內部 SMTP 虛擬伺服器和專用 SMTP 虛擬伺服器允許 IMAP 與 POP 用戶端匿名存取
[本主題的目的是要說明 Exchange Server Analyzer 工具所引出的特定問題。您只應將它套用到已執行過 Exchange Server Analyzer 工具且有遇到該特定問題的系統。Exchange Server Analyzer 工具可免費下載,它會從拓撲中的每台伺服器遠端收集組態資料,並自動分析該資料。產生的報告會詳述重要的組態問題、潛在問題及非預設的產品設定。遵循這些建議,您便能達到較佳的效能、延展性、可靠性及執行時間。如需此工具的相關資訊或是要下載最新版本,請參閱 Microsoft Exchange Analyzer (https://go.microsoft.com/fwlink/?linkid=34707)。]
上次修改主題的時間: 2005-11-18
Microsoft® Exchange Server Analyzer 工具會查詢 Active Directory® 目錄服務,以判定 Exchange Server 物件之 protocolCfgSMTPServer 類別中的 msExchAuthenticationFlags 屬性值。protocolCfgSMTPServer 類別包含 SMTP 虛擬伺服器的設定。msExchAuthenticationFlags 屬性代表 SMTP 伺服器上允許的驗證類型。如果下列條件存在,Exchange Server Analyzer 將會顯示警告訊息:
- 已將 msExchAuthenticationFlags 屬性的驗證設定為允許匿名存取 SMTP 伺服器。
- 伺服器沒有執行 Microsoft Small Business Server 2000 或 Microsoft Windows® Small Business Server 2003。
- Exchange Server 可以主控 20 個以上的信箱。
為了加強安全性,請在不接受內送網際網路郵件的內部 SMTP 虛擬伺服器上停用匿名存取。為了加強安全性,您也可以在專用的 SMTP 虛擬伺服器上停用遠端 IMAP 和 POP 使用者匿名存取。
.gif "important") 重要事項: |
|---|
| 請不要停用網際網路 Bridgehead SMTP 虛擬伺服器上的匿名存取。可接受網際網路郵件的 SMTP 虛擬伺服器必須允許匿名存取。 |
當您傳送內部郵件時,您組織中的 Exchange 伺服器會相互驗證,以傳送郵件。因此,內部 SMTP 虛擬伺服器上不一定要啟用匿名存取。禁止內部伺服器上的匿名存取,不僅不會中斷郵件流程,還能在內部 SMTP 虛擬伺服器上提供多一層的安全保護。
同樣地,IMAP 和 POP 用戶端會先與 SMTP 虛擬伺服器進行驗證,再將郵件傳送給 SMTP 虛擬伺服器。因此,如果 IMAP 和 POP 用戶端使用專用的 SMTP 虛擬伺服器,您可以設定這些伺服器僅允許通過驗證的存取。如果在這些伺服器上停用匿名存取,即可協助防止未經授權的使用者進行存取。
如果由於商業因素 (例如,需由協力廠商進行驗證),而無法在 SMTP 虛擬伺服器上停用驗證存取,請遵循下列步驟,協助增強您閘道伺服器上的安全性:
- 強制所有使用者帳戶遵守強式密碼原則,特別是系統管理員帳戶。
- 停用來賓帳戶。若需有關停用來賓帳戶的詳細資訊,請參閱微軟知識庫文件 - 320053<如何重新命名 Windows 2000 中的系統管理員及來賓帳戶>(英文) (https://go.microsoft.com/fwlink/?LinkId=3052&kbid=320053)。雖然這份文件適用於 Windows 2000 Server,但相似的原則也適用於 Windows Server 2003。
若要停用 SMTP 虛擬伺服器的匿名存取驗證
在 [Exchange 系統管理員] 中,依序展開 [伺服器]、[<your inbound Exchange server>]、[通訊協定] 及 [SMTP]。
以滑鼠右鍵按一下輸入的 SMTP 虛擬伺服器,再按一下 [內容]。
按一下 [存取] 索引標籤,然後再按 [驗證]。
在 [驗證] 中,清除 [匿名存取] 核取方塊。
若需有關設定 Exchange Server 2003 組織以更安全地傳送及接收網際網路郵件的詳細資訊,請參閱《Exchange Server 2003 傳輸及路由手冊》(英文) (https://go.microsoft.com/fwlink/?LinkId=47579)。