Опубликован: 20.02.2006 | Уровень: специалист | Доступ: платный
Лекция 4:

Служба SMTP

< Лекция 3 || Лекция 4: 123456 || Лекция 5 >

Безопасность доступа к серверу SMTP

IIS 6 имеет большое количество опций и настроек безопасности SMTP. Эти опции предназначены для пользователей, выполняющих задачи по администрированию службы SMTP, и клиентов, осуществляющих доступ к виртуальному SMTP-серверу. Настройка этих параметров выполняется в окне Properties (Свойства) консоли Computer Management (Управление компьютером) для указанного виртуального сервера SMTP.

Параметры безопасности для выполнения задач по администрированию настраиваются во вкладке Security (Безопасность) окна свойств. Параметры доступа к SMTP-серверу для клиентов настраиваются во вкладке Access (Доступ). В "Служба WWW" содержится более подробная информация об элементах этой вкладки. Мастер сертификатов, настройка пар ключей и задачи сертификатов в данном случае такие же, как для службы WWW; о них вы тоже сможете узнать из "Служба WWW" .

Разрешения пользователя на администрирование

Для конфигурирования виртуального сервера SMTP нужно установить разрешения для пользователей или групп Windows на узле или другом аутентифицирующем сервере, имеющем доверие со стороны главного сервера. Пользователи или группы, выполняющие задачи по администрированию, должны быть операторами виртуального сервера SMTP. По умолчанию группа администраторов, учетные записи Windows NT AUTHORITY\LOCAL SERVICE и Windows NT AUTHORITY\NETWORK SERVICE имеют статус операторов для любого виртуального SMTP-сервера.

Для назначения пользователя оператором виртуального сервера SMTP выполните следующие действия.

  1. Откройте окно Properties (Свойства) виртуального сервера SMTP в оснастке Computer Management (Управление компьютером), перейдите во вкладку Security (Безопасность).
  2. Отобразится список, содержащий группу администраторов и пользователей, назначенных операторами. Под списком располагаются кнопки Add (Добавить) и Remove (Удалить). Нажмите на кнопку Add (Добавить) и в открывшемся диалоговом окне Select Users Or Groups (Выбор пользователей или групп) выберите пользователя или группу. Они будут добавлены в список назначенных операторов виртуального сервера SMTP. Закройте диалоговое окно нажатием на кнопку OK.
  3. Для удаления выберите пользователя или группы из списка и нажмите на кнопку Remove (Удалить). Группу администраторов удалить нельзя. По окончании работы нажмите на клавишу OK.

Аутентификация входящих подключений

Клиенты, подключающиеся к виртуальному серверу SMTP, могут проходить аутентификацию. Настройка аутентификации клиентов, передающих входящие сообщения, выполняется во вкладке Access (Доступ) окна Properties (Свойства) виртуального сервера SMTP. Нажмите на кнопку Authentication (Аутентификация) в области Access Control (Контроль доступа). Откроется окно Authentication (Аутентификация), содержащее следующие параметры.

  • Anonymous Access (Анонимный доступ). Для аутентификации и использования виртуального сервера SMTP входные данные не требуются.
  • Basic Authentication (Базовая аутентификация). Указанное имя пользователя и пароль передаются для аутентификации главному серверу в открытом виде.
  • Requires TLS Encryption (Требует шифрования TLS). Клиенты, подключающиеся к виртуальному серверу SMTP, должны использовать шифрование TLS, в противном случае доступ к серверу будет запрещен. Параметр включается при выборе базовой аутентификации.
  • Default Domain (Домен по умолчанию). Доменное имя, присоединяемое к имени пользователя при использовании базовой аутентификации. Параметр включается при выборе базовой аутентификации.
  • Integrated Windows Authentication (Интегрированная аутентификация Windows). Аутентификация осуществляется с использованием специального метода передачи информации Windows без отправки указанного пароля на главный сервер.

Протоколы аутентификации не являются взаимоисключающими, поэтому можно выбрать один или несколько. При выборе опции Basic Authentication откроется доступ к параметру Requires TLS Encryption (Требует шифрования TLS), который тоже можно включить, и к опции Default Domain (Домен по умолчанию). В этом случае при использовании базовой аутентификации имя домена по умолчанию присоединяется к отправляемым входным данным. По умолчанию выбран метод анонимной аутентификации.

Ограничения по IP-адресам и именам доменов

Можно запретить или разрешить компьютерам с конкретными IP-адресами или именами доменов доступ к виртуальному серверу SMTP. Для установки ограничений выполните следующие действия.

  1. Откройте окно Properties (Свойства), перейдите во вкладку Access (Доступ) и нажмите на кнопку Connection (Подключение), расположенную в области Connection Control (Управление подключением).
  2. В окне Connection находятся два селектора опций и список с расположенными под ним кнопками Add (Добавить) и Remove (Удалить). Селекторы опций называюся Only The List Below (Только список ниже) и All Except The List Below (Все, за исключением списка ниже). Выберите одну из опций. Список обновится и отобразит IP-адреса или имена доменов, относящиеся к данному ограничению.
  3. Нажмите на кнопку Add (Добавить), чтобы перейти в окно с запросом IP-адреса, имени домена или подсетей, добавляемых в список для данного ограничения.
  4. Выберите опцию из списка и нажмите на кнопку Remove (Удалить) для удаления указанного IP-адреса или имени домена.
  5. Нажмите на кнопку OK для сохранения изменений; иначе нажмите на кнопку Cancel (Отмена), и в конфигурацию виртуального сервера SMTP изменения внесены не будут. По умолчанию для виртуального сервера SMTP ограничения не установлены.

Ограничения на ретрансляцию сообщений

На виртуальном SMTP-сервере можно установить ограничения на ретрансляцию сообщений. Выполните следующие действия.

  1. Откройте окно Properties (Свойства), перейдите во вкладку Access (Доступ) и нажмите на кнопку Relay (Ретрансляция), расположенную в области Relay Restrictions (Ограничения на ретрансляцию).
  2. Окно Relay Restrictions (Ограничения на ретрансляцию), которое откроется после нажатия кнопки, практически идентично окну Connection (Подключение). Вверху окна расположены две исключающие опции, а поля со списком функционируют так же, как аналогичные элементы окна Connection (Подключение).

Примечание. В данном окне, в отличие от окна Connection (Подключение), опция носит название Allow All Computers Which Successfully Authenticate To Relay, Regardless Of The List Above (Разрешить ретрансляцию всем компьютерам, успешно прошедшим аутентификацию, независимо от списка выше). Параметр по умолчанию включен; он позволяет ретранслировать сообщения серверам, прошедшим аутентификацию согласно установленным параметрам аутентификации, независимо от установленных ограничений на IP-адреса или имена доменов.

Маршрутизация LDAP

Настройка маршрутизации облегченного протокола службы каталогов LDAP (Lightweight Directory Access Protocol) позволяет виртуальному серверу SMTP получать настройки в LDAP для обработки отправителей и получателей. Если в LDAP уже определены группы (например, LDAP используется для управления другим пользователем), адреса электронной почты можно извлечь из существующих групп и расширить SMTP при указании имени группы в сообщении.

Для настройки виртуального сервера SMTP используется оснастка Computer Management (Управление компьютером) и окно Properties (Свойства) соответствующего виртуального сервера SMTP. Все настройки маршрутизации LDAP расположены во вкладке LDAP Routing (Маршрутизация LDAP) окна свойств.

Во вкладке LDAP Routing (Маршрутизация LDAP) доступен единственный элемент управления – опция Enable LDAP Routing (Включить маршрутизацию LDAP). По умолчанию опция отключена, и ее настройки недоступны. После включения опции Enable LDAP Routing (Включить маршрутизацию LDAP) откроется доступ к следующим настройкам.

  • Server (Сервер). Имя сервера, на котором расположен сервер LDAP. При выборе Exchange LDAP данный параметр применить нельзя, поскольку сервер Exchange будет автоматически найден главным узлом.
  • Schema (Схема). Тип используемого LDAP: Active Directory, Exchange и Site Server (Сервер сайтов).
  • Binding (Привязка). Тип аутентификации, используемой для подключения к каталогу.
  • Base (База). Отличительное имя хранилища, представляющее собой начальную точку поиска в каталоге.

При выборе привязки другой учетной записи (не анонимной или учетной записи службы) откроется доступ к полю имени пользователя, пароля и домена, поскольку в данном случае следует указать аутентификационные данные. Для учетной записи службы входные данные пользователя, подключающегося к SMTP-серверу, отправляются для аутентификации в LDAP. Входные данные имени пользователя следует указывать в формате отличительного имени (DN). Например, отличительное имя пользователя jschmidlap, работающего на пивоваренную организацию в компании Schmitt House, может иметь вид:

cn=jschmidlap,ou=beerbrewer,o=SchmittHouse
< Лекция 3 || Лекция 4: 123456 || Лекция 5 >
Александр Тагильцев
Александр Тагильцев

Где проводится профессиональная переподготовка "Системное администрирование Windows"? Что-то я не совсем понял как проводится обучение.

Владимир Кирин
Владимир Кирин
Неполодки на ресурсе.При сдаче 7 теста, открывается пустое окно, и ничего не происходит.Поправте пожалуйста. При этом попытка считается защитана, перездача только через 30 мин. Использую браузер опера.
Александр Гордеев
Александр Гордеев
Казахстан, Алматы, ТУРАН
Александр Даниленко
Александр Даниленко
Россия, Москва, 797, 1993