使用Exchange 2003防御地址欺騙

垃圾郵件制造者常用的技術是配置電子郵件中的“發件人”一行，以隱藏發件人的身份。雖然 SMTP 不要求驗證發件人的身份，但是 Exchange 2003 提供下列功能來幫助盡量減少地址欺騙：

默認身份驗證設置

默認情況下，Exchange 2003 不解析發件人的電子郵件地址，除非發件人使用客戶端程序（如 Outlook 或 Outlook Web Aclearcase/" target="_blank" >ccess）來通過 Exchange 服務器的身份驗證。當 Exchange 收到來自已通過身份驗證的客戶端的郵件時，將驗證發件人的姓名是否出現在全局地址列表 (GAL) 中，如果是，將在郵件中解析用戶的顯示名（在“發件人”一行）。如果未經過身份驗證就提交原始郵件，Exchange 2003 會在起點就將該郵件標記為未經過身份驗證，然后將該信息從一臺服務器傳輸到另一臺服務器。在這種情況下，發件人的地址不解析為 GAL 顯示名（如 Ted Bremer），而是以 SMTP 的格式顯示給收件人（如 ted@contoso.com）。應提醒用戶警惕這樣一類郵件：這些郵件聲稱來自組織中的其他用戶，但并未解析為 GAL 顯示名。

但是，Exchange 2000 不解析匿名提交的郵件。為此，如果要從 Exchange 2000 升級，建議您在升級郵箱和其他 Exchange 服務器之前，先將網關服務器升級到 Exchange 2003。此外，如果要阻止 Exchange 2000 服務器解析匿名郵件，可以執行下列操作。

阻止 Exchange 2000 解析匿名電子郵件

警告 注冊表編輯不當可能導致嚴重的問題，甚至可能需要重新安裝操作系統。因注冊表編輯不當而導致的問題可能沒有辦法解決。在編輯注冊表之前，請備份所有重要數據。

1. 啟動注冊表編輯器 (regedit)。

2. 導航到注冊表中的下列項，或者在注冊表中創建這樣一項（其中一個 1 表示 SMTP 虛擬服務器編號）：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/

MsExchangeTransport/Parameters/1

注意 可能需要同時創建 Parameters 項和 1 項。

在“編輯”菜單上，單擊“添加值”，然后添加下列注冊表值：

Value name: ResolveP2

Data type: REG_DWORD

使用下列標志來確定要使用的值：

Field Value

----------- -----

FROM: 2

TO: and CC: 16

REPLY TO: 32

要確定應使用的值，請針對要解析的所有元素添加相應的值。例如，要解析除發件人以外的所有字段，請鍵入 48 (16+32=48)。要僅解析收件人，應只鍵入 16。默認情況下，Exchange 2000 解析所有字段（可以通過刪除該注冊表項或者使用公式 2+16+32=50 設置該值來指定此行為）。

退出注冊表編輯器。

重新啟動 SMTP 虛擬服務器。

在選擇要啟用此設置的服務器時應小心。如果在默認 SMTP 虛擬服務器上更改此行為，并且組織中存在多個服務器，那么來自其他 Exchange 2000 服務器的所有內部郵件也會受影響。因此，由于 Exchange 2000 使用 SMTP 在服務器之間路由內部郵件，您可能要創建新的 SMTP 虛擬服務器，或者僅在傳入方向上的 SMTP 橋頭服務器上應用此設置。

跨目錄林身份驗證設置

如果組織包含多個目錄林，那么可以在 SMTP 橋頭服務器要求身份驗證的目錄林之間配置信任關系。

注意 工作流應用程序可以匿名提交郵件；因此，在組織中配置身份驗證之前，應確保評估工作流應用程序的需求。

有關如何配置跨目錄林身份驗證的信息，請參閱《Exchange Server 2003 新增功能》一書中的“傳輸和郵件流功能”(http://go.microsoft.com/fwlink/?LinkId=24402)。

匿名訪問設置

盡管 Exchange 2003 使客戶端用戶能夠識別帶有欺騙性的郵件，但仍應在所有內部 Exchange 服務器上關閉匿名 SMTP 訪問功能。關閉匿名訪問功能有助于確保只有已通過身份驗證的用戶能夠在組織內部提交郵件。此外，要求身份驗證會迫使使用 RPC over HTTP 的客戶端程序（如 Outlook Express 和 Outlook）在發送郵件之前先通過身份驗證。

反向域名系統查找

如果您直接從 Internet 上的其他域接收郵件，可以配置 SMTP 虛擬服務器對傳入的電子郵件執行反向域名系統 (DNS) 查找。這樣可以驗證發件人郵件服務器的 Internet 協議 (IP) 地址和完全限定域名 (FQDN) 是否與郵件中列出的域名一致。但是，應考慮到 DNS 查找存在下列限制：

· 發件人的 IP 地址可能不存在于反向 DNS 查找記錄中，或者，發送方服務器可能對于同一個 IP 有多個名稱，并且不是所有的這些名稱都存在于反向 DNS 查找記錄中。

· 反向 DNS 查找加重了 Exchange 服務器的負擔。

· 反向 DNS 查找要求 Exchange 服務器能夠與發送域的反向查找區域聯系。

· 對每個郵件執行反向 DNS 查找可能導致延遲增加，從而使性能大幅度下降。

注意 有關使用反向 DNS 查找的詳細信息，請參閱 Microsoft 知識庫文章 319356“HOW TO: Prevent Unsolicited Commercial E-Mail in Exchange 2000 Server”(http://go.microsoft.com/fwlink/?linkid=3052&kbid=319356)（英文）。