保护 Exchange 服务器
上一次修改主题: 2005-05-24
本主题集中讲述可以通过哪些途径来保护 Microsoft® Exchange 服务器。执行以下任务有助于保护您的服务器(这些任务将在后面的部分详细地说明):
- 在所有 SMTP 虚拟服务器上禁止开放中继支持。 默认中继限制可以阻止未经授权的用户使用您的 Exchange 服务器向外部位置发送邮件。如果您的服务器开放了中继支持,则未经授权的用户将能够使用您的服务器来发送垃圾邮件。因此,其他组织可能将您的服务器看作开放中继的源服务器,并因此而阻止您的服务器发送合法的邮件。
- 在内部 SMTP 虚拟服务器以及 IMAP 和 POP 客户端专用的 SMTP 虚拟服务器上阻止匿名访问。 由于组织内部的所有 Exchange 服务器彼此之间都进行身份验证(以发送邮件),因此不需要在内部简单邮件传输协议 (SMTP) 虚拟服务器上启用匿名访问。此外,所有邮局协议 (POP) 和 Internet 邮件访问协议 (IMAP) 客户端都必须通过您的 SMTP 虚拟服务器的身份验证,因此,在 POP 和 IMAP 客户端专用的服务器上也不需要匿名访问。在这些服务器上禁用匿名访问可以防止未经授权的用户对它们进行访问。
- 在内部 SMTP 虚拟服务器上限制提交和中继权限。 在 Microsoft Exchange Server 2003 中,可以通过标准的 Microsoft Windows® 2000 Server 或 Windows Server™ 2003 随机访问控制列表 (DACL) 来使用安全要素,从而进一步限制对 SMTP 虚拟服务器的访问。这样,您便可以明确地对要允许其使用 SMTP 虚拟服务器的用户和组授予权限。
在所有 SMTP 虚拟服务器上禁止开放中继支持
如设置中继限制中所述,在 SMTP 虚拟服务器上禁止匿名访问或开放中继支持至关重要。当用户使用 Exchange 服务器向外部域发送邮件时,便发生了中继。
在默认配置下,Exchange 仅允许已通过身份验证的用户中继邮件 -- 也就是说,只有已通过身份验证的用户才能够使用 Exchange 向外部域发送邮件。如果修改默认中继设置,以便允许未通过身份验证的用户中继邮件,或者,允许开放中继支持(即允许任何用户通过连接器将邮件中继到某个域),则未经授权的用户将能够使用您的 Exchange 服务器发送垃圾邮件。因此,您的服务器便可能出现在阻止列表中,从而被阻止向合法的远程服务器发送邮件。要阻止未经授权的用户使用您的 Exchange 服务器中继邮件,应始终使用默认的中继限制。
.gif "note") 注意: |
|---|
| 用户通常容易将中继与垃圾邮件混淆。中继控制不阻止垃圾邮件。有关控制垃圾邮件的详细信息,请参阅配置筛选并控制垃圾邮件。 |
有关如何控制中继的详细信息,请参阅 Microsoft 知识库中编号为 304897 的文章:“XIMS: Microsoft SMTP Servers May Seem to Accept and Relay E-Mail Messages in Third-Party Tests”。
在内部 SMTP 虚拟服务器以及 IMAP 和 POP 客户端专用的 SMTP 虚拟服务器上阻止匿名访问
为提高安全性,可以在内部 SMTP 虚拟服务器上,以及专门负责接受来自远程 IMAP 和 POP 用户的传入邮件的任何 SMTP 虚拟服务器上,阻止匿名访问。当发送内部邮件时,Exchange 服务器自动进行身份验证;因此,在内部服务器上阻止匿名访问不会导致邮件流中断,并且会在内部 SMTP 虚拟服务器上提供额外的一层安全保护。
同样,IMAP 和 POP 客户端在向 SMTP 虚拟服务器发送邮件之前,也必须通过身份验证。因此,如果对 IMAP 和 POP 客户端使用专用的 SMTP 虚拟服务器,便可以配置这些服务器仅允许已通过身份验证的访问。若要阻止匿名访问,请在 SMTP 虚拟服务器属性中的“访问”选项卡上,单击“身份验证”,再清除“匿名访问”复选框。有关如何阻止匿名访问的分步说明,请参阅如何配置访问控制和身份验证方法。
.gif "important") 重要提示: |
|---|
| 不要在 Internet 桥头 SMTP 虚拟服务器上禁止匿名访问。接受来自 Internet 的邮件的 SMTP 虚拟服务器必须允许匿名访问。 |
限定哪些用户能够向通讯组列表和用户提交邮件
在 Exchange 2003 中,可以限定哪些用户能够向特定的用户或通讯组列表发送电子邮件。通讯组列表上的限定提交功能可以防止不受信任的发件人(如未经授权的 Internet 用户)向仅供内部使用的通讯组列表发送邮件。例如,All Employees 通讯组列表对于公司外部的任何人都是不可用的(无论是通过欺骗的手段还是其他方式)。
| 注意: |
|---|
| 受限通讯组列表和用户提交限制只能在运行 Exchange Server 2003 的桥头服务器或 SMTP 网关服务器上起作用。 |
应考虑在与全职员工和其他内部组有关的内部通讯组列表上设置限制。这样,便阻止了这些通讯组列表收到垃圾邮件,并且限制了所有匿名用户向这些通讯组列表发送邮件。
有关如何分别针对用户和通讯组设置提交限制的详细说明,请参阅如何设置对用户的限制和如何设置对通讯组的限制。
在内部 SMTP 虚拟服务器上限制提交和中继权限
在 Exchange Server 2003 中,可以使用标准的 Windows 2000 Server 或 Windows Server 2003 随机访问控制列表 (DACL),以限定只有有限数目的用户或组能够向 SMTP 虚拟服务器提交邮件或通过它中继邮件。这样,您便可以指定可以向虚拟服务器提交邮件或通过它中继邮件的用户组。
在 SMTP 虚拟服务器上限制提交
如果您有一些特殊的用户,并希望允许他们在特定的虚拟服务器上发送 Internet 邮件,则在 SMTP 虚拟服务器上限制提交很有用。可以仅允许这些用户或组向这些 SMTP 虚拟服务器提交邮件。
| 注意: |
|---|
| 不要在接受 Internet 邮件的 SMTP 虚拟服务器上限制提交。 |
有关详细说明,请参阅如何基于安全组限制到 SMTP 服务器的提交。
在 SMTP 虚拟服务器上限制中继
如果要允许一组用户通过虚拟服务器中继发往 Internet 的邮件,但要对另一组用户拒绝中继特权,则在虚拟服务器上限制中继很有用。
有关详细说明,请参阅如何基于安全组限制中继。