再议Exchange 2000 地址欺骗！！

raphael · 发表于 2005-1-18 16:48:40

Exchange 2000环境下，使用系统默认设置，并建立了有效的收件人策略。（有效域test.net)现有两个合法用户A,B，问题来了： 
在outlook种为B设置帐号，登陆帐户和密码都用B的，但邮件地址用A@test.net,服务器照样可以通过身份认证。这样B就可以仿冒A发送电子邮件了。 
 
请问大家有什么好办法解决这个现象？

wyl_xp · 发表于 2005-1-18 17:39:54

我的情况也是如此,而且如果上OWA看邮件,像楼主所设的test.net用户是登录不了的,除非同时拥有主域邮件地址.因为集成AD,所以也老觉得多域名用户之间易产生混淆,Exchange的多域名支持,功能倒像是主域的别名一样,没有像mdaemon那样好. 不过,这只是我一点接触的体会,还肯请高手指点一下迷津.

yinjie · 发表于 2005-1-18 23:00:45

会突出这样的问题的人，显然没有理解EXCHANGE存储结构，建议先去本站文章区学习学习，我简单的说明一下这个问题。 
1、楼主提到的问题是完全正常的。因为SMTP协议是一个信任协议，因此系统不会去校验你声明的地址是否是你确实所有的（一些UNIX分副系统可以做到，这是EXCHANGE设计原因），更何况你还提交了有效的用户验证，系统更不会去校验你啊送的MAIL FROM区是否和你提交的用户所有的地址真实性，事实上，只要通过你的服务器，我不需要任何的密码和验证就可以向你的内部用户发邮件，你想，如果这样也要验证，那其他邮箱如何传邮件给你呢？因此，你看到的SMTP服务器上是匿名访问的。如果你试图将其更改为需要身份验证，那么你将不能接收任何的外部邮件。事实上，EXCHANGE建议你配合OUTLOOK来使用（EXCHANGE MODE，不是SMTP/POP3）这样，当用户登录进入PUTLOOK时，就已经得到了验证，也就为后一步发送邮件起到了验证作用，而如果你坚持使用SMTP/POP3/IMAP4等方式，则你唯一可以做的是建立两个虚拟SMTP服务器，将内部SMTP虚拟服务器设置为非匿名访问，这样用户在发送任何邮件时都需要验证，但是，你必须设置外部SMTP虚拟服务器必须为匿名访问，否则你将不能收到外部邮件。同样的，外部用户依然可以通过你的服务器不受限制的发送邮件给内部用户。这里有一点需要说明的是，ESMTP，就是我们说的SMTP验证只在向组织外发送邮件时才有效，组织内传递是不使用的。严格来说，此问题是正常的，而且无解。但有一个鉴别方法，如果用户通过OUTLOOK发送邮件，则用户接收到的邮件将显示用户的GAL属性，如果是匿名提交的，则为标准SMTP地址格式，你可以以此鉴别。 
 
2、对于2楼的问题，同样是由于不理解EXCHANGE存储的原因，OWA是EXCHANGE的一个默认组件，但其默认只为拥有主域电子邮件地址的用户服务，如果你在EXCHANGE上建立了多个SMTP地址策略，则必须分别为它们建立HTTP虚拟服务器，以适应各个不同的SMTP域，或使用虚拟目录也可以。

yinjie · 发表于 2005-1-18 23:02:26

关于问题2，我补充一下，你可以去看一下在ESM里的HTTP虚拟服务器下的虚拟目录，其中EXCHANGE目录指向的是邮箱存储，为PUBLIC是公用存储，你看看其属性便知。

wyl_xp · 发表于 2005-1-19 10:40:39

非常感谢Yinjie的指点,很有收获,尤其是OWA方面的.但是还想问一下:有无可能多域名使用一个主域名的虚拟站点呢? 另外,具我所知在MDAEMON中就不会有地址欺骗问题. 那么在Exchange中可否扩展为在发送邮件的SMTP认证中需要有效邮件地址认证呢? 如"A@a.com"的邮件地址+用户名验证方式呢? 或许要问一问MS的Exchange设计人员吧.

raphael · 发表于 2005-1-19 10:46:16

多谢版主指点，我这里有点混淆。象版主说得是收发邮件时的用户帐号验证，这和邮件地址欺骗是否有点差异呢？如果将内部SMTP虚拟服务器设置为非匿名访问，这样用户在发送任何邮件时需要验证，但是否也会验证发送者地址呢？

钉子 · 发表于 2005-1-19 16:59:06

1.wyl_xp ，你在5楼中提到的MDAEMON中就不会有地址欺骗问题：你是说发信时验证的方式？其实是一样的，同样需要通过身份验证的。MD一样支持在主域名使用用户＋密码的验证方式，次域才是使用用户信箱地址＋密码的验证方式。相对来说EX的开发目的不是多域的系统。其实在使用EX组建多域邮件系统的过程中你可以使用这个方式。 
 
2.地址欺骗的概念应该是针对对方发过来的信，而不是通过你的SMTP来发信的行为。后者应该称之为中继（Relay）。 
 
3.如果将内部SMTP虚拟服务器设置为非匿名访问，这样用户在发送任何邮件时需要验证，但是否也会验证发送者地址呢？ 
－－对于Exchange来说，它只验证用户名和密码，不会验证发送人在客户端写的发件人地址。所以，发件人地址可以乱写，但是用户名和密码必须正确才能被SMTP通过验证。 
 
4.有关使用Exchange 2003防御地址欺骗的资料大家可以看看： 
<a target=_blank href=http://www.5dmail.net/html/2004-5-8/200458205928.htm>http://www.5dmail.net/html/2004-5-8/200458205928.htm</a>

yinjie · 发表于 2005-1-19 21:31:51

使用同一虚拟服务器可以，建立多个虚拟目录即可。 
EXCHANGE不会验证发信人声明的发信地址是否合法有效。

raphael · 发表于 2005-1-20 09:46:58

明白了，多谢两位版主指点。多谢了！

wyl_xp · 发表于 2005-1-20 18:26:41

感谢钉子,yinjie两位大侠指导斧正,并祝yinjie斑主一路顺风,春节愉快.

		自动登录	找回密码
密码			会员注册

再议Exchange 2000 地址欺骗！！

re:我的情况也是如此,而且如果上OWA看邮件...

re:会突出这样的问题的人，显然没有理解EXC...

re:关于问题2，我补充一下，你可以去看一下在...

re:非常感谢Yinjie的指点,很有收获...

re:多谢版主指点，我这里有点混淆。象版主说得...

re:1.wyl_xp ，你在5楼中提到的MD...

re:使用同一虚拟服务器可以，建立多个虚拟目录...

re:明白了，多谢两位版主指点。多谢了！

re:感谢钉子,yinjie两位大侠指...