使用Exchange 2003防御地址欺骗

　2008-01-23 00:00:00　来源：WEB开发网　闂傚倸鍊搁崐鎼佸磹閹间礁纾瑰瀣椤愯姤鎱ㄥ鍡楀幊缂傚倹姘ㄩ幉绋款吋閸澀缃曢梻鍌欑濠€閬嶆惞鎼淬劌绐楅柡宥庡亞娑撳秵銇勯弽顐沪闁绘挶鍎甸弻锝夊即閻愭祴鍋撻崷顓涘亾濮樼偓瀚�

闂傚倸鍊搁崐鎼佸磹閹间礁纾瑰瀣捣閻棗銆掑锝呬壕濡ょ姷鍋涢ˇ鐢稿极閹剧粯鍋愰柟缁樺笧閳ь剦鍙冨鍝勑ч崶褏浠奸梺璇茬箲閼归箖鎮鹃悜钘夎摕闁靛濡囬崢鐢告⒑鐟欏嫷鍟忛柛鐘崇墵閵嗗倹绺介崨濠勫幈闁硅壈鎻槐鏇熺墡闂備線娼уú銈団偓姘嵆閻涱噣骞掑Δ鈧粻锝嗙節闂堟稑鏆欏ù婊堢畺閺岋綁濮€閳惰泛婀辨竟鏇熺節濮橆厾鍘甸梺缁樺姦閸撴岸鎮樻潏銊ょ箚闁圭粯甯炴晶娑氱磼缂佹ḿ娲寸€规洖宕灃闁告劕鍟犻崜婵堟崲濞戞ḿ鏆嗗┑鐘辫兌閺佹牜绱撴担浠嬪摵闁圭懓娲ら悾鐑藉箳閹搭厽鍍甸梺鐟板悁閻掞箓鎮楅幖浣光拻濞达絿鍎ら崵鈧梺鎼炲€栭悧鐘荤嵁韫囨稒鏅搁柨鐕傛嫹

婵犵數濮烽弫鍛婃叏閻戣棄鏋侀柛娑橈攻閸欏繑銇勯幘鍗炵仼缂佺媭鍨堕弻娑㈠箛闂堟稒鐏堥悗鐟版啞缁诲啴濡甸崟顖氱閻庨潧鎽滈悾濂告⒑绾拋娼愭繛鑼枎椤繒绱掑Ο鑲╂嚌闂侀€炲苯澧畝锝堝劵椤︽煡鎮￠妶澶嬬厪闁割偅绻冮崑顏呯箾瀹割喕绨婚幆鐔兼⒑鐎圭姵銆冮柤鍐茬埣瀹曟繈鏁冮埀顒勨€旈崘顔嘉ч柛鈩冾殘閻熸劙姊洪悡搴℃毐闁绘牕銈稿畷鐑樼節閸パ冨祮闂侀潧楠忕槐鏇㈠储椤忓牊鈷戦柟鑲╁仜閸旀鏌￠崨顔锯姇缂佸倹甯熼ˇ瀵哥磼鏉堛劌绗氭繛鐓庣箻閸┾剝鎷呴柨瀣垫綗闂傚倷娴囧銊╂倿閿曞倸绠查柛銉墮閺嬩線鏌熼崜褏甯涢柡鍛倐閺屻劑鎮ら崒娑橆伓闂傚倸鍊搁崐鎼佸磹閹间礁纾瑰瀣椤愯姤鎱ㄥ鍡楀幊缂傚倹姘ㄩ幉绋款吋閸澀缃曢梻鍌欑濠€閬嶆惞鎼淬劌绐楅柡宥庡亞娑撳秵銇勯弽顐沪闁绘挶鍎甸弻锝夊即閻愭祴鍋撻崷顓涘亾濮樼偓瀚�　　闂傚倸鍊搁崐鎼佸磹閹间礁纾归柣鎴ｅГ閸ゅ嫰鏌ら崫銉︽毄濞寸姵姘ㄧ槐鎾诲磼濞嗘帒鍘＄紓渚囧櫘閸ㄥ爼濡撮崘顔煎窛闁哄鍨归崢娲倵楠炲灝鍔氭い锔诲灦瀹曪繝骞庨懞銉у帾闂婎偄娲﹀ú鏍ㄧ墡闂備浇顕х€垫帡宕滈悢濂夋綎闁惧繐婀辩壕鍏间繆椤栨碍鎯堟い顐㈢焸濮婅櫣鎷犻懠顒傤唹濠殿喗菧閸旀垿宕洪埀顒併亜閹哄秶顦﹂柛銈庡墴閺屾盯骞樼捄鐑樼€诲銈庡亜缁绘劗鍙呭銈呯箰鐎氼剟鎮楅鐑嗘富闁靛牆妫欑粈鈧梺鐟板暱闁帮絽鐣峰⿰鍕嚤閻庢稒菤閹锋椽姊绘笟鍥т簽闁稿鐩幊鐔碱敍濞戞瑦鐝峰銈嗘煥婢х晫澹曢悡搴唵閻犺櫣灏ㄩ崝鐔虹磼婢跺孩顏犻柍褜鍓氶鏍窗閺嶎厸鈧箓鏌ㄧ€ｂ晝绠氬┑顔界箓閻牆危閻戣姤鈷戠紒瀣儥閸庢劙鏌熼悷鐗堟悙閾荤偤鏌涢幇鈺佸Ψ婵℃彃鐗婄换娑㈠幢濡ゅ啰顔夊┑鐐茬墛閿曘垹顫忕紒妯诲濡炲绨肩憰鍡欑磽閸屾氨袦闁稿鎸荤换娑氣偓娑欋缚閻倝鏌涢幘璺烘灈鐎规洘妞介崺鈧い鎺嶉檷娴滄粓鏌熼悜妯虹仴闁逞屽墮缂嶅﹤顕ｉ幎绛嬫晢闁告洦鍓涢崢閬嶆煟鎼搭垳绉靛ù婊呭厴閻擃剟顢楅崒妤€浜鹃悷娆忓绾惧鏌涘Δ鈧崯鍧楊敋閿濆纾归柣鏇氱劍闉嬮梻鍌欑閹碱偄螞鐎靛摜涓嶉柟鎹愵嚙閽冪喖鏌曟繛鐐珕闁稿妫濋弻娑氫沪閸撗€妲堝銈呴獜閹凤拷

核心提示：垃圾邮件制造者常用的技术是配置电子邮件中的“发件人”一行，以隐藏发件人的身份，使用Exchange 2003防御地址欺骗，虽然 SMTP 不要求验证发件人的身份，但是 Exchange 2003 提供下列功能来帮助尽量减少地址欺骗：默认身份验证设置默认情况下，，对每个邮件执行反向 DNS 查找

垃圾邮件制造者常用的技术是配置电子邮件中的“发件人”一行，以隐藏发件人的身份。虽然 SMTP 不要求验证发件人的身份，但是 Exchange 2003 提供下列功能来帮助尽量减少地址欺骗：

默认身份验证设置

默认情况下，Exchange 2003 不解析发件人的电子邮件地址，除非发件人使用客户端程序(如 Outlook 或 Outlook Web Access)来通过 Exchange 服务器的身份验证。当 Exchange 收到来自已通过身份验证的客户端的邮件时，将验证发件人的姓名是否出现在全局地址列表 (GAL) 中，如果是，将在邮件中解析用户的显示名(在“发件人”一行)。如果未经过身份验证就提交原始邮件，Exchange 2003 会在起点就将该邮件标记为未经过身份验证，然后将该信息从一台服务器传输到另一台服务器。在这种情况下，发件人的地址不解析为 GAL 显示名(如 Ted Bremer)，而是以 SMTP 的格式显示给收件人(如 ted@contoso.com)。应提醒用户警惕这样一类邮件：这些邮件声称来自组织中的其他用户，但并未解析为 GAL 显示名。

但是，Exchange 2000 不解析匿名提交的邮件。为此，如果要从 Exchange 2000 升级，建议您在升级邮箱和其他 Exchange 服务器之前，先将网关服务器升级到 Exchange 2003.此外，如果要阻止 Exchange 2000 服务器解析匿名邮件，可以执行下列操作。

阻止 Exchange 2000 解析匿名电子邮件

警告注册表编辑不当可能导致严重的问题，甚至可能需要重新安装操作系统。因注册表编辑不当而导致的问题可能没有办法解决。在编辑注册表之前，请备份所有重要数据。

1. 启动注册表编辑器 (regedit)。

2. 导航到注册表中的下列项，或者在注册表中创建这样一项(其中一个 1 表示 SMTP 虚拟服务器编号)：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/

MsExchangeTransport/Parameters/1

注意可能需要同时创建 Parameters 项和 1 项。

在“编辑”菜单上，单击“添加值”，然后添加下列注册表值：

Value name： ResolveP2

Data type： REG_DWORD

使用下列标志来确定要使用的值：

Field Value

----------- -----

FROM： 2

TO： and CC： 16

REPLY TO： 32

要确定应使用的值，请针对要解析的所有元素添加相应的值。例如，要解析除发件人以外的所有字段，请键入 48 (16+32=48)。要仅解析收件人，应只键入 16.默认情况下，Exchange 2000 解析所有字段(可以通过删除该注册表项或者使用公式 2+16+32=50 设置该值来指定此行为)。

退出注册表编辑器。

重新启动 SMTP 虚拟服务器。

在选择要启用此设置的服务器时应小心。如果在默认 SMTP 虚拟服务器上更改此行为，并且组织中存在多个服务器，那么来自其他 Exchange 2000 服务器的所有内部邮件也会受影响。因此，由于 Exchange 2000 使用 SMTP 在服务器之间路由内部邮件，您可能要创建新的 SMTP 虚拟服务器，或者仅在传入方向上的 SMTP 桥头服务器上应用此设置。

跨目录林身份验证设置

如果组织包含多个目录林，那么可以在 SMTP 桥头服务器要求身份验证的目录林之间配置信任关系。

注意工作流应用程序可以匿名提交邮件;因此，在组织中配置身份验证之前，应确保评估工作流应用程序的需求。

匿名访问设置

尽管 Exchange 2003 使客户端用户能够识别带有欺骗性的邮件，但仍应在所有内部 Exchange 服务器上关闭匿名 SMTP 访问功能。关闭匿名访问功能有助于确保只有已通过身份验证的用户能够在组织内部提交邮件。此外，要求身份验证会迫使使用 RPC over HTTP 的客户端程序(如 Outlook Express 和 Outlook)在发送邮件之前先通过身份验证。

反向域名系统查找

如果您直接从 Internet 上的其他域接收邮件，可以配置 SMTP 虚拟服务器对传入的电子邮件执行反向域名系统 (DNS) 查找。这样可以验证发件人邮件服务器的 Internet 协议 (IP) 地址和完全限定域名 (FQDN) 是否与邮件中列出的域名一致。但是，应考虑到 DNS 查找存在下列限制：

。发件人的 IP 地址可能不存在于反向 DNS 查找记录中，或者，发送方服务器可能对于同一个 IP 有多个名称，并且不是所有的这些名称都存在于反向 DNS 查找记录中。

。反向 DNS 查找加重了 Exchange 服务器的负担。

。反向 DNS 查找要求 Exchange 服务器能够与发送域的反向查找区域联系。

。对每个邮件执行反向 DNS 查找可能导致延迟增加，从而使性能大幅度下降。