规划 Exchange Server 智能邮件筛选器

 

上一次修改主题: 2007-01-19

Microsoft® Exchange 智能邮件筛选器设计用于识别可能是未经请求的商业电子邮件 (UCE) 的邮件。当管理员使用智能邮件筛选器时,可以通过以下方式筛选这些邮件:在网关上删除、存档或拒绝这些邮件,或者将其移动到邮箱存储中用户的垃圾邮件文件夹中。

若要有效地筛选 UCE,必须在接受传入 Internet 电子邮件的 Exchange 网关服务器上部署智能邮件筛选器。此外,在 Exchange 网关服务器上负责接受 Internet 电子邮件的每个 SMTP 虚拟服务器都必须启用智能邮件筛选器。

如果您在网关使用非 Microsoft 电子邮件服务器接受 Internet 电子邮件,必须在接受从非 Microsoft 网关服务器传入的 Internet 电子邮件的 Exchange 桥头服务器上部署智能邮件筛选器。此外,在 Exchange 桥头服务器上负责接受 Internet 电子邮件的每个 SMTP 虚拟服务器都必须启用智能邮件筛选器。

下面的环境不支持智能邮件筛选器:

  • Exchange 2000 Server 或更早版本的服务器
  • Exchange Server 2003 群集

字典攻击是一种强力攻击,它使用常见词作为可能的密码,以发现熟知帐户(如管理员帐户)的有效密码。恶意用户会尝试发动字典攻击,以获得对计算机的访问权限。

为了帮助保护您的 SMTP 网关服务器免受可能的字典攻击,可以在负责接受 Internet 邮件的入站 SMTP 虚拟服务器上禁用所有形式的身份验证。由于不允许身份验证,因此,恶意用户无法使用字典攻击来发现密码并通过您计算机的身份验证,从而无法中继邮件或执行其他未经授权的操作。

禁用 SMTP 虚拟服务器上身份验证的步骤
  1. 在 Exchange 系统管理器上,依次展开“服务器”、“<您的入站 Exchange 服务器>”、“协议”以及“SMTP”

  2. 右键单击入站 SMTP 虚拟服务器,然后单击“属性”

  3. 单击“访问”选项卡,然后单击“身份验证”

  4. “身份验证”中,清除“基本身份验证”“集成 Windows 身份验证”复选框。

    ae37d796-79a8-41a0-9547-3bc52e7339f8

如果由于商业原因(如合作伙伴公司要求身份验证)而无法禁用 SMTP 虚拟服务器上的身份验证访问,请执行下列步骤以提高网关服务器的安全性:

  • 强制对所有用户帐户(尤其是管理员帐户)执行强密码策略。
  • 禁用来宾帐户。有关禁用此帐户的详细信息,请参阅位于 http://go.microsoft.com/fwlink/?linkid=3052&kbid=320053 的 Microsoft 知识库文章 320053“如何重命名 Windows 2000 中管理员和来宾帐户”。虽然该文章是针对 Microsoft Windows® 2000 Server 讲述的,但类似的原则同样适用于 Microsoft Windows Server® 2003。

在某些多目录林拓扑中,由一个目录林中的 Internet 桥头服务器接受发送给另一个目录林中的用户的电子邮件。在这样的多目录林拓扑中,必须启用跨目录林身份验证,以便可以在目录林之间发送垃圾邮件信任级别 (SCL) 分级。

启用跨目录林身份验证还使每个目录林中的用户可以解析为全局地址列表 (GAL) 中的相应显示名。为了防止欺骗(伪造标识),Exchange 2003 要求在将发件人的名称解析为 GAL 中的相应显示名之前进行身份验证。因此,在跨两个目录林的组织中,从一个目录林向另一个目录林发送电子邮件的用户不会进行身份验证。此外,除非启用了身份验证,否则,用户名将不会解析为 GAL 中的相应显示名(即使该用户作为联系人存在于目标目录林中)。

若要启用跨目录林的 SMTP 身份验证,必须在使用来自其他目录林、且已通过身份验证的帐户的每个目录林中创建连接器。创建这些连接器之后,当在两个目录林之间发送电子邮件时,还将发送邮件的扩展属性,这使得 SCL 分级可以传递到目标目录林的相应邮箱存储中。

请考虑由 A. Datum Corporation 和 Fabrikam, Inc. 组成的双目录林环境。Adatum 和 Fabrikam 有各自的目录林,并且每个目录林中的用户都位于另一个目录林的联系人中。下面部分介绍了如何按照下列步骤来设置跨目录林身份验证。

  1. 在 Fabrikam 目录林中创建一个具有“代理发送”权限的帐户。(对于 Adatum 目录林中的所有用户,Fabrikam 目录林中都存在一个相应的联系人。因此,该帐户使得 Adatum 用户可以发送已通过身份验证的电子邮件。)在将接受从 Adatum 传入的电子邮件的所有 Exchange 服务器上配置这些权限。
  2. 在 Adatum 目录林中的 Exchange 服务器上,创建一个在发送出站电子邮件时要求使用此帐户通过身份验证的连接器。

同样,要设置从 Fabrikam 目录林到 Adatum 目录林的跨目录林身份验证,请重复上述步骤,即:在 Adatum 中创建帐户,在 Fabrikam 中创建连接器。

在连接目录林中设置连接器前,必须在目标目录林(要连接到的那个目录林)中创建具有“代理发送”权限的帐户。在目标目录林中的所有服务器上配置这些权限,这些服务器将接受来自连接目录林的入站连接。以下步骤介绍如何在 Fabrikam 目录林中设置帐户,以及如何在 Adatum 目录林中设置连接器。这将使 Adatum 目录林中的用户能够使用解析的电子邮件地址向 Fabrikam 目录林发送电子邮件。

创建用于跨目录林身份验证的帐户
  1. 在目标目录林中(本例中为 Fabrikam 目录林),在“Active Directory 用户和计算机”中创建用户帐户。该帐户必须为活动帐户,但它不需要以下权限:本地登录或通过终端服务器登录。

  2. 在要接受来自连接目录林的传入连接的每个 Exchange 服务器上,为该帐户配置“代理发送”权限:

    note注意:
    创建密码策略时要小心。如果设置密码的有效期,则确保有合适的策略可以在有效期结束前更改密码。如果该帐户的密码过期,跨目录林的身份验证将失败。
    • 启动 Exchange 系统管理器。
    • 在控制台树中,展开“服务器”,右键单击要接受来自连接目录林的传入连接的 Exchange 服务器,然后单击“属性”
    • “<服务器名>”“属性”“安全”选项卡上,单击“添加”
    • “选择用户、计算机或组”中,添加刚刚创建的帐户,然后单击“确定”
    • “安全”选项卡的“组或用户名称”下,选择该帐户。
    • “权限”下的“代理发送”旁,选中“允许”复选框。
      cbb2120d-f9e7-46bc-8738-869f94ca197a

在目标目录林中创建具有适当权限的帐户之后,应在连接目录林中创建连接器,并要求使用刚刚创建的帐户通过身份验证。在以下步骤中,假设您在 Adatum 目录林的 Exchange 服务器上创建连接器,该服务器连接到 Fabrikam 目录林。

为跨目录林身份验证配置连接器并要求身份验证的步骤
  1. 启动 Exchange 系统管理器。

  2. 在控制台树中,右键单击“连接器”,指向“新建”,然后单击“SMTP 连接器”

  3. “常规”选项卡的“名称”框中,键入连接器的名称。

  4. 单击“将通过此连接器的所有邮件转发到下列智能主机”,然后键入接收方桥头服务器的完全限定的域名或 IP 地址。

  5. 单击“添加”,选择用来驻留连接器的本地桥头服务器和 SMTP 虚拟服务器。

    f4920500-4cca-4f45-8d2f-f57613ca5123
  6. “地址空间”选项卡上,单击“添加”,选择“SMTP”,然后单击“确定”

  7. “Internet 地址空间属性”中,键入要连接的目录林的域,然后单击“确定”。在本示例中,由于连接器从 Adatum 目录林向 Fabrikam 目录林发送邮件,所以地址空间匹配该目录林的域 fabrikam.com。

    2b25a74d-8950-4e64-b4d3-039f6553296a

    现在,Exchange 将通过此连接器路由发往 fabrikam.com(Fabrikam 目录林)的所有电子邮件。

  8. “高级”选项卡上,单击“出站安全”

  9. 单击“集成 Windows 身份验证”

    fc733039-22f1-42c7-ae2d-d6d2fbc400cd
  10. 单击“修改”

  11. “出站连接凭据”“帐户”、“密码”“确认密码”框中,指定目标目录林(本例中为 Fabrikam)中的帐户和密码,该帐户具有“代理发送”权限,并且是通过身份验证的 Fabrikam 帐户。帐户名使用以下格式:domain\username,其中:

    • domain 是目标目录林中的域。
    • username 表示目标目录林中的帐户,在目标目录林中将接受来自该连接器的电子邮件的所有 Exchange 服务器上,此帐户都应该具有“代理发送”权限。
    9742da14-5608-40ae-83e3-57e98ded20d0
  12. 单击“确定”

 
显示: