Meer informatie

In Exchange Server Service Pack 1 (SP1) is de mogelijkheid geïntroduceerd om een open relay te sluiten. Exchange Server Service Pack 3 (SP3) is het eerste service pack waarbij u de veilige configuratie kunt uitvoeren in de GUI.


Als u deze configuratie-instructies wilt uitvoeren, moet Exchange Server SP3 of hoger op de Exchange-server zijn geïnstalleerd.

Een open relay beveiligen

1. Open het dialoogvenster Properties van de service Internet Mail.
2. Klik op het tabblad Routing. De twee keuzerondjes in dit venster bieden twee verschillende manieren om de server te beveiligen:
   • Reroute Incoming SMTP Mail (vereist voor ondersteuning van POP3 (Post Office Protocol versie 3) en IMAP4 (Internet Message Access Protocol versie 4))
     
     
     Bij deze methode is aanvullende configuratie vereist.
     1. Klik voor elk domein dat SMTP-mail mag accepteren op Add. Typ de domeingegevens en selecteer de optie Should be accepted as inbound in.
     2. Klik op Routing Restrictions.
     3. Schakel het selectievakje Hosts and Clients with these IP addresses in om de relay te beveiligen.
   • Do Not Reroute Incoming Messages
     
     Waarschuwing Hoewel dit een goede methode is om de service Internet Mail te beveiligen en er geen rapporten over niet-bestelbare berichten naar de afzender worden verzonden, maakt deze methode het mogelijk dat uw server aan lijsten voor ongewenste e-mailberichten wordt toegevoegd. Servers met lijsten voor ongewenste e-mail controleren of uw computer een bericht accepteert voor een ongeldige gebruiker wanneer de computer de opdracht rcpt to: ontvangt . Als uw computer het bericht accepteert, beschouwt de server met de lijsten voor ongewenste e-mail uw computer als een open relay en worden er geen verdere tests uitgevoerd.
     
     Gebruik deze methode om de server te beveiligen tegen misbruik van de open relay. Nadat u deze optie hebt geselecteerd, worden alle ontvangen berichten geaccepteerd en verwerkt door de SMTP-server en worden berichten die niet lokaal bij uw organisatie kunnen worden afgeleverd, teruggestuurd. Bij dit proces kan de server zwaar worden belast als iemand een grote hoeveelheid niet-lokale berichten verstuurt, omdat de server alle SMTP-berichten verwerkt die worden ontvangen. U hoeft voor deze configuratie geen andere instellingen te wijzigen.

Nadat u een van deze twee opties hebt geselecteerd, worden alle SMTP-berichten die naar de server worden verzonden, bij verzending geverifieerd als lokale berichten. Op deze manier is de relay beveiligd en hoeft u geen aanvullende instellingen te wijzigen tenzij u één of beide van de volgende configuraties hebt:

• POP3/IMAP4-gebruikers moeten e-mailberichten kunnen verzenden. Als dat het geval is, schakelt u het selectievakje Hosts and Clients that successfully authenticate in. De clientcomputers die verbinding maken, moeten zich verifiëren voordat ze berichten kunnen verzenden. Als u dit niet opneemt in de configuratie, wordt het volgende foutbericht weergegeven:
  5.7.1 - Relaying Denied NDR
  Als u meer informatie wilt over het configureren van Outlook en Outlook Express, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
  

  197869 XCLN: Voor routeringsbeperkingen is SMTP-verificatie vereist

• Er is ten minste één andere server die via deze server moet kunnen omleiden. Ga als volgt te werk als het probleem inderdaad door een dergelijk programma is ontstaan:
  1. Klik op Hosts and Clients with these IP addresses en klik op Add.
  2. Typ het IP-adres van de server die u via deze Exchange-server wilt laten omleiden.
  Het masker in deze instelling is een IP-adresmasker in plaats van een subnetmasker. Als u niet zeker bent over deze instelling en toegang voor een enkel IP-adres wilt toestaan, typt u het volgende bij stap 2: 255.255.255.255. Als u later toegang wilt toestaan voor een bereik adressen, kunt u het bereik specificeren op basis van het subnetmasker, met andere woorden, het netwerk. De invoer 192.168.1.0 met een masker van 255.255.255.0 omvat het hele subnet (netwerk).
  
  Belangrijk Voeg niet het bereik adressen toe dat het adres van de Exchange-server bevat. Als u het bereik toevoegt waarvan de server deel uitmaakt, kan de server een open relay worden.

Wat moet ik doen als de wachtrij duizenden berichten bevat?

Als de server bezig was met het afhandelen van spam op het moment dat u de SMTP-relay vergrendelde, kan de wachtrij een zeer groot aantal berichten bevatten. Ga als volgt te werk om de wachtrij op te schonen:

1. Stop de service Internet Mail.
2. Ga naar de map Exchsrvr\Imcdata (zorg ervoor dat u de juiste map hebt; de werkmap kan op een ander station staan dan C: als u de prestaties hebt geoptimaliseerd). Als u de map Out in deze directory opent, ziet u mogelijk duizenden items. Het kan dan even duren voordat deze map wordt geopend in de Windows Verkenner. Elk item is een onbewerkt e-mailbericht dat nog moet worden afgeleverd. U kunt deze items openen en bekijken in Kladblok of een andere teksteditor.
3. Ga als volgt te werk om de server weer werkend te krijgen:
   1. Wijzig de naam van de map Out in Exchsrvr\Imcdata naar Out.oud.
   2. Maak een nieuwe map en noem deze Out.
   3. Verwijder het bestand Queue.dat in de map Exchsrvr\Imcdata. Het bestand Queue.dat is de werkwachtrij en kan zonder problemen worden verwijderd omdat dit bestand opnieuw wordt gemaakt wanneer u de service Internet Mail opnieuw start. Wanneer u het bestand Queue.dat verwijdert, moet de service Internet Mail de fysieke wachtrijmappen opsommen. U merkt dat er berichten uit de wachtrij zijn verwijderd.
   4. Start de service Internet Mail.

U kunt nu op twee manieren onderscheid maken tussen geldige berichten en spamberichten in de map Out.oud:

• Snelle methode: sorteer de berichten op grootte door in de map Out.oud op de desbetreffende kolomkop te klikken. Verwijder vervolgens de spamberichten.
• Nauwkeurige methode: open een spambericht, zoek een tekenreeks die uniek is voor het spambericht en voer een zoekactie uit op alle berichten om te zoeken naar die tekenreeks. Gebruik hiervoor het veld Met de tekst in het zoekvenster.

Doe het volgende nadat u onderscheid hebt gemaakt tussen de geldige berichten en de spamberichten:

1. Verwijder de spamberichten en stop de service Internet Mail opnieuw.
2. Verplaats de geldige berichten naar de nieuwe map Out en verwijderd het bestand Queue.dat opnieuw.
3. Start de service Internet Mail.

Bij deze procedure worden de berichten die u hebt teruggeplaatst in de map voor levering, opnieuw weergegeven en vervolgens afgeleverd.

Wat moet ik doen nadat de relay is vergrendeld en de wachtrij is opgeschoond?

Zelfs nadat u de relay hebt vergrendeld en de wachtrij hebt opgeschoond, kunnen er ongewenste neveneffecten zijn. Veel SMTP-servers maken gebruik van een functie om gebruikers tegen ongewenste e-mail (spam) te beschermen. Wanneer u een verbinding maakt, controleert een externe server uw IP-adres aan de hand van een lijst met bekende open relays en weigert mogelijk de verbinding als uw IP-adres tot een lijst met geblokkeerde adressen behoort. Uw IP-adres behoort mogelijk tot een blokkeringslijst als uw server als open relay is gebruikt.
De onderstaande lijst bevat enkele van de websites waarbij uw e-mailserver op een blokkeringslijst zou kunnen staan. Als u slechts een van deze sites wilt gebruiken, gebruik u de eerste site in de lijst. Deze site controleert automatisch meerdere sites met blokkeringslijsten met domeinnamen.

• http://www.moensted.dk/spam/
• http://www.dnsstuff.com
• http://www.openrbl.org
• http://www.dsbl.org
• http://www.mail-abuse.com
• http://postmaster.info.aol.com/
• http://www.spamcop.net
• http://ordb.org

Opmerking Kwaadwillende gebruikers en andere gebruikers die spam versturen, vinden altijd wel nieuwe manieren om gebruik te maken van services die als vergrendeld worden gezien. In dit artikel worden methoden beschreven voor het bestrijden van alle soorten misbruik van services die bekend waren op het moment dat het artikel werd gepubliceerd.

Aanbevolen lectuur

Klik voor meer informatie op de volgende artikelnummers in de Microsoft Knowledge Base: