邮件服务器-邮件系统-邮件技术论坛(BBS)
标题:
Exchange的默认设置
[打印本页]
作者:
alone-rain
时间:
2005-11-12 10:43
标题:
Exchange的默认设置
我在看微软的一些视频教程时,里面说Exchange03安装好以后默认都是关掉了Open Relay的。但是我几次装好Exchange03后,发现默认都是开放中继的。不知道是我这个版本有问题还是我安装上有问题?或者眼花了?<br>
安装好以后打开SMTP虚拟服务器属性,身份验证里面匿名访问是打开的,那个正常,不打开的话别人没有办法发邮件进来(手工添加的列表除外),但是中继里面有一个选项,就是“不管上表如何设置,所有通过身份验证的用户都可以进行中继”,这个默认也是打勾的,这个就明显不对了,这样不就是Open Relay了吗?实际测试也证明了的确是Open Relay的。<br>
如果大家装好Exchange不去改默认设置,那不是很危险吗?<br>
大家看看我是不是有什么地方搞错了?指正一下。<br>
谢谢!
作者:
yinjie
时间:
2005-11-13 23:45
标题:
re:谁说的?“不管上表如何设置,所有通过身份...
谁说的?“不管上表如何设置,所有通过身份验证的用户都可以进行中继”,看清楚了吗?经过验证的才可以忽略以上列表。不通过验证怎么能进行RELAY。什么叫OPEN RELAY?OPEN RELAY是指没有限制的中继行为。好好看看书。
作者:
alone-rain
时间:
2005-11-14 10:34
标题:
re:yingjie老大,你错了。书上面写...
yingjie老大,你错了。<br>
书上面写的有对也有错,我不会把没有经过验证的东西放上来,我做人没有这个习惯。微软的东西就不能够有错吗?<br>
在SMTP虚拟服务器属性的身份验证里面,默认是打开匿名访问的,这个是事实吧?那么何谓身份验证?既然在身份验证里面打开了匿名访问,那么匿名访问算不算通过了身份验证?既然算是通过了身份验证,那么根据中继里面的默认选项“不管上表如何设置,所有通过了身份验证的计算机都可以进行中继”,能不能进行中继?<br>
我做过了非常多次试验,结果都证明了这一点,你不相信你自己去试试。<br>
只有取消了中继里面那个默认选项,才能够有效地进行用户的中继控制,我一直都是这么做的,要不是这样我想我的服务器早就垮了。<br>
我就是不想很多人因为教程上面的说法被误导,所以才提出来的,要不我提出来干嘛?而且我也担心我错了,给别人造成误导,所以也希望大家指正一下,但是我不希望被人说我没看过书什么的。<br>
书要看,但是只有通过了实践检验的理论,才是正确的理论。
作者:
阿里西瓜
时间:
2005-11-14 12:55
标题:
re:恩,这个要去做下实验看看。。
恩,这个要去做下实验看看。。
作者:
yinjie
时间:
2005-11-14 13:11
标题:
re:220 etsuser40.lcs.ms...
220 etsuser40.lcs.msft Microsoft ESMTP MAIL Service, Version: 6.0.3790.1830 read<br>
y at Mon, 14 Nov 2005 13:12:00 +0800<br>
heo<br>
500 5.3.3 Unrecognized command<br>
helo yinjie<br>
250 etsuser40.lcs.msft Hello [192.168.1.241]<br>
mail from:administrator<br>
250 2.1.0 administrator@lcs.msft....Sender OK<br>
rcpt to:yinjie@163.com<br>
550 5.7.1 Unable to relay for yinjie@163.com<br>
rcpt to:administartor<br>
250 2.1.5 administartor@lcs.msft<br>
quit<br>
221 2.0.0 etsuser40.lcs.msft Service closing transmission channel<br>
<br>
我不想说什么,自己看。看看我没有经过验证有没有把邮件中继出去!!如果你去掉了那个选择,那么你的SMTP虚拟服务器就不能让只通过SMTP的客户发送邮件了,换句话说,如果你没有OE或FOXMAIL等客户,就可以去掉它,用OWA和MAPI模式不受此限制。建议你认真的去看一下11月2日我的WEBCAST,虽然该WEBCAST说的是IIS SMTP,但原理和EX一样。<br>
作者:
alone-rain
时间:
2005-11-14 15:25
标题:
re:首先非常感谢yingjie老大的帮助。我...
首先非常感谢yingjie老大的帮助。我也只是关于技术参与一下争论,老大你也不要介意。没有争论就没有提高。<br>
我侧试了一下,在外网的确不可能匿名发送,一切都如yingjie所说。因为我都是在内部网络通过普通ADSL经互联网访问邮件服务器进行测试,才会出现这个问题。<br>
具体的环境为,假设邮件服务器域为A.COM,操作系统为2k adv server,Ex03,内网IP为192.168.0.252,通过ISA发布的邮件服务器。ISA的WAN口为固定IP接入。我测试用电脑操作系统WIN2003,没有加入域,但是所属工作组同域名一样为A.COM,与邮件服务器同在一个内网,IP为192.168.0.150,ADSL+ISA接入互联网,还有重要的是测试用电脑的登录帐号在邮件服务器AD里面存在且密码相同。<br>
然后的结果就是无论怎么设置邮件服务器,在测试用电脑上面都可以随意通过邮件服务器发送邮件,而不管你在OE的发送服务器里面设置什么样的用户密码,也不管你通过内网还是互联网登录到邮件服务器。这就是我提出这个问题的由来。<br>
然而经过这次争论,我又多做了测试,奇怪的是内网或者外网的其他电脑访问邮件服务器,即使工作组和用户名与测试电脑一样设置,都不能够匿名发送!不同的是其余电脑操作系统全为2k pro版本。<br>
yingjie老大你能不能进一步解释一下原因呢?你所说的11月2日的文章我i稍后一定会详细阅读的。感谢!
作者:
yinjie
时间:
2005-11-14 15:52
标题:
re:很遗憾,我还是不能理解你的意思,有可能的...
很遗憾,我还是不能理解你的意思,有可能的话发个图我看看。但需要注意的是,默认情况下SMTP服务器支持NTLM和基本验证两个,所以任意一个能通过都是合法的验证。另一点需要注意的是,RELAY是将邮件自组织内发到组织外的行为,组织内的传递则不属于RELAY,所以你可以在任意的地方访问服务器而发信给组织内(不需要任何的验证,见我上面的测试),但不能发给组织外(无论你声明的发信人是组织内还是组织外,没有通过验证都不能),但是需要注意的是,SMTP是信任协议,不会主动检查发信人提交的用户是否为其所有,所以我可以用你的用户去验证,而显示的发信人地址是由用户自己声明的,它和验证用的用户不一定是一一对应的。这个问题我很早就说过了,暂时无法解决。要进行验证,必须用EHLO代替HELO发送应答信息并根据服务器的反馈选择合适的验证方式,再发送经过BASE64编码后的用户和密码信息。具体的DEMO我就不做了,可以看一下我在11月2日WEBCAST里的DEMO。
作者:
yinjie
时间:
2005-11-14 16:46
标题:
re:那太简单了,将RELAY设置为除以下列表...
那太简单了,将RELAY设置为除以下列表之外
欢迎光临 邮件服务器-邮件系统-邮件技术论坛(BBS) (http://news.5dmail.net/bbs/)
Powered by Discuz! X3.2