利用Exchange Server 2003 搭建安全的企业邮件服务器--使用双宿主Exchange服务器

钉子

来源：Windows 中文论坛
作者：lianggj

这里说的是2个SMTP虚拟服务器的安全配置.这也是一种常见的部署方案.
先矫正对多个SMTP虚拟服务器的错误理解.
常见的误解:在一台Exchange服务器上创建多个SMTP虚拟服务器可增加吞吐量.
原因:每个SMTP虚拟服务器都是多线程的.在Exchange服务器上创建多个SMTP虚拟服务器不但不会提高性能,反而会增加组织的复杂性.
而需要多个SMTP虚拟服务器的一种情况就是双宿主服务器的配置.
下面就是双宿主服务器的配置(两个SMTP虚拟服务器的配置):

虚拟服务器1(对外SMTP虚拟服务器)
绑定对外IP地址和25号端口.
设置筛选.
启用匿名.
禁止中继.
作用:只用于接收外部邮件.筛选用于禁止外部域假冒公司域名发伪电子邮件.其它功能都由对内SMTP实现.

虚拟服务器2(对内SMTP虚拟服务器)
作为SMTP连接器的桥头服务器.
绑定对内IP地址和25号端口.
禁用匿名.
启用安全通道.
中继为默认配置.(以下列表为空,仅通过身份验证的计算机可以中继)


双宿主服务器好处:
可以尽量减少从外网到内网的入口点来限制自身的暴露.
防止外网邮件服务器将邮件中继到其它服务器.
因邮件传入和传出用了不同的SMTP虚拟服务器.使任何过程中的故障点都保持独立.更易于管理.
禁上匿名发送恶意邮件.
邮件传输过程中.邮件内容和帐号密码不被截取..等等

在看这篇文章前,可先看文章
搭建企业邮件服务器(多域之间邮件互发)
http://www.5dmail.net/bbs/thread-161636-1-1.html
基本环境如上一篇文章:


拓朴如下:



contoso.msft已设置好转发器,如2楼连接.

客户端能往外网发送邮件.

下面看如何设置EXCHANGE这台机器.
在EXCHANGE建立两个SMTP虚拟服务器.如图:
一个为对外SMTP虚拟服务器(outsite).一个为对内SMTP虚拟服务器.(insite)



outsite设置如下:
绑定IP和使用25号端口.启用筛选.
筛选一用处,用于禁止外部域假冒公司域名发伪电子邮件




身份验证保持默认的,因这个SMTP虚拟服务器专用来接收外来邮件.所以要启用匿名.



禁用中继.防止外网邮件服务器将邮件中继到其它服务器.


insite设置如下:
绑定IP和25号端口.没用于接收外网邮件,所以没启用筛选.


禁用匿名,防止恶意电子邮件.


安全增强型通信使用SSL加密SMTP会话(包括用户名.密码.邮件内容).使用SSL,必须在SMTP虚拟服务器上安装证书.
因本机为DC,又在DC上安装了EXCHANGE,EXCHANGE要求SSL.还需安全证书服务.
如图:
我安装的是企业根CA.



证书服务器安装完后,到EXCHANGE系统管理器.insite的虚拟服务器上设置安全通信.



要求安全通信.



中继设置,保持默认.
客户端只要向外部域发送电子邮件的SMTP服务器存在一个入站连接,会发生中继.
因内网客户端有可能要发往Internet邮件.所以允许经过验证的客户端中继邮件到外部域.
设置如下:



因要发往外部域,连接了其他邮件系统,所以建立了SMTP连接器.
使用 SMTP 连接器的一个好处是可以指定更多的配置设置，以便影响邮件的传递.
虽然 SMTP 连接器对于 Internet 邮件传递而言不是必不可少的，但是，使用 SMTP 连接器具有下列优势：

• 简化管理。

• 限制服务器在 Internet 上的暴露。

• 建立与另一个域或另一个邮件系统通信的独立路由。

• 将邮件路由到另一个邮件系统，或者将邮件中继到另一个域。

• 可以为平衡负载而使用多个桥头服务器。

• 可以控制如何使用 SMTP 与其他服务器通信。

• 使用自定义设置来计划连接时间。

还可以配置连接器来实现下列功能：

• 对域设置高、普通或低邮件优先级。

• 允许系统或非系统邮件

• 在其他时间传递超大邮件。

• 将邮件排队，以等待远程触发传递。

• 设置特定的传递限制。

我的SMTP连接器没作很多的配置:
简单配置如下:




设置完毕.
下面简单解说下双宿主EXCHANGE服务器的工作过程.
如图所示:



验证一下结果.
在contoso.msft上建立了a用户.在客户端以a用户登录,安装outlook.配置完后.给外部域nwtrader.msft上的用户n发送一封邮件.
客户端设置:






给nwtrader.msft的用户n发一封test邮件.以及nwtrader.msft上用户n的收信结果.


通过看队列,能清楚用了SMTP连接器,以及把instie作为桥头发送的情况.

外网给contoso.msft的邮件答复.
以及contoso.msft的用户a收取情况.




收邮件成功,很明显用的是outsite这个SMTP虚拟服务器.
因在两个SMTP只有它启用了匿名.
文章到此完毕.那里设置不对还请多多提出,希望对大家有所帮助.


参考文章:
www.5dmail.net
https://www.microsoft.com/technet/prodtechnol/exchange/ZH-CN/Guides/E2k3TransnRouting

gaoqifeng2005

我想问一下,如果在外网用公司的邮件服务器以POP3方式收发邮件会不会有问题

joyp

同问

假如EXCHANGE服务器放在上海,公网IP是 10.1.1.1和192.168.3.4，
在广州有分公司他们是和上海独立的网络需要用这个邮件服务器,以POP3方式建立邮件帐户时
SMTP服务器地址应该用公网IP 10.1.1.1或域名吧,那SMTP协议需要SSL连接又怎么办?
广州的人员如何正常使用这个这个邮件服务器（在OUTLOOK中如何设置）

xiaoke

我做了,碰到了问题.
两张网卡分别对应不同的SMTP.
在对外的卡上我启动了防火墙,只开启SMTP;对内无防火墙;
在内部outlook使用exchang server收发邮件总是连接到对外的哪张网卡地址;(明显是不可以连接的);我修改了DNS,删除了对应的DNS记录,可以等一段时间后又出现,
反复导致客户端连接到对外的哪张网卡而引起无法连接到exchange server的故障;

我想关闭对外网卡的防火墙,但觉得这样做好像就没有什么意义了;问下其他兄弟是怎样配置的

joyp

xiaoke
你内部OUTLOOK是什么方式连接EXCHANGE SERVER的?

POP3的话,你POP3和SMTP服务器地址写成内网IP也会这样?

joyp

钉子兄，回答下我前面的问题吧。。。。。

xiaoke

原帖由 joyp 于 2007-2-2 16:39 发表
xiaoke
你内部OUTLOOK是什么方式连接EXCHANGE SERVER的?

POP3的话,你POP3和SMTP服务器地址写成内网IP也会这样?

肯定是以exchange server的方式由DNS自动连接的啦;
当然用pop3填内部网卡地址是没有问题的了.

问题是用exchange server该如何设置DNS不要有对外哪张卡的dns record?

等待中

swg1970

初学者来看看学习了。

钉子

原帖由 joyp 于 2007-1-31 14:09 发表
同问

假如EXCHANGE服务器放在上海,公网IP是 10.1.1.1和192.168.3.4，
在广州有分公司他们是和上海独立的网络需要用这个邮件服务器,以POP3方式建立邮件帐户时
SMTP服务器地址应该用公网IP 10.1.1.1或域名吧 ...

这个例子中外网用户不需要ssl连接．你如果需要增加ＳＳＬ选项就可以．

钉子

原帖由 xiaoke 于 2007-2-8 18:48 发表



肯定是以exchange server的方式由DNS自动连接的啦;
当然用pop3填内部网卡地址是没有问题的了.

问题是用exchange server该如何设置DNS不要有对外哪张卡的dns record?

等待中

用户使用内部的dns　ip,或是设为主dns,然后在内部建的dns上检查一下有没有dns记录．是否正常．