使用Exchange 2003防備地址欺騙

垃圾郵件制造者常用的技術(shù)是配置電子郵件中的“發(fā)件人”一行，以隱藏發(fā)件人的身份。雖然 SMTP 不要求驗證發(fā)件人的身份，但是 Exchange 2003 提供下列功 

能來幫助盡量減少地址欺騙：

    默認身份驗證設(shè)置

    默認情況下，Exchange 2003 不解析發(fā)件人的電子郵件地址，除非發(fā)件人使用客戶端程序（如 Outlook 或 Outlook Web Access）來通過 Exchange 服務(wù)器的身份驗證。當 Exchange 收到來自已通過身份驗證的客戶端的郵件時，將驗證發(fā)件人的姓名是否出現(xiàn)在全局地址列表 (GAL) 中，如果是，將在郵件中解析用戶的顯示名（在“發(fā)件人”一行）。如果未經(jīng)過身份驗證就提交原始郵件，Exchange 2003 會在起點就將該郵件標記為未經(jīng)過身份驗證，然后將該信息從一臺服務(wù)器傳輸?shù)搅硪慌_服務(wù)器。在這種情況下，發(fā)件人的地址不解析為 GAL 顯示名（如 Ted Bremer），而是以 SMTP 的格式顯示給收件人（如 ted@contoso.com）。應(yīng)提醒用戶警惕這樣一類郵件：這些郵件聲稱來自組織中的其他用戶，但并未解析為 GAL 顯示名。

    但是，Exchange 2000 不解析匿名提交的郵件。為此，如果要從 Exchange 2000 升級，建議您在升級郵箱和其他 Exchange 服務(wù)器之前，先將網(wǎng)關(guān)服務(wù)器升級到 Exchange 2003。此外，如果要阻止 Exchange 2000 服務(wù)器解析匿名郵件，可以執(zhí)行下列操作。

    阻止 Exchange 2000 解析匿名電子郵件

    警告 注冊表編輯不當可能導(dǎo)致嚴重的問題，甚至可能需要重新安裝操作系統(tǒng)。因注冊表編輯不當而導(dǎo)致的問題可能沒有辦法解決。在編輯注冊表之前，請備份所有重要數(shù)據(jù)。

    1. 啟動注冊表編輯器 (regedit)。

　　了解更多：http://www.xiaobaixitong.com/

    2. 導(dǎo)航到注冊表中的下列項，或者在注冊表中創(chuàng)建這樣一項（其中一個 1 表示 SMTP 虛擬服務(wù)器編號）：

    HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/

    MsExchangeTransport/Parameters/1

    注意 可能需要同時創(chuàng)建 Parameters 項和 1 項。

    在“編輯”菜單上，單擊“添加值”，然后添加下列注冊表值：

    Value name: ResolveP2

    Data type: REG_DWORD

    使用下列標志來確定要使用的值：

    Field Value

    ----------- -----

    FROM: 2

    TO: and CC: 16

    REPLY TO: 32

    要確定應(yīng)使用的值，請針對要解析的所有元素添加相應(yīng)的值。例如，要解析除發(fā)件人以外的所有字段，請鍵入 48 (16+32=48)。要僅解析收件人，應(yīng)只鍵入 16。默認情況下，Exchange 2000 解析所有字段（可以通過刪除該注冊表項或者使用公式 2+16+32=50 設(shè)置該值來指定此行為）。

    退出注冊表編輯器。

    重新啟動 SMTP 虛擬服務(wù)器。

    在選擇要啟用此設(shè)置的服務(wù)器時應(yīng)小心。如果在默認 SMTP 虛擬服務(wù)器上更改此行為，并且組織中存在多個服務(wù)器，那么來自其他 Exchange 2000 服務(wù)器的所有內(nèi)部郵件也會受影響。因此，由于 Exchange 2000 使用 SMTP 在服務(wù)器之間路由內(nèi)部郵件，您可能要創(chuàng)建新的 SMTP 虛擬服務(wù)器，或者僅在傳入方向上的 SMTP 橋頭服務(wù)器上應(yīng)用此設(shè)置。

    跨目錄林身份驗證設(shè)置

    如果組織包含多個目錄林，那么可以在 SMTP 橋頭服務(wù)器要求身份驗證的目錄林之間配置信任關(guān)系。

    注意 工作流應(yīng)用程序可以匿名提交郵件；因此，在組織中配置身份驗證之前，應(yīng)確保評估工作流應(yīng)用程序的需求。

    有關(guān)如何配置跨目錄林身份驗證的信息，請參閱《Exchange Server 2003 新增功能》一書中的“傳輸和郵件流功能”(http://go.microsoft.com/fwlink/?LinkId=24402)。

    匿名訪問設(shè)置

    盡管 Exchange 2003 使客戶端用戶能夠識別帶有欺騙性的郵件，但仍應(yīng)在所有內(nèi)部 Exchange 服務(wù)器上關(guān)閉匿名 SMTP 訪問功能。關(guān)閉匿名訪問功能有助于確保只有已通過身份驗證的用戶能夠在組織內(nèi)部提交郵件。此外，要求身份驗證會迫使使用 RPC over HTTP 的客戶端程序（如 Outlook Express 和 Outlook）在發(fā)送郵件之前先通過身份驗證。

    反向域名系統(tǒng)查找

    如果您直接從 Internet 上的其他域接收郵件，可以配置 SMTP 虛擬服務(wù)器對傳入的電子郵件執(zhí)行反向域名系統(tǒng) (DNS) 查找