使用Exchange 2003防御地址欺骗 - Exchange - - Mail服务器 - 51CTO技术论坛

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» Mail服务器 » Exchange » 使用Exchange 2003防御地址欺骗 [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

石头

技术员

帖子 132
精华 0
无忧币 710
积分 604
阅读权限 30

注册日期 2006-5-26

最后登录 2008-7-18

离线

[查看资料] [发短消息] [Blog]

发表于:2006-8-2 22:02　　标题：使用Exchange 2003防御地址欺骗
＜上一帖 | 下一帖＞

垃圾邮件制造者常用的技术是配置电子邮件中的“发件人”一行，以隐藏发件人的身份。虽然SMTP不要求验证发件人的身份，但是Exchange2003提供下列功能来帮助尽量减少地址欺骗：默认身份验证设置默认情况下，Exchange2003不解析发件人的电子邮件地址，除非发件人使

用客户端程序（如Outlook或OutlookWebAccess）来通过Exchange服务器

的身份验证。当Exchange收到来自已通过身份验证的客户端的邮件时，将验证

发件人的姓名是否出现在全局地址列表(GAL)中，如果是，将在邮件中解析用

户的显示名（在“发件人”一行）。如果未经过身份验证就提交原始邮件，Exch

ange2003会在起点就将该邮件标记为未经过身份验证，然后将该信息从一台服

务器传输到另一台服务器。在这种情况下，发件人的地址不解析为GAL显示名

（如TedBremer），而是以SMTP的格式显示给收件人（如ted@contoso.com

）。应提醒用户警惕这样一类邮件：这些邮件声称来自组织中的其他用户，但并

未解析为GAL显示名。

　　但是，Exchange2000不解析匿名提交的邮件。为此，如果要从Exchange

2000升级，建议您在升级邮箱和其他Exchange服务器之前，先将网关服务器

升级到Exchange2003。此外，如果要阻止Exchange2000服务器解析匿名邮

件，可以执行下列操作。

阻止Exchange2000解析匿名电子邮件

　　警告注册表编辑不当可能导致严重的问题，甚至可能需要重新安装操作系

统。因注册表编辑不当而导致的问题可能没有办法解决。在编辑注册表之前，请

备份所有重要数据。

　　1.启动注册表编辑器(regedit)。

　　2.导航到注册表中的下列项，或者在注册表中创建这样一项（其中一个1

表示SMTP虚拟服务器编号）：

　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/
　　MsExchangeTransport/Parameters/1

　　注意可能需要同时创建Parameters项和1项。

　　在“编辑”菜单上，单击“添加值”，然后添加下列注册表值：

　　Valuename:ResolveP2

　　Datatype:REG_DWORD

　　使用下列标志来确定要使用的值：

　　FieldValue

　　----------------

　　FROM:2

　　TO:andCC:16

　　REPLYTO:32

　　要确定应使用的值，请针对要解析的所有元素添加相应的值。例如，要解析

除发件人以外的所有字段，请键入48(16+32=48)。要仅解析收件人，应只键入

16。默认情况下，Exchange2000解析所有字段（可以通过删除该注册表项或者

使用公式2+16+32=50设置该值来指定此行为）。

　　退出注册表编辑器。

　　重新启动SMTP虚拟服务器。

　　在选择要启用此设置的服务器时应小心。如果在默认SMTP虚拟服务器上更

改此行为，并且组织中存在多个服务器，那么来自其他Exchange2000服务器

的所有内部邮件也会受影响。因此，由于Exchange2000使用SMTP在服务器

之间路由内部邮件，您可能要创建新的SMTP虚拟服务器，或者仅在传入方向上

的SMTP桥头服务器上应用此设置。

跨目录林身份验证设置

　　如果组织包含多个目录林，那么可以在SMTP桥头服务器要求身份验证的目

录林之间配置信任关系。

　　注意工作流应用程序可以匿名提交邮件；因此，在组织中配置身份验证之

前，应确保评估工作流应用程序的需求。

　　有关如何配置跨目录林身份验证的信息，请参阅《ExchangeServer2003

新增功能》一书中的“传输和邮件流功能”(http://go.microsoft.com/fwlink/

?LinkId=24402)。

匿名访问设置

　　尽管Exchange2003使客户端用户能够识别带有欺骗性的邮件，但仍应在

所有内部Exchange服务器上关闭匿名SMTP访问功能。关闭匿名访问功能有助

于确保只有已通过身份验证的用户能够在组织内部提交邮件。此外，要求身份验

证会迫使使用RPCoverHTTP的客户端程序（如OutlookExpress和Outlook

）在发送邮件之前先通过身份验证。

反向域名系统查找

　　如果您直接从Internet上的其他域接收邮件，可以配置SMTP虚拟服务器

对传入的电子邮件执行反向域名系统(DNS)查找。这样可以验证发件人邮件服

务器的Internet协议(IP)地址和完全限定域名(FQDN)是否与邮件中列出的

域名一致。但是，应考虑到DNS查找存在下列限制：

发件人的IP地址可能不存在于反向DNS查找记录中，或者，发送方服务器可
能对于同一个IP有多个名称，并且不是所有的这些名称都存在于反向DNS查

找记录中。
反向DNS查找加重了Exchange服务器的负担。
反向DNS查找要求Exchange服务器能够与发送域的反向查找区域联系。
对每个邮件执行反向DNS查找可能导致延迟增加，从而使性能大幅度下降

2006-8-2 22:02

1楼

[ 顶部 ]

C#→SQL

新新人类

帖子 3
精华 0
无忧币 34
积分 24
阅读权限 20

注册日期 2006-8-8

最后登录 2006-8-8

离线

[查看资料] [发短消息] [Blog]