exchange 2000阻止relay的方法

panjianm

　　第一步，在你的Exchange   服务器上，安装两块网卡；
　　第二步，设置网卡。一块网卡是接收内部用户SMTP请求的，称为内部NIC，一块网卡是接收外部用户SMTP请求的，称为外部NIC。每块网卡，各绑定一个固定IP（两块网卡均为内部虚拟IP即可，不必是一个外部IP，一个内部IP。因为我的内部网络是处于ISA   server之后的，所以只能是两个内部虚拟IP）
　　第三步，设置Exchange   服务，让它区分内外网卡。因为我是利用ISA   server发布Exchange服务器，包括POP3、SMTP、IMAP4、NNTP等等，所以，我把除SMTP以外的服务，均绑定到外部NIC的IP上。
　　第四步，建立两个虚拟SMTP   服务器，一个绑定到外部NIC的IP地址，简称为SMTP1；一个绑定到内部NIC的IP地址，简称为SMTP2。SMTP1（绑定到外部NIC的虚拟SMTP服务器），启用三种认证方式（匿名、基本和集成），但不启用Relay（也就是在Relay中选择“Only   the   list   below”，但不加入任何列表。下面的“All   computers...”也不选），并且不启用外部DNS服务器；SMTP2（绑定到内部NIC的虚拟SMTP服务器），只启用基本和集成两种认证方式，然后启用Relay，并且启用外部DNS服务器（方法是到Delivery   -->   Advanced   -->   Configure当中，选择外部的DNS服务器）。
　　第五步，建立一个SMTP   Connector，连接到SMTP2（也就是绑定到内部NIC的虚拟SMTP服务器），然后进行必要的设置（一般是增加一个Address   space，也就是添加一个SMTP空间*，并且建议按照以前的介绍，设置Delivery   Restrictions，选择   By   default,   messages   from   everyone   are   rejected，然后将所有合法的用户，添加到后面的允许列表中。这样也是为了增加安全性。）
　　好了，现在可以到ISA   server中，发布你的Exchange   服务器了。注意发布的时候，内网IP要选择   Exchange服务器上的那个外部NIC的IP地址，而千万不要指到那个内部NIC的IP上去，否则上面的辛苦工作，等于白费。
　　让我们来大致看一下邮件的流程：
　　来自外网的邮件，是由SMTP1来监听的（因为它绑定到了外部NIC的IP上）。如果是发给内网用户的，那么它查询AD，然后将邮件送达；如果不是发给内网用户，而是企图利用   Exchange的SMTP服务，进行转发，那么对不起，SMTP1上不启用Relay服务，无法转发。再说，它也没有启用外部的DNS服务器，根本无法解析外网的域名。
　　来自内网用户的邮件，是由SMTP2来监听的（因为它绑定到了内部NIC的IP上）。如果是发给内网用户自己的，那么仍然是直接查询AD，然后将邮件送达；如果是发到外网的，那么SMTP2启用了外网DNS服务器，所以可以顺利的解析到外网域名，然后通过连接到SMTP2的SMTP   Connector，将邮件Relay到外网。
　　那么，你的合法用户，如何使用呢？
　　如果用户在内部网络中使用，那么他可以使用   outlook   express或者Foxmail等POP3邮件程序，进行收发邮件（注意POP3服务器要设置为外部NIC的IP，SMTP服务器要设置为内部NIC的IP，分别对应Exchange   服务器的设置）；
　　如果用户是在外网中使用，那么他只能使用   outlook   express或者Foxmail等POP3邮件程序，进行邮件的接收，但不能用它们发送邮件。原因很简单，监听外网SMTP请求的那个虚拟SMTP服务器SMTP1，不支持Relay。不过，这时候就可以请出著名的OWA了。用户可以利用浏览器，通过OWA的方式，发送邮件。
　　另外，如果你不是通过ISA   Server发布Exchange服务器，而是直接将Exchange服务器发布在Internet上，那么原理是相同的，只是具体的设置有些细微的不同，请自己体会和调整。
　　以上就是我的一点粗浅认识，如果能对大家有所帮助，不胜高兴。
　　用的方法是创建一个新的virtual   smtp   server,指定一个端口(如:6688),允许relay，但关闭匿名访问；另一个default   smtp   server用默认的25端口，但关闭relay。这样的话客户端发邮件时smtp的端口指向virtual   smtp   server指定的端口(6688)   并加smtp发信认证，同时收邮件时pop3配置取默认设置。
　　我不知道你说的两个外网的IP，分别解析为POP3和SMTP是什么意思。是不是说，一个解析为pop3.xxx.com，一个解析为smtp.xxx.com？因为Exchange的服务是绑定到IP的，所以解析为什么域名并不重要。反而是你的用户，需要在客户端进行设置，以便正确的连接到Exchange的服务器上。
　　Exchange中，POP3服务器和SMTP服务器是分开的，那么你可以将虚拟POP3服务器，绑定到你的解析为pop3域名的IP上，然后建立两个虚拟SMTP服务器，一个绑定到解析为SMTP域名的外网IP上（比如命名为SMTP1），一个绑定到你的内网IP上（比如命名为SMTP2）。然后，按照我上面的进行设置。不过，这个样子就会造成你外网的用户只能用OWA发邮件，不能用outlook   express或者foxmail发邮件。内网是没有问题的。
　　请你自行尝试（因为我也没碰到过你的这种情况   ^-^）另外，你可以尝试iamhyl提供的方法，好像更适合你的情况。