Exchange的默认设置

alone-rain

我在看微软的一些视频教程时，里面说Exchange03安装好以后默认都是关掉了Open Relay的。但是我几次装好Exchange03后，发现默认都是开放中继的。不知道是我这个版本有问题还是我安装上有问题？或者眼花了？<br>
安装好以后打开SMTP虚拟服务器属性，身份验证里面匿名访问是打开的，那个正常，不打开的话别人没有办法发邮件进来（手工添加的列表除外），但是中继里面有一个选项，就是“不管上表如何设置，所有通过身份验证的用户都可以进行中继”，这个默认也是打勾的，这个就明显不对了，这样不就是Open Relay了吗？实际测试也证明了的确是Open Relay的。<br>
如果大家装好Exchange不去改默认设置，那不是很危险吗？<br>
大家看看我是不是有什么地方搞错了？指正一下。<br>
谢谢！

yinjie

谁说的？“不管上表如何设置，所有通过身份验证的用户都可以进行中继”，看清楚了吗？经过验证的才可以忽略以上列表。不通过验证怎么能进行RELAY。什么叫OPEN RELAY？OPEN RELAY是指没有限制的中继行为。好好看看书。

alone-rain

yingjie老大，你错了。<br>
书上面写的有对也有错，我不会把没有经过验证的东西放上来，我做人没有这个习惯。微软的东西就不能够有错吗？<br>
在SMTP虚拟服务器属性的身份验证里面，默认是打开匿名访问的，这个是事实吧？那么何谓身份验证？既然在身份验证里面打开了匿名访问，那么匿名访问算不算通过了身份验证？既然算是通过了身份验证，那么根据中继里面的默认选项“不管上表如何设置，所有通过了身份验证的计算机都可以进行中继”，能不能进行中继？<br>
我做过了非常多次试验，结果都证明了这一点，你不相信你自己去试试。<br>
只有取消了中继里面那个默认选项，才能够有效地进行用户的中继控制，我一直都是这么做的，要不是这样我想我的服务器早就垮了。<br>
我就是不想很多人因为教程上面的说法被误导，所以才提出来的，要不我提出来干嘛？而且我也担心我错了，给别人造成误导，所以也希望大家指正一下，但是我不希望被人说我没看过书什么的。<br>
书要看，但是只有通过了实践检验的理论，才是正确的理论。

阿里西瓜

恩，这个要去做下实验看看。。

yinjie

220 etsuser40.lcs.msft Microsoft ESMTP MAIL Service, Version: 6.0.3790.1830 read<br>
y at Mon, 14 Nov 2005 13:12:00 +0800<br>
heo<br>
500 5.3.3 Unrecognized command<br>
helo yinjie<br>
250 etsuser40.lcs.msft Hello [192.168.1.241]<br>
mail from:administrator<br>
250 2.1.0 administrator@lcs.msft....Sender OK<br>
rcpt to:yinjie@163.com<br>
550 5.7.1 Unable to relay for yinjie@163.com<br>
rcpt to:administartor<br>
250 2.1.5 administartor@lcs.msft<br>
quit<br>
221 2.0.0 etsuser40.lcs.msft Service closing transmission channel<br>
<br>
我不想说什么，自己看。看看我没有经过验证有没有把邮件中继出去！！如果你去掉了那个选择，那么你的SMTP虚拟服务器就不能让只通过SMTP的客户发送邮件了，换句话说，如果你没有OE或FOXMAIL等客户，就可以去掉它，用OWA和MAPI模式不受此限制。建议你认真的去看一下11月2日我的WEBCAST，虽然该WEBCAST说的是IIS SMTP，但原理和EX一样。<br>

alone-rain

首先非常感谢yingjie老大的帮助。我也只是关于技术参与一下争论，老大你也不要介意。没有争论就没有提高。<br>
我侧试了一下，在外网的确不可能匿名发送，一切都如yingjie所说。因为我都是在内部网络通过普通ADSL经互联网访问邮件服务器进行测试，才会出现这个问题。<br>
具体的环境为，假设邮件服务器域为A.COM，操作系统为2k adv server，Ex03，内网IP为192.168.0.252，通过ISA发布的邮件服务器。ISA的WAN口为固定IP接入。我测试用电脑操作系统WIN2003，没有加入域，但是所属工作组同域名一样为A.COM，与邮件服务器同在一个内网，IP为192.168.0.150，ADSL+ISA接入互联网，还有重要的是测试用电脑的登录帐号在邮件服务器AD里面存在且密码相同。<br>
然后的结果就是无论怎么设置邮件服务器，在测试用电脑上面都可以随意通过邮件服务器发送邮件，而不管你在OE的发送服务器里面设置什么样的用户密码，也不管你通过内网还是互联网登录到邮件服务器。这就是我提出这个问题的由来。<br>
然而经过这次争论，我又多做了测试，奇怪的是内网或者外网的其他电脑访问邮件服务器，即使工作组和用户名与测试电脑一样设置，都不能够匿名发送！不同的是其余电脑操作系统全为2k pro版本。<br>
yingjie老大你能不能进一步解释一下原因呢？你所说的11月2日的文章我i稍后一定会详细阅读的。感谢！

yinjie

很遗憾，我还是不能理解你的意思，有可能的话发个图我看看。但需要注意的是，默认情况下SMTP服务器支持NTLM和基本验证两个，所以任意一个能通过都是合法的验证。另一点需要注意的是，RELAY是将邮件自组织内发到组织外的行为，组织内的传递则不属于RELAY，所以你可以在任意的地方访问服务器而发信给组织内（不需要任何的验证，见我上面的测试），但不能发给组织外（无论你声明的发信人是组织内还是组织外，没有通过验证都不能），但是需要注意的是，SMTP是信任协议，不会主动检查发信人提交的用户是否为其所有，所以我可以用你的用户去验证，而显示的发信人地址是由用户自己声明的，它和验证用的用户不一定是一一对应的。这个问题我很早就说过了，暂时无法解决。要进行验证，必须用EHLO代替HELO发送应答信息并根据服务器的反馈选择合适的验证方式，再发送经过BASE64编码后的用户和密码信息。具体的DEMO我就不做了，可以看一下我在11月2日WEBCAST里的DEMO。

yinjie

那太简单了，将RELAY设置为除以下列表之外