使用Exchange 2003防御地址欺骗-网管专栏,邮件服务

垃圾邮件制造者常用的技术是配置电子邮件中的“发件人”一行，以隐藏发件人的身份。虽然 smtp 不要求验证发件人的身份，但是 exchange 2003 提供下列功能来帮助尽量减少地址欺骗：

默认身份验证设置

默认情况下，exchange 2003 不解析发件人的电子邮件地址，除非发件人使用客户端程序（如 outlook 或 outlook web access）来通过 exchange 服务器的身份验证。当 exchange 收到来自已通过身份验证的客户端的邮件时，将验证发件人的姓名是否出现在全局地址列表 (gal) 中，如果是，将在邮件中解析用户的显示名（在“发件人”一行）。如果未经过身份验证就提交原始邮件，exchange 2003 会在起点就将该邮件标记为未经过身份验证，然后将该信息从一台服务器传输到另一台服务器。在这种情况下，发件人的地址不解析为 gal 显示名（如 ted bremer），而是以 smtp 的格式显示给收件人（如 ted@contoso.com）。应提醒用户警惕这样一类邮件：这些邮件声称来自组织中的其他用户，但并未解析为 gal 显示名。

但是，exchange 2000 不解析匿名提交的邮件。为此，如果要从 exchange 2000 升级，建议您在升级邮箱和其他 exchange 服务器之前，先将网关服务器升级到 exchange 2003。此外，如果要阻止 exchange 2000 服务器解析匿名邮件，可以执行下列操作。

阻止 exchange 2000 解析匿名电子邮件

警告   注册表编辑不当可能导致严重的问题，甚至可能需要重新安装操作系统。因注册表编辑不当而导致的问题可能没有办法解决。在编辑注册表之前，请备份所有重要数据。

1.       启动注册表编辑器 (regedit)。

2.       导航到注册表中的下列项，或者在注册表中创建这样一项（其中一个 1 表示 smtp 虚拟服务器编号）：

hkey_local_machine/system/currentcontrolset/services/
msexchangetransport/parameters/1

注意   可能需要同时创建 parameters 项和 1 项。

            在“编辑”菜单上，单击“添加值”，然后添加下列注册表值：

value name: resolvep2

data type: reg_dword

            使用下列标志来确定要使用的值：

      field                   value

      ———–            —–

      from:                   2

      to: and cc:            16

      reply to:               32                    

            要确定应使用的值，请针对要解析的所有元素添加相应的值。例如，要解析除发件人以外的所有字段，请键入 48 (16+32=48)。要仅解析收件人，应只键入 16。默认情况下，exchange 2000 解析所有字段（可以通过删除该注册表项或者使用公式 2+16+32=50 设置该值来指定此行为）。

            退出注册表编辑器。

            重新启动 smtp 虚拟服务器。

在选择要启用此设置的服务器时应小心。如果在默认 smtp 虚拟服务器上更改此行为，并且组织中存在多个服务器，那么来自其他 exchange 2000 服务器的所有内部邮件也会受影响。因此，由于 exchange 2000 使用 smtp 在服务器之间路由内部邮件，您可能要创建新的 smtp 虚拟服务器，或者仅在传入方向上的 smtp 桥头服务器上应用此设置。

跨目录林身份验证设置

如果组织包含多个目录林，那么可以在 smtp 桥头服务器要求身份验证的目录林之间配置信任关系。

注意   工作流应用程序可以匿名提交邮件；因此，在组织中配置身份验证之前，应确保评估工作流应用程序的需求。 

有关如何配置跨目录林身份验证的信息，请参阅《exchange server 2003 新增功能》一书中的“传输和邮件流功能”(http://go.microsoft.com/fwlink/?linkid=24402)。

匿名访问设置

尽管 exchange 2003 使客户端用户能够识别带有欺骗性的邮件，但仍应在所有内部 exchange 服务器上关闭匿名 smtp 访问功能。关闭匿名访问功能有助于确保只有已通过身份验证的用户能够在组织内部提交邮件。此外，要求身份验证会迫使使用 rpc over http 的客户端程序（如 outlook express 和 outlook）在发送邮件之前先通过身份验证。

反向域名系统查找

如果您直接从 internet 上的其他域接收邮件，可以配置 smtp 虚拟服务器对传入的电子邮件执行反向域名系统 (dns) 查找。这样可以验证发件人邮件服务器的 internet 协议 (ip) 地址和完全限定域名 (fqdn) 是否与邮件中列出的域名一致。但是，应考虑到 dns 查找存在下列限制：

·         发件人的 ip 地址可能不存在于反向 dns 查找记录中，或者，发送方服务器可能对于同一个 ip 有多个名称，并且不是所有的这些名称都存在于反向 dns 查找记录中。

·         反向 dns 查找加重了 exchange 服务器的负担。

·         反向 dns 查找要求 exchange 服务器能够与发送域的反向查找区域联系。

·         对每个邮件执行反向 dns 查找可能导致延迟增加，从而使性能大幅度下降。

注意   有关使用反向 dns 查找的详细信息，请参阅 microsoft 知识库文章 319356“how to: prevent unsolicited commercial e-mail in exchange 2000 server”(http://go.microsoft.com/fwlink/?linkid=3052&kbid=319356)（英文）。

,