Windows Server 2003提供了完整的Internet邮件服务解决方案。管理员只需要使用Windows Server 2003就可以为用户提供SMTP服务和POP3服务,从而使用户可以接受和发送电子邮件。本节为用户介绍在Windows Server 2003中设置电子邮件服务的方法。
Internet电子邮件包括3个部分,分别是SMTP服务、POP3服务和使用POP3的电子邮件客户端。如图8-19所示描述了电子邮件是如何在网络上传送的。
图8-19 电子邮件传送过程
电子邮件传输的步骤具体如下:
(1)发送方使用SMTP客户端连接发送方的SMTP服务器,然后将电子邮件传送到发送方的SMTP服务器上。这一过程使用的是SMTP协议。
(2)发送方的SMTP服务器根据邮件的目标域找到接收方的邮件服务器地址,然后将邮件传送给接收方的邮件服务器。这一过程使用的是SMTP协议。
(3)接收方使用POP3客户端软件从支持POP3的邮件服务器中检索是否收到了邮件。如果找到了新邮件,POP3客户端软件会将电子邮件下载到本地阅读。这就完成了一个邮件发送的过程。这一过程使用的是POP3协议。
Windows Server 2003中的IIS提供了SMTP服务。对于Windows Server 2003的邮件服务,当邮件被复制到拾取目录或通过指定的TCP端口(默认值为25)进入时,它将被放置在队列目录中。如果收件人是本地用户,邮件即被传递。如果收件人不是本地用户,将对邮件进行远程传递处理。
设置SMTP服务的步骤如下:
(1)在“开始”菜单中选择“管理工具”命令,打开“管理工具”窗口,然后双击“Internet信息服务(IIS)管理器”。
(2)在“Internet信息服务(IIS)管理器”中选中要设置的SMTP虚拟服务器,然后在“操作”菜单中选择“属性”命令。
(3)在SMTP虚拟服务器属性对话框中设置“常规”选项卡。
在这一选项卡中,管理员可以设置下列选项。
· IP地址:用户可以通过设置的IP地址连接到这个SMTP虚拟服务器。
· 高级:单击这个按钮,管理员可以为SMTP虚拟服务器设置多个IP地址,和访问SMTP服务的端口。通常情况下不需要修改SMTP服务的端口。
· 限制连接数为:选中这个复选框,可以设置SMTP虚拟服务器允许同时连接的客户端数量。
· 连接超时:设置连接超时的时间。默认时间为10min。
· 启用日志记录:选中这个复选框,可以为SMTP虚拟服务器记录日志。
· 活动日志格式:管理员可以选择记录SMTP活动的日志格式,包括:W3C扩展日志文件格式、ODBC日志记录、NCSA公用日志文件格式和Microsoft IIS日志文件格式。
(4)设置SMTP虚拟服务器属性对话框的“访问”选项卡,如图8-20所示。
图8-20 “访问”选项卡
在“访问控制”选项组中单击“身份验证”按钮,可以设置SMTP的身份验证方式。Windows Server 2003的SMTP服务支持4种方式的身份验证。
· 匿名访问:客户端访问SMTP服务器的时候不需要用户名和密码。
· 基本身份验证:用户名和密码使用明文的方式在网络上发送。网络上大多数的SMTP服务器都是使用这种身份验证方式。这样是不安全的,因为密码很容易被盗取。为了增强安全性,可以设置TSL加密。
· 默认域:SMTP服务器会使用用户的用户名和密码在默认域内进行身份验证。
· 集成Windows身份验证:这种身份验证只有微软的邮件客户端可以使用,包括Outlook Express等软件。
在“安全通信”选项组中,管理员可以单击“证书”按钮为服务器安装、删除和管理证书。单击“通信”按钮,管理员可以设置SMTP服务器是否要求安全通道(SSL)进行通信,并且可以要求SSL使用128位进行加密。
在“连接控制”选项组中单击“连接”按钮,管理员可以设置允许或拒绝访问这个SMTP虚拟服务器的计算机IP地址。
在“中继限制”选项组中,管理员可以设置允许或拒绝通过这个SMTP虚拟服务器中继电子邮件的权限。默认情况下,所有通过身份验证的客户端都可以通过SMTP虚拟服务器传送电子邮件。但是没有通过身份验证的客户端都不能通过SMTP虚拟服务器传送电子邮件。这是一种比较安全的设置。
(5)设置SMTP虚拟服务器属性对话框的“邮件”选项卡,如图8-21所示。
图8-21 “邮件”选项卡
在“邮件”选项卡中,管理员可以设置下列内容。
· 限制邮件大小为:这一设置是虚拟服务器的首选邮件限制。SMTP虚拟服务器可接受的最大邮件大小。如果邮件客户端发送的邮件超过了该限制,将出现错误。如果远程服务器支持EHLO,当它连接到SMTP虚拟服务器时,会检测所通知的最大邮件大小值,并且不会试图发送超过该限制的邮件。相反,它只是简单地向邮件发送人发送一个未传递报告(NDR)。而不支持EHLO的远程服务器将尝试发送超过大小限制的邮件,当邮件无法通过时会终止发送,并给发件人发出一个NDR消息。这一设置的默认值为2 048KB。
· 限制会话大小为:这一设置指的是整个连接过程中可以接受的最大数据量,是连接期间发送的所有邮件的总和(仅指邮件正文)。这一设置的默认值为10 240KB。
· 限制每个连接的邮件数为:这一设置的默认值为20。
· 限制每个邮件的收件人数为:超过这一设置的邮件将不会被传递。这一设置的默认值为100。
· 将未传递报告的副本发送到:当邮件无法发送时,SMTP服务会将它退回给发件人,并附带“未传递报告(NDR)”。也可以将NDR副本发送到这里设置指定的位置。如果NDR无法发送给发件人,邮件的副本将被放置到死信目录。所有NDR与其他邮件的发送过程完全相同,包括重试发送邮件。如果NDR已经达到重试次数限制,但还不能将其发送给发件人,则邮件副本将被放置到死信目录的邮件不能被发送或退回。
· 死信目录:设置死信目录的位置。
(6)设置SMTP虚拟服务器属性对话框的“传递”选项卡,如图8-22所示。
图8-22 “传递”选项卡
在“传递”选项卡中,管理员可以设置与邮件传递有关的配置。
SMTP在发送邮件的时候,如果第一次尝试没有成功,那么会在第一次重试间隔框中设置的时间后再次尝试发送邮件,如果仍然没有成功,那么就会在第二次重试间隔框中设置的时间后尝试发送邮件。如果发送还没有成功,那么就会在第三次重试间隔框中设置的时间后尝试发送邮件。如果仍然没有成功,那么就会按照后续重试间隔框中设置的时间间隔不断地尝试发送邮件。如果总的时间达到了延迟通知中所设置的时间,那么SMTP服务器就会给用户发送一个电子邮件,通知发件人邮件被延迟发送。如果总的时间达到了过期超时中所设的时间,这个邮件就会被认为是死信并通知用户无法传送。
单击“出站安全性”按钮,可以设置SMTP服务器连接到别的SMTP服务器的时候使用什么样的身份验证方式。
单击“出站连接”按钮,可以设置SMTP服务器出站连接的限制,包括最大连接数、超时时间、每个域的连接数和目标服务器的TCP端口。
单击“高级”按钮,在“高级传递”对话框(如图8-23所示)中管理员可以设置下列选项。
图8-23 “高级传递”对话框
· 最大跳数:此文本框内的数值表明电子邮件最多经过几个SMTP服务器的转发。如果在发送的过程中超过了这个数值,电子邮件就会丢弃。
· 虚拟域:虚拟域将替换SMTP协议中“邮件来自于”行使用的本地域名。只在第一次传递时进行替换。
· 完全规范域名:设置SMTP服务器的完全规范域名。
· 中继主机:如果在这个文本框内输入了主机名,那么SMTP服务器会将邮件都传送到中继主机,由中继主机将邮件发送到客户端。管理员也可以选中“在发送到中继主机之前尝试直接传递”复选框,这样SMTP虚拟服务器会首先尝试直接传送邮件,如果传送失败,就会发送给中继主机,由中继主机进行传送。
· 对传入的邮件执行反向DNS搜索:如果选中此复选框,SMTP服务将尝试验证客户端IP地址是否与客户端在EHLO/HELO命令中提交的主机/域相匹配。如果反向DNS搜索成功,“已收到”头将完整保留。如果验证失败,邮件的“已收到”头中的IP地址后面将显示“未验证”。如果DNS搜索失败,邮件的“已收到”头中将显示“RDNS失败”。
(7)设置SMTP虚拟服务器属性对话框的“安全”选项卡。
在此选项卡中,管理员可以设置管理SMTP虚拟服务器的用户和组。
由于设置POP3服务时,在POP3服务中添加域的同时,系统也会自动建立一个SMTP域,因此这里就不介绍如何建立SMTP域了。
POP3服务是一种检索电子邮件的电子邮件服务。管理员可以使用POP3服务存储及管理邮件服务器上的电子邮件账户。
在邮件服务器上安装POP3服务后,用户可以使用支持POP3协议的电子邮件客户端(如Microsoft Outlook)连接到邮件服务器,并将电子邮件检索到本地计算机。POP3服务通常与SMTP服务一起使用,后者用于发送传出电子邮件。
在Windows Server 2003中,设置POP3服务包括以下几个方面:
· 设置邮件服务器的准备工作。
· 建立邮件域。
· 管理邮箱。
在设置POP3服务前,首先应当确定Internet上的其他电子邮件服务器可以将这台电子邮件服务器管理域的邮件传送给这台电子邮件服务器。例如,如果要设置POP3服务的电子邮件服务器管理者company.com域的电子邮件,那么应当确认别的电子邮件服务器可以将发往这个域的电子邮件发送给这台服务器,而不是别的服务器。
SMTP服务会首先查找DNS中的MX记录确认邮件的目标地址。例如,如果一台邮件服务器将要传送邮件给user1@company.com,那么SMTP服务会在DNS服务中查找company.com的MX记录,然后会将邮件传送给MX记录中所记录的主机。这台主机会处理这个邮件,将它保存到本地,或者路由到别的确定的计算机中。
因此,管理员首先应当确认POP3服务所要管理域的MX记录指向了要设置POP3服务的服务器。具体步骤如下:
(1)在“开始”菜单中选择“运行”命令。
(2)在“运行”对话框中输入nslookup,然后单击“确定”按钮。
(3)输入set type=mx,然后按回车键。
(4)输入要设置邮件服务的域名,然后按回车键。
如果查询到的主机名、IP都符合用户要设置的服务器,那么就可以继续设置电子邮件服务器了。
在建立邮件域之前,管理员还需要设置服务器的身份验证方式。一旦设置建立了邮件域,身份验证的方式就无法改变。
Windows Server 2003的POP3服务支持以下3种身份验证方式。
(1)本地账户Windows身份验证。
如果不使用Active Directory,但又想在安装了POP3 服务的本地计算机上创建用户账户,那么可以使用本地Windows账户身份验证将POP3服务和本地系统用户账户联系起来。
成员服务器和独立服务器都可以使用本地Windows 账户身份验证。
本地Windows账户身份验证将POP3服务集成到本地计算机的安全账户管理器(SAM)中。通过使用安全账户管理器,在本地计算机上拥有用户账户的用户,就可使用由POP3 服务和本地计算机进行身份验证的相同的用户名和密码。
本地Windows账户身份验证可以支持服务器上的多个域,但是不同域上的用户名必须唯一。例如,用户名为user@company1.com和user@company2.com的用户不能同时存在。
如果以相应的用户账户创建邮箱,该用户账户就会被添加到“POP3用户”本地组。即使在服务器上拥有用户账户,“POP3用户”组的成员也不能在本地登录服务器。
本地Windows账户身份验证同时支持明文和安全密码身份验证(SPA)的电子邮件客户端身份验证。
明文以不安全和非加密的格式传输用户凭据,所以不推荐使用明文身份验证。而SPA要求电子邮件客户端使用安全的身份验证传输用户名和密码,因此推荐使用该方法取代明文身份验证。
(2)Active Directory集成的身份验证。
可以使用Active Directory集成的身份验证将POP3服务集成到现有的Active Directory域中。如果创建的邮箱与现有的Active Directory用户账户相同,用户就可以使用现有的Active Directory域用户名和密码来收发电子邮件。
如果要安装POP3服务的服务器是Active Directory域的成员或者是Active Directory域控制器,那么可以使用Active Directory集成的身份验证。
可以使用Active Directory集成的身份验证来支持多个POP3电子邮件域,这样就可以在不同的POP3电子邮件域上使用相同的用户名。例如,可以使用名为user@company1.com的用户和名为user@company2.com的用户。
如果使用Active Directory集成的身份验证,并且有多个POP3电子邮件域,那么在创建邮箱时,确保考虑新邮箱的名称与其他POP3电子邮件域中现有邮箱的名称是否相同。每个邮箱与一个Active Directory用户账户对应,该账户同时拥有用户登录名和Windows 2000以前版本的用户登录名。用户登录名为Active Directory用户账户和POP3邮箱的名称。
通常,Windows 2000以前版本的用户登录名与此处的用户登录名相同。然而,当存在与Windows 2000以前版本用户登录名相同的用户账户时,试图创建邮箱和用户账户将会导致命名冲突。Active Directory不支持具有Windows 2000以前版本的同一用户登录名的多个账户。
如果发生命名冲突,邮箱名和电子邮件地址不会受到影响,但是该账户的Windows 2000以前版本的登录名会被修改,从而防止与现有的账户发生任何命名冲突。
如果使用安全密码身份验证,并且发生命名冲突,则必须使用Windows 2000以前版本的登录名进行电子邮件客户端身份验证。
Active Directory集成的身份验证同时支持明文和安全密码身份验证(SPA)的电子邮件客户端身份验证。然而,明文以不安全和非加密的格式传输用户凭据,所以不推荐使用明文身份验证。SPA要求电子邮件客户端使用安全的身份验证传输用户名和密码,因此推荐使用该方法取代明文身份验证方法。
(3)加密密码文件身份验证。
加密密码文件身份验证对于还没有部署Active Directory的大规模部署十分理想,并且从一台本地计算机上就可以很轻松地管理可能存在的大量账户。
域控制器、成员服务器和独立服务器都可以使用加密密码文件身份验证。
使用加密密码文件身份验证,可以在不同的域中使用相同的用户名。但是,不能在一个域中将同一用户名指派给多个邮箱。例如,不能有两个名为user@company1.com的邮箱,但可以使用user@company1.com 和user@company2.com。
加密密码文件身份验证使用用户的密码创建一个加密文件,该文件存储在服务器上用户邮箱的目录中。在身份验证过程中,用户提供的密码被加密,然后与存储在服务器上的加密文件比较。如果加密的密码与存储在服务器上的加密密码匹配,则用户通过身份验证。
加密密码文件身份验证同时支持明文和经过身份验证的POP(APOP)电子邮件客户端身份验证。明文以不安全的、非加密的格式传输用户凭据。因此,不推荐使用明文身份验证。
由于APOP 电子邮件客户端身份验证要求电子邮件客户端同时传输经过安全身份验证的用户名和密码,因此推荐使用该方法取代明文身份验证方法。
如果选择了加密密码文件方式,那么在将来还可以使用winpop.exe命令行工具将加密密码文件身份验证下创建的用户账户,迁移到Active Directory用户账户中。
除了设置身份验证方法外,还需要设置服务器的端口、根邮件目录等服务器属性。只有设置了这些POP3服务器的属性,才能建立邮件域。
设置POP3服务的身份验证方法的步骤如下:
(1)在“开始”菜单中选择“管理工具”命令,然后双击“POP3服务”。
(2)选中要设置身份验证方法的服务器,然后在“操作”菜单中选择“属性”命令。
在服务器属性对话框(如图8-24所示)中,设置身份验证的方法、服务器端口、日志级别、邮件根目录等内容,然后单击“确定”按钮。
图8-24 服务器属性对话框
如果要提供电子邮件服务,就要建立邮件域。建立邮件域的步骤如下:
(1)在“开始”菜单中选择“管理工具”命令,然后双击“POP3服务”。
(2)在“POP3服务管理器”中选中要建立邮件域的服务器,在“操作”菜单中选择“新建”命令,然后选择“域”选项。
(3)设置域的域名,然后单击“确定”按钮。
这样一个邮件域就建立完成了。当一个邮件域不再有用时,管理员也可以删除邮件域。只需选中要删除的邮件域,然后在“操作”菜单中选择“删除”命令即可。
管理邮箱的任务包括添加邮箱、删除邮箱、锁定邮箱和解锁邮箱。
添加邮箱的步骤如下:
(1)在“开始”菜单中选择“管理工具”命令,打开“管理工具”窗口,然后双击“POP3服务”。
(2)在“POP3服务管理器”中选择要添加邮箱的邮件域,在“操作”菜单中选择“新建”→“邮箱”命令。
(3)在“添加邮箱”对话框(如图8-25所示)中输入邮箱名和密码,然后单击“确定”按钮。
删除邮箱、锁定邮箱和解锁邮箱的步骤如下:
(1)在“开始”菜单中选择“管理工具”命令,打开“管理工具”窗口,然后双击“POP3服务”。
图8-25 “添加邮箱”对话框
(2)在POP3服务管理器中选择要管理邮箱所在的邮件域。
(3)选中要进行删除、锁定或解锁的邮箱,然后在“操作”菜单中选择相应的命令。
(4)如果要删除邮箱,则在提示框中单击“是”按钮确认删除。