配置跨目录林的 SMTP 邮件协作

  • 项目

 

上一次修改主题: 2005-05-20

为防止电子欺骗(即伪造标识),Exchange 2003 要求在将发件人名称解析为全局地址列表 (GAL) 中的相应显示名之前进行身份验证。因此,在跨两个目录林的组织中,从一个目录林向另一个目录林发送邮件的用户不经过身份验证。此外,用户的名称也不会解析为 GAL 中的相应显示名,即使该用户作为联系人存在于目标目录林中也是如此。

若要在 Exchange 2003 中启用跨目录林邮件协作,需要进行附加的配置步骤,以便将组织外的联系人解析为其在 Active Directory 中的显示名。可以使用以下两个选项启用这些联系人的解析:

  • 选项 1(推荐)   使用身份验证,以确保从一个目录林向另一个目录林发送邮件的用户是通过身份验证的用户,并将其名称解析为 GAL 中的相应显示名。
  • 选项 2   限制对用于跨目录林协作的 SMTP 虚拟服务器进行访问,然后将 Exchange 配置为解析匿名电子邮件。支持此配置,但不建议使用它。默认情况下,在此配置中,如果从一个目录林向另一个目录林发送邮件,则不保留 Exch50 邮件属性(它是邮件的扩展属性)。

要了解配置跨目录林邮件协作的优点,请考虑下面关于匿名邮件提交和跨目录林身份验证的邮件提交的方案。

方案: 匿名邮件提交

如果提交是匿名的,则不解析电子邮件地址。因此,如果匿名用户试图欺骗(伪造)内部用户的标识并发送邮件,则返回地址不会解析为其在全局地址列表 (GAL) 中的显示名。

例如,Kim Akers 是 Contoso, Ltd. 的合法内部用户。她在 GAL 中的显示名为 Kim Akers,并且电子邮件地址为 kim@contoso.com。

要发送邮件,Kim 必须经过身份验证。因为她经过身份验证,所以 Kim 邮件的收件人可以看到发件人是 Kim Akers。另外,Kim Akers 的属性显示为她的 GAL 条目。但是,如果 Ted Bremer 试图通过在“发件人”行中使用 kim@contoso.com 来伪造 Kim 的地址,然后向 Contoso 的 Exchange 2003 服务器发送邮件,则该电子邮件地址将不解析为 Kim 的显示名,因为 Ted 未经过身份验证。因此,在 Microsoft Office Outlook® 中显示的此电子邮件中,发件人地址显示为 kim@contoso.com,而不像 Kim 所发出的已通过身份验证的邮件那样解析为 Kim Akers。

方案: 跨目录林的邮件传递

假设有一个拥有两个目录林的公司:Adatum 目录林和 Fabrikam 目录林。这两个目录林都是单域目录林,并且分别使用 adatum.com 域和 fabrikam.com 域。为了允许进行跨目录林邮件协作,Adatum 目录林中的所有用户作为 Fabrikam 目录林的 Active Directory 中的联系人。同样,Fabrikam 目录林中的所有用户作为 Adatum 目录林的 Active Directory 中的联系人。

如果 Adatum 目录林中的用户向 Fabrikam 目录林发送邮件,并且邮件是通过匿名连接提交的,则尽管发件人作为联系人存在于 Active Directory 和 Outlook GAL 中,也不会解析发件人的地址。这是因为 Adatum 目录林中的用户不是 Fabrikam 目录林中已通过身份验证的用户。

例如,Ted Bremer 是 Adatum 目录林中的邮件用户,他的邮件地址是 ted@adatum.com,而在 Outlook GAL 中的显示名是 Ted Bremer。Adam Barr 是 Fabrikam 目录林中的用户,他的电子邮件地址是 adam@fabrikam.com,他的 Outlook GAL 显示名为 Adam Barr。由于 Adam 被表示为 Adatum 目录林中的 Active Directory 联系人,因此 Ted 可以查看 Adam 的电子邮件地址,并将它解析为 Outlook GAL 中的相应显示名 Adam Barr。而当 Adam 收到来自 Ted 的邮件时,则不会解析 Ted 的地址;Adam 看到的是 Ted 的未经解析的电子邮件地址 ted@adatum.com,而不是他在 GAL 中的相应显示名。由于 ted 是以匿名用户的身份发送的邮件,因此不会解析他的电子邮件地址。虽然发送邮件时 Ted 通过了身份验证,但这两个目录林间的连接未经过身份验证。

要确保一个目录林中的发件人能够向其他目录林中的收件人发送邮件,并确保他们的电子邮件地址均解析为 GAL 中的相应显示名,应启用跨目录林的邮件协作。以下部分说明了在两个目录林之间配置邮件协作时可用的两个选项。

启用跨目录林身份验证

若要启用跨目录林 SMTP 身份验证,必须在使用其他目录林的经身份验证的帐户的每个目录林中创建连接器。这样,已通过身份验证的用户在两个目录林之间发送的任何邮件都将解析为 GAL 中的相应显示名。此部分说明如何启用跨目录林的身份验证。

以 Adatum 目录林和 Fabrikam 目录林为例(请参阅本主题前面的“方案:跨目录林的邮件传递”),执行下列步骤以设置跨目录林的身份验证:

  1. 在 Fabrikam 目录林中创建一个具有“代理发送”权限的帐户。(对于 Adatum 目录林中的所有用户,在 Fabrikam 目录林中都存在相应的联系人;因此该帐户使 Adatum 用户可以发送已经过身份验证的邮件。)在接受来自 Adatum 的传入邮件的所有 Exchange 服务器上配置这些权限。
  2. 在 Adatum 目录林的 Exchange 服务器上,创建需要身份验证(使用该帐户)的连接器,以便发送出站邮件。

同样,要设置从 Fabrikam 目录林到 Adatum 目录林的跨目录林身份验证,请重复上述步骤,即:在 Adatum 中创建帐户,在 Fabrikam 中创建连接器。

步骤 1: 在目标目录林中创建具有“代理发送”权限的用户帐户

在连接目录林中设置连接器前,必须在目标目录林(要连接到的那个目录林)中创建具有“代理发送”权限的帐户。在目标目录林的所有服务器上配置这些权限,这些服务器将接受连接目录林中的入站连接。如何创建用于跨目录林身份验证的帐户步骤介绍如何在 Fabrikam 目录林中设置帐户,如何配置连接器并要求对跨目录林的身份验证进行身份验证步骤介绍如何在 Adatum 目录林中配置连接器,从而允许 Adatum 目录林中的用户使用经过解析的电子邮件地址向 Fabrikam 目录林中的用户发送邮件。

步骤 2: 在连接目录林中创建连接器

在目标目录林中创建具有适当权限的帐户后,在连接目录林中创建连接器并使用刚创建的帐户要求身份验证。在如何配置连接器并要求对跨目录林的身份验证进行身份验证步骤中,假设您在 Adatum 目录林的 Exchange 服务器上创建连接器,该服务器连接到 Fabrikam 目录林。

通过解析匿名邮件启用跨目录林协作

配置 Exchange 以便将组织外的联系人解析为其在 Active Directory 中的显示名的另一种方式是,将 Exchange 配置为解析匿名电子邮件。假设您公司有两个目录林,一个是 Adatum 目录林,另一个是 Fabrikam 目录林。

important重要提示:
通过配置 Exchange 服务器以解析匿名邮件提交,将允许恶意用户提交带有伪造的返回地址的邮件。收件人无法区分可信邮件和带欺骗性质的邮件。要使这种可能性降到最低,请确保对 SMTP 虚拟服务器的访问仅限于访问 Exchange 服务器的 IP 地址。

通过执行以下步骤,可以将与 Adatum 用户对应的联系人解析为 Fabrikam 目录林中的相应显示名。其中的每个步骤都将在后面的部分中详细说明。

  1. 在 Adatum 目录林中创建一个连接到 Fabrikam 目录林的连接器。
  2. 在 Fabrikam 目录林的接收桥头服务器上,限制通过 IP 地址对 SMTP 虚拟服务器的访问。这样,可以确保只有 Adatum 目录林中的服务器可以向此服务器发送邮件。
  3. 在容纳连接器的 SMTP 虚拟服务器上,启用“解析匿名电子邮件”设置。
  4. 更改注册表项,确保扩展邮件属性(Exch50 属性)在各个目录林中继续存在。否则,您将丢失重要的邮件信息。

完成上述步骤后,所有从 Adatum 目录林向 Fabrikam 目录林发送邮件的用户都将解析为 Fabrikam 全局地址列表 (GAL) 中的相应显示名。然后在生产环境中重复该过程,在 Adatum 目录林中配置 Fabrikam 联系人的解析名。

步骤 1: 在连接目录林中创建连接器

首先必须在连接目录林中创建连接器。有关详细说明,请参阅 What's New in Exchange Server 2003中的“如何在连接目录林中创建连接器”。

创建连接器后,Exchange Server 将通过该连接器路由所有发往 fabrikam.com(Fabrikam 目录林)的邮件。

步骤 2: 在接收方桥头服务器上限定 IP 地址

在 Adatum 目录林(连接目录林)中创建连接器后,必须限制对接收桥头服务器的访问。为此,可以只允许 Adatum 目录林中连接服务器的 IP 地址向 Fabrikam 目录林中接收桥头服务器发送邮件。

有关详细说明,请参阅如何按 IP 地址限制对接收桥头服务器的访问

步骤 3: 在 SMTP 虚拟服务器上解析匿名邮件

限制对接收桥头服务器的访问后,必须在该桥头服务器上配置 SMTP 虚拟服务器以解析匿名电子邮件地址。

有关详细说明,请参阅如何将 SMTP 虚拟服务器配置为解析匿名电子邮件地址

步骤 4: 启用注册表项以使邮件属性在目录林之间具有持久性

如前所述,如果邮件在目录林间匿名发送,则并不传输邮件的扩展邮件属性。对于实现跨目录林方案的单独公司来说,因为有关邮件的信息可能丢失,所以必须传输这些邮件属性。例如,SCL 属性(扩展的 Exchange 属性)包含由第三方解决方案生成的垃圾邮件等级。匿名发送邮件时,并不传输此属性。因此,如果在 Adatum 目录林中部署了防垃圾邮件解决方案,并且该目录林中收到了发往 Fabrikam 目录林中的收件人的邮件,则防垃圾邮件解决方案将在该邮件上标记 SCL 属性。但是,在邮件被传递到 Fabrikam 目录林之后,包含该垃圾邮件等级的扩展属性不再存在。

要配置 Exchange 使其接受扩展邮件属性,可以在接收桥头服务器或驻留在桥头服务器上的 SMTP 虚拟服务器上启用某个注册表项。在 Exchange 服务器上启用该注册表项可以配置 Exchange 服务器上的所有 SMTP 虚拟服务器接受扩展属性。

配置 Exchange 服务器接受匿名连接上的扩展邮件属性

执行如何使 Exchange Server 能够接受匿名发送的邮件扩展属性步骤,可以将 Exchange 服务器配置为能够接受匿名连接的扩展属性。如果 Exchange 服务器仅用作跨目录林通信的桥头服务器,则可能需要在服务器级别配置该设置。如果在此 Exchange 服务器上有其他 SMTP 虚拟服务器,则考虑仅在 SMTP 虚拟服务器上设置该注册表项。

note注意:
如果在 Exchange 服务器上启用此注册表项,则该设置将应用于 Exchange 服务器上的所有 SMTP 虚拟服务器。如果要以此设置配置单一 SMTP 虚拟服务器,请在 SMTP 虚拟服务器上启用此注册表项。
note注意:
错误地编辑注册表可能导致严重问题,甚至可能需要重新安装操作系统。因注册表编辑不当而导致的问题可能没有办法解决。在编辑注册表之前,请备份所有重要数据。

将 SMTP 虚拟服务器配置为接受匿名发送的扩展邮件属性

执行如何使 SMTP 虚拟服务器能够接受匿名发送的邮件扩展属性步骤,可以配置 Exchange 服务器上的 SMTP 虚拟服务器接受扩展的属性。