如何在接收连接器上允许匿名中继
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2007-07-02
本主题介绍如何使用 Exchange 管理控制台或 Exchange 命令行管理程序创建和配置允许进行匿名中继的接收连接器。接收连接器在安装了 Microsoft Exchange Server 2007 集线器传输服务器角色或边缘传输服务器角色的服务器上进行配置。
“中继”是指在接收 SMTP 消息服务器并非消息的最终目标时,在简单邮件传输协议 (SMTP) 消息服务器之间进行的邮件传送。没有限制时,Internet SMTP 消息服务器上的“匿名中继”是严重的安全缺陷,它可能被商业垃圾邮件发送方或垃圾邮件制造者用来隐藏其邮件的源。因此,在面向 Internet 的消息服务器上施加了限制,以防止中继到未经授权的目标。
在 Exchange 2007 中,通常使用接受域来处理中继。接受域是在边缘传输服务器或集线器传输服务器上配置的。另外,还将接受域分类为内部中继域或外部中继域。有关接受域的详细信息,请参阅管理接受域。
您还可以基于传入邮件的源来限制匿名中继。当未验证的应用程序或消息服务器必须使用集线器传输服务器或边缘传输服务器作为中继服务器时,此方法很有用。
开始之前
要执行此步骤,必须为您使用的帐户委派以下角色:
- 目标服务器的 Exchange Server 管理员角色和本地管理员组
若要在安装了边缘传输服务器角色的计算机上执行以下步骤,必须使用作为该计算机上的本地管理员组成员的帐户进行登录。
有关管理 Exchange 2007 所需的权限、角色委派以及权利的详细信息,请参阅权限注意事项。
创建向特定源 IP 地址授予匿名中继权限的接收连接器
在创建被配置为允许进行匿名中继的接收连接器时,需要在接收连接器上施加以下限制:
本地网络设置 将接收连接器限制为只在集线器传输服务器或边缘传输服务器上的相应网络适配器上进行侦听。
远程网络设置 将接收连接器限制为仅接受来自指定的单个或多个服务器的连接。此限制是必要的,因为接收连接器被配置为接受来自匿名用户的中继。通过 IP 地址限制源服务器是此接收连接器上允许实行的唯一保护措施。
要向接收连接器上的匿名用户授予中继权限,可以使用以下部分中描述的任一策略。每个策略都具有优缺点。
向匿名连接授予中继权限
此策略涉及以下任务:
新建将使用类型设置为
Custom的接收连接器。向该接收连接器添加匿名权限组。
向该接收连接器上的匿名登录安全主体分配中继权限。
匿名权限组向该接收连接器上的匿名登录安全主体授予以下权限:
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
但是,要允许在此接收连接器上进行匿名中继,还必须向接收连接器上的匿名登录安全主体授予以下权限:
- Ms-Exchange-SMTP-Accept-Any-Recipient
此策略的优点是它将中继所需的最少权限授予指定的远程 IP 地址。
此策略的缺点如下所示:
只能在创建接收连接器后,使用 Exchange 命令行管理程序在单独的步骤中向接收连接器上的匿名登录帐户分配中继权限。
来自指定 IP 地址的邮件均视为匿名邮件。因此,邮件不会绕过反垃圾邮件检查,不会绕过邮件大小限制检查,也不能解析匿名发件人。解析匿名发件人的过程中,将强行尝试将匿名发件人的电子邮件地址与全局地址列表中的相应显示名称进行匹配。
.gif "note")
注意:如果在运行 Windows Server 2008 的计算机上部署了 Exchange 2007 Service Pack 1 (SP1),您可以使用 Internet 协议版本 4 (IPv4) 格式、Internet 协议版本 6 (IPv6) 格式或同时使用这两种格式输入 IP 地址和 IP 地址范围。Windows Server 2008 的默认安装启用对 IPv4 和 IPv6 的支持。
我们强烈建议不要将接收连接器配置成可接受来自未知 IPv6 地址的匿名连接。如果将接收连接器配置为可接受来自未知 IPv6 地址的匿名连接,进入您的组织的垃圾邮件数量很可能增加。目前,还没有广为接受的用于查找 IPv6 地址的行业标准协议。大多数 IP 阻止列表提供程序不支持 IPv6 地址。所以,如果接收连接器允许来自未知 IPv6 地址的匿名连接,就增加了垃圾邮件制造者绕过 IP 阻止列表提供程序将垃圾邮件成功传送到您的组织的机会。
有关 Exchange 2007 SP1 对 IPv6 地址支持的详细信息,请参阅 Exchange 2007 SP1 和 SP2 中的 IPv6 支持。有关连接筛选、如何将 IP 地址添加到 IP 允许列表和 IP 阻止列表,以及如何配置 IP 阻止列表提供程序服务和 IP 允许列表提供程序服务的详细信息,请参阅配置连接筛选。
使用 Exchange 管理控制台新建一个向匿名连接授予中继权限的接收连接器
打开 Exchange 管理控制台。执行下列步骤之一:
要在安装了边缘传输服务器角色的计算机上创建接收连接器,请选择“边缘传输”,然后在工作窗格中单击“接收连接器”选项卡。
要在集线器传输服务器角色上创建接收连接器,请在控制台树中展开“服务器配置”,然后选择“集线器传输”。在结果窗格中选择要创建连接器的服务器,然后单击“接收连接器”选项卡。
在操作窗格中,单击“新建接收连接器”。“新建 SMTP 接收连接器”向导将启动。
在“简介”页上,执行下列步骤:
在“名称:”字段中,为此连接器键入有意义的名称。此名称用于标识该连接器。
在“选择此连接器的预期用法:”字段中,选择“自定义”。
单击“下一步”。
在“本地网络设置”页上,执行下列步骤:
选择现有的“所有可用的”条目,然后单击
.gif "删除图标")
。单击“添加”。在“添加接收连接器绑定”对话框中,选择“指定 IP 地址”。键入被分配给与远程邮件服务器通信能力最强的本地服务器上的网络适配器的 IP 地址。
在“本地网络设置”页上的“端口”字段中,键入 25,然后单击“确定”。
单击“下一步”。
在“远程网络设置”页上,执行下列步骤:
选择现有的 0.0.0.0 - 255.255.255.255 条目,然后单击
。单击“添加”或“添加”旁边的下拉箭头,键入允许在此服务器上中继邮件的远程邮件服务器的 IP 地址或 IP 地址范围。输入完 IP 地址后,单击“确定”。
单击“下一步”。
在“新建连接器”页面上,复查该连接器的配置摘要。如果要修改设置,则单击“上一步”。要使用配置摘要中的设置创建接收连接器,请单击“新建”。
在“完成”页上,单击“完成”。
在工作窗格中,选择您创建的接收连接器。
在操作窗格中,单击该接收连接器的名称下的“属性”以打开“属性”页。
单击“权限组”选项卡。选择“匿名用户”。
单击“确定”以保存更改并退出“属性”页。
打开 Exchange 命令行管理程序。
使用在步骤 1 到步骤 11 中创建的接收连接器的名称运行以下命令:
Get-ReceiveConnector "Receive Connector Name" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
使用 Exchange 命令行管理程序新建向匿名连接授予中继权限的接收连接器
运行以下命令:
New-ReceiveConnector -Name <Name> -Usage Custom -PermissionGroups AnonymousUsers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>例如,要新建名为“Anonymous Relay”的接收连接器(该接收连接器在 IP 地址为 192.168.5.77 的源服务器的端口 25 上的本地 IP 地址 10.2.3.4 上进行侦听),请运行以下命令:
New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -PermissionGroups AnonymousUsers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77使用您在步骤 1 中创建的接收连接器的名称运行以下命令:
Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
将接收连接器配置为“外部安全”
此策略涉及以下任务:
新建将使用类型设置为
Custom的接收连接器。向该接收连接器添加 ExchangeServers 权限组。
将
ExternalAuthoritative身份验证机制添加到该接收连接器。
选择 ExternalAuthoritative 身份验证机制时,需要 ExchangeServers 权限组。此身份验证方法和权限组的组合会向接收连接器上允许的所有传入连接授予以下权限:
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
Ms-Exch-Accept-Exch50
Ms-Exch-Bypass-Anti-Spam
Ms-Exch-Bypass-Message-Size-Limit
Ms-Exch-SMTP-Accept-Any-Recipient
Ms-Exch-SMTP-Accept-Authentication-Flag
此策略的优点如下所示:
配置简便
来自指定 IP 地址的邮件均视为已通过身份验证的邮件。该邮件会躲过反垃圾邮件检查,躲过邮件大小限制检查,并可以解析匿名发件人。
此策略的缺点是将远程 IP 地址视为完全可信的。授予远程 IP 地址的权限允许远程邮件服务器提交邮件,就像这些邮件来自 Exchange 组织内的内部发件人一样。
使用 Exchange 管理控制台新建被配置为外部安全的接收连接器
打开 Exchange 管理控制台。执行下列步骤之一:
要在安装了边缘传输服务器角色的计算机上创建接收连接器,请选择“边缘传输”,然后在工作窗格中单击“接收连接器”选项卡。
若要在集线器传输服务器角色上创建接收连接器,请在控制台树中展开“服务器配置”,然后选择“集线器传输”。在结果窗格中选择要创建连接器的服务器,然后单击“接收连接器”选项卡。
在操作窗格中,单击“新建接收连接器”。“新建 SMTP 接收连接器”向导将启动。
在“简介”页上,执行下列步骤:
在“名称:”字段中,为此连接器键入有意义的名称。此名称用于标识该连接器。
在“选择此连接器的预期用法:”字段中,选择“自定义”。
单击“下一步”。
在“本地网络设置”页上,执行下列步骤:
选择现有的“所有可用的”条目,然后单击
。单击“添加”。在“添加接收连接器绑定”对话框中,选择“指定 IP 地址”。键入被分配给与远程邮件服务器通信能力最强的本地服务器上的网络适配器的 IP 地址。
在“本地网络设置”页上的“端口”字段中,键入 25,然后单击“确定”。
单击“下一步”。
在“远程网络设置”页上,执行下列步骤:
选择现有的 0.0.0.0 - 255.255.255.255 条目,然后单击
。单击“添加”或“添加”旁边的下拉箭头,键入允许在此服务器上中继邮件的远程邮件服务器的 IP 地址或 IP 地址范围。输入完 IP 地址后,单击“确定”。
单击“下一步”。
在“新建连接器”页面上,复查该连接器的配置摘要。如果要修改设置,则单击“上一步”。若要使用配置摘要中的设置创建接收连接器,请单击“新建”。
在“完成”页上,单击“完成”。
在工作窗格中,选择您创建的接收连接器。
在操作窗格中,单击该接收连接器的名称下的“属性”以打开“属性”页。
单击“权限组”选项卡。选择“Exchange 服务器”。
单击“身份验证”选项卡。选择“外部安全(例如使用 IPsec)”。
单击“确定”保存更改并退出“属性”页。
使用 Exchange 管理控制台新建被配置为外部安全的接收连接器
运行以下命令:
New-ReceiveConnector -Name <Name> -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>例如,要新建名为“Anonymous Relay”的接收连接器(该接收连接器在 IP 地址为 192.168.5.77 的源服务器的端口 25 上的本地 IP 地址 10.2.3.4 上进行侦听),请运行以下命令:
New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77
详细信息
有关详细信息,请参阅下列主题: