Microsoft Exchange 2000 Server的Internet配置

12/3/2006来源:Exchange Server人气:14012

Exchange最新动态
本文提供了Exchange 2000 Internet部署的建议配置。通过将Internet访问限制在一台机器并将传入的Internet消息限制在一个入口点,该配置在确保intranet安全的情况下实现了Internet访问。该配置为那些小型组织提供了安全的直接Internet访问,并且无需防火墙。

最佳配置
下一节详细描述了担当邮件网关的Exchange服务器的建议配置。基本配置由配置了两个网卡的邮件网关组成,该网关担当intranet和Internet间的单一连接点。您需要在一台配置了双虚拟服务器的Exchange服务器上安装SMTP连接器:

虚拟服务器1的配置:

将虚拟服务器1配置为SMTP连接器。
通过外部DNS服务器列表将虚拟服务器配置为使用外部DNS服务器。
将虚拟服务器与25端口上的一个intranet ip地址绑定在一起。
输入本地公司域(例如,winery_co.co)。
注意:如果拓扑结构包含多个Exchange组织,您必须配置虚拟服务器来中继邮件。

虚拟服务器2的配置:

将虚拟服务器2配置为不中继邮件(这是默认的配置)。
将虚拟服务器2配置为允许匿名访问(这是默认的配置)。
将虚拟服务器2与端口25上的一个IP地址绑定在一起。
选择本地公司域(例如winery_co.co)。
将SMTP连接器配置为使用DNS路由连接器上的每个地址空间。将虚拟服务器1配置为SMTP连接器。创建一个"*"或同等的地址空间。
验证服务器上的两个网络间没有IP路由配置(这是默认的配置)。
使用两个网卡:一个内部网卡和一个外部网卡。
邮件流动
关于intranet到Internet邮件流动的更多信息,请见Exchange 2000的联机文档。

内部邮件
通常,上面所述的Exchange服务器不参与内部邮件传输。内部邮件只在内部服务器间流动。

传入的Internet邮件
来自Internet的消息指向某个IP地址,而虚拟服务器2监视该IP地址的邮件。虚拟服务器2接收所有传入的Internet邮件。因为该服务器没有配置为中继邮件,所有它拒绝不指向公司域的邮件。当虚拟服务器2接收到发往本地域内部主机的Internet邮件,它将通过内部网卡与Microsoft Active Directory%26#8482;联系,以确定该消息的目的地。于是,虚拟服务器2收到的消息将直接发给内部主机。

注意:尽管虚拟服务器2监视来自外部IP地址的邮件,但它使用适合于路由消息的任意IP地址,具体取决于路由表。虚拟服务器2仅使用内部DNS服务进行名字解析。它并没有配置外部DNS服务器列表,所以它并不解析外部地址。它只接收域名为该公司域的消息,本例中即域名为winery-co.co的消息。

传出的Internet消息
传出的消息使用虚拟服务器1上的SMTP连接器。外部IP地址通常在内部DNS服务器上不可用。当虚拟服务器1接收到指向远程域的消息时,它使用外部DNS服务器列表来查找消息收件人的IP地址,同时使用外部网卡来投递该外部邮件。很一点很值得注意:尽管虚拟服务器1被配置为监视intranet的IP地址,但它使用Internet网卡处理外部邮件。 下图说明了邮件流经连接器的情况。图中左侧的图表说明了来自intranet用户邮件的流动。



当intranet用户向Internet收件人发送邮件时,该邮件将发往虚拟服务器1。因为SMTP连接器配置了SMTP地址空间"*",并将虚拟服务器1用作本地桥头,所以发往外部SMTP地址的所有邮件都首先被路由到虚拟服务器1。虚拟服务器1使用外部DNS服务器列表来解析Internet地址,然后将消息路由到Internet收件人的IP地址。

图右侧的图表说明了指向内部收件人的Internet邮件的流动情况。所有传入的Internet邮件都将发往虚拟服务器2,也就是监视Internet IP地址的服务器。当虚拟服务器2接收到Internet消息时,它将使用内部DNS服务来解析收件人地址。因为虚拟服务器2只使用内部DNS服务,所以它只接收指向本地域(本例中为users@winery-co.co)的消息。此外,因为虚拟服务器2没有配置为中继邮件,所以地址为非本地域的收件人的所有邮件将自动被拒绝。

安全建议
使用以下建议来增强本配置的安全性:

使用Internet PRotocol安全(IPSec)策略来过滤Internet网卡上的端口。确保该计算机被配置为只接受来自网卡25端口的入站连接。这样就消除了受Internet主机攻击的可能性。关于IPSec策略的更多信息,请见Exchange 2000资源工具箱或Microsoft Windows%26reg; 2000联机文档。

严格地限制有权登录到该服务器的用户。公司可以减少来自Internet或intranet的入口点,从而限制这一配置的脆弱性。通过禁止Internet上的虚拟服务器将消息中继到其他Internet主机,您实际确保了该虚拟服务器只路由地址为合法内部收件人的邮件。因为虚拟服务器1仅将外部DNS服务器列表用于传出的Internet邮件,而不是用于路由Internet邮件,所以所有内部邮件流通将不受外部DNS服务器故障的影响。无论外部DNS服务器发生了什么问题,本地邮件投递都可以继续进行。通过隔离入站Internet邮件、内部邮件和出站Internet邮件的进程,这三个进程的故障点将保持独立,因而更易于管理。