• 發行項

SMTP 伺服器的開放式轉送測試失敗

[本主題的目的是要說明 Exchange Server Analyzer 工具所引出的特定問題。您只應將它套用到已執行過 Exchange Server Analyzer 工具且有遇到該特定問題的系統。Exchange Server Analyzer 工具可免費下載,它會從拓撲中的每台伺服器遠端收集組態資料,並自動分析該資料。產生的報告會詳述重要的組態問題、潛在問題及非預設的產品設定。遵循這些建議,您便能達到較佳的效能、延展性、可靠性及執行時間。如需此工具的相關資訊或是要下載最新版本,請參閱 Microsoft Exchange Analyzer (https://go.microsoft.com/fwlink/?linkid=34707)。]  

上次修改主題的時間: 2010-06-29

在執行 Microsoft Exchange Server 2003 或較早版本的伺服器上,Microsoft® Exchange Best Practices Analyzer 會執行下列工作,嘗試透過簡易郵件傳送通訊協定 (SMTP) 伺服器來轉送郵件:

  • 開啟與 SMTP 伺服器的通訊端連線。如果 Analyzer 工具收到 220 的回應碼,則視同此步驟已順利完成。
  • 傳輸 EHLO SMTP 命令動詞。如果 Exchange Server Analyzer 收到 250 回應碼,則視同此步驟已順利完成。這系列的回應碼包含 250-X-LINK2STATE250-XEXCH50
  • 傳輸 MAIL FROM:ExBPA-OpenRelayTest@Fabrikam.com SMTP 命令動詞。如果 Analyzer 工具收到 250 回應碼,則視同此步驟已順利完成。
  • 傳輸 RCPT TO:ExBPA-OpenRelayTest@Fabrikam.com SMTP 命令動詞。如果 Analyzer 工具收到 250 回應碼,則視同此步驟已順利完成。

Analyzer 工具也會查詢 Win32_OperatingSystem Microsoft Windows® Management Instrumentation (WMI) 類別,以判定 OSProductSuite 機碼的值。此機碼的值對應到 Windows Server 作業系統的特定版本。如果 Analyzer 工具可在 Exchange Server 電腦 (屬於 Microsoft Small Business Server 2000 或 Microsoft Windows Small Business Server 2003 安裝的一部分) 上順利完成所有步驟,就會顯示一則錯誤。

在執行 Exchange Server 2007 或更新版本的伺服器上,Analyzer 工具會判定 [接收連接器] 的 [權限群組] 索引標籤上是否已選取 [匿名使用者] 選項。此外,工具會判定使用者 NT AUTHORITY\ANONYMOUS LOGON 是否在 [接收連接器] 上被授與了 Ms-Exch-SMTP-Accept-Any-Recipient 權限。如果 Analyzer 判定 Exchange Server 有這項設定,便會顯示錯誤訊息。此錯誤指出此伺服器是設定成開放式轉送。

附註

  • 這不是允許開放式轉送的建議最佳作法。電子郵件伺服器允許透過系統轉送電子郵件訊息時 (但不對所轉送的電子郵件進行任何限制或控制),則會發生開放式轉送。
  • 如果您的 Exchange 組織因某些原因而使用名為 Fabrikam.com 的 SMTP 網域,便可能會發生此錯誤。在此事件中,您可以放心地略過此錯誤。Fabrikam.com 網域是由 Microsoft Corporation 所擁有,且是用於訓練及說明文件。

轉送並不是原本就不好,因為 SMTP 就是設計做為此用途的。(如需詳細資訊,請參閱 RFC 2821 文件的第 2.1 及 3.7 節 (http://ietf.org))。但可能未控制。未控制的主機稱為開放式轉送主機。如果轉送未受到控制,則惡意的使用者可能會使用轉送來傳送大量未經同意的商業電子郵件訊息 (垃圾郵件或 UCE)。透過從中繼主機來傳播這些未經同意的電子郵件訊息,惡意的使用者會嘗試隱藏他們的身分識別。這也會防礙轉送主機上的資源,且可能會讓轉送主機無法傳送有效的電子郵件訊息。特別的是,大部份傳送此類未經同意之電子郵件訊息的使用者,可將單一郵件傳送給數目異常多的收件者,而不會用到他們自己的頻寬。

請確定朝向網際網路的 SMTP 虛擬伺服器上不允許匿名轉送。在其預設組態中,Exchange 只允許已驗證的使用者來轉送郵件。只有已驗證的使用者才可使用 Exchange 將郵件傳送到外部網域。如果將預設的轉送設定修改成允許未經驗證的使用者來進行轉送,或如果允許透過連接器進行網域的開放式轉送,則未經授權的使用者或惡意的蠕蟲可使用您的 Exchange 伺服器來傳送垃圾郵件。您的伺服器可能會被列在封鎖名單裡,而無法將郵件傳送到合法的遠端伺服器中。若要避免未經授權的使用者使用您的 Exchange 伺服器來轉送郵件,則至少要使用預設的轉送限制。

如果有合理的原因要進行轉送,請遵循方針以確定實作方式中有保留安全性。這主要是透過下列方式來完成:保留拒絕所有預設值且只新增用來接受所轉送郵件的 IP 位址,並停用已授權使用者的存取。

請檢閱如何將內建帳戶 (本機系統管理員) 及其他使用者用在閘道伺服器上。不可以使用內建帳戶來進行任何種類型的轉送。如果正在進行轉送,則可能是由已知的一組使用者或電腦來進行轉送。建議將轉送權限限制給明確宣告的使用者和電腦 (或 IP 位址)。

設定明確宣告的轉送權限對保護伺服器特別有幫助。惡意的使用者可能會使用暴力式攻擊,來嘗試取得內建帳戶的密碼或網際網路上所找到使用者帳戶的密碼,這樣他們就可將您的伺服器用來當成垃圾郵件 Proxy。因此,對於可從網際網路存取的電腦,不建議使用預設設定 (允許任何已驗證電腦轉送)。建議停用此設定。

下列程序解說如何依據 SMTP 虛擬伺服器是否朝向網際網路,來停用匿名轉送。如本文件先前所提及,只可在瞭解安全性危機且您的組織可接受的情況下,才可啟用任何形式的匿名轉送。此文件結尾的參照提供如何使用轉送的詳細資訊。

如果 SMTP 虛擬伺服器無法從網際網路存取,則建議將轉送組態重設成預設值。這會讓 SMTP 虛擬伺服器只允許從已驗證電腦進行內部轉送。

對於可從網際網路存取的 SMTP 虛擬伺服器,則建議特別保護預設的轉送組態,讓只有具有明確宣告之權限的使用者和電腦才可進行轉送。

如果已確認 Exchange 是設定成封鎖轉送,而在 Exchange Server Analyzer 中仍會接收到此錯誤,則應確認任何 Proxy 伺服器或處理程序 (如防火牆、防毒或防垃圾郵件軟體) 沒有允許匿名轉送。

若要在內部 SMTP 虛擬伺服器上將匿名轉送組態重設成預設的設定

  1. 開啟 [Exchange 系統管理員]。

  2. 在主控台樹狀目錄中,依序展開 [伺服器]、您要的伺服器、[通訊協定],然後展開 [SMTP]。

  3. 在要套用轉送限制的 SMTP 虛擬伺服器上按一下滑鼠右鍵,然後按一下 [內容]。

  4. 在 [<SMTP 虛擬伺服器> 內容] 中,按一下 [存取] 索引標籤,然後按一下 [轉送]。

  5. 在 [轉送限制] 的 [選取可透過此虛擬伺服器轉送的電腦] 之下,依序選取 [僅限下列清單]、[不考慮上述清單,允許所有通過驗證的電腦轉送] 核取方塊,然後按一下 [確定]。

若要在 Exchange Server 2003 中朝向網際網路的 SMTP 虛擬伺服器上設定明確宣告的轉送權限

  1. 開啟 [Exchange 系統管理員]。

  2. 在主控台樹狀目錄中,依序展開 [伺服器]、您要的伺服器、[通訊協定],然後展開 [SMTP]。

  3. 在要套用轉送限制的 SMTP 虛擬伺服器上按一下滑鼠右鍵,然後按一下 [內容]。

  4. 在 [<SMTP 虛擬伺服器> 內容] 中,按一下 [存取] 索引標籤,然後按一下 [轉送]。

  5. 在 [轉送限制] 中,清除 [不考慮上述清單,允許所有通過驗證的電腦轉送] 核取方塊,然後按一下 [使用者] 以指定想要在此 SMTP 虛擬伺服器上授與轉送權限的使用者子集。

  6. 在 [提交及轉送的權限] 中,若要移除使用者或群組,請選取群組或使用者,然後按一下 [移除]。

  7. 若要新增群組或使用者,請按一下 [新增],然後選取想要指定權限的使用者或群組。選取下列其中一個選項:

    • 在 Microsoft Windows Server™ 2003 上,在 [選取使用者、電腦或群組] 的 [輸入要選取的物件名稱] 之下,鍵入使用者或群組的名稱。如果想要搜尋使用者或群組,請按一下 [進階]、搜尋使用者或群組名稱,然後按一下 [檢查名稱] 以確認輸入項目。
      tip秘訣:
      按一下 [範例] 連結,以檢視輸入項目的可接受格式。
    • 在 Windows 2000 Server 上,在 [選取使用者、電腦或群組] 中選取想要授與提交權限的群組或使用者,然後按一下 [新增]。

  8. 按一下 [確定] 回到 [提交及轉送的權限] 對話方塊。

  9. 在 [群組或使用者名稱清單] 之下,選取剛剛新增的群組。

  10. 在 [<選取的群組> 的權限] (在 [提交權限] 旁邊) 之下,如有需要,請選取 [允許] 之下的核取方塊,以允許選取的使用者或群組透過此 SMTP 虛擬伺服器提交郵件。

  11. 在 [轉送權限] 旁邊,選取 [允許] 之下的核取方塊,以允許透過此 SMTP 虛擬伺服器轉送所選取的物件,或選取 [拒絕] 之下的核取方塊,讓選取的物件無法透過此虛擬伺服器進行轉送。

    note附註:
    如果想要允許「轉送權限」,則必須允許「提交權限」。

  12. 按一下 [確定]。

若要在 Exchange 2000 Server 中朝向網際網路的 SMTP 虛擬伺服器上設定轉送權限

  1. 開啟 [Exchange 系統管理員]。

  2. 在主控台樹狀目錄中,依序展開 [伺服器]、您要設定的伺服器、[通訊協定],然後展開 [SMTP]。

  3. 在要套用轉送限制的 SMTP 虛擬伺服器上按一下滑鼠右鍵,然後按一下 [內容]。

  4. 在 [<SMTP 虛擬伺服器> 內容] 中,按一下 [存取] 索引標籤,然後按一下 [轉送]。

  5. 在 [轉送限制] 中 (在 [選取可透過此虛擬伺服器轉送的電腦] 之下),選取 [僅限下列清單]。

  6. 按一下 [新增] 以新增單一電腦 (電腦群組或 SMTP 網域名稱),然後再按一下 [確定]。針對每個其他想要新增的項目,重複此步驟。

  7. 選取 [不考慮上述清單,允許所有通過驗證的電腦轉送] 核取方塊,然後按兩次 [確定]。

如需郵件轉送及安全性的相關資訊,請參閱 Exchange Server 2003 技術文件庫中的下列手冊:

如需在 Exchange 及 Microsoft Windows 環境中測試及保護開放式轉送行為的相關資訊,請參閱 Microsoft 知識庫文章 304897 XIMS:在協力廠商測試中,Microsoft SMTP Server 似乎接受並轉送電子郵件