使用Exchange 2003防御地址欺骗

　　默认身份验证配置 bitsCN.nET中国网管博客

　　默认情况下，Exchange 2003 不解析发件人的电子邮件地址，除非发件人使用客户端程式（如 Outlook 或 Outlook Web Access）来通过 Exchange 服务器的身份验证。当 Exchange 收到来自已通过身份验证的客户端的邮件时，将验证发件人的姓名是否出现在全局地址列表 （GAL） 中，假如是，将在邮件中解析用户的显示名（在“发件人”一行）。假如未经过身份验证就提交原始邮件，Exchange 2003 会在起点就将该邮件标记为未经过身份验证，然后将该信息从一台服务器传输到另一台服务器。在这种情况下，发件人的地址不解析为 GAL 显示名（如 Ted Bremer），而是以 SMTP 的格式显示给收件人（如 ted@contoso.com）。应提醒用户警惕这样一类邮件：这些邮件声称来自组织中的其他用户，但并未解析为 GAL 显示名。

中国网管论坛

　　但是，Exchange 2000 不解析匿名提交的邮件。为此，假如要从 Exchange 2000 升级，建议您在升级邮箱和其他 Exchange 服务器之前，先将网关服务器升级到 Exchange 2003.此外，假如要阻止 Exchange 2000 服务器解析匿名邮件，能够执行下列操作。

　　阻止 Exchange 2000 解析匿名电子邮件

　　警告 注册表编辑不当可能导致严重的问题，甚至可能需要重新安装操作系统。因注册表编辑不当而导致的问题可能没有办法解决。在编辑注册表之前，请备份任何重要数据。 www_bitscn_com

　　1. 启动注册表编辑器 （regedit）。 www_bitscn_com

　　2. 导航到注册表中的下列项，或在注册表中创建这样一项（其中一个 1 表示 SMTP 虚拟服务器编号）： 中国.网管联盟

　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ bitsCN_com

　　MsExchangeTransport/Parameters/1 bitsCN.Com

　　注意 可能需要同时创建 Parameters 项和 1 项。

bitscn.com

　　在“编辑”菜单上，单击“添加值”，然后添加下列注册表值： www.bitsCN.com

　　Value name： ResolveP2 www_bitscn_com

　　Data type： REG_DWORD BBS.bitsCN.com网管论坛

　　使用下列标志来确定要使用的值：

bitscn.com

　　Field Value bbs.bitsCN.com

　　----------- ----- bitsCN_com

　　FROM： 2

bbs.bitsCN.com

　　TO： and CC： 16 bbs.bitsCN.com

　　REPLY TO： 32

bbs.bitsCN.com

　　要确定应使用的值，请针对要解析的任何元素添加相应的值。例如，要解析除发件人以外的任何字段，请键入 48 （16 32=48）。要仅解析收件人，应只键入 16.默认情况下，Exchange 2000 解析任何字段（能够通过删除该注册表项或使用公式 2 16 32=50 配置该值来指定此行为）。 bitsCN.Com

　　退出注册表编辑器。

www_bitscn_com

　　重新启动 SMTP 虚拟服务器。

　　在选择要启用此配置的服务器时应小心。假如在默认 SMTP 虚拟服务器上更改此行为，并且组织中存在多个服务器，那么来自其他 Exchange 2000 服务器的任何内部邮件也会受影响。因此，由于 Exchange 2000 使用 SMTP 在服务器之间路由内部邮件，您可能要创建新的 SMTP 虚拟服务器，或仅在传入方向上的 SMTP 桥头服务器上应用此配置。

bitsCN.Com

　　跨目录林身份验证配置 中国_网管联盟

　　假如组织包含多个目录林，那么能够在 SMTP 桥头服务器需要身份验证的目录林之间配置信任关系。

中国网管论坛

　　注意 工作流应用程式能够匿名提交邮件；因此，在组织中配置身份验证之前，应确保评估工作流应用程式的需求。

bitsCN.nET中国网管博客

　　匿名访问配置

　　尽管 Exchange 2003 使客户端用户能够识别带有欺骗性的邮件，但仍应在任何内部 Exchange 服务器上关闭匿名 SMTP 访问功能。关闭匿名访问功能有助于确保只有已通过身份验证的用户能够在组织内部提交邮件。此外，需要身份验证会迫使使用 RPC over HTTP 的客户端程式（如 Outlook Express 和 Outlook）在发送邮件之前先通过身份验证。 BBS.bitsCN.com网管论坛

　　反向域名系统查找

中国_网管联盟

　　假如您直接从 Internet 上的其他域接收邮件，能够配置 SMTP 虚拟服务器对传入的电子邮件执行反向域名系统 （DNS） 查找。这样能够验证发件人邮件服务器的 Internet 协议 （IP） 地址和完全限定域名 （FQDN） 是否和邮件中列出的域名一致。但是，应考虑到 DNS 查找存在下列限制：

bitsCN.nET中国网管博客

　　。 发件人的 IP 地址可能不存在于反向 DNS 查找记录中，或，发送方服务器可能对于同一个 IP 有多个名称，并且不是任何的这些名称都存在于反向 DNS 查找记录中。

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!