設定 Exchange Server 的安全性
上次修改主題的時間: 2005-05-24
這個主題著重於您可以保護 Microsoft® Exchange 伺服器的方式。您可以執行下列工作來協助保護伺服器,下列各節會詳述每項工作:
- 在所有 SMTP 虛擬伺服器上停用開放轉送。 預設轉送限制可防止未獲授權的使用者使用您的 Exchange 伺服器,將郵件傳送至外部位置。如果您的伺服器開放轉送,則未獲授權的使用者可能會使用該伺服器來傳送垃圾郵件。其他組織可能因而將您的伺服器列為開放轉送的來源,而導致伺服器遭到封鎖而無法傳送合法郵件。
- 在 IMAP 和 POP 用戶端之內部 SMTP 虛擬伺服器和專屬的 SMTP 虛擬伺服器上禁止匿名存取。 因為組織內的所有 Exchange 伺服器會驗證彼此身分以傳送郵件,因此,您不需要在內部簡易郵件傳送通訊協定 (SMTP) 虛擬伺服器上啟用匿名存取。此外,所有的郵局通訊協定 (POP) 和網際網路訊息存取通訊協定 (IMAP) 用戶端都會驗證 SMTP 虛擬伺服器,因此,在 POP 和 IMAP 用戶端專屬的伺服器上,並不需要匿名存取。如果您在這些伺服器上停用匿名存取,就可以禁止未獲授權的使用者存取它們。
- 在內部 SMTP 虛擬伺服器上限制提交和轉送存取。 在 Microsoft Exchange Server 2003,您可以透過標準 Microsoft Windows® 2000 Server 或 Windows Server™ 2003 任意存取控制清單 (DACL) 使用安全性原則,進一步限制對 SMTP 虛擬伺服器的存取。此能力可讓您授與明確權限給您允許其使用 SMTP 虛擬伺服器的使用者和群組。
在所有 SMTP 虛擬伺服器上停用開放轉送
如<設定轉送限制>中所說明,不允許 SMTP 虛擬伺服器上的匿名或開放轉送是很重要的。轉送是指有使用者使用您的 Exchange 伺服器,傳送郵件至外部網域。
在其預設組態中,Exchange 只允許已驗證的使用者轉送郵件,換句話說,只有已驗證的使用者才可以使用 Exchange 傳送郵件至外部網域。如果您修改預設轉送設定而允許未經驗證的使用者轉送,或允許透過連接器至網域的開放式轉送,則未授權的使用者可以使用您的 Exchange 伺服器來傳送垃圾郵件。因此,您的伺服器可能會被列入封鎖清單,而無法傳送郵件給合法的遠端伺服器。若要防止未授權的使用者使用您的 Exchange 伺服器轉送郵件,請一律使用預設的轉送限制。
.gif "note") 附註: |
|---|
| 轉送常與垃圾郵件混淆不清。轉送控制並不封鎖垃圾郵件。如需控制垃圾郵件的相關資訊,請參閱<設定篩選及控制垃圾郵件>。 |
如需如何控制轉送的相關資訊,請參閱 Microsoft 知識庫文件 - 304897<XIMS: Microsoft SMTP Servers May Seem to Accept and Relay E-Mail Messages in Third-Party Tests>。
在 IMAP 和 POP 用戶端的內部 SMTP 虛擬伺服器和專屬的 SMTP 虛擬伺服器上禁止匿名存取
為了提高安全性,您可以在內部 SMTP 虛擬伺服器上,以及任何專門用來接受遠端 IMAP 和 POP 使用者傳入之郵件的 SMTP 虛擬伺服器上,禁止匿名存取。傳送內部郵件時,Exchange 伺服器會自動驗證;因此,在內部伺服器上禁止匿名存取,郵件流程並不會中斷,且內部 SMTP 虛擬伺服器也多了一層安全保護。
同樣地,在傳送郵件至 SMTP 虛擬伺服器之前,IMAP 和 POP 用戶端會先驗證。因此,如果您對 IMAP 和 POP 用戶端使用專屬的 SMTP 虛擬伺服器,則可以將這些伺服器設定為只允許已驗證的存取。若要禁止匿名存取,請在 SMTP 虛擬伺服器內容的 [存取] 索引標籤上,按一下 [驗證],然後清除 [匿名存取] 核取方塊。如需如何禁止匿名存取的逐步指示,請參閱<如何設定存取控制及驗證方法>。
.gif "important") 重要事項: |
|---|
| 不要在網際網路 Bridgehead SMTP 虛擬伺服器上停用匿名存取。接受網際網路郵件的 SMTP 虛擬伺服器必須允許匿名存取。 |
限制提交至通訊群組清單和使用者
在 Exchange 2003 中,您可限制能夠將電子郵件傳送至個別使用者或通訊群組清單的使用者。在通訊群組清單上限制提交,可防止不受信任寄件者 (如未經授權的網際網路使用者) 將郵件傳送至僅限內部使用的通訊群組清單。例如,公司以外的所有人員都無法使用 (利用詐騙或其他手段)「所有員工」通訊群組清單。
| 附註: |
|---|
| 限制的通訊群組清單和使用者的提交限制,只會對執行 Exchange Server 2003 的 Bridgehead 伺服器或 SMTP 閘道伺服器有作用。 |
考慮對全職員工和其他內部群組的相關內部通訊群組清單設定限制。藉由採取此動作,您可以保護這些通訊群組清單,避免接收到垃圾郵件,並限制任何匿名使用者傳送到這些通訊群組清單。
如需如何對使用者和通訊群組清單設定提交限制的詳細指示,請參閱<如何設定使用者的限制>和<如何設定通訊群組的限制>。
在內部 SMTP 虛擬伺服器上限制提交和轉送權限
在 Exchange Server 2003,您可以透過標準 Windows 2000 Server 或 Windows Server 2003 任意存取控制清單 (DACL),限制 SMTP 虛擬伺服器的提交和轉送權限為有限數量的使用者或群組。這可讓您指定可在虛擬伺服器上提交或轉送郵件的使用者群組。
限制提交至 SMTP 虛擬伺服器
如果您希望某些特定使用者能夠在某些特定虛擬伺服器上傳送網際網路郵件,則限制提交至 SMTP 虛擬伺服器很有幫助。您可以只授與這些使用者或群組存取權,以便提交郵件至這些 SMTP 虛擬伺服器。
| 附註: |
|---|
| 請勿在可接受網際網路郵件的 SMTP 虛擬伺服器上限制提交。 |
如需詳細指示,請參閱<如何根據安全性群組將提交限制成 SMTP 伺服器>。
限制 SMTP 虛擬伺服器上的轉送
如果您希望某使用者群組能夠轉送郵件至網際網路,但您想要拒絕另一個群組的轉送權限,則在虛擬伺服器上限制轉送將很有幫助。
如需詳細指示,請參閱<如何根據安全性群組限制轉送>。