none
exchange smtp 的问题 RRS feed

  • 问题

  • 最近发现一个问题,环境为EXCHANGE 2003,(EXCHANAGE 2010也是一样)

    SMTP虚拟服务器  access中启用匿名连接时,内外邮件都可以正常收发,但OUTLOOK,FOXMAIL等POP3客户端,不勾选发送服务器需要身份验证时同样可以向同域发送邮件,而且这个帐号不一定是这个组织的,随便一个就行,只要域名一样。如不启用匿名连接,外网邮件无法接收,觉得这样很不安全。虽然在网上寻找了一些方法,说增加两个SMTP虚拟服务器,但也不能解决问题,而且设置复杂。用户在内外网都需要用OUTLOOK,FOXMAIL等POP3客户端收发邮件这样就存在问题,而QQ,163等免费邮件都不存在此问题,期待微软能够对此问题尽快发布相应的补丁程序,或提供相当有效的解决方法(不增加服务器前提)。谢谢。

    2013年7月11日 3:54

全部回复

  • 你想像如果我用Gmail寄郵件給你, 如果你需要我提供身份驗證, 那麼我就永遠都不可以寄到郵件給你嚕~

    所以每一台對外的Exchange都需要有一個允許匿名連接的接收連接器

    OUTLOOK不需要用匿名连接, 因為當你用OUTLOOK連接Exchange時, 你已經向Exchange服務器提供了帳號和密碼(已驗證)

    所以這不是個BUG~這完全是正常的, 只是微軟在Exchange 2010故意把這設定反勾選, 讓你以為這個按鈕是個魔鬼吧



    邊幫助, 邊鍛鍊

    2013年7月11日 4:04
  • 匿名连接这个可以勾选。用户PO3收发信,SMTP无需认证就可以向同域用户发送邮件,就将是严重的后果,而且这个用户可以在AD里的用户,甚至不是AD的用户都可以。

    2013年7月11日 5:37
  • 如果这个漏洞不处理的话,只需要知道对方域名(exchange邮件系统),就可以设置一个帐号,通过outlook,foxmail等邮件客户端向他们组织发送邮件了。
    2013年7月11日 5:43
  • 發信跟寄信不一樣,寄信必須要有此郵件伺服器的使用者帳號跟密碼,否則是無法使用這個郵件伺服器的。
    2013年7月11日 5:50
  • EXCHANGE 环境,您可以试下,设置通过PO3方式,任设一个帐号(域名要相同),SMTP不设验证,不设置用户密码,可向域内已存在用户发送邮件。域外是发送不了,域内是可以发送的。

    2013年7月11日 6:02
  • 如果你能夠在別人的域得到一個帳號, 那麼你的權限已經提升到另一個層次了

    能不能寄信進去Exchange, 而且Exchange接受這封信, 中間已經經過幾重程序了

    我詳細一點來說明, 如果我明確指出我要把電郵寄送到abc@def-internal.com

    那麼我的Outlook會把郵件投遞到我的Exchange, 

    Exchange會先查找def-internal.com這個域名的MX紀錄, 查看應該連結到網絡上某台電郵服務器

    例如Exchange找出mail.def.com就是對方的電郵服務器, 那麼Exchange就開啟smtp連結到對方的25埠

    --------------------------

    好了mail.def.com這台電腦見到有人要把信投遞進來, 首先查看對方是那一種連接方式

    假設是最常見到的匿名连接吧, 擁有匿名连接的接收連接器就開始工作

    查看寄人件有有沒有被封鎖? 對方的IP在不在禁止清單?

    SCL級別在規定以下嗎? 電郵大小有超過規定嗎? 

    其實還有很多關卡, 如果通通都通過了, 那麼再查看

    郵件要寄到abc@def-internal.com, 是我們接受的網域嗎? 如果是的話再繼續檢查下去

    再來abc@def-internal.com這個電郵地址隸屬那一個帳號? 帳號有被封瑣嗎?

    有超過帳號接收大小規定嗎? 寄件人在帳號封瑣的清單內嗎? 要不要轉寄?

    結果經過多重檢查, Exchange把郵件放進Mailbox資料庫

    擁有abc@def-internal.com的使用者打開Outlook, Outlook又進行一系列垃圾郵件檢查

    以上種種關卡都是你可以控制的, 那麼你還會覺得不安全嗎?


    邊幫助, 邊鍛鍊


    2013年7月11日 6:09
  • 事实上这个问题是存在的。

    您可以搜索一下  exchange 2003 smtp认证详细如何设置   这篇文章,微软的,只是解决方案我不是很满意。

    对于Exchange 2003来说,您可以使用下面的方法来解决该问题:

     

    1、  在所有Exchange服务器上的SMTP 虚拟服务器上,确保“resolve anonymous e-mail”没有被启用;

    2、  在全局设置中,创建针对收件人自己域名(比如*@abc.com)Sender Filtering,并把这个sender filter在入站虚拟服务器上启用。同时,在全局设置中,启用过滤空邮件头(filter messages with blank sender)。;

    3、  建立两个SMTP虚拟服务器. 一个负责入站连接,即接收来自internet的邮件, 一个负责出站连接,侦听在不同的IP上。如果分在两台独立的机器上更加好。

    4、  外网MX记录映射或者邮件网关传送目标需要映射到入站连接SMTP虚拟服务器上。

    5、  对出站SMTP虚拟服务器需要建立对应的SMTP connector, 将邮件传输去外网或者邮件网关。对于出站SMTP虚拟服务器,需要将在access中把匿名连接的设置去掉。并且,这个虚拟服务器只接受所有从服务器网段来的连接。

     

    如果有什么疑问,请继续发帖。

     

    Rock Wang 望正茂

    2013年7月11日 6:51
  • 现在只有一台服务器,一个内网IP,对应一个外网IP,内外网用户都有在用客户端POP3 SMTP方式收发邮件。

    如依上面的方案,具体怎么操作。

    2013年7月11日 6:54

  • 通过对QQ.163等邮箱的POP3 SMTP测试,如不设置SMTP验证,不设置密码时,发现发QQ,163域内邮件时会弹出验证窗口,而EXCHANAGE 则不会。
    2013年7月11日 7:00
  • 這又是另一個問題了~上面是用Exchange 2010為出發點的, 而且說的是收信方...

    如果我是要收信, 那麼我先不會問速遞員, 這封信是怎樣寄來的呢?

    我想我會先接下來, 再看看是誰寄來, 如果不合用, 丟到垃圾桶就好嚕, 從這個角度出發, 接受匿名連接是不是比較容易接受呢

    不過你應該是比較擔心有人用你的SMTP服務胡亂投寄郵件吧

    我們先不看POP3擬服務器, 那是給使用者登入後作收信用的, 那是一定要登入的, 所以我們不擔心.

    那麼SMTP服務呢? Exchange 2003年代並沒有接收/寄送連接器這個概念, 所以是有分別的

    Exchange 2003的SMTP虚拟服务器我也是容許匿名連接的

    但不要忘記你還可以設定那一組網段能夠使用這台SMTP, 外網的人我們是不相信的

    所以我們要封鎖外網的人以SMTP寄件, 這種寄件稱為Open Relay Email

    微軟已經有文章說明設置方式: http://support.microsoft.com/kb/324958

    但如果內網的人用你的SMTP來發垃圾郵件, 你會想知道是誰的,

    因為它很可能是病毒入侵的電腦, 內網出現病毒而你不知道, 或者說有防毒佈署也發生這件事的話, 

    這種病毒已經攻破網域環境, 有可能造成更大的破壞了, 如果只是發發垃圾電郵, 

    我會說這種傷害是很輕微了, 而且你很大機會因為這個提醒而能夠立即作出行動, 把損害減到最低

    可是總體來說, 我們都會認為同網段內的電腦是可控制的, 是可以信任的, 因為在內網裡, 你就是神一樣的存在噢

    那麼QQ, 163要你登入....就要先弄清楚, 你用163, QQ, 是因為你付錢了,

    用它們的服務, 你現在正正是要進行Open Relay! 因為你不在它們的內網噢~

    如果你用163來發垃圾郵件, 一小時後你的帳號也就被封瑣了

    但如果是私人公司, 你是不會容許Open Relay這件事情發生的, 所以這實在有根本上的分別噢



    邊幫助, 邊鍛鍊



    2013年7月11日 7:41
  • QQ,163设置客户端无需登入,并且也无需费用,反而是EXCHANGE是需要付费的

    外网SMTP收发信方式这个是基本的功能,对于一个邮件系统来说是必需要满足的功能。而不能认为外网的人是不信任的。

    2013年7月15日 2:28
  • 當你做了Open Relay封瑣後, 有域帳號的人還是可以經過Outlook無處不在, ActiveSync, 或OWA的方式接收及發送郵件的.

    我們要限制的只是外來匿名連接.

    當然, 你是可以限制SMTP啟用強制帳號登入的, 這完全是Exchange支援的設計方案噢


    邊幫助, 邊鍛鍊

    2013年7月15日 3:33
  • 请问限制SMTP启用强制帐号登入 怎样实现。
    2013年7月15日 3:43
  • 抱歉未能提供中文版本截圖, 像這樣就可以了


    邊幫助, 邊鍛鍊

    2013年7月15日 4:01
  • 这个页面中 Anonymous access 如果不勾选上,域内用户没有办法接收到外部邮件的。

    2013年7月15日 5:28