限制用戶從Internet收發郵件

   在你的系統管理員的工作中，可能需要阻止郵箱用戶通過Inte.net收發郵件, 以下這篇文章的描述將幫助你達成這個任務。  
限制用戶將郵件發送到Internet
    為了限制用戶發送郵件到Internet，我們需要創建一個SMTP Connector（ 連接器），因為你不能在SMTP Virtual Server上設置這種限制。
    1、在Activery Directory Users and Computers管理程序里，創建一個郵件支持組，給一個有意義的組名，我們就取組名叫 No Intenert Mail 吧。
    2、將不許發送郵件到Internet的用戶增加到這個剛創建的組。
現在我們需要創建一個SMTP Connector（ 連接器）。
    1、打開 Exchange System Manager （ESM），定位到Connectors。

2、右擊Connectors，選擇 新建->SMTP Connector，在彈出來的屬性對話框中的General選項卡中，寫上新建的SMTP Connector的名稱，在本例我們就寫 Default SMTP Connector。

3、我們現在把新建的SMTP Connector 和SMTP Virtual Server關聯起來，在General選項卡的Local bridgeheads（本地橋頭服務器）中按"Add..."按鈕，在展現出來的SMTP Virtual Server列表里選擇本地的SMTP Virtual Server，增加到本地橋頭服務器列表。

、下一步是設置新建SMTP Connector的Address Space地址空間，這Address Space就是SMTP Connector發送郵件能到達位置的列表，選擇Address Space選項卡，按"Add..."按鈕，在彈出的“Add Address Space”選擇框中選擇SMTP。

5、接下來的“Internet Address Space Properties”對話框中，E-mail Domain的值保留為"*"，這確保SMTP Connector能發送郵件到任何SMTP域。

 我們現在來限制已經建立的 No Intenert Mail 組不能發送郵件到Internet。
6、選擇Delivery Restrictions選項卡，增加 No Intenert Mail 組到Reject messages from列表，如下圖所示：

7、點擊確定退出Default SMTP Connector屬性框。
如此設置后，當在No Intenert Mail 組里的某個用戶試圖發送郵件到Internet時，將反饋如下信息：
Your message did not reach some or all of the intended recipients.[/center]
Subject:
Sent:    18/10/2003 10:29 PM
The following recipient(s) could not be reached:
@#test@yupai.net@# on 18/10/2003 10:29 PM
You do not have permission to send to this recipient.  For assistance, 

contact your system administrator.

所以，如果我們要限制某個用戶發送郵件到Internet，只需要把該用戶放到No Intenert Mail 組里即可。
現在我們來看看怎樣限制用戶從Internet接收郵件，這種限制的設定比限制用戶將郵件發送到Internet的設定要復雜些。 
我們將繼續以已創建的No Intenert Mail 組來操作。
 
為了阻止用戶接收來自Internet的郵件，需要給用戶一個虛假的SMTP地址，這樣，經由SMTP發來的郵件不知道將把它發到什么郵箱，郵件將被返回給發送者。
我們對此設定有兩個方法，一、手工具體定制某個用戶的SMTP地址，二、用收件人策略來應用SMTP地址，我們在本例用第二個方法來設定。
 
當你創建一個基于組成員的收件人策略時，收件人策略篩選器要求寫入組成員的Distinguished Name(DN)屬性值。所以我們首先要知道組成員 No Intenert Mail 的DN屬性值。
我們可以使用ADSIEDIT工具來獲的組成員 No Intenert Mail 的DN，ADSIEDIT工具是Windows 2000 支持工具集里的其中一個工具，能在Windows 2000 安裝CD盤的SUPPORT\TOOLS目錄里找到。
 
注意：請小心使用 ADSIEDIT ，稍有不慎，將會帶來嚴重的災難。
    1、 打開ADSIEDIT。
    2、找到  No Intenert Mail 所在的組織單元，在本例中，它是在Users單元里，如下圖所示：

圖片如下：

3、在右邊的列表中找到 CN=No Intenert Mail 的組，右擊選擇屬性。
    4、在屬性框，從Select a property to view下拉列表中選擇distinguishedName，在value(s)字段顯示的就是組成員No Intenert Mail 的DN屬性值。
    5、記下value(s)字段顯示的No Intenert Mail 的DN值。
    6、關閉ADSIEDIT
 
現在，我們準備創建基于組成員的接收人策略，這個策略將提供虛假的SMTP地址給No Intenert Mail 組里的所有用戶。 
    1、打開Exchange System Manager(ESM)。
    2、找到Recipient -〉Recipient Policy。

3、選中Recipient Policies ，右擊選擇新建-〉 Recipient Policy...
    4、在New Policy對話框里僅選擇E-Mail Addresses復選框。
    5、命名你的策略名，在本例我們命名為 No Intenert Mail policy。
    6、現在來指定篩選條件，要僅應用策略給屬于No Intenert Mail 組的用戶成員，我們點擊“Modify”按鈕做以下操作：
    7、在彈出的“查找Exchange Recipients”對話框的General選項卡里，清除所有的復選框，除了Users with Exchange Mailboxes保持選擇。

 8、選擇“高級”選項卡，點擊“字段”按鈕，選擇用戶-〉組成員。
    此主題相關圖片如下：

9、在“條件”下拉列表，選擇為（完全一致） 。
    10、在“值”字段里，填寫之前通過ADSIEDIT獲得的No Intenert Mail 組的DN，點擊“添加”按鈕。

  此主題相關圖片如下：

 11、你可以點擊“開始查找”按鈕去測試是否正確顯示
組里的用戶成員，如果每件事都OK了，點擊“確定”退出“查找Exchange Recipients”對話框。
    12、返回到No Intenert Mail policy屬性框，選擇E-Mail Addresses (Policy)選項卡。
    13、點擊“New...”，在提供的列表里選擇SMTP Address。
    14、在SMTP Address Properties對話框里的Address字段，輸入包括@符號、帶虛假域名的郵件地址后綴。在本例我們輸入：@fakedomain.local

15、點擊確定接受新的SMTP地址，返回E-Mail Addresses (Policy)選項卡。
    16、在Generation rules列表中選擇剛建的虛假SMTP地址，然后點擊“Set as Primary”按鈕，這虛假SMTP地址將以粗體字顯示。
    17、選擇剩下的其他SMTP地址，點擊“Remove”按鈕移除它們。
    注意：不要移除 X.400 地址。

18、點擊確定退出Recipient Policy框，你將被提示應用這個新建的策略，點擊是。
我建議你現在強制應用新建的收件人策略，右擊新建的策略，選擇“Apply this policy now...”。
 
如果在創建新收件人策略之前，No Intenert Mail 組里已經有用戶，這些用戶將仍然有一個有效的SMTP地址，

  所以在Active Directory Users and Computers，選擇你希望不接收來自Internet郵件的用戶，移除他們在創建策略之前就有了的SMTP地址。在創建策略后新建并且立即放入
No Intenert Mail 組里的用戶，不會產生有效的SMTP地址。

原文轉自：http://www.kjueaiud.com