Exchange最新动态  
本文提供了Exchange 2000 Internet部署的建议配置。通过将Internet访问限制在一台机器并将传入的Internet消息限制在一个入口点，该配置在确保intranet安全的情况下实现了Internet访问。该配置为那些小型组织提供了安全的直接Internet访问，并且无需防火墙。  

最佳配置  
下一节详细描述了担当邮件网关的Exchange服务器的建议配置。基本配置由配置了两个网卡的邮件网关组成，该网关担当intranet和Internet间的单一连接点。您需要在一台配置了双虚拟服务器的Exchange服务器上安装SMTP连接器：  

虚拟服务器1的配置：  

将虚拟服务器1配置为SMTP连接器。  
通过外部DNS服务器列表将虚拟服务器配置为使用外部DNS服务器。  
将虚拟服务器与25端口上的一个intranet IP地址绑定在一起。  
输入本地公司域（例如，winery_co.co）。  
注意：如果拓扑结构包含多个Exchange组织，您必须配置虚拟服务器来中继邮件。  

虚拟服务器2的配置：  

将虚拟服务器2配置为不中继邮件（这是默认的配置）。  
将虚拟服务器2配置为允许匿名访问（这是默认的配置）。  
将虚拟服务器2与端口25上的一个IP地址绑定在一起。  
选择本地公司域（例如winery_co.co）。  
将SMTP连接器配置为使用DNS路由连接器上的每个地址空间。将虚拟服务器1配置为SMTP连接器。创建一个"*"或同等的地址空间。  
验证服务器上的两个网络间没有IP路由配置（这是默认的配置）。  
使用两个网卡：一个内部网卡和一个外部网卡。  
邮件流动  
关于intranet到Internet邮件流动的更多信息，请见Exchange 2000的联机文档。  

内部邮件  
通常，上面所述的Exchange服务器不参与内部邮件传输。内部邮件只在内部服务器间流动。  

传入的Internet邮件  
来自Internet的消息指向某个IP地址，而虚拟服务器2监视该IP地址的邮件。虚拟服务器2接收所有传入的Internet邮件。因为该服务器没有配置为中继邮件，所有它拒绝不指向公司域的邮件。当虚拟服务器2接收到发往本地域内部主机的Internet邮件，它将通过内部网卡与Microsoft Active Directory™联系，以确定该消息的目的地。于是，虚拟服务器2收到的消息将直接发给内部主机。  

注意：尽管虚拟服务器2监视来自外部IP地址的邮件，但它使用适合于路由消息的任意IP地址，具体取决于路由表。虚拟服务器2仅使用内部DNS服务进行名字解析。它并没有配置外部DNS服务器列表，所以它并不解析外部地址。它只接收域名为该公司域的消息，本例中即域名为winery-co.co的消息。  

传出的Internet消息  
传出的消息使用虚拟服务器1上的SMTP连接器。外部IP地址通常在内部DNS服务器上不可用。当虚拟服务器1接收到指向远程域的消息时，它使用外部DNS服务器列表来查找消息收件人的IP地址，同时使用外部网卡来投递该外部邮件。很一点很值得注意：尽管虚拟服务器1被配置为监视intranet的IP地址，但它使用Internet网卡处理外部邮件。 下图说明了邮件流经连接器的情况。图中左侧的图表说明了来自intranet用户邮件的流动。  

  

当intranet用户向Internet收件人发送邮件时，该邮件将发往虚拟服务器1。因为SMTP连接器配置了SMTP地址空间"*"，并将虚拟服务器1用作本地桥头，所以发往外部SMTP地址的所有邮件都首先被路由到虚拟服务器1。虚拟服务器1使用外部DNS服务器列表来解析Internet地址，然后将消息路由到Internet收件人的IP地址。  

图右侧的图表说明了指向内部收件人的Internet邮件的流动情况。所有传入的Internet邮件都将发往虚拟服务器2，也就是监视Internet IP地址的服务器。当虚拟服务器2接收到Internet消息时，它将使用内部DNS服务来解析收件人地址。因为虚拟服务器2只使用内部DNS服务，所以它只接收指向本地域（本例中为users@winery-co.co）的消息。此外，因为虚拟服务器2没有配置为中继邮件，所以地址为非本地域的收件人的所有邮件将自动被拒绝。  

安全建议  
使用以下建议来增强本配置的安全性：  

使用Internet Protocol安全（IPSec）策略来过滤Internet网卡上的端口。确保该计算机被配置为只接受来自网卡25端口的入站连接。这样就消除了受Internet主机攻击的可能性。关于IPSec策略的更多信息，请见Exchange 2000资源工具箱或Microsoft Windows® 2000联机文档。  

严格地限制有权登录到该服务器的用户。公司可以减少来自Internet或intranet的入口点，从而限制这一配置的脆弱性。通过禁止Internet上的虚拟服务器将消息中继到其他Internet主机，您实际确保了该虚拟服务器只路由地址为合法内部收件人的邮件。因为虚拟服务器1仅将外部DNS服务器列表用于传出的Internet邮件，而不是用于路由Internet邮件，所以所有内部邮件流通将不受外部DNS服务器故障的影响。无论外部DNS服务器发生了什么问题，本地邮件投递都可以继续进行。通过隔离入站Internet邮件、内部邮件和出站Internet邮件的进程，这三个进程的故障点将保持独立，因而更易于管理。

 本文由职坐标整理并发布，希望对同学们有所帮助。了解更多详情请关注职坐标系统运维之Exchange频道！