其他组织。
  • 对所有已通过身份验证的计算机禁用中继功能。
  • 在所有内部 Exchange 服务器上禁用匿名 SMTP 访问。

资源

 
显示: