exchange限制邮件发收外网
2007-02-10 11:50:23
 标签: Exchange    [ 推送到技术圈]

在你的系统管理员的工作中,可能需要阻止邮箱用户通过Internet收发邮件,  以下这篇文章的描述将帮助你达成这个任务。    
限制用户将邮件发送到Internet
       为了限制用户发送邮件到Internet,我们需要创建一个SMTP  Connector(  连接器),因为你不能在SMTP  Virtual  Server上设置这种限制。
       1、在Activery  Directory  Users  and  Computers管理程序里,创建一个邮件支持组,给一个有意义的组名,我们就取组名叫  No  Intenert  Mail  吧。
       2、将不许发送邮件到Internet的用户增加到这个刚创建的组。
现在我们需要创建一个SMTP  Connector(  连接器)。
       1、打开  Exchange  System  Manager  (ESM),定位到Connectors。
20031031204157.gif
2、右击Connectors,选择  新建->SMTP  Connector,在弹出来的属性对话框中的General选项卡中,写上新建的SMTP  Connector的名称,在本例我们就写  Default  SMTP  Connector。
20031031204250.gif
3、我们现在把新建的SMTP  Connector  和SMTP  Virtual  Server关联起来,在General选项卡的Local  bridgeheads(本地桥头服务器)中按"Add..."按钮,在展现出来的SMTP  Virtual  Server列表里选择本地的SMTP  Virtual  Server,增加到本地桥头服务器列表。

20031031204334.gif
、下一步是设置新建SMTP  Connector的Address  Space地址空间,这Address  Space就是SMTP  Connector发送邮件能到达位置的列表,选择Address  Space选项卡,按"Add..."按钮,在弹出的“Add  Address  Space”选择框中选择SMTP。

5、接下来的“Internet  Address  Space  Properties”对话框中,E-mail  Domain的值保留为"*",这确保SMTP  Connector能发送邮件到任何SMTP域。
20031031204416.gif
 我们现在来限制已经建立的  No  Intenert  Mail  组不能发送邮件到Internet。
6、选择Delivery  Restrictions选项卡,增加  No  Intenert  Mail  组到Reject  messages  from列表,如下图所示:
2003103120457.gif
7、点击确定退出Default  SMTP  Connector属性框。
如此设置后,当在No  Intenert  Mail  组里的某个用户试图发送邮件到Internet时,将反馈如下信息:
Your  message  did  not  reach  some  or  all  of  the  intended  recipients.[/center]
Subject:
Sent:        18/10/2003  10:29  PM
The  following  recipient(s)  could  not  be  reached:
' [email]test@yupai.net[/email]'  on  18/10/2003  10:29  PM
You  do  not  have  permission  to  send  to  this  recipient.    For  assistance,  
contact  your  system  administrator.

所以,如果我们要限制某个用户发送邮件到Internet,只需要把该用户放到No  Intenert  Mail  组里即可。
现在我们来看看怎样限制用户从Internet接收邮件,这种限制的设定比限制用户将邮件发送到Internet的设定要复杂些。  
我们将继续以已创建的No  Intenert  Mail  组来操作。
 
为了阻止用户接收来自Internet的邮件,需要给用户一个虚假的SMTP地址,这样,经由SMTP发来的邮件不知道将把它发到什么邮箱,邮件将被返回给发送者。
我们对此设定有两个方法,一、手工具体定制某个用户的SMTP地址,二、用收件人策略来应用SMTP地址,我们在本例用第二个方法来设定。
 
当你创建一个基于组成员的收件人策略时,收件人策略筛选器要求写入组成员的Distinguished  Name(DN)属性值。所以我们首先要知道组成员  No  Intenert  Mail  的DN属性值。
我们可以使用ADSIEDIT工具来获的组成员  No  Intenert  Mail  的DN,ADSIEDIT工具是Windows  2000  支持工具集里的其中一个工具,能在Windows  2000  安装CD盘的SUPPORT\TOOLS目录里找到。
 
注意:请小心使用  ADSIEDIT  ,稍有不慎,将会带来严重的灾难。
       1、  打开ADSIEDIT。
       2、找到    No  Intenert  Mail  所在的组织单元,在本例中,它是在Users单元里,如下图所示:

图片如下:
2003103120474.gif
3、在右边的列表中找到  CN=No  Intenert  Mail  的组,右击选择属性。
       4、在属性框,从Select  a  property  to  view下拉列表中选择distinguishedName,在value(s)字段显示的就是组成员No  Intenert  Mail  的DN属性值。
       5、记下value(s)字段显示的No  Intenert  Mail  的DN值。
       6、关闭ADSIEDIT
 
现在,我们准备创建基于组成员的接收人策略,这个策略将提供虚假的SMTP地址给No  Intenert  Mail  组里的所有用户。  
       1、打开Exchange  System  Manager(ESM)。
       2、找到Recipient  -〉Recipient  Policy。
2003103120483.gif
3、选中Recipient  Policies  ,右击选择新建-〉  Recipient  Policy...
       4、在New  Policy对话框里仅选择E-Mail  Addresses复选框。
       5、命名你的策略名,在本例我们命名为  No  Intenert  Mail  policy。
       6、现在来指定筛选条件,要仅应用策略给属于No  Intenert  Mail  组的用户成员,我们点击“Modify”按钮做以下操作:
       7、在弹出的“查找Exchange  Recipients”对话框的General选项卡里,清除所有的复选框,除了Users  with  Exchange  Mailboxes保持选择。
20031031204841.gif
 8、选择“高级”选项卡,点击“字段”按钮,选择用户-〉组成员。
       此主题相关图片如下:
20031031204945.gif
9、在“条件”下拉列表,选择为(完全一致)  。
       10、在“值”字段里,填写之前通过ADSIEDIT获得的No  Intenert  Mail  组的DN,点击“添加”按钮。

   此主题相关图片如下:
20031031205031.gif
 11、你可以点击“开始查找”按钮去测试是否正确显示
组里的用户成员,如果每件事都OK了,点击“确定”退出“查找Exchange  Recipients”对话框。
       12、返回到No  Intenert  Mail  policy属性框,选择E-Mail  Addresses  (Policy)选项卡。
       13、点击“New...”,在提供的列表里选择SMTP  Address。
       14、在SMTP  Address  Properties对话框里的Address字段,输入包括@符号、带虚假域名的邮件地址后缀。在本例我们输入:@fakedomain.local
20031031205114.gif
15、点击确定接受新的SMTP地址,返回E-Mail  Addresses  (Policy)选项卡。
       16、在Generation  rules列表中选择刚建的虚假SMTP地址,然后点击“Set  as  Primary”按钮,这虚假SMTP地址将以粗体字显示。
       17、选择剩下的其他SMTP地址,点击“Remove”按钮移除它们。
       注意:不要移除  X.400  地址。

20031031205146.gif
18、点击确定退出Recipient  Policy框,你将被提示应用这个新建的策略,点击是。
我建议你现在强制应用新建的收件人策略,右击新建的策略,选择“Apply  this  policy  now...”。
 
如果在创建新收件人策略之前,No  Intenert  Mail  组里已经有用户,这些用户将仍然有一个有效的SMTP地址,
20031031205310.gif
   所以在Active  Directory  Users  and  Computers,选择你希望不接收来自Internet邮件的用户,移除他们在创建策略之前就有了的SMTP地址。在创建策略后新建并且立即放入
No  Intenert  Mail  组里的用户,不会产生有效的SMTP地址。

---------------
附件:
一.请注意执行以下个修注册表操作:
1.Start Registry Editor (Regedt32.exe).
2.Locate and click the following registry key:
 HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Resvc/Parameters/ 
3.On the Edit menu, click Add value, and then add the following registry value:
 value Name: CheckConnectorRestrictions
 Data Type: REG_DWORD
 Radix: Hexadecimal
 value: 1 
4.Quit Registry Editor.
5.Restart the Microsoft Exchange Routing Engine service and the Simple 
Mail Transfer Protocol (SMTP) services for this change