Дата последнего изменения раздела: 2005-11-18

Средство анализатора сервера Microsoft® Exchange запрашивает службу каталогов Active Directory®, чтобы определить значение атрибута msExchAuthenticationFlags в классе protocolCfgSMTPServer для объекта Exchange Server. Класс protocolCfgSMTPServer содержит параметры виртуального сервера SMTP. Атрибут msExchAuthenticationFlags представляет тип проверки подлинности, допустимый на сервере SMTP. Если анализатор сервера Exchange обнаруживает, что на сервере SMTP была настроена обычная проверка подлинности и при этом сервер не является Microsoft Small Business Server 2000 или Microsoft Windows® Small Business Server 2003, на экран выводится предупреждение.

Если на сервере SMTP включена обычная проверка подлинности, то увеличивается вероятность нарушения безопасности. Обычная проверка подлинности допускает отправку имен пользователей и паролей по сети открытым текстом. Без использования шифрования имена пользователей и пароли могут быть легко перехвачены в Интернете.

При использовании обычной проверки подлинности настоятельно рекомендуется применять TLS-шифрование (Transport Layer Security) для обеспечения большей защиты. TLS шифрует имена пользователей, пароли и данные сообщений. Можно задать обязательное TLS-шифрование для клиентов, подключающихся к виртуальному SMTP-серверу. Технология TLS помогает защитить исходящие сообщения, однако не защищает трафик, идущий от клиентов к серверу.

Технология TLS поддерживается программой Microsoft Outlook Express. Чтобы использовать TLS-шифрование для виртуального сервера SMTP, необходимо создать пары ключей и настроить сертификаты ключа. После этого клиенты смогут использовать TLS для шифрования сеанса со службой SMTP. Таким образом, это относится только к исходящим сообщениям. Служба SMTP также может использовать технологию TLS для шифрования сеансов с удаленными серверами.

Примечание.
Клиенты, не поддерживающие TLS, не могут выполнять ретрансляцию сообщений электронной почты через виртуальный сервер.

Если на виртуальном SMTP-сервере нельзя отключить доступ с проверкой подлинности (например, требуется проверка подлинности для партнерской компании), выполните следующие действия для повышения безопасности сервера шлюза:

Чтобы отключить обычную проверку подлинности
  1. В системном диспетчере Exchange разверните узел Серверы, затем узел <входящего сервера Exchange>, узел Протоколы и узел SMTP.

  2. Щелкните правой кнопкой мыши входящий виртуальный SMTP-сервер и выберите команду Свойства.

  3. Откройте вкладку Доступ и щелкните Проверка подлинности.


    Диалоговое окно «Проверка подлинности»
  4. В диалоговом окне Проверка подлинности снимите флажок Обычная проверка подлинности.

    Важно!
    Если применяется обычная проверка подлинности, рассмотрите возможность реализации TLS-шифрования для повышения уровня безопасности. При наличии цифрового сертификата установите флажок Требуется TLS-шифрование. Использование цифровых сертификатов распространено в средах с высоким уровнем защиты. При установке этого флажка в связанном поле Домен по умолчанию необходимо ввести имя домена Windows 2000 Server или Windows Server 2003, с помощью которого пользователь должен будет выполнять проверку подлинности в тех случаях, когда он не указывает домен самостоятельно. Дополнительные сведения о TLS-шифровании см. в интерактивной документации по Exchange.

Дополнительные инструкции по настройке организации Exchange Server 2003 для более безопасной отправки и получения почты через Интернет см. в руководстве по транспорту и маршрутизации Exchange Server 2003 (может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=26041).