询问者
exchange smtp 的问题

问题
-
最近发现一个问题,环境为EXCHANGE 2003,(EXCHANAGE 2010也是一样)
当SMTP虚拟服务器 access中启用匿名连接时,内外邮件都可以正常收发,但OUTLOOK,FOXMAIL等POP3客户端,不勾选发送服务器需要身份验证时同样可以向同域发送邮件,而且这个帐号不一定是这个组织的,随便一个就行,只要域名一样。如不启用匿名连接,外网邮件无法接收,觉得这样很不安全。虽然在网上寻找了一些方法,说增加两个SMTP虚拟服务器,但也不能解决问题,而且设置复杂。用户在内外网都需要用OUTLOOK,FOXMAIL等POP3客户端收发邮件这样就存在问题,而QQ,163等免费邮件都不存在此问题,期待微软能够对此问题尽快发布相应的补丁程序,或提供相当有效的解决方法(不增加服务器前提)。谢谢。
全部回复
-
如果你能夠在別人的域得到一個帳號, 那麼你的權限已經提升到另一個層次了
能不能寄信進去Exchange, 而且Exchange接受這封信, 中間已經經過幾重程序了
我詳細一點來說明, 如果我明確指出我要把電郵寄送到abc@def-internal.com
那麼我的Outlook會把郵件投遞到我的Exchange,
Exchange會先查找def-internal.com這個域名的MX紀錄, 查看應該連結到網絡上某台電郵服務器
例如Exchange找出mail.def.com就是對方的電郵服務器, 那麼Exchange就開啟smtp連結到對方的25埠
--------------------------
好了mail.def.com這台電腦見到有人要把信投遞進來, 首先查看對方是那一種連接方式
假設是最常見到的匿名连接吧, 擁有匿名连接的接收連接器就開始工作
查看寄人件有有沒有被封鎖? 對方的IP在不在禁止清單?
SCL級別在規定以下嗎? 電郵大小有超過規定嗎?
其實還有很多關卡, 如果通通都通過了, 那麼再查看
郵件要寄到abc@def-internal.com, 是我們接受的網域嗎? 如果是的話再繼續檢查下去
再來abc@def-internal.com這個電郵地址隸屬那一個帳號? 帳號有被封瑣嗎?
有超過帳號接收大小規定嗎? 寄件人在帳號封瑣的清單內嗎? 要不要轉寄?
結果經過多重檢查, Exchange把郵件放進Mailbox資料庫
擁有abc@def-internal.com的使用者打開Outlook, Outlook又進行一系列垃圾郵件檢查
以上種種關卡都是你可以控制的, 那麼你還會覺得不安全嗎?
邊幫助, 邊鍛鍊
- 已编辑 Justin Lau - Hong Kong 2013年7月11日 6:10 mistake
-
事实上这个问题是存在的。
您可以搜索一下 exchange 2003 smtp认证详细如何设置 这篇文章,微软的,只是解决方案我不是很满意。
对于Exchange 2003来说,您可以使用下面的方法来解决该问题:
1、 在所有Exchange服务器上的SMTP 虚拟服务器上,确保“resolve anonymous e-mail”没有被启用;
2、 在全局设置中,创建针对收件人自己域名(比如*@abc.com)的Sender Filtering,并把这个sender filter在入站虚拟服务器上启用。同时,在全局设置中,启用过滤空邮件头(filter messages with blank sender)。;
3、 建立两个SMTP虚拟服务器. 一个负责入站连接,即接收来自internet的邮件, 一个负责出站连接,侦听在不同的IP上。如果分在两台独立的机器上更加好。
4、 外网MX记录映射或者邮件网关传送目标需要映射到入站连接SMTP虚拟服务器上。
5、 对出站SMTP虚拟服务器需要建立对应的SMTP connector, 将邮件传输去外网或者邮件网关。对于出站SMTP虚拟服务器,需要将在access中把匿名连接的设置去掉。并且,这个虚拟服务器只接受所有从服务器网段来的连接。
如果有什么疑问,请继续发帖。
Rock Wang 望正茂
-
這又是另一個問題了~上面是用Exchange 2010為出發點的, 而且說的是收信方...
如果我是要收信, 那麼我先不會問速遞員, 這封信是怎樣寄來的呢?
我想我會先接下來, 再看看是誰寄來, 如果不合用, 丟到垃圾桶就好嚕, 從這個角度出發, 接受匿名連接是不是比較容易接受呢
不過你應該是比較擔心有人用你的SMTP服務胡亂投寄郵件吧
我們先不看POP3擬服務器, 那是給使用者登入後作收信用的, 那是一定要登入的, 所以我們不擔心.
那麼SMTP服務呢? Exchange 2003年代並沒有接收/寄送連接器這個概念, 所以是有分別的
Exchange 2003的SMTP虚拟服务器我也是容許匿名連接的
但不要忘記你還可以設定那一組網段能夠使用這台SMTP, 外網的人我們是不相信的
所以我們要封鎖外網的人以SMTP寄件, 這種寄件稱為Open Relay Email
微軟已經有文章說明設置方式: http://support.microsoft.com/kb/324958
但如果內網的人用你的SMTP來發垃圾郵件, 你會想知道是誰的,
因為它很可能是病毒入侵的電腦, 內網出現病毒而你不知道, 或者說有防毒佈署也發生這件事的話,
這種病毒已經攻破網域環境, 有可能造成更大的破壞了, 如果只是發發垃圾電郵,
我會說這種傷害是很輕微了, 而且你很大機會因為這個提醒而能夠立即作出行動, 把損害減到最低
可是總體來說, 我們都會認為同網段內的電腦是可控制的, 是可以信任的, 因為在內網裡, 你就是神一樣的存在噢
那麼QQ, 163要你登入....就要先弄清楚, 你用163, QQ, 是因為你付錢了,
用它們的服務, 你現在正正是要進行Open Relay! 因為你不在它們的內網噢~
如果你用163來發垃圾郵件, 一小時後你的帳號也就被封瑣了
但如果是私人公司, 你是不會容許Open Relay這件事情發生的, 所以這實在有根本上的分別噢
邊幫助, 邊鍛鍊
- 已编辑 Justin Lau - Hong Kong 2013年7月11日 7:53 example