Microsoft Exchange 2003 中的“解析匿名发件人”功能

旃麒雅

此问题仅影响匿名提交的邮件。 使用 Outlook 通过 Microsoft Outlook Web Access (OWA)、Distributed Authoring Version (DAV) 或 MAPI 提交的邮件都是经身份验证的邮件提交方法，如以下示例所示：

• 经身份验证的发件人：Jane Doe
  
• 匿名发件人：“Jane Doe” <jdoe@fabrikam.com>
  

这种 SMTP 功能类似于 Exchange 2000 中的 ResolveP2 功能。但是，在 Exchange 2003 中，这些注册表设置已被取代。默认情况下，Exchange 2003 保留每个服务器协议会话期间的 SMTP 提交方法（匿名或经身份验证）。　　此外，Internet 边界 SMTP 网关必须接受来自 Internet 邮件流的匿名连接。恶意用户可以通过在网关处将发件人地址伪装成 Active Directory 中的有效用户来伪造邮件。在 Exchange 2003 中，当匿名提交的邮件遍历组织中的邮件服务器时会被跟踪。
　　注意：如果打开“解析匿名电子邮件”选项，则任何用户都可以通过 SMTP 服务器发送匿名邮件，并且呈现给收件人的电子邮件似乎是经身份验证的邮件。

回到顶端跨林身份验证方案
启用跨林身份验证
　　要启用跨林或组织间 SMTP 身份验证，必须在使用其他林中经身份验证的帐户的每个林中创建连接器。这样，经身份验证的用户在两个林之间发送的所有邮件都会解析为全球通讯簿中的相应显示名。这一节说明如何启用跨林身份验证。 在此示例中，有两个分别名为 OrgA 和 OrgB 的林。

• 在 OrgA 林中创建一个具有“代理发送”权限的帐户。（OrgA 林中也有一个针对 OrgB 林中所有用户的联系人；因此，该帐户允许 OrgB 林中的用户发送经身份验证的邮件。）必须在 OrgA 中的、从 OrgB 林接受传入邮件的所有 Exchange 服务器上配置具有“代理发送”权限的新帐户。
  
• 在 OrgB 林中的 Exchange 服务器上，创建一个连接器，该连接器需要使用在 OrgA 林中创建的帐户进行身份验证以发送出站邮件。
  

要建立从 OrgA 林到 OrgB 林的跨林身份验证，请重复这些步骤以在 OrgB 林中创建一个帐户，并在 OrgA 林中创建一个连接器。在目标林中创建一个具有“代理发送”权限的用户帐户
　　在正在连接的林中创建连接器之前，必须在目标林（要连接到的林）中创建一个帐户，并向该帐户授予“代理发送”权限。在位于目标林并将从正在连接的林接受入站连接的所有服务器上配置这些权限。下列过程介绍了如何在 OrgA 林中创建帐户，在 OrgB 林中创建连接器，这使得 OrgB 林中的用户可以用解析后的电子邮件地址将邮件发送到 OrgA 林。
创建用于跨林身份验证的帐户

• 在目标林（OrgA 林）的“Active Directory 用户和计算机”中，创建一个用户帐户。该帐户必须是活动帐户，但不需要以下权限：
  
  
  
  • 本地登录
    
  • 通过终端服务器登录
    
  
  
• 在将从正在连接的林接受传入连接的每个 Exchange 服务器对象上，为该帐户配置“代理发送”权限。　　注意：在创建密码策略时一定要小心谨慎。如果设置过期密码，则确保有一个在密码过期日期之前更改它的策略规则。如果此帐户的密码过期，则跨林身份验证将会失败。
  
  
  
  • 单击“开始”，依次指向“所有程序”、“Microsoft Exchange”，然后单击“系统管理器”。
    
  • 在“系统管理器”控制台树中，展开“服务器”，右键单击将从正在连接的林接受传入连接的 Exchange 服务器，然后单击“属性”。
    
  • 在“ServerName 属性”对话框的“安全”选项卡上，单击“添加”。
    
  • 在“选择用户、计算机或组”中，添加刚创建的帐户，然后单击“确定”。
    
  • 在“安全”选项卡的“组或用户名”下，选择刚创建的帐户。
    
  • 在“权限”下，单击“代理发送”旁边的“允许”复选框。
    
  
  

为跨林身份验证配置连接器并要求进行身份验证

• 单击“开始”，依次指向“所有程序”、“Microsoft Exchange”，然后单击“系统管理器”。
  
• 在控制台树中，右键单击“连接器”，指向“新建”，然后单击“SMTP 连接器”。
  
• 在“常规”选项卡的“名称”框中，键入连接器的名称。
  
• 单击“将通过此连接器的所有邮件转发到下列智能主机”，然后键入接收 Exchange 2003 桥头服务器的完全限定域名或 IP 地址。
  
• 单击“添加”以选择本地桥头服务器和要承载连接器的 SMTP 虚拟服务器。
  
• 在“高级”选项卡上，单击“出站安全”，然后单击“集成 Windows 身份验证”。
  
• 在“出站连接凭据”的“帐户”框、“密码”框和“确认密码”框中，指定帐户和密码。　　注意：所指定的帐户和密码必须满足下列条件：
  
  
  
  • 该帐户位于目标林 (OrgA) 中。
    
  • 该帐户具有“代理发送”权限。
    
  • 该帐户是经身份验证的 OrgA 帐户。
    
  对该帐户名使用以下格式： domain\username在该格式中，domain 是目标林中的域，username 表示目标林中的帐户，该帐户对目标林中将接受来自该连接器的邮件的所有 Exchange 服务器具有“代理发送”权限。