通过

如何使用 Exchange 2007 中的 TLS 身份验证来发送和接收通过第三方电子邮件程序发送的邮件

  • 项目

 

适用于: Exchange Server 2007 SP3

上一次修改主题: 2009-09-29

本主题说明了如何结合使用传输层安全性 (TLS) 身份验证与 Microsoft Exchange Server 2007,以发送和接收通过第三方电子邮件程序发送的电子邮件。

通过使用 TLS 协议,您可以帮助改进 Exchange 2007 中 SMTP 通信 的安全性。 TLS 是一个用于在 Internet 或 Intranet 上提供安全 Web 通信的标准协议。TLS 可以使客户端能够对服务器进行身份验证,也可以使服务器能够对客户端进行身份验证。它还通过对通信进行加密来提供安全通道。TLS 是安全套接字层 (SSL) 协议的最新版本。

SMTP 上的 TLS 通过使用对称加密密钥提供了基于证书的身份验证,并帮助提供安全性得到增强的数据传输。在对称密钥加密(也称为“共享的机密”加密)中,使用相同的密钥来加密和解密邮件。TLS 应用了基于哈希的消息身份验证代码 (HMAC)。HMAC 将共享的机密密钥与哈希算法结合使用来帮助确保数据在传输期间不会被更改。共享的机密密钥将附加到要哈希的数据后面。这有助于改进哈希的安全性,因为双方必须具有相同的共享机密密钥才能验证数据是否可信。

在早期版本的 Exchange 中,必须手动配置 TLS。此外,还必须在 Exchange 服务器上安装适合 TLS 使用的有效证书。在 Exchange 2007 中,安装程序将创建自签名证书。默认情况下启用 TLS。这样,任何发送系统都能够对到 Exchange 的传入 SMTP 会话进行加密。默认情况下,Exchange 2007 还对所有远程连接尝试实现 TLS。

若要使用 TLS 将电子邮件发送到第三方电子邮件程序,必须配置发送连接器。在运行 Exchange 2007 且安装了集线器传输服务器角色或边缘传输服务器角色的计算机上配置发送连接器。发送连接器代表发送传出邮件时所经过的逻辑网关。

若要使用 TLS 将电子邮件发送到第三方电子邮件程序,必须配置接收连接器。在运行 Exchange 2007 且安装了集线器传输服务器角色或边缘传输服务器角色的计算机上配置接收连接器。接收连接器代表一个逻辑网关,通过该网关,可接收所有入站邮件。

使用 TLS 将电子邮件发送到第三方电子邮件程序的步骤

  1. 启动 Exchange 管理控制台。

  2. 执行下列步骤之一:

    • 在安装了边缘传输服务器角色的计算机上,选择“边缘传输”,然后单击“发送连接器”选项卡。

    • 若要在集线器传输服务器角色上创建发送连接器,请在控制台树中展开“组织配置”,然后选择“集线器传输”,再单击“发送连接器”选项卡。

  3. 在操作窗格中,单击“新建发送连接器”。这时会启动新建 SMTP 发送连接器向导。

  4. 在“简介”页上,在“名称”字段中为连接器键入一个有意义的名称。此名称用于标识该连接器。

  5. 在“选择此连接器的预期用法”列表中,单击“自定义”,然后单击“下一步” 。

  6. 在“地址空间”页上,单击“添加”。

  7. 在“SMTP 地址空间”对话框中,键入第三方电子邮件服务器的外部域。例如,为 contoso.com 域键入 *.contoso.com。

  8. 单击“确定”,然后单击“下一步”。

  9. 在“网络设置”页上,单击“使用域名系统(DNS)“MX”记录自动路由邮件”,然后单击“下一步”。或者单击“通过下列智能主机路由所有邮件”,然后执行下列步骤:

    1. 单击“添加”。

    2. 在“添加智能主机”对话框中,选择“IP 地址”或“完全限定的域名 (FQDN)”,以指定如何找到智能主机。如果选择“IP 地址”,请输入智能主机的 IP 地址。如果选择“完全限定的域名 (FQDN)”,请输入智能主机的 FQDN。发送服务器必须能够解析该 FQDN。

    3. 完成后,单击“确定”。

    4. 若要添加更多智能主机,请单击“添加”,然后重复步骤 b 和步骤 c。

    5. 若要编辑智能主机的设置,请选择智能主机,然后单击“编辑”。

    6. 若要删除现有智能主机,请选择智能主机,然后单击 删除图标

    7. 阅读后,单击“下一步”。

    8. 在“智能主机安全设置”页中,选择“基于 TLS 的基本身份验证”,然后单击“下一步”。

  10. 默认情况下,当前使用的集线器传输服务器会作为源服务器在“源服务器”页面列出。要添加源服务器,请单击“添加”。在“选择集线器传输服务器和边缘订阅”对话框中,选择将作为源服务器使用的集线器传输服务器或已订阅的边缘传输服务器,以将消息发送到步骤 7 中提供的地址空间。源服务器的列表可包含所有集线器传输服务器或所有已订阅的边缘传输服务器,但不能同时包含这两种服务器。在完成添加附加源服务器后,单击“确定”。

    若要添加更多源服务器,请单击“添加”,然后重复此步骤。

    若要删除现有源服务器,请选择源服务器,然后单击 删除图标

    阅读后,单击“下一步”。

  11. 在“新建连接器”页上,检查连接器的配置摘要。如果要更改设置,请单击“上一步”。若要使用配置摘要中的设置来创建发送连接器,请单击“新建”。

  12. 在“完成”页上,单击“完成”。

  13. 某些第三方程序(例如 Gentoo Linux)不需要更多的配置。测试连接。如果无法完成连接,请执行以下步骤:

    1. 在工作窗格中,右键单击您所创建的连接器,然后单击“属性”。

    2. 在“网络”选项卡上,单击选中“启用域安全性(相互验证 TLS)”复选框,然后单击“确定”。

    3. 关闭 Exchange 管理控制台。 

    4. 重新启动“Microsoft Exchange 传输”服务。

使用 TLS 接收由第三方电子邮件程序发送的电子邮件的步骤

  1. 启动 Exchange 管理控制台。

  2. 执行下列步骤之一:

    1. 在安装了边缘传输服务器角色的计算机上,选择“边缘传输”,然后在工作窗格中单击“接收连接器”选项卡。

    2. 若要在集线器传输服务器角色上创建接收连接器,请在控制台树中展开“服务器配置”,然后单击“集线器传输”。在结果窗格中,选择要创建连接器的服务器,然后单击“接收连接器”选项卡。

  3. 在操作窗格中,单击“新建接收连接器”。此时将启动“新建 SMTP 接收连接器”向导。

  4. 在“简介”页上,在“名称”字段中为连接器键入一个有意义的名称。此名称用于标识该连接器。

  5. 在“选择此连接器的预期用法”列表中,单击“自定义”,然后单击“下一步” 。

  6. 在“本地网络设置”页面上,单击“添加”。

  7. 在“添加接收连接器绑定”对话框中,选择下列选项之一:

    • 使用此服务器上的所有可用 IP 地址   如果选择此选项,连接器将在为本地服务器上的网络适配器分配的所有 IP 地址上侦听连接。

    • 指定 IP 地址  如果选择此选项,则必须键入为本地服务器上的网络适配器分配的 IP 地址。连接器只在提供的 IP 地址上侦听连接。

      note注意:
      指定的本地 IP 地址必须对接收连接器所在的集线器传输服务器或边缘传输服务器有效。如果指定了无效的本地 IP 地址,Microsoft Exchange 传输服务在重新启动时可能会无法启动。

  8. 在“本地网络设置”页面的“端口”字段中,键入一个端口号,然后单击“确定”。若要将多个本地 IP 地址添加到此连接器,请单击“添加”并重复此步骤。若要更改以前的条目,请选择该条目,然后单击“编辑”。若要删除现有条目,请选择该条目,然后单击 删除图标

  9. 在“本地网络设置”页面上的“指定此连接器为响应 HELO 或 EHLO 提供的 FQDN”字段中,键入为响应 SMTP HELO 或 EHLO 动作公布的名称。如果不填写该字段,当创建连接器后,集线器传输服务器或边缘传输服务器的完全限定的域名 (FQDN) 将自动添加到该字段。单击“下一步”。

  10. 在“远程网络设置”页上,键入连接器从中接收传入连接的第三方程序的 IP 地址或 IP 地址范围。若要添加远程 IP 地址或远程 IP 地址范围,请使用下列方法之一:

    • 要输入不带子网掩码的 IP 地址或子网,或者要用无类别域际路由选择 (CIDR) 表示法指定子网掩码,请单击“添加”或“添加”旁边的下拉箭头,然后选择“IP 地址”。在“添加远程服务器的 IP 地址”对话框中,使用下列方法之一输入 IP 地址:

      不带子网掩码的 IP 地址   例如,键入 192.168.1.0。如果未使用 CIDR 表示法指定子网掩码,将采用基于类的默认子网掩码。

      使用 CIDR 表示法的 IP 地址   例如,键入 192.168.1.0/24

    • 若要用带小数点的十进制表示法输入带子网掩码的 IP 地址或子网,请单击“添加”旁边的下拉箭头,然后单击“IP 和掩码”。在“添加远程服务器 - IP 和掩码”对话框中,使用以下语法键入 IP 地址和子网掩码:

      IP 地址   例如,键入 192.168.1.0

      子网掩码   例如,键入 255.255.255.0

    • 若要使用某个范围中的第一个 IP 地址和最后一个 IP 地址指定 IP 地址范围,请单击“添加”旁边的下拉箭头,然后单击“IP 范围”。在“添加远程服务器 - IP 范围”对话框中,使用以下语法键入 IP 地址:

      起始地址   例如,键入 192.168.1.1

      结束地址   例如,键入 192.168.255.255

      由于不能指定子网掩码,将采用基于类的默认子网掩码。

    完成后,单击“确定”。若要为此连接器添加多个远程网络范围,请单击“添加”并重复此步骤。若要更改以前的条目,请选择该条目,然后单击“编辑”。若要删除现有条目,请选择该条目,然后单击 删除图标

  11. 阅读后,单击“下一步”。

  12. 在“新建连接器”页上,检查连接器的配置摘要。如果要更改设置,请单击“上一步”。若要使用配置摘要中的设置创建接收连接器,请单击“新建”。

  13. 在“完成”页上,单击“完成”。

  14. 在工作窗格中,右键单击您所创建的连接器,然后单击“属性”。

  15. 如果以下任一条件为真,则在“身份验证”选项卡上,单击选中“启用域安全性(相互验证 TLS)”复选框:

    • 发送服务器和接收服务器均使用受信任的证书颁发者颁发的公用证书。

    • 发送服务器和接收服务器均使用一个自行颁发的证书,其各自的根证书作为受信任的根证书安装。

  16. 在“权限组”选项卡上,单击选中“匿名用户”复选框,然后单击“确定”。

  17. 关闭 Exchange 管理控制台。 

  18. 启动 Exchange 命令行管理程序。

  19. 运行以下 cmdlet:

    Set-ReceiveConnector  -identity  <ReceiveConnectorIdParameter> -RequireTLS $true -AuthenticationMechanism TLS

  20. 如果以下任一条件为真:

    • 发送服务器和接收服务器均使用受信任的证书颁发者颁发的公用证书。

    • 发送服务器和接收服务器均使用一个自行颁发的证书,其各自的根证书作为受信任的根证书安装。

    运行以下 cmdlet:

    Set-TransportConfig -TLSReceiveDomainSecureList <remotedomain>.com, <remotedomain>.net

  21. 重新启动 Microsoft Exchange 传输服务。

详细信息

有关发送连接器的详细信息,请参阅 发送连接器如何新建发送连接器 主题。

有关接收连接器的详细信息,请参阅 接收连接器如何创建新的接收连接器 主题。

有关 Set-ReceiveConnector cmdlet 的详细信息,请参阅 Set-ReceiveConnector 主题。

有关 Set-TransportConfig cmdlet 的详细信息,请参阅 Set-TransportConfig 主题。

有关如何结合使用传输层安全性 (TLS) 协议和 Exchange 2007 的详细信息,请参阅以下主题: