24h購物| | PChome| 登入
2008-12-02 12:30:24 | 人氣1,614| 回應0 | 上一篇 | 下一篇
推薦 0 收藏 0 轉貼0 訂閱站台

RELAY如何防止或制止

 

How To prevent unsolicited commercial e-mail in Exchange 2000 Server

如何防範 Exchange 2000 Server 中來路不明的商業電子郵件

http://support.microsoft.com/default.aspx?scid=kb;en-us;319356

http://support.microsoft.com/kb/319356/zh-tw

 

如何規劃和實作保護層級

當您計劃要執行能夠防範來路不明商業電子郵件的步驟時,必須考量一些因素。

如何防止轉送

轉送是指利用連至 SMTP 伺服器的傳入連線,將電子郵件傳送至外部網域的動作。 透過來路不明的商業電子郵件,將單一電子郵件傳送至組織外部的網域中,含有多個收件者的 SMTP 伺服器,也是利用轉送來達成。由於 SMTP 伺服器預設為使用匿名驗證,因此,要用來傳播來路不明商業電子郵件的系統,依舊會接受輸入郵件。郵件被接受之後,SMTP 伺服器會辨識郵件收件者屬於外部網域,接著 SMTP 伺服器會傳遞郵件。因此,傳送來路不明商業電子郵件的未授權使用者,只需要傳送一封輸入郵件至您的 SMTP 伺服器,就能將該郵件傳遞給數以千計的收件者,而這會拖慢 Exchange Server 電腦的回應速度、阻塞佇例,並且讓收件者在收件匣中收到該郵件時,感到相當氣惱和厭煩。

控制轉送的主要方法是,不要授與任何其他主機轉送的權限。 然而,還是有些時候會需要轉送。例如,您的「郵局通訊協定,第 3 版」(POP3) 和「網際網路訊息存取通訊協定」(IMAP4) 用戶端必須使用 SMTP 來傳遞郵件,並且有合理的理由必須傳送電子郵件至外部網域。您可以建立第二部 SMTP 虛擬伺服器,專用於接收來自 POP3 和 IMAP4 用戶端的電子郵件,以暫時解決這個問題。此新增的 SMTP 虛擬伺服器可以使用與 Secure Sockets Layer (SSL) 加密結合的驗證方法,並設定為允許已驗證用戶端執行轉送。

注意 對於具備 POP3 和 IMAP4 用戶端的使用者,如需有關如何加密 SMTP 郵件傳遞的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:

319267  (http://support.microsoft.com/kb/319267/ ) How to secure Simple Mail Transfer Protocol client message delivery in Exchange 2000 Server
  1. 按一下 [開始],指向 [程式集],再指向 [Microsoft Exchange],然後按一下 [系統管理員]
  2. [Exchange 系統管理員] 的左邊窗格中,按兩下 [伺服器],然後展開您要設定的 Exchange Server 電腦。
  3. 展開 [通訊協定],再展開 [SMTP]
  4. 用滑鼠右鍵按一下 [預設 SMTP 虛擬伺服器],然後按一下 [內容]
  5. 按一下 [存取] 索引標籤,以顯示 [存取控制] 選項。
  6. 按一下 [轉送] 按鈕。
  7. [轉送限制] 對話方塊中,請確認哪些電腦可能轉送的選項是設定為 [僅限下列清單] 且清單是空白的。
  8. 除非您將 POP3 和 IMAP4 用戶端搭配此虛擬伺服器使用,否則,請清除 [不考慮上述清單,允許所有通過驗證的電腦轉送] 方塊,然後按一下 [確定]
  9. [SMTP 虛擬伺服器內容] 對話方塊中,按一下 [確定]

如何設定 IP 位址限制

設定網際網路通訊協定 (IP) 位址限制讓您能夠指定 IP 位址、IP 範圍或 SMTP 伺服器接受傳入工作階段的目標網域名稱系統 (DNS) 網域。如果您的 ISP 以您的名義接受郵件,再將郵件轉寄給您,這項技術便相當有用,因為此技術會防止其他主機連線至您的 SMTP 連接器。

注意 為了讓 IP 位址限制能夠運作,您網域的網際網路 DNS 區域上的郵件交換者 (MX) 記錄必須指向您的 ISP 電子郵件伺服器,而不是指向 Exchange Server 電腦。

如果您接收來自 ISP 電子郵件伺服器的外部 SMTP 電子郵件,就可以設定 IP 位址限制。IP 位址限制表示,SMTP 虛擬伺服器只會接受來自您 ISP 電子郵件伺服器的連線。

  1. 按一下 [開始],指向 [程式集],再指向 [Microsoft Exchange],然後按一下 [系統管理員]
  2. [Exchange 系統管理員] 的左邊窗格中,按兩下 [伺服器],然後展開您要設定的 Exchange Server 電腦。
  3. 展開 [通訊協定],再展開 [SMTP]
  4. 用滑鼠右鍵按一下 [預設 SMTP 虛擬伺服器],然後按一下 [內容]
  5. 按一下 [存取] 索引標籤,以顯示 [存取控制] 選項。
  6. 如果要設定 IP 位址限制,請按一下 [連線] 按鈕。
  7. [連線] 對話方塊中,按一下 [僅限下列清單]。這表示只有清單中的 IP 位址和網域才能連線至 SMTP 虛擬伺服器。您可以從所列的類型中新增數個項目:

    1. 您可以在 IP 位址方塊中輸入位址,為您的 ISP 電子郵件伺服器新增單一 IP 位址。或者,您可以按一下 [DNS 查閱] 按鈕,輸入主機名稱 (例如 mail.example.com ),然後按一下 [確定]
    2. 您可以新增位址範圍,例如 131.107.2.0,其子網路遮罩為 255.255.255.0。如果您的 ISP 傾向於變更電子郵件伺服器的 IP 位址,而不發出警告,則 Microsoft 建議您使用此程序。
    3. 您也可以在網域基準上設定限制,只允許來自 *.example.com 的連線。然而,請注意此選項需要在每個連入連線上進行 DNS 反向查閱,這可能會對 Exchange Server 電腦的效能造成不良的影響。如需詳細資訊,請參閱本文後面的<疑難排解>一節。
  8. 按一下 [確定]

如何實作驗證

實作使用者為主的驗證,讓外部主機或用戶端可以透過輸入使用者名稱和密碼的方式,登入 SMTP 虛擬伺服器。不過,類似於 IP 位址限制,只有在 ISP 做為組織的郵件中繼站,並且能夠提供已驗證的連線連至您的 SMTP 虛擬伺服器時,才能設定驗證功能。此外,您的 ISP 也必須支援「傳輸層安全性」(Transport Layer Security,TLS),而 TLS 會將整個驗證和訊息傳輸的工作階段加密。

注意 您的 ISP 支援不太可能「整合式 Windows 驗證」(NTLM 驗證) 選項。

  1. 按一下 [開始],指向 [程式集],再指向 [Microsoft Exchange],然後按一下 [系統管理員]
  2. [Exchange 系統管理員] 的左邊窗格中,按兩下 [伺服器],然後展開您要設定的 Exchange Server 電腦。
  3. 展開 [通訊協定],再展開 [SMTP]
  4. 用滑鼠右鍵按一下 [預設 SMTP 虛擬伺服器],然後按一下 [內容]
  5. 如果要設定存取控制項,請按一下 [存取] 索引標籤,再按 [驗證] 按鈕。
  6. [驗證] 對話方塊中,已選取所有的驗證方法。請清除 [匿名存取][整合式 Windows 驗證] 核取方塊。
  7. 如果您的 ISP 支援 TLS,請按一下 [基本驗證] 下方的 [必須使用 TLS 加密] 選項。
  8. 您必須在 Active Directory 中加入使用者帳戶和密碼,然後通知您的 ISP 這些認證資訊。 這個帳戶將做為傳入連線的驗證。
  9. 按一下 [確定]

如何設定郵件限制

設定郵件限制關係到變更每個郵件的預設收件者數量。 這個程序可以防止將同一封電子郵件傳遞給大量的收件者,因而降低來路不明商業電子郵件的影響。 此外,您可以減少郵件大小上限,以及工作階段的大小。

注意 如果透過 SMTP 的內部收件者數量很多,那麼降低收件人數量這個程序可能會影響到對這些收件人的郵件傳遞工作。 不過,這對於「訊息應用程式發展介面」(Messaging Application Programming Interface,MAPI) 的收件者而言,並不是個問題。

  1. 按一下 [開始],指向 [程式集],再指向 [Microsoft Exchange],然後按一下 [系統管理員]
  2. [Exchange 系統管理員] 的左邊窗格中,按兩下 [伺服器],然後展開您要設定的 Exchange Server 電腦。
  3. 展開 [通訊協定],再展開 [SMTP]
  4. 用滑鼠右鍵按一下 [預設 SMTP 虛擬伺服器],然後按一下 [內容]
  5. [SMTP 虛擬伺服器內容] 對話方塊中,按一下 [郵件] 索引標籤。現在,您可以設定郵件數量的限制。
  6. 按一下 [將郵件大小限制為 (KB):] 方塊,然後在 [大小] 方塊中輸入較小的值,例如 2048
  7. 按一下 [將工作階段大小限制為 (KB)] 方塊,然後輸入 4096
  8. 每次連線的預設郵件數量為 20。您不需要變更這個值。
  9. [將每封郵件的收件者數目限制為] 的預設設定為 64,000。請將此設定值變更為 1001000 之間的值。注意:請根據組織的郵件傳送需求,以及組織外部通訊群組清單的大小來決定這個值。 收件者人數大於此值的郵件都會被退回給寄件者,並附上未傳遞報告 (NDR)。

  10. 按一下 [確定]

如何使用反向 DNS 查閱

如果您直接從網際網路的其他網域接收郵件,可以將您的 SMTP 虛擬伺服器設定為針對連入的電子郵件執行反向 DNS 查閱。 這個設定可以確保傳送電子郵件的伺服器 IP 位址 (及其完整網域名稱) 符合郵件寄件者的網域名稱。反向查閱有助於防止遭到地址詐騙。不過,反向查閱會使您的 Exchange Server 電腦增加額外的負荷。如需詳細資訊,請參閱<疑難排解>一節。此外,您的 Exchange Server 電腦必須能夠連接進行傳送作業網域的反向對應區域,才能使用這個技術。

注意 如果您只設定 SMTP 虛擬伺服器,來執行 DNS 反向查閱,將無法封鎖非相符網域名稱 / IP 位址。DNS 反向查閱只會從 IP 位址解析 DNS 名稱,然後利用 DNS 反向查閱所產生的名稱,來取代標頭中的 DNS 名稱。

如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:

297412  (http://support.microsoft.com/kb/297412/ ) The "Perform Reverse DNS Lookup for Incoming Messages" option is for host name resolution
  1. 按一下 [開始],指向 [程式集],再指向 [Microsoft Exchange],然後按一下 [系統管理員]
  2. [Exchange 系統管理員] 的左邊窗格中,按兩下 [伺服器],然後展開您要設定的 Exchange Server 電腦。
  3. 展開 [通訊協定],再展開 [SMTP]
  4. 用滑鼠右鍵按一下 [預設 SMTP 虛擬伺服器],然後按一下 [內容]
  5. 如果要設定傳入郵件的反向 DNS 查閱,請按一下 [傳遞] 索引標籤。
  6. 按一下 [進階] 按鈕,然後按一下 [對傳入的郵件執行反向 DNS 查閱] 核取方塊。
  7. 按一下 [確定],再按一下 [確定]

如何設定 SMTP 連接器

您可能已經在 Exchange Server 電腦上建立 SMTP 連接器,以連線至網際網路的其他 SMTP 伺服器,或接受來自這些伺服器的連線。這個 SMTP 連接器必須與至少一個 SMTP 虛擬伺服器產生關聯,才能運作。您必須確認 SMTP 連接器的設定是最佳的設定,以降低被用來轉送來路不明商業電子郵件的可能性。

  1. 按一下 [開始],指向 [程式集],再指向 [Microsoft Exchange],然後按一下 [系統管理員]
  2. [Exchange 系統管理員] 的左邊窗格中,按兩下 [連接器]
  3. 用滑鼠右鍵按一下您用來連線至網際網路,以傳入和輸出電子郵件的 SMTP 連接器,然後按一下 [內容]。此程序會顯示 SMTP 連接器 [內容] 對話方塊的 [一般] 索引標籤。

  4. 如果您的 ISP 提供傳入郵件的儲存和轉寄功能,ISP 可能也會提供用於輸出電子郵件的智慧主機。如果有,請按一下 [經由此連接器,轉寄所有郵件至下列智慧主機],然後輸入 ISP 電子郵件伺服器的 FQDN 或 IP 位址。
  5. 按一下 [地址空間] 索引標籤,並確認已清除 [允許將郵件轉送至這些網域] 核取方塊。

    注意 由於傳遞電子郵件至網際網路的 SMTP 連接器通常會以星號 (*) (代表所有網域) 當做自己的地址空間,因此,如果您按一下 [允許將郵件轉送至這些網域] 核取方塊,SMTP 連接器就會啟用所有外部網域的轉送。

  6. 如果您使用智慧主機來輸出電子郵件,請與 ISP 連絡,以設定電子郵件傳遞時的安全性。按一下 [進階] 索引標籤,然後按一下 [輸出安全性] 按鈕。
  7. 如果您的 ISP 支援驗證和加密,請選取 [基本驗證],按一下 [修改] 按鈕,並加入存取 ISP 智慧主機所用的使用者帳戶和密碼,再按 [確定],然後按一下選取 [TLS 加密] 核取方塊。



 

回此頁最上方

如何確認 IP 限制的運作

  1. 如果要確認 IP 限制的運作,請使用您的 POP3 和 IMAP4 用戶端,嘗試從排除的 IP 位址進行連線。 您將會收到指出連線至伺服器遭到拒絕的訊息。
  2. 如果要確認轉送限制的運作,請使用 POP3 和 IMAP4 用戶端,從未排除的 IP 位址進行連線,然後嘗試傳送電子郵件至外部網域。您將會收到訊息,指出傳遞至外部網域的作業因轉送限制而遭到拒絕。
  3. 如果要檢查 TLS 驗證和加密,請確認您可以從 ISP 為您的網域所提供儲存和轉寄服務的電子郵件伺服器接收電子郵件。 請在您的 Exchange Server 電腦上執行「網路監視器」,並擷取連接埠 25 (0019h) 上來自 ISP 電子郵件伺服器位址的封包。 這些封包含有加密的資料。您不會看到使用者名稱或密碼等認證資料。
  4. 如果要確認反向 DNS 查閱,您必須從與傳送郵件的網域不同的位址,傳送郵件至您的網域。這封郵件會出現在您的 [Badmail] 資料夾。

 

=============================================================

 

SMTP大部分不是會擋IP嗎(如果使用PORT 25)
那麼不同ISP的SMTP如何互傳信件?

像我現在使用HINET就無法TELNET進SEEDNET....那我電腦架SMTP不是也寄不過去? 

那不是用「擋IP」來做的. 那是 Mail Server 裡面的一個 Anti-relay 機制 (防跳板).

由於當初設計 SMTP 協定時, 並沒有考慮到跳板發信的問題, 所以使得全世界的 End user, 都可以隨便挑一台 Email Server 來發信, 並沒有限定非用 ISP 的不可. 但是後來這樣出了問題, 因為許多垃圾信件, 為了躲避追蹤與反制, 就用這個方法, 挑一個與自己上網無關, 對自己也無管轄權的 Server 去發信.

此時, 當別人收到垃圾信, 追蹤到源頭, 要求轉信的 Server 制止該行為時, 由於這個用戶不屬於該 Server 管理者的管轄範圍, 所以管理者對這個用戶完全沒有技術上或法律上的約束力, 也就無法制止這樣的行為. 但是網路上的受害者, 卻會將矛頭指向這台被當成跳板的 Server, 甚至對該Server 發起抵制行動, 使得管理者兩面為難.

因此, 後來就出現這種 Anti-relay 的作法, 也就是說: 所有的 Email Server 都訂下這樣的規則:

1. 只接受來自可被自己管轄的IP範圍所發的信
2. 只接受外界發進屬於自己管轄的信箱的信
3. 只有通過身分認證者可以打破以上兩種規則

所以, 當您從 ISP A 上網, 想要用 ISP B 的 server 發信時, 因為違反了規則 1. 所以會被 ISP B 拒絕. 但是當 ISP A/B 之間互相在轉信時, 只有符合規則 2. 的信, 可以進得來, 這樣就擋掉許多垃圾信. 至於規則 3. 通常是用在比較特殊的場合, 小弟自己的 Email server 會啟動這個功能, 以便自己在外面上網時 (與 Server 不同 ISP), 還可以讓自己寄信出去.(但別人不行, 因為別人無法通過我的認證程序)

我要檢舉
台長: Kenny

您可能對以下文章有興趣

人氣(1,614) | 回應(0)| 推薦 (0)| 收藏 (0)| 轉寄
全站分類: 數位資訊(科技、網路、通訊、家電) | 個人分類: 生活資訊 |
此分類下一篇:Domino管理员29个问题
此分類上一篇:測試電子郵件伺服器是否正常

我要回應
是 (若未登入"個人新聞台帳號"則看不到回覆唷!)
* 請輸入識別碼:
請輸入圖片中算式的結果(可能為0) 
(有*為必填)
TOP
詳全文