Exchange Server 2003 的传输和邮件流功能

  • 项目

 

上一次修改主题: 2006-05-02

Microsoft® Exchange Server 2003 引入了几项新的特性和功能,以改善传输和邮件流。本主题介绍了下列内容:

  • 链接状态改进
    此部分说明链接状态改进如何减少在整个 Exchange 组织中复制的链接状态信息量,从而减小对性能的负面影响。
  • 跨目录林身份验证配置
    由于 Exchange 2003 阻止对电子邮件地址进行欺骗或伪造,因此您必须执行特定配置步骤以启用跨目录林身份验证。此部分说明如何启用跨目录林身份验证。
  • Internet 邮件向导
    Exchange 2003 提供了新版本的 Internet 邮件向导,可指导您完成在组织中配置 Internet 邮件传递。此部分说明如何使用此向导设置 Internet 邮件传递。
  • 传递状态通知 (DSN) 诊断日志记录和代码
    Exchange 2003 现在提供传递状态通知 (DSN) 的诊断日志记录并实现了一些新的 DSN 代码。此部分说明如何配置 DSN 诊断日志记录,并说明 Exchange 2003 中可用的新 DSN 代码。
  • 支持移动 X.400 (MTA) 和 SMTP 队列目录
    在 Exchange 2003 中,可以使用 Exchange 系统管理器更改 SMTP 和 X.400 队列数据的存储位置。此部分说明如何使用 Exchange 系统管理器移动队列目录。
  • 连接筛选
    Exchange 2003 支持基于阻止列表的连接筛选。此部分说明连接筛选是如何工作的以及如何在 Exchange 服务器上设置连接筛选。
  • 收件人筛选
    Exchange 2003 还支持收件人筛选,以便可以筛选发往不在 Microsoft Active Directory® 目录服务中的用户的电子邮件或发往明确收件人且表明为未经请求的商业邮件的电子邮件。
  • SP2 新增功能:发件人 ID 筛选
    在 Exchange Server 2003 SP2 中,可以使用发件人 ID 筛选功能。发件人 ID 是一个电子邮件行业倡议,可用来更好地防御未经请求的商业电子邮件 (UCE) 和网页仿冒欺诈。具体地说,发件人 ID 有助于防止域名欺骗。
  • SP2 新增功能:智能邮件筛选
    在 Exchange Server 2003 SP2 中,现在,智能邮件筛选在安装 Exchange Server 2003 SP2 时就被安装。
  • 如何应用已启用的筛选器
    此部分说明如何在 SMTP 会话过程中应用筛选器和限制。
  • 改进了限制向 SMTP 虚拟服务器提交的能力
    此部分说明如何基于 Exchange 2003 中的安全组限制提交。
  • 改进了限制在 SMTP 虚拟服务器上中继的能力
    此部分说明如何基于 Exchange 2003 中的安全组限制中继。

Exchange 2003 还提供了下列其他功能,这些功能提高了传输和邮件流的性能:

  • 您可以通过一种新类型的通讯组(称为“基于查询的通讯组”),使用 LDAP 查询在通讯组中动态建立成员身份。有关详细信息,请参阅 Exchange Server 2003 中的管理功能中的“基于查询的通讯组”和“改进的邮件跟踪”。
  • 现在,可以限制哪些用户能够向通讯组发送邮件。有关详细信息,请参阅 Exchange Server 2003 中的管理功能中的“改进的限定向特定用户和通讯组(受限通讯组)提交功能”。
  • 现在,可以在分类(即查找用户和将通讯组展开为单个收件人的阶段)之后和路由过程中跟踪邮件。还可以使用 Exchange 系统管理器移动邮件跟踪日志。有关详细信息,请参阅 Exchange Server 2003 中的管理功能中的“改进的邮件跟踪”。
  • 对队列查看器的改进。显示更多的队列,以方便您诊断邮件流问题。有关详细信息,请参阅 Exchange Server 2003 中的管理功能中的“队列查看器增强功能”。
  • 使用邮箱存储上提供的存档功能,可以存档所有收件人,包括“密件抄送”行中的收件人。有关详细信息,请参阅 Exchange Server 2003 中的管理功能中的“存档邮件中包括密件抄送收件人”。

链接状态改进

Exchange 使用链接状态路由,根据邮件传递连接的当前状态和开销,确定在服务器之间发送邮件的最佳方法。如果没有备用路径可用于传递邮件或者连接不稳定(连接时而可用时而不可用),则 Exchange 2003 会改进链接状态信息的通信方式。具体地说,就是 Exchange 2003 尝试确定连接器状态是否不稳定或者是否没有备用路径,如果存在其中的一种情况,则 Exchange 将禁止链接状态信息通信,从而减少了链接状态通信量。

改进了链接状态可用性

在 Exchange 2003 中,即使没有可用于链接的备用路径,也始终将链接状态标记为运行(可用)。不存在备用路径时,Exchange 不再将链接状态更改为不可用,而只是对要传递的邮件进行排队,然后在路由变为可用时再进行发送。这种更改减少了链接状态信息的传播,从而提高了性能。

不稳定连接的链接状态改进

对链接状态路由的另一个重要改进在于 Exchange 2003 处理不稳定连接的方式。Exchange 2003 复查链接状态队列,如果在给定的时间间隔内连接器发生了多次相互冲突的状态更改,则认为连接器是不稳定的连接,但其链接状态仍然为运行状态(可用)。将不稳定连接器保持为运行状态比不断更改链接状态要好。这样,就减少了在服务器之间进行复制的链接状态通信量。

配置跨目录林的 SMTP 邮件协作

若要防止欺骗(伪造标识),Exchange 2003 需要在将发件人名称解析为它在全局地址列表 (GAL) 中的显示名之前进行身份验证。因此,在跨两个目录林的组织中,不对从一个目录林向另一个目录林发送邮件的用户进行身份验证。此外,用户名不会解析为 GAL 中的显示名,即使该用户是目标目录林中的联系人。

若要在 Exchange 2003 中启用跨目录林邮件协作,则需要进行附加的配置步骤,以便将组织外的联系人解析为其在 Active Directory 中的显示名。可以使用下面两个选项启用这些联系人的解析:

  • 选项 1(推荐) 使用身份验证,以确保从一个目录林向另一个目录林发送邮件的用户是通过身份验证的用户,并将其名称解析为 GAL 中的相应显示名。
  • 选项 2   限制对用于执行跨目录林协作的 SMTP 虚拟服务器的访问,然后配置 Exchange 来解析匿名电子邮件。此配置也受支持,但不建议使用它。默认情况下,在此配置中,当从一个目录林向另一个目录林发送邮件时,不保留 Exch50 邮件属性(它是邮件的扩展属性)。

要了解配置跨目录林邮件协作的优点,请考虑下面关于匿名邮件提交和跨目录林身份验证的邮件提交的方案。

方案:匿名邮件提交

如果提交是匿名的,则不解析电子邮件地址。因此,如果匿名用户试图欺骗(伪造)内部用户的标识并发送邮件,则返回地址不会解析为其在全局地址列表 (GAL) 中的显示名。

示例:

Kim Akers 是 Northwind Traders 的合法内部用户。在 GAL 中她的显示名是 Kim Akers,她的电子邮件地址是 kim@northwindtraders.com。

要发送邮件,Kim 必须经过身份验证。因为她经过了身份验证,所以 Kim 邮件的收件人可以看到发件人是 Kim Akers。另外,Kim Akers 的属性显示为她的 GAL 条目。但是,如果 Ted Bremer 通过在“发件人”行使用 kim@northwindtraders.com 试图伪造 Kim 的地址,然后向 Northwind Traders 的 Exchange 2003 服务器发送邮件,则该电子邮件地址并不解析为 Kim 的显示名,因为 Ted 未经过身份验证。因此,在 Microsoft Office Outlook® 中显示的此电子邮件中,其发件人地址显示为 kim@northwindtraders.com;它不能像 Kim 发出的通过身份验证的邮件那样解析为 Kim Akers。

方案:跨目录林邮件传递

假设有一个拥有两个目录林的公司:Adatum 目录林和 Fabrikam 目录林。这两个目录林都是单域目录林,分别具有域 adatum.com 和 fabrikam.com。为了允许进行跨目录林邮件协作,Adatum 目录林中的所有用户都表示为 Fabrikam 目录林的 Active Directory 中的联系人。同样,Fabrikam 目录林中的所有用户也都表示为 Adatum 目录林的 Active Directory 中的联系人。

如果 Adatum 目录林中的用户向 Fabrikam 目录林发送邮件,并且邮件是通过匿名连接提交的,那么尽管发件人作为联系人存在于 Active Directory 和 Outlook GAL 中,也不会解析发件人的地址。这是因为 Adatum 目录林中的用户不是 Fabrikam 目录林中已通过身份验证的用户。

示例:

Kim Akers 是 Adatum 目录林中的邮件用户,她的电子邮件地址是 kim@adatum.com,Outlook GAL 显示名为 Kim Akers。Adam Barr 是 Fabrikam 目录林中的用户,他的电子邮件地址为 abarr@fabrikam.com,他的 Outlook GAL 显示名为 Adam Barr。由于 Adam 作为 Active Directory 联系人存在于 Adatum 目录林中,因此 Kim 可以查看 Adam 的电子邮件地址并将它解析为 Outlook GAL 中的显示名 Adam Barr。当 Adam 收到来自 Kim 的邮件时,不会解析 Kim 的地址;Adam 看到的是 Kim 的未经解析的电子邮件地址 kakers@adatum.com,而不是她在 GAL 中的相应显示名。因为 Kim 是作为匿名用户发送邮件,所以不会解析她的电子邮件地址。虽然发送邮件时 Kim 经过身份验证,但这两个目录林之间的连接未经过身份验证。

为了确保某个目录林中的发件人可以向另一个目录林中的收件人发送邮件,并确保其电子邮件地址解析为其在 GAL 中的显示名,应该启用跨目录林的邮件协作。以下部分说明在两个目录林间配置邮件协作中可用的两个选项。

启用跨目录林身份验证

若要启用跨目录林 SMTP 身份验证,必须在使用其他目录林中的经身份验证的帐户的每个目录林中创建连接器。这样,已通过身份验证的用户在两个目录林之间发送的任何邮件都将解析为 GAL 中的相应显示名。此部分说明如何启用跨目录林的身份验证。

使用 Adatum 目录林和 Fabrikam 目录林作为示例(参阅本主题前面的“跨目录林邮件传递”方案),请执行下列步骤以设置跨目录林身份验证:

  1. 在 Fabrikam 目录林中创建一个具有“Send As”权限的帐户。(对于 Adatum 目录林中的所有用户,在 Fabrikam 目录林中也有一位联系人;因此该帐户允许 Adatum 用户发送经过身份验证的邮件。)在接受来自 Adatum 的传入邮件的所有 Exchange 服务器上配置这些权限。
  2. 在 Adatum 目录林的 Exchange 服务器上,创建需要身份验证(使用该帐户)的连接器,以便发送出站邮件。

同样,要设置从 Fabrikam 目录林到 Adatum 目录林的跨目录林身份验证,请重复以上这些步骤,在 Adatum 中创建帐户,并在 Fabrikam 中创建连接器。有关详细说明,请参阅 Exchange Server Deployment Guide(英文)中的“ 如何启用跨目录林的 SMTP 身份验证”。

通过解析匿名邮件启用跨目录林协作

配置 Exchange 以便将组织外的联系人解析为其在 Active Directory 中的显示名的另一种方式是,将 Exchange 配置为解析匿名电子邮件。假设您公司有两个目录林,一个是 Adatum 目录林,另一个是 Fabrikam 目录林。

important重要提示:
通过配置 Exchange 服务器来解析匿名邮件提交,恶意用户就可以提交具有伪造返回地址的邮件。而收件人无法将通过验证的邮件与欺骗邮件区分开。要使这种可能性降到最低,请确保对 SMTP 虚拟服务器的访问仅限于访问 Exchange 服务器的 IP 地址。

执行下列步骤可以将 Adatum 用户的联系人解析为其在 Fabrikam 目录林中的显示名:

  1. 在 Adatum 目录林中创建一个连接到 Fabrikam 目录林的连接器。
  2. 在 Fabrikam 目录林的接收桥头服务器上,限制通过 IP 地址对 SMTP 虚拟服务器的访问。这样,可以确保只有 Adatum 目录林中的服务器可以向此服务器发送邮件。
  3. 在存放连接器的 SMTP 虚拟服务器上,启用“解析匿名电子邮件”设置。
  4. 更改注册表项,以确保扩展邮件属性(Exch50 属性)在各个目录林中得以保留。否则,您将丢失重要的邮件信息。

完成上述步骤之后,从 Adatum 目录林向 Fabrikam 目录林发送邮件的所有用户都将解析为他们在 Fabrikam GAL 中的相应显示名。接下来,需要对 Fabrikam 目录林重复步骤 1 到步骤 3。

下列步骤介绍如何:

  • 在 Adatum 目录林中设置到 Fabrikam 目录林的连接器。
  • 限制对 Fabrikam 目录林中的接收桥头服务器的访问。
  • 在接收桥头服务器上的 SMTP 虚拟服务器上启用匿名电子邮件解析,以便解析 Fabrikam 目录林中的 Adatum 联系人。

然后在生产环境中重复该过程,在 Adatum 目录林中配置 Fabrikam 联系人的解析名。

步骤 1:在连接目录林中创建连接器

首先,需要在连接目录林中创建连接器。有关详细说明,请参阅如何在连接目录林中创建连接器

有关如何创建用于跨目录林身份验证的帐户的详细说明,请参阅 Exchanger Server 2003 Transport and Routing Guide中的“How to Create the Account Used for Cross-Forest Authentication”(英文)。

现在,Exchange 通过此连接器路由所有发到 fabrikam.com(Fabrikam 目录林)的邮件。

步骤 2:在接收桥头服务器上限制 IP 地址

在 Adatum 目录林(连接目录林)中创建连接器后,必须限制对接收桥头服务器的访问。为此,可以只允许 Adatum 目录林中连接服务器的 IP 地址向 Fabrikam 目录林中接收桥头服务器发送邮件。

有关详细说明,请参阅 Exchange Server Transport and Routing Guide(英文)中的“如何按 IP 地址限制对接收桥头服务器的访问”。

步骤 3:在 SMTP 虚拟服务器上解析匿名邮件

限制对接收桥头服务器的访问后,必须在该桥头服务器上配置 SMTP 虚拟服务器以解析匿名电子邮件地址。

有关详细说明,请参阅 Exchange Server Transport and Routing Guide(英文)中的“如何将 SMTP 虚拟服务器配置为解析匿名电子邮件地址”。

步骤 4:启用注册表项以便在目录林之间保持邮件属性

如前所述,如果邮件在目录林间匿名发送,则并不传输邮件的扩展邮件属性。对于实现跨目录林方案的单个公司来说,因为有关邮件的信息可能丢失,所以必须传输这些邮件属性。例如,SCL 属性(扩展 Exchange 属性)包含由第三方解决方案生成的垃圾邮件分级。匿名发送邮件时,并不传输此属性。因此,如果在 Adatum 目录林中部署了第三方防垃圾邮件解决方案,并且此目录林中接收的邮件将发往 Fabrikam 目录林中的收件人,则第三方解决方案将标记邮件的 SCL 属性;但是,在将该邮件传递到 Fabrikam 目录林时,不保留包含垃圾邮件分级的扩展属性。

匿名发送邮件时为了确保扩展邮件属性可跨目录林进行传输,必须在接收桥头服务器上启用一个注册表项。

要配置 Exchange 使其接受扩展邮件属性,可以在接收桥头服务器或驻留在桥头服务器上的 SMTP 虚拟服务器上启用某个注册表项。在 Exchange 服务器上启用该注册表项可以配置 Exchange 服务器上的所有 SMTP 虚拟服务器接受扩展属性。

配置 Exchange 服务器接受匿名连接上的扩展邮件属性

使用下列步骤可以将 Exchange 服务器配置为能够接受匿名连接的扩展属性。如果 Exchange 服务器仅用作跨目录林通信的桥头服务器,则可能需要在服务器级别配置该设置。如果在此 Exchange 服务器上有其他 SMTP 虚拟服务器,则考虑仅在 SMTP 虚拟服务器上设置该注册表项。

note注意:
如果在某个 Exchange 服务器上启用了此注册表项,则该设置将应用于该 Exchange 服务器上的所有 SMTP 虚拟服务器。如果要以此设置配置单一 SMTP 虚拟服务器,请在 SMTP 虚拟服务器上启用此注册表项。
Caution警告:
错误地编辑注册表可能导致严重问题,甚至可能需要重新安装操作系统。因注册表编辑不当而导致的问题可能没有办法解决。在编辑注册表之前,请备份所有重要数据。

有关详细说明,请参阅 Exchange Server Transport and Routing Guide(英文)中的“如何使 Exchange Server 能够接受匿名发送的邮件扩展属性”。

将 SMTP 虚拟服务器配置为接受匿名发送的扩展邮件属性

使用以下步骤可以将 Exchange 服务器上的 SMTP 虚拟服务器配置为能够接受扩展属性。

有关详细说明,请参阅 Exchange Server Transport and Routing Guide(英文)中的“如何使 SMTP 虚拟服务器能够接受匿名发送的邮件扩展属性”。

Internet 邮件向导

在 Exchange Server 5.5 中,Internet 邮件向导可指导管理员完成设置 Internet 邮件的过程。Exchange 2003 实现了新版本的 Internet 邮件向导,以帮助您配置与 Exchange 2000 Server 或 Exchange Server 2003 的 Internet 邮件连接。Internet 邮件向导主要供环境不如大型公司复杂的中小型公司使用。

该向导可指导您完成对 Exchange 服务器的配置,以发送和接收 Internet 邮件。它创建传出 Internet 邮件所必需的 SMTP 连接器并将 SMTP 虚拟服务器配置为接受传入邮件。如果已在 Exchange 服务器上建立 SMTP 连接器或者创建了其他 SMTP 虚拟服务器,则无法运行 Internet 邮件向导,除非将服务器配置还原为其默认状态。

note注意:
Internet 邮件向导只能为 Exchange 2000 Server 或更高版本配置 Internet 邮件。如果运行的是早期版本的 Exchange,则这些服务器仍然可以将邮件发送到 Internet 或从 Internet 接收邮件,但是您无法使用 Internet 邮件向导为这些服务器配置 Internet 邮件。

运行 Internet 邮件向导时,它将创建一个日志文件 (Exchange Internet Mail Wizard.log),记录进行的所有配置更改(不管更改是否成功,都会包括在该日志文件中)。该向导将此日志文件保存在运行向导的用户的 My Documents 文件夹中。

以下各部分说明如何使用 Internet 邮件向导执行下列操作:

  • 配置 Exchange 服务器来发送 Internet 邮件
  • 配置 Exchange 服务器来接收 Internet 邮件
  • 配置一台或多台 Exchange 服务器同时发送和接收 Internet 邮件
  • 配置双宿主 Exchange 服务器来处理 Internet 邮件

配置 Exchange 服务器来发送 Internet 邮件

配置 Exchange 服务器来发送 Internet 邮件时,Internet 邮件向导将所选服务器配置为出站桥头服务器。它在此服务器上创建一个连接器以便将邮件发送到指定的 Internet 地址。

有关详细说明,请参阅如何运行 Internet 邮件向导并将服务器配置为发送 Internet 邮件

配置 Exchange 服务器来接收 Internet 邮件

运行 Internet 邮件向导之后,Exchange 服务器将可以接受来自指定 SMTP 域的所有 Internet 邮件。

有关详细说明,请参阅如何运行 Internet 邮件向导并将服务器配置为接收 Internet 邮件

配置 Exchange 服务器来发送和接收 Internet 邮件

运行 Internet 邮件向导之后,Exchange 服务器将按照您指定的配置发送和接收所有 Internet 邮件。

有关详细说明,请参阅如何运行 Internet 邮件向导并将服务器配置为发送和接收 Internet 邮件

配置双宿主 Exchange 服务器来处理 Internet 邮件

运行 Internet 邮件向导之后,Exchange 服务器将按照您指定的配置发送和接收所有 Internet 邮件。

有关详细说明,请参阅如何在双宿主服务器上运行 Internet 邮件向导

DSN 诊断日志记录和 DSN 代码

在 Exchange 2003 中,对传递状态通知 (DSN) 进行了下列改进。

  • 提供了新的 DSN 日志记录类别。
  • 增添了新的 DSN 代码以帮助解决邮件流问题。

配置 DSN 诊断日志记录

现在,您可以针对 DSN(也称为未送达报告 (NDR))来配置诊断日志记录。

有关详细说明,请参阅如何配置 DSN 的诊断日志记录

Exchange Server 2003 中可用的 DSN 代码

下表列出了 Exchange 2003 中针对传输和路由实现的 DSN 邮件。

Exchange 2003 中可用的新增传递状态通知

DSN 代码 原因 解决方法

4.2.2

在 Exchange 2000 中,当收件人的邮箱超出其存储限制时,将生成此传递状态通知。

在 Windows® 2000 和 Microsoft Windows Server™ 2003 上,当投递目录(用于放置要传递的邮件)的存储大小超出 SMTP 虚拟服务器的磁盘配额时,将生成此邮件。SMTP 虚拟服务器的磁盘配额是虚拟服务器上最大邮件大小的 11 倍。如果未指定最大邮件大小,则磁盘配额默认为 22 MB。如果磁盘空间小于配额的最大邮件大小或 2MB(未定义最大邮件大小),则 Exchange 假定传入邮件将超出磁盘配额,因此发出 DSN。

检查邮箱存储和队列存储配额限制。

4.4.9

这表明出现了暂时性的路由错误或路由配置无效。可能的原因包括:

  • 某人使用 DNS(而不是智能主机)配置了 SMTP 连接器并且向此连接器中添加了非 SMTP 地址空间(如 X.400 地址)。
  • 某人创建了一个路由组,并且期望该路由组中的收件人接收邮件。使用 DNS 的路由组连接器用于桥接路由组,之后删除了此管理组或路由组。因此,发送到此路由组的所有邮件都以 MSGWIA.X500 格式(用于非 SMTP 地址的地址封装)进行发送;DNS 无法识别这种格式。

路由检测到这些情形,然后 Exchange 返回 DSN。

  • 对于第一种情况,其补救措施是,将 SMTP 连接器配置为使用智能主机(而不是 DNS)来解析非 SMTP 地址空间。
  • 对于第二种情况,其补救措施是,确保将已删除的管理组或路由组中的所有用户都移到了有效的管理组或路由组中。

5.3.0

Exchange 2003 可以在没有邮件传输代理 (MTA) 的情况下运行。如果邮件被错误地发送到 MTA,则 Exchange 向发件人返回此 DSN。仅当禁用了 MTA 服务并使用特定的注册表设置禁用了 MTA/存储驱动器时,才会出现这种情况。默认配置将错误路由的邮件搁置在 MTA 队列中。

检查路由拓扑。使用 Winroute 工具可以确保在服务器和路由组之间正确复制路由。

5.7.1

拒绝常规访问,拒绝发件人访问 — 邮件的发件人没有完成传递所必需的特权。

可能的原因包括:

  • 邮件的发件人没有完成传递所必需的特权。
  • 您试图通过另一台 Exchange 2000 服务器中继邮件,但该服务器不允许您进行中继。远程服务器返回 5.7.1 代码。
  • 收件人可能启用了邮箱传递限制(例如,如果收件人的邮箱传递限制被配置为仅接收来自某个通讯组的邮件,则将拒绝非成员的邮件,因此返回此 DSN 代码)。
  • Exchange 2003 新增功能:匿名用户试图将邮件发送到仅从已通过身份验证的 SMTP 会话接受邮件的收件人或通讯组列表。

检查联系人的系统特权和属性,然后重试发送邮件。此外,请确保您运行的是 Exchange 2000 Service Pack 1 或更高版本,以避免其他一些潜在的已知问题。在 Exchange 2003 中,检查通讯组上的权限以查看它是否为受限制的通讯组。

移动 X.400 (MTA) 和 SMTP 队列目录位置

Exchange 2003 允许您更改 SMTP 虚拟服务器和 X.400 协议的队列目录位置。

有关详细说明,请参阅如何移动 X.400 (MTA) 队列数据如何移动 SMTP 队列数据

连接筛选

Exchange Server 2003 支持基于阻止列表对连接进行筛选。连接筛选利用的是基于外部的服务,这些服务可以根据 IP 地址,列出未经请求的电子邮件来源的已知来源、拨号用户帐户以及开放中继的服务器。连接筛选借助第三方内容筛选产品实现。通过此项功能,可以根据提供商针对您要筛选的类别提供的阻止列表检查传入 IP 地址。如果在阻止列表提供程序的列表中找到了匹配的 IP 地址,则 SMTP 会发出一个“550 5.x.x”错误以响应 RCPT TO 命令,并向发件人发送一个自定义错误响应。(RCPT TO 命令是所连接的服务器为识别预期邮件收件人而发出的 SMTP 命令。)此外,还可以使用多个连接筛选器,并设定应用各个筛选器的优先次序。

使用连接筛选,可以执行下列操作:

  • 建立与阻止列表服务提供商核对下列内容的连接筛选规则:
    • 未经请求的商业电子邮件的已知发件人的 IP 地址
    • 配置为开放中继的服务器
    • 拨号用户帐户列表
  • 配置全局接受列表和全局拒绝列表。全局接受列表是将始终接受其邮件的 IP 地址列表。全局拒绝列表是将始终拒绝其邮件的 IP 地址的列表。在使用全局接受列表和全局拒绝列表时,可以使用也可以不使用阻止列表服务提供程序。
  • 将某个收件人地址配置为所有连接筛选规则的例外。您可以将某个收件人地址配置为所有连接筛选规则的例外。向此地址发送邮件时,邮件将被自动接受,即使发件人出现在阻止列表中也是如此。

连接筛选规则的工作原理

在创建连接筛选规则后,SMTP 使用此规则根据第三方阻止列表服务提供的列表执行 DNS 查找。连接筛选器检查每个传入 IP 地址与第三方阻止列表的匹配情况。阻止列表提供程序将发出下面两个响应中的一个响应:

  • 找不到主机   表明 IP 地址不存在于其阻止列表中。
  • 127.0.0.x   一个响应状态代码,表明在违犯者列表中找到该 IP 地址的匹配项。x 各不相同,具体取决于阻止列表提供程序。

如果在阻止列表中找到了传入的 IP 地址,SMTP 将返回 5.x.x 错误以响应 RCPT TO 命令(连接方服务器为识别原定邮件收件人而发出的 SMTP 命令)。

可以自定义返回给发件人的响应。此外,因为阻止列表提供程序通常包含不同的违犯者类别,因此可以指定希望拒绝的匹配。大多数阻止列表提供程序都会对以下三种类型的违犯者进行屏蔽:

  • 未经请求的商业电子邮件的来源。这些列表是通过扫描未经请求的商业电子邮件并将源地址添加到列表中而生成的。
  • 已知的开放中继服务器。这些列表是通过识别 Internet 上开放中继的 SMTP 服务器而推断出来的。存在开放中继服务器的最常见原因是系统管理员的配置错误。
  • 拨号用户列表。这些列表是根据 Internet 服务提供商 (ISP) 提供的、包含具有拨号访问的 IP 地址的现有列表创建的,或者通过检查指示可能有拨号连接的地址创建的。

阻止列表提供程序如何匹配违犯的 IP 地址

设置连接筛选器之后,当电子邮件发送到您的组织时,Exchange 将与阻止列表提供程序联系。提供程序在其 DNS 中检查是否存在 A(主机)记录。Exchange 以特定格式查询此信息。例如,如果连接地址是 192.168.5.1,并且阻止列表提供程序的组织是 contoso.org,则 Exchange 将查询是否存在以下记录:

<reverse IP address of the connecting server>.<dns name for the block list organization> IN A 127. 0.0.x

在本例中为:

1.5.168.192..contoso.org

如果在提供程序的列表中找到了此 IP 地址,则提供程序将返回 127.0.0.x 状态代码,以指示违反的 IP 地址和违犯类型。所有阻止列表提供程序都会返回响应代码 127.0.0.x,其中 x 表示违犯类型。此数字随阻止列表提供程序的不同而不同。

了解阻止列表提供程序响应代码

前面已提到,如果阻止列表提供程序找到了匹配项,将总是返回状态代码 127.0.0.x。状态代码要么是显式的返回代码,要么是位掩码,后者是多功能返回形式。如果阻止列表提供程序返回一个值,则可以指定进行筛选所要依据的值。但是,如果您的阻止列表提供程序返回一个位掩码,则必须了解位掩码用以指定希望筛选的匹配项的工作原理。

位掩码是用于验证是否为一个条目设置了特定位的方法。位掩码与传统掩码不同,前者检查特定位的值,而后者检查的则是一定范围的值。请考虑下面的示例。

对于阻止列表中的每个匹配项,假定该阻止列表提供程序返回下表中列出的状态代码。

阻止列表的状态代码示例

类别 返回的状态代码

未经请求的电子邮件的已知来源

127.0.0.3

拨号用户帐户

127.0.0.2

已知的中继服务器

127.0.0.4

但是,如果某个 IP 地址同时存在于两个列表中,则阻止列表提供程序对最后八位字节的值进行求和。因此,如果某个 IP 地址同时包含在已知中继服务器列表中和未经请求电子邮件的已知来源列表中,则阻止列表提供程序将返回状态代码 127.0.7,其中 7 是分别针对未经请求的商业电子邮件的已知来源,以及已知中继服务器而返回的最后一个八位字节的组合值。

若要仅根据未经请求的商业电子邮件的已知来源进行筛选,则输入位掩码值 0.0.0.3;此后,阻止列表将对任何可能的值(在此示例中为 127.0.0.3、127.0.0.5、127.0.0.7 和 127.0.0.9)进行筛选。

下表列出了与每个示例状态代码相关联的位掩码值。

阻止列表状态代码和对应的位掩码示例

类别 返回的状态代码 位掩码

未经请求的电子邮件的已知来源

127.0.0.3

0.0.0.3

拨号用户帐户

127.0.0.2

0.0.0.2

已知的中继服务器

127.0.0.4

0.0.0.4

已知的中继服务器和拨号用户帐户

127.0.0.6

0.0.0.6

对于“已知的中继服务器和拨号用户帐户”类别,仅当 IP 地址同时出现在已知的中继服务器列表和拨号用户帐户列表中时,位掩码 0.0.0.6 才返回匹配项。如果 IP 地址仅出现在其中一个列表中,则位掩码 0.0.0.6 将不会返回匹配项。不能使用位掩码在多个列表中查找单个匹配。

note注意:
位掩码仅对单个值进行检查。如果设置了一个位掩码值,并且只有当某个 IP 地址同时出现在两个列表中时才返回该掩码值,则该掩码将只匹配同时出现在这两个列表中的 IP 地址。如果要在其中的一个列表中查找 IP 地址,请输入这些设置的状态代码。

指定连接筛选规则的例外

可以允许将邮件传递给特定的收件人,而不考虑他们是否出现在阻止列表中。如果希望通过联系邮局主管帐户以允许合法组织与您的管理员进行通信,则此功能非常有用。例如,如果某个合法公司由于疏忽而将其服务器配置为允许开放中继,将导致从该公司发往您的用户的电子邮件被阻止。但是,如果您已将连接筛选配置为允许将邮件传递到您组织中的邮局主管帐户,则被阻止的公司中的管理员可以将邮件发送到邮局主管帐户,以传达其情况或询问为何拒绝其邮件。

启用连接筛选

要启用连接筛选,请执行下列步骤:

  1. 使用“邮件传递属性”对话框上的“连接筛选”选项卡创建连接筛选器。
  2. 在 SMTP 虚拟服务器级别应用该筛选器。
  3. SP2 新增功能:在要排除在连接筛选之外的内部网络中指定服务器。

其中的每个步骤将在以下各节进行详细说明。

步骤 1:配置连接筛选

若要配置连接筛选,请执行下列任务:

  • 创建全局接受列表和全局拒绝列表
  • 创建连接筛选规则
  • 创建连接筛选规则的例外。

创建全局接受列表和全局拒绝列表

通过连接筛选,可以创建全局接受列表和全局拒绝列表。您可以使用这些列表始终接受或始终拒绝来自特定 IP 地址的邮件,而不管是否使用了阻止列表服务提供程序。出现在全局接受列表上的任何 IP 地址都将被自动接受,并绕过所有连接筛选规则。同样,出现在全局拒绝列表上的任何 IP 地址都将被自动拒绝。

全局接受列表中的条目优先于全局拒绝列表中的条目。Exchange 将先检查全局接受列表再检查全局拒绝列表;因此,如果您希望拒绝来自特定子网和掩码的连接,但接受来自此范围内单个 IP 地址的连接,请执行下列操作:

  • 在全局接受列表上输入要接受其连接的 IP 地址。
  • 在全局拒绝列表上输入要拒绝其连接的 IP 地址范围的子网和掩码。

当添加到全局接受列表中的连接方 IP 地址尝试连接到 Exchange 服务器时,Exchange 将首先检查全局接受列表。由于 Exchange 找到了此 IP 地址的匹配项,因此接受其连接,并且不再执行其他连接筛选检查。

有关详细说明,请参阅 Exchange Server Transport and Routing Guide(英文)中的“如何创建全局接受列表”和“如何创建全局拒绝列表”。

创建连接筛选规则

有关创建连接筛选规则的详细说明,请参阅 Exchange Server Transport and Routing Guide(英文)中的“如何创建连接筛选器”。

可以创建此连接筛选规则的例外。具体地说,就是可以允许将邮件传递到特定的收件人(如邮局主管),而不考虑连接方 IP 地址是否在阻止列表中。

有关详细说明,请参阅 Exchange Server Transport and Routing Guide(英文)中的“如何指定连接规则的例外”。

步骤 2:将连接筛选器应用于适当的 SMTP 虚拟服务器

在创建连接筛选器之后,必须将它应用于适当的 SMTP 虚拟服务器。通常,在 SMTP 虚拟服务器(它存在于接受入站 Internet 电子邮件的网关服务器上)上应用连接筛选器。使用以下过程可以将连接筛选器应用于 SMTP 虚拟服务器。

有关详细说明,请参阅 Exchange Server Transport and Routing Guide(英文)中的“如何将连接筛选器应用于 SMTP 虚拟服务器”。

SP2 新增功能:步骤 3:指定排除在连接筛选之外的服务器

在 Exchange Server 2003 SP2 中,可以启用连接筛选以支持网络外围设备。要进行此操作,在“邮件传递属性”对话框的“常规”选项卡上,请指定要从 IP 地址验证中排除的内部网络中的服务器 IP 地址。

您可以指定单个 IP 地址,也可以指定多组 IP 地址。必须包括组织中处理传入 SMTP 邮件的所有服务器。还必须包括将邮件路由到发件人 ID 的所有服务器以及连接筛选部署服务器。如果处理 SMTP 邮件的所有服务器都在外围,则应当包括这些服务器的所有外围 IP 地址。

如果在此列表上找到了发件人 ID 或连接筛选部署服务器所接收的电子邮件上的 IP 地址,则 Exchange Server 将跳过该 IP 地址,而不会对其进行发件人 ID 验证和连接筛选验证。最多可以向该列表中添加 196 个 IP 地址。

有关如何指定内部网络中的服务器的信息,请参阅 Exchange Server 2003 SP2 联机帮助中的“指定连接筛选的 IP 地址配置数据”。

入站收件人筛选

通过收件人筛选,可以阻止发往所有无效收件人的邮件。您还可以阻止向收件人筛选列表中指定的任何收件人发送邮件,而不管他们是有效的还是无效的。

收件人筛选器可以针对每个预期收件人对入站邮件进行筛选(根据 Active Directory 查找结果),以阻止发往无效收件人的邮件。可以根据以下标准筛选邮件:

  • 收件人在 Active Directory 中不存在。
  • 发件人没有相应的权限。

所有符合这些标准的传入邮件都会被拒绝,SMTP 虚拟服务器会在该 SMTP 会话期间返回 550 5.x.x 错误。

note注意:
Exchange 仅执行 Active Directory 查找,并且阻止发往特定域(传入邮件在该域上经过授权)的传入邮件的无效收件人。此设置在收件人策略中进行配置。

还可以配置收件人筛选来筛选发送到组织内指定的电子邮件地址(有效或无效)的邮件。向任何指定的收件人发送邮件时,Exchange 在 SMTP 会话期间返回 5.x.x 级别的错误。

默认情况下,Exchange 接受发往任何收件人(无效或有效)的邮件,然后为所有无效收件人发送未送达报告 (NDR)。此外,由于未经请求的邮件通常是从无效地址发出的,因此 Exchange 会尝试将 NDR 重新传递给不存在的发件人,这样就会消耗更多的资源。如果启用了收件人筛选,则 Exchange 不再在这方面消耗资源,因为无效的收件人已被筛选出来。但是,启用收件人筛选来解析 Active Directory 中的收件人时,有可能使恶意发件人可以解析有效的电子邮件地址;这是因为 SMTP 会话对有效收件人和无效收件人发出的响应不同。

note注意:
收件人筛选规则只应用于匿名连接。已通过身份验证的用户和 Exchange 服务器将绕过这些验证。

启用收件人筛选

若要启用收件人筛选,请执行下列步骤:

  1. 使用“邮件传递属性”对话框中的“收件人筛选”选项卡创建收件人筛选器。
  2. 在 SMTP 虚拟服务器级别应用该筛选器。

其中的每个步骤将在以下各节进行详细说明。

步骤 1:创建收件人筛选器

首先,需要创建收件人筛选器。有关详细说明,请参阅 Exchange Server Transport and Routing Guide(英文)中的“如何创建收件人筛选器”。

步骤 2:将收件人筛选器应用于适当的 SMTP 虚拟服务器

创建收件人筛选器之后,必须将它应用于相应的 SMTP 虚拟服务器。通常,在 SMTP 虚拟服务器(位于接受入站 Internet 电子邮件的网关服务器上)上应用收件人筛选器。使用以下过程可以将收件人筛选器应用于 SMTP 虚拟服务器。

有关详细说明,请参阅 Exchange Server Transport and Routing Guide(英文)中的“如何将收件人筛选器应用于 SMTP 虚拟服务器”。

SP2 新增功能:发件人 ID 筛选

在 Exchange Server 2003 SP2 中,可以使用发件人 ID 筛选。发件人 ID 是一个电子邮件行业倡议,可用来更好地防御未经请求的商业电子邮件 (UCE) 和网页仿冒欺诈。具体地说,发件人 ID 框架是一个协议,创建该协议是为了帮助减少电子邮件域名欺骗,并通过验证电子邮件发件人来更好地防御网页仿冒欺诈。有关发件人 ID 的详细信息,请参阅 Sender ID 网站(英文)。

配置发件人 ID

以下部分概述讨论了为配置 Exchange Server 2003 SP2 中的发件人 ID 筛选而必须执行的三个步骤。

  1. 通过选择“邮件传递属性”对话框的“发件人 ID 筛选”选项卡上的下列选项,可以指定服务器应如何处理发件人 ID 验证失败的邮件。
    • 如果希望发件人 ID 筛选器将验证结果包含在邮件中并进一步进行反垃圾邮件处理(如智能邮件筛选器),请选择“接受 (发件人 ID 状态将被附加到邮件以进行进一步反垃圾邮件处理)”。此选项是默认选项。
    • 如果希望发件人 ID 筛选器接受邮件,然后删除该邮件而不向用户发送未送达报告 (NDR),请选择“删除 (将接受邮件,然后删除;不将 NDR 发回到发件人)”。
    • 如果希望发件人 ID 筛选器在 SMTP 协议级上拒绝邮件并向用户发送 NDR 邮件,请选择“拒绝 (将不接受邮件;发送方将负责 NDR 生成)”。具体来说,发送服务器负责生成 NDR。
  2. 在“邮件传递属性”对话框的“常规”选项卡上,指定要从 IP 地址验证中排除的内部网络中的服务器 IP 地址。您可以指定单个 IP 地址,也可以指定多组 IP 地址。必须包括 Exchange 组织中处理传入的 SMTP 邮件的所有服务器。还必须包括将邮件路由到发件人 ID 的所有服务器以及连接筛选部署服务器。如果处理 SMTP 邮件的所有服务器都在外围,则应当包括这些服务器的所有外围 IP 地址。如果在此列表上找到了发件人 ID 或连接筛选部署服务器所接收的电子邮件上的 IP 地址,则 Exchange Server 将跳过该 IP 地址,而不会对其进行发件人 ID 验证和连接筛选验证。最多可以向该列表中添加 196 个 IP 地址。
  3. 启用 SMTP 虚拟服务器上的发件人 ID。在配置发件人 ID 筛选选项之后,必须在 Exchange 组织中的 SMTP 虚拟服务器上启用发件人 ID 筛选。
    有关如何执行上述各项任务的详细信息,请参阅 Exchange Server 2003 SP2 联机帮助中的“配置发件人 ID 筛选”。

SP2 新增功能:智能邮件筛选

在 Exchange Server 2003 SP2 中,智能邮件筛选在安装 Exchange Server 2003 SP2 时就已安装并准备使用。

note注意:
如果 Exchange Server 2003 安装程序检测到正在运行智能邮件筛选器,则该程序将提示您在继续安装 Exchange Server 2003 SP2 之前,卸载该智能邮件筛选器。

通过智能邮件筛选,可以阻止网关 SMTP 虚拟服务器上未经请求的商业电子邮件 (UCE),也称为垃圾邮件。网关 SMTP 虚拟服务器就是接受传入 Internet 电子邮件的 SMTP 虚拟服务器。

有关智能邮件筛选的详细信息,请参阅 Exchange Intelligent Message Filter 网站(英文)。

配置智能邮件筛选

以下部分概述讨论了为配置 Exchange Server 2003 SP2 中的发件人 ID 筛选而必须执行的步骤。

  1. 使用“邮件传递属性”对话框的“智能邮件筛选”选项卡上的选项,创建智能邮件筛选器。可以设置两个阈值,阈值可确定智能邮件筛选器如何处理具有不同 SCL 分级的电子邮件,这两个阈值是:网关阈值(超过该阈值后,将对邮件执行相应的操作)和邮箱存储阈值。
    • 如果邮件的 SCL 分级高于网关阈值,则智能邮件筛选器将执行您已指定的操作。这些选项包括“存档”、“删除”、“无操作”和“拒绝”。
    • 如果邮件的 SCL 分级低于网关阈值,则将邮件发送到收件人的 Exchange 邮箱存储中。在 Exchange 邮箱存储中,如果邮件的 SCL 分级高于邮箱存储阈值,则邮箱存储会将邮件传递到用户的“垃圾邮件”文件夹中,而不是收件箱中。
  2. 在 SMTP 虚拟服务器上启用智能邮件筛选器在配置智能邮件筛选器选项之后,必须在 Exchange 组织中的 SMTP 虚拟服务器上启用智能邮件筛选器。

有关如何执行上述各项任务的详细信息,请参阅 Exchange Server 2003 SP2 联机帮助中的“配置智能邮件筛选”。

SP2 中的更新内容:了解如何应用启用的筛选器

Exchange Server 2003 支持下列筛选器:

  • 基于虚拟服务器的 IP 限制
  • 连接筛选
  • 收件人筛选
  • 发件人筛选
  • 发件人 ID 筛选
  • 智能邮件筛选

虽然连接筛选、收件人筛选、发件人筛选、发件人 ID 筛选和智能邮件筛选都是在“邮件传递属性”中进行配置的,但是必须分别在各个 SMTP 虚拟服务器上启用它们。与此不同,IP 限制是直接在每个 SMTP 虚拟服务器上配置的。

此部分说明了在配置和启用这些筛选器之后在 SMTP 会话期间对它们的检查顺序。按以下方式检查筛选和 IP 限制。

note注意:
本部分已被更新,以便提供运行 Exchange Server 2003 SP2 的服务器上的反垃圾邮件过程的有关信息。出于本示例的目的,假定在网关计算机上已安装了 Exchange Server 2003 SP2。
  1. SMTP 客户端尝试连接到 SMTP 虚拟服务器。
  2. 根据 SMTP 虚拟服务器的 IP 限制(在 SMTP 虚拟服务器“属性”的“访问”选项卡上进行配置),检查连接方客户端的 IP 地址:
    • 如果连接方 IP 地址存在于受限制的 IP 列表中,则连接立即断开。
    • 如果连接方 IP 地址不存在于受限制的 IP 列表中,则接受该连接。
  3. SMTP 客户端将发出 EHLO 或 HELO 命令。
  4. SMTP 客户端发出如下所示的 MAIL FROM:命令:
    MAIL FROM: dylanm@contoso.com
  5. 然后,根据全局接受列表(在 Exchange 系统管理器的“邮件传递属性”对话框中,在“连接筛选”选项卡上进行配置)检查 SMTP 客户端的 IP 地址。
    • 如果连接方 IP 地址存在于全局接受列表中,则不检查全局拒绝列表。继续执行步骤 7。
    • 如果连接方 IP 地址不在全局接受列表中,则执行步骤 6 和 7。
  6. 根据全局拒绝列表(在 Exchange 系统管理器的“邮件传递属性”对话框中,在“连接筛选”选项卡上进行配置)检查 SMTP 客户端的 IP 地址。
    • 如果 SMTP 客户端的 IP 地址存在于全局拒绝列表中,则连接断开。
    • 如果 SMTP 客户端的 IP 地址不存在于全局拒绝列表中,则会话继续。
  7. 发件人筛选根据其阻止发件人列表(在 Exchange 系统管理器的“邮件传递属性”对话框中,在“发件人筛选”选项卡上进行配置),检查在 MAIL FROM 命令中指定的发件人。
    • 如果发件人出现在阻止发件人列表中,则将出现下列两种情况之一(具体出现哪种情况,取决于发件人筛选是如何配置的):
      - 如果发件人筛选配置为断开连接,则连接断开。
      - 如果将发送筛选配置为接受邮件而不通知发件人,则会话继续;但邮件将发送到 Badmail 目录,而不会发送到预期收件人。
    • 如果发件人没有出现在发件人筛选列表中,则 SMTP 虚拟服务器会发出类似如下所示的响应。
      250 2.1.0 dylanm@contoso.com...Sender OK
  8. 连接方 SMTP 服务器发出如下所示的 RCPT TO 命令:
    RCPT TO: kim@example.com
  9. 连接筛选规则根据由其阻止列表服务提供程序提供的任何阻止列表,检查连接方 IP 地址。
    • 如果 SMTP 客户端的 IP 地址存在于接受列表中,则绕过连接筛选规则。继续执行步骤 10。
    • 如果 SMTP 客户端的 IP 地址在阻止列表服务提供程序的阻止列表中,则 SMTP 虚拟服务器将返回一个错误代码,然后发送为连接筛选规则配置的自定义错误消息。
    • 如果 SMTP 客户端的 IP 地址未出现在阻止列表服务提供程序的阻止列表中,则会话将继续。
  10. 连接筛选检查预期收件人是否在连接筛选例外列表中。
    • 如果收件人出现在此列表中,则接受通信,并且不对 RCPT TO 命令应用其他检查。继续执行步骤 13。
    • 如果收件人未出现在例外列表中,则根据其他筛选器检查该收件人。
  11. 如果收件人没有出现在连接筛选中配置的例外列表上,则根据在收件人筛选中配置的任何阻止收件人列表检查该收件人。
    • 如果收件人是被阻止的收件人,则 SMTP 虚拟服务器返回无效收件人错误。
    • 如果收件人不是被阻止的收件人,则会话继续。
  12. 如果收件人不是被阻止的收件人,则检查 Active Directory 以确保 Active Directory 中存在预期收件人。
    • 如果原定收件人不是 Active Directory 中的有效收件人,则 SMTP 虚拟服务器返回无效收件人错误。
    • 如果收件人是 Active Directory 中的有效收件人,则会话继续。
  13. 对于在 RCPT TO 命令中指定的每个其他收件人,都应用步骤 10 到 12。
  14. 然后,连接方服务器发出类似如下所示的 DATA 命令
    DATA
    To: Kim Akers
    From: dylanm@contoso.com<Dylan Miller>
    Subject: Mail Message
  15. 然后,发件人筛选检查“发件人”地址是否与被阻止的发件人不匹配。
    • 如果在 DATA 命令中指定的发件人是被阻止的发件人,则将出现以下两种情况之一:
      - 如果将发件人筛选配置为断开连接,则 SMTP 虚拟服务器会返回一个 5.1.0“发件人被拒绝”错误,然后断开连接。
      - 如果将发送筛选配置为接受邮件而不通知发件人,则会话继续;但邮件将发送到 Badmail 目录,而不会发送到预期收件人。
    • 如果在 DATA 命令中指定的发件人不是被阻止的发件人,则接受邮件并对邮件排队以便进行传递。
  16. 邮件通过发件人 ID 验证进行处理。
  17. 邮件通过智能邮件筛选进行处理。

改进了限制向 SMTP 虚拟服务器提交的能力

在 Exchange Server 2003 中,可以通过标准的 Windows 2000 Server 或 Windows Server 2003 随机访问控制列表 (DACL),限制只有有限数目的安全主机可以向 SMTP 虚拟服务器进行提交。这样,您就可以指定可以向虚拟服务器提交邮件的用户组。

note注意:
不要在接受 Internet 邮件的 SMTP 虚拟服务器上限制提交。

有关详细说明,请参阅 Exchange Server Transport and Routing Guide(英文)中的“如何基于安全组限制到 SMTP 服务器的提交”。

改进了在 SMTP 虚拟服务器上限制中继的能力

在 Exchange 2003 中,可以通过标准的 Windows 2000 随机访问控制列表 (DACL),限制只有有限数目的安全主体具有中继权限。这样,您就可以指定能够通过虚拟服务器中继的用户组。

如果希望允许一组用户向 Internet 中继邮件,但是拒绝另一组的中继特权,则在虚拟服务器上限制中继是很有用的。

有关详细说明,请参阅 Exchange Server Transport and Routing Guide(英文)中的“如何基于安全组限制中继”。