什么是中继?
中继是指将邮件转发到您所在域以外的域的能力。更具体地说,当使用与您的 SMTP 服务器的入站连接来向外部域发送电子邮件时,便发生了中继。默认情况下,Exchange 服务器接受内部用户或已通过身份验证的用户提交的邮件,并将其发送到外部域。如果服务器开放了中继功能,或者服务器上的中继功能未加以保护,那么未经授权的用户便可以使用您的服务器来发送未经请求的商业电子邮件(垃圾邮件)。因此,要保护 SMTP 虚拟服务器,至关重要的一点是设置中继限制。
了解已通过身份验证的中继与匿名中继或开放中继之间的区别很重要:
- 已通过身份验证的中继 已通过身份验证的中继允许内部用户向 Exchange 组织以外的域发送邮件,但在发送邮件之前要求身份验证。默认情况下,Exchange 仅允许已通过身份验证的中继。
- 匿名中继 匿名中继允许任何用户连接到 Exchange 服务器,并使用它将邮件发送到 Exchange 组织以外的目的地。
下面的示例说明了 Exchange Server 2003 如何使用已通过身份验证的中继来接受和中继邮件:
- 匿名用户连接到 SMTP 虚拟服务器,并尝试将邮件传递到 Exchange 组织中的内部用户。
在这种情况下,SMTP 虚拟服务器接受邮件,因为它是发往内部域的,并且该用户存在于 Active Directory 中。 - 匿名用户连接到 SMTP 虚拟服务器,并尝试将邮件传递到外部域中的外部用户。
在这种情况下,SMTP 虚拟服务器拒绝该邮件,因为它是发往不在 Exchange 服务器职责范围内的外部域的。由于用户未通过身份验证,因此 SMTP 虚拟服务器不会将此邮件中继到 Exchange 组织以外的目的地。 - 用户使用邮局协议 (POP) 或 Internet 邮件访问协议 (IMAP) 客户端(如 Microsoft Outlook® Express)连接到 SMTP 虚拟服务器,通过身份验证,然后尝试将邮件发送到外部域中的用户。
在这种情况下,电子邮件客户端直接连接到 SMTP 虚拟服务器,并证明该用户的身份。虽然邮件是发往远程域的,但是 SMTP 虚拟服务器接受并中继此邮件,因为用户通过了身份验证。
通过使用 Exchange Server 2003 的中继控制功能,可以阻止第三方通过您的服务器中继邮件。通过中继控制可以指定有权通过您的服务器中继邮件的传入远程 IP 地址和子网掩码对列表。Exchange 根据允许中继邮件的 IP 网络列表检查传入 SMTP 客户端的 IP 地址。如果不允许该客户端中继邮件,将只允许发送到本地收件人的邮件。还可以通过域来实现中继控制。但是,这种方法需要实现反向 DNS 解析(在 SMTP 虚拟服务器级别控制)。
配置默认中继限制
默认情况下,SMTP 虚拟服务器仅允许已通过身份验证的用户中继邮件。此配置设计用于防止未经授权的用户使用您的 Exchange 服务器中继邮件。虚拟服务器的默认配置仅允许已通过身份验证的计算机中继邮件。
未经请求的商业电子邮件通常来自带欺骗性质或伪造的地址,并且经常使用没有受到中继保护的服务器来进行中继。为此,默认情况下,Exchange Server 2003 仅允许已通过身份验证的用户中继。更改此设置时请小心 — 许多 Internet 提供商阻止开放中继功能的服务器。
在内部SMTP虚拟服务器上将匿名中继配置重围为默认设置
- 打开 Exchange 系统管理器。
- 在控制台树中,展开“服务器”,然后依次展开相应的服务器、“协议”、“SMTP”。
- 用鼠标右键单击要应用中继限制的 SMTP 虚拟服务器,再单击“属性”。
- 在“<SMTP Virtual Server> 属性”中,单击“访问”选项卡,然后单击“中继”。
- 在“中继限制”中的“选择可以通过此虚拟服务器进行中继的计算机”下,选择“仅以下列表”,选中“不管上表中如何设置,所有通过身份验证的计算机都可以进行中继”复选框,然后单击“确定”。
在面向Internet的 SMTP虚拟服务器上配置明确的中继权限(Exchange Server 2003)
- 打开 Exchange 系统管理器。
- 在控制台树中,展开“服务器”,然后依次展开相应的服务器、“协议”、“SMTP”。
- 用鼠标右键单击要应用中继限制的 SMTP 虚拟服务器,再单击“属性”。
- 在“<SMTP Virtual Server> 属性”中,单击“访问”选项卡,然后单击“中继”。
- 在“中继限制”中,清除“不管上表中如何设置,所有通过身份验证的计算机都可以进行中继”复选框,然后单击“用户”以指定要允许其通过该 SMTP 虚拟服务器中继邮件的那部分用户。
- 在“提交和中继的权限”中,若要删除用户或组,请选择该用户或组,然后单击“删除”。
- 若要添加用户或组,请单击“添加”,然后选择要为其指定权限的用户或组。请选择下列选项之一:
- (Microsoft Windows Server™ 2003) 在“选择用户、计算机或组”中的“输入对象名称来选择”下,键入用户或组的名称。如果要搜索用户或组,请单击“高级”,搜索该用户名或组名,然后单击“检查名称”验证输入。
提示: 单击“示例”链接可查看输入名称的可接受格式。 - (Windows 2000 Server) 在“选择用户、计算机或组”中,选择要授予其提交权限的组或用户,然后单击“添加”。
- (Microsoft Windows Server™ 2003) 在“选择用户、计算机或组”中的“输入对象名称来选择”下,键入用户或组的名称。如果要搜索用户或组,请单击“高级”,搜索该用户名或组名,然后单击“检查名称”验证输入。
- 单击“确定”返回“提交和中继的权限”对话框。
- 在“组或用户名称列表”下,选择刚刚添加的组。
- 如果必要,请在“<selected group> 的权限”下面的“提交权限”旁,选中“允许”下面的复选框以便允许选定的用户或组通过此 SMTP 虚拟服务器提交邮件。
- 在“中继权限”旁,选中“允许”下面的复选框以便允许选定的对象通过该 SMTP 虚拟服务器中继邮件,或者选中“拒绝”下面的复选框阻止选定的对象通过该虚拟服务器中继邮件。
注意: 如果要授予中继权限,必须先授予提交权限。 - 单击“确定”。
在面向Internet的 SMTP虚拟服务器上配置中继权限(Exchange 2000 Server)
- 打开 Exchange 系统管理器。
- 在控制台树中,展开“服务器”,然后依次展开要配置的服务器、“协议”、“SMTP”。
- 用鼠标右键单击要应用中继限制的 SMTP 虚拟服务器,再单击“属性”。
- 在“<SMTP Virtual Server> 属性”中,单击“访问”选项卡,然后单击“中继”。
- 在“中继限制”中的“选择可以通过此虚拟服务器进行中继的计算机”下,选择“仅以下列表”。
- 单击“添加”添加单个计算机、计算机组或 SMTP 域名,然后单击“确定”。对要添加的其他每个条目重复此步骤。
- 选择“不管上表中如何设置,所有通过身份验证的计算机都可以进行中继”,然后单击“确定”两次。
默认虚拟SMTP 服务器上的中继限制不起作用
如果将 SMTP 连接器配置为允许进行中继,可能会发生这种情况。该设置会覆盖默认虚拟 SMTP 服务器上的所有限制。
回到顶端
解决方案
要解决此问题,请关闭中继: 1. 在 Exchange 系统管理器 (ESM) 中,右键单击 SMTP 连接器,然后单击属性。
2. 单击地址空间选项卡,然后单击以清除“允许将邮件中继到这些域”复选框。
3. 单击确定,然后重新启动 SMTP 服务。
- 微软将推出卫星解决方案:可连接到 Azure 云服务 - 2020年9月17日
- Windows Terminal 1.0正式发布 - 2020年5月25日
- Azure Lighthouse 相关介绍 - 2020年3月2日
还没有评论