由于 Windows Server 2003 默认是没有安装我们搭建邮件服务器所需要的 POP3 和 SMTP 服务的，因此需要我们自己来安装。方法如下：

1. 将 Windows Server 2003 的系统光盘放入光驱，或者将镜像文件挂载到虚拟光驱。在控制面板中点击 “添加或删除程序”，在 “添加或删除程序” 对话框中，点击 “添加 / 删除 Windows 组件”。Hn     

2. 在 “Windows 组件向导” 中，需要进行如下操作：

① 安装 POP3 服务。

选中 “电子邮件服务”，双击打开，会看到它包括 “POP3 服务” 和 “POP3 服务 WEB 管理” 两项内容，请确保两项均被选中。如下图：

② 安装 SMTP 服务。

选择 “应用程序服务器”→“Internet 信息服务（IIS）”，在 “Internet 信息服务（IIS）” 对话框中找到 “SMTP Service”，确保它已经被选中。如下图：

③ 点击 “下一步” 进行安装。

至此，我们搭建邮件服务器所需的服务已经安装完成。

接下来，我们需要对自己的邮件服务器进行配置。

一、配置 POP3 服务。

1. 点击 “开始”→“管理工具”→“POP3 服务”，打开 “POP3 服务” 窗口。

2. 新建域。在窗口左侧 “POP3 服务” 下的本机主机名上右击，选择 “新建”→“域”。在弹出的 “添加域” 对话框中输入自己需要建立的邮件服务器的主机名，即邮箱地址中 “@” 后面的部分，如：wgcunion.com。点击 “确定” 按钮完成域的创建。如下图：

3. 新建邮箱。在窗口左侧选择刚刚创建好的新域，如：wgcunion.com，右击，选择 “新建”→“邮箱”，在弹出的 “添加邮箱” 对话框中设置自己的邮箱。如：邮箱名为 aaron，密码为 aaron。点击 “确定” 按钮完成。如果需要在本域下创建多个邮箱，则重复进行操作即可。至此邮箱创建完毕。如下图：

4. 设置用户邮箱空间

在基于 Windows Server 2003（SP1）系统的邮件服务器中，邮箱名和 Windows 系统用户账户是一一对应的。因此可以通过设置系统用户的磁盘配额来设置相对应的邮箱用户的邮箱空间，操作步骤如下所述：

        Step1  以系统管理员（如 Administrator）身份登录 Windows Server 2003（SP1）系统。打开 “我的电脑” 窗口，右键单击邮件根目录所在的 NTFS 分区（如 D 盘），选择【属性】命令。

        Step2  在打开的 “本地磁盘（D：）属性” 对话框中，切换到【配额】选项卡。选中【启用配额管理】和【拒绝将磁盘空间给超过配额限制的用户】复选框，然后选中【将磁盘空间限制为】单选钮，并按计划输入限制使用的空间大小（如 100MB）和警告等级（如 90M），如图 7-187 所示。

图 7-187  【配额】选项卡

        Step3  单击【配额项】按钮，打开 “本地磁盘（D：）的配额项” 窗口。依次单击【配额】→【新建配额项】菜单命令，打开 “选择用户” 对话框。依次单击【高级】→【立即查找】按钮，在搜索结果列表中选中邮箱用户，并依次单击【确定】→【确定】按钮，如图 7-188 所示。

图 7-188  选中邮箱用户

        Step4  打开 “添加新配额项” 对话框，选中【将磁盘空间限制为】单选钮，并设置限制空间大小和警告级别。完成设置后单击【确定】按钮，如图 7-189 所示。

图 7-189  “添加新配额项” 对话框

        Step5  返回 “本地磁盘（D：）的配额项” 窗口，在窗口中显示出所创建配额项的详细信息。关闭 “本地磁盘（D：）的配额项” 窗口，并在 “本地磁盘（D：）属性” 对话框中单击【确定】按钮，如图 7-190 所示。

图 7-190  “本地磁盘（D：）的配额项” 窗口

二、配置 SMTP 服务。

1. 选择 “开始”→“管理工具”→“Internet 信息服务（IIS）管理器”。

2. 在 “Internet 信息服务（IIS）管理器” 窗口的左侧选择 “默认 SMTP 虚拟服务器”，右击，选择 “属性”。

3. 在 “属性” 对话框中的 “常规” 选项卡中，将 IP 地址设置为本邮件服务器的 IP 地址。也可以对最大连接数和日志记录等进行设置，我们保持默认。然后点击 “确定” 完成配置。如下图：

至此，我们已经用 Windows Server 2003 搭建好了一个简单的邮件服务器，下面的任务，就是用 Outlook 等邮件客户端工具来进行连接了。

配置 Outlook 等客户端工具的方法如下，Aaron 仅以 Windows Server 2003 自带的 Outlook Express 来进行演示，其他客户端工具配置方法类似：

1. 打开 Outlook Express，添加一个新账户。如下图：

2. 在 “电子邮件地址” 中填入之前设置的邮件地址，如：aaron@wgcunion.com。如下图：

3. 在 “电子邮件服务器” 中进行设置，“接收邮件服务器” 和 “发送邮件服务器 ” 处均填入邮件服务器的 IP 地址，如：192.168.31.9。如下图：

4. 在 “Internet 邮件登陆” 中填入之前设置的用户名和密码。例如 Aaron 设置的用户名和密码均为 “aaron”。另外，“使用安全密码验证登陆” 一项一定要选中，否则在连接时会报错。如下图：

5. 接下来，点击 “完成”，就可以用新的邮件服务器收发邮件了。

如果你的朋友们和你处在同一个局域网中，便可以用这种方法来搭建一个简易的邮件服务器，以上只能在局域网内发送接收邮件，如何让局域网内的用户向外网发送邮件呢？

配置 POP3 和 SMTP

9）以上只能在局域网内发送接收邮件，如何让局域网内的用户向外网发送邮件呢？

    再服务器 IIS 控制台操作：

  点击 “属性”

点击 “中继”，即把内部网络的邮件中继出外部网络。默认没有启用中继功能。中继如下图设置

      说明：点击单选框 “仅以下列表除外（X）：当列表为空时，说明可以中继任何外部的邮件，切记平时我们不能真正这么做，否则不到几个小时，邮件服务器崩溃，我们适合的添加外部网络。

如果选择了 “允许所有通过身份验证的计算机进行中继，而忽略上表” 复选项，则凡是通过了身份验证的计算机账户，都可以使用该服务器的中继服务，不再考虑上面的限制列表。但如果不是通过了身份验证的计算机账户，则仍按上面的限制列表执行。

10）我们现在想外部网发送邮件：下图证明外部邮件已经发送成功，局域网用户可以使用这台邮件服务器互相发送电子邮件。如果邮件服务器绑定了 Internet 中的公网 IP 地址，还可以为 Internet 用户提供电子邮件服务。

11）下面我们对发送的邮件进行限制：

     说明：下图可以

1） 用户连接邮件服务器的数量

2） 连接超时时间

3） 是否启用日志记录

12）身份验证：如果选择了 “匿名访问” 复选项，则允许所有客户端无须用户名和密码地通过访问 SMTP 服务器向外发送邮件。通过选中此选项并清除其余两个选项，可以禁用该虚拟服务器上的其他身份验证。但通常出于安全考虑，不这样配置。

如果选择 “基本身份验证” 复选项，则可以启用 “基本（明文）” 密码验证。对于基本身份验证，账户名和密码将以明文形式传输。另外，还需要在 “默认域” 文本框中指定一个域附加在账户名之后以便进行身份验证，如域为 grfw.local，用户名为 winda，则完整的用户域名就为 winda@grfw.local。如果选择了 “需要 TLS 加密” 复选项，则要求使用 “传输层安全（TLS）” 技术加密传入邮件。

如果选择了 “集成 Windows 身份验证” 复选项，则会启用 Microsoft .NET Server 系列产品提供的标准安全机制。这种安全机制使企业为用户提供安全登录服务成为可能。已在内部系统使用 “集成 Windows 身份验证” 的虚拟服务器可以通过使用单一、公共的安全机制而受益。“集成 Windows 身份验证” 方式使用加密技术对用户进行身份验证，并且不要求用户通过网络传输真实的密码。但要注意，选择使用 “集成 Windows 身份验证” 方式 ，则要求邮件客户端必须支持此身份验证方法。Microsoft Outlook Express 客户端支持 “集成 Windows 身份验证” 方式

13）阻止某客户端连接 SMTP 服务器，我们阻止客户机 IP 地址为：192.168.7.26 连接 SMTP 服务器，当这个客户端发送邮件时，需要连接 SMTP 服务器，而服务器阻止了它，当这个客户机发送邮件时失败。当然你也可以阻止一组计算机或者阻止一个来自某个域名邮件的发送。如果全部未配置，则默认允许所有人连接使用 SMTP 虚拟服务器，通常不需要配置。

14）下图说明：主要防止 SMTP 被 SMTP 服务器被滥用

（1）限制邮件大小：2048，超出这个大小，邮件发送失败。

（2）限制会话大小为：设置整个连接过程中接受的最大数据量（以千字节为单位），它是连接过程中发送的所有邮件的总和（仅限于邮件正文）。设置此最大值时必须特别谨慎，因为连接邮件传输代理（MTA）可能会反复提交邮件，默认大小为 10240KB。此数值应该大于或等于 “限制邮件大小为（KB）” 的数值。若要不加限制，请清除此复选框的选择。

（3）限制每个连接的邮件数为：可以限制在一次连接中发送的邮件数，默认值为 20 封。利用这种方法，可以通过多个连接向远程域发送邮件，从而提高系统性能。达到所设定的限制之后，系统将自动打开一个新的连接，并继续传输邮件，直到所有邮件传递完毕。要禁用此功能而不设置此限制，请清除此复选框的选择。

（4）限制每个邮件的收件人数为：限制每封邮件最大多少人接收。

（5）死信目录：设置在到达了重试次数限制，而仍不能将无法发送邮件的 NDR 发送给发件人时，将此邮件的一个副本发送到的一个目录位置，这就是死信目录。死信目录中的邮件不能被传递或返回。请定期检查此目录并处理这些邮件，因为一个满的目录会对 SMTP 服务性能带来负面影响。

（6）使用 “LDAP 路由” 选项卡指定用于 SMTP 虚拟服务器的目录服务器的标识和属性，目录服务存储与邮件客户端及其邮箱有关的信息。SMTP 虚拟服务器使用 “轻便目录存取协议（LDAP）” 与目录服务进行通信。

（7）在 “将未传递报告的副本发送到” 文本框中，可以设置将有无法传递的邮件时的 NDR 副本发送到一个特定的 SMTP 信箱。同时系统会将无法投递的邮件返回发件人，并附上一个未传递报告（NDR）。

（7）使用 “安全” 选项卡将 Windows 用户账户和组添加到 SMTP 虚拟服务器操作员列表中，操作员有权限访问并配置 SMTP 服务器。系统默认是系统管理员组（Administrators）、安装终端服务后创建的 “Local Service”（本地服务）和 “Network Service”（网络服务）这 3 个组的成员。如果没有终端服务器，可删除 “Local Service” 和 “Network Service” 这两个组。当然也可以把其他用户和组成员添加到列表中，使他们成为 SMTP 服务器的操作员。

15）邮件发送传递设置：

16）出站连接设置：

17）点击 “高级”，说明：邮件服务器把接收到得邮件传送给一个智能中继主机，所有外出的邮件由中继主机转发出去。

18 授予哪些用户对 SMTP 服务器什么权限

19）配置 POP3 服务器：

   （1）在 “日志级别” 下拉列表框中有 4 种日志级别选择，如果选择 “无” 选项，则不记录 POP3 服务事件；如果选择 “最小” 选项，则记录 POP3 服务关键事件（本示例选择该选项）；如果选择 “中” 选项，则记录 POP3 服务关键和警告事件；如果选择 “最大” 选项，则记录 POP3 服务关键、警告和信息事件。

   （2）在 “根邮件目录” 文本框中，可以配置邮件服务器用来存储客户端邮件的目录，在此要输入邮件存储区的路径。系统默认路径为系统区下的 \Inetpub\mailroot\Mailbox，最好不要改，这样更便于对所有应用服务器的管理。不过，要注意，这个路径的最大值为 260 个字符。而且，邮件存储区必须是一个本地文件系统的目录，或者是通用命名约定（UNC）路径，也就是网络共享路径，不支持磁盘映射。

   （3）如果选择了 “对所有客户端连接要求安全密码身份验证（SPA）” 复选框，则要求连接到该 POP3 服务器的所有电子邮件客户端进行安全身份验证。

   （4）如果选择了 “总是为新的邮箱创建关联的用户” 复选框，则在 POP3 服务器中创建了新邮箱时自动创建与在 Active Directory 或本地计算机中的邮箱名相对应的用户。系统默认选择此复选框，否则创建用户邮箱就没有意义了，因为此处采用的是与 Active Directory 集成的身份验证方式。

20）在服务器上限制用户存储邮件的容量：因为邮件默认下存放在 C 盘下。

POP3 邮件系统如果是使用 Active Directory 集成的身份验证或本地 Windows 账户身份验证，创建邮箱时将默认创建配额文件。

配额文件的创建步骤很简单，只需进入命令提示符状态，输入 winpop createquotafile username@domain [/user:username] 命令，其中的 “winpop createquotafile” 命令是用于创建配额文件的；username@domain 参数用来指定创建配额文件的用户；/user:username 参数用于关联现有用户账户的配额文件创建配额文件。

Ps: 中继详解

4.4  邮件中继配置

如果要将邮件发送到外网，不是在本地域系统中（如发送因特网邮件），则需要配置 SMTP 的邮件中继功能。这里不仅涉及邮件中继功能的使用，还涉及诸如出站身份验证、传递连接数限制及传递目标域等方面。下面分别予以介绍。

4.4.1  SMTP 中继功能使用限制

在企业网络中，通常不是允许所有用户都可以向外发送邮件，在 POP3 邮件系统中，可以通过中继限制功能来实现，具体步骤如下。

（1）单击图 4-19 所示对话框中的 “中继限制” 选项组中的【中继】按钮，弹出如图 4-32 所示的对话框。在这里设置可以使用该 SMTP 虚拟服务器作为 SMTP 中继服务器的客户端计算机账户，以限制客户端向外发送邮件。

（2）如果允许使用 SMTP 中继功能的用户较少，则选择 “仅以下列表” 单选按钮，然后单击【添加】按钮，弹出如图 4-33 所示的对话框。在这里有几种配置方式，如果要添加单个计算机账户，则选择 “单台计算机” 单选按钮，然后在下面的 “IP 地址” 文本框中输入该计算机的 IP 地址。重复进行以上操作，每次添加一个，直到所有允许使用 SMTP 中继功能的计算机账户都添加完毕。如果要允许某一子网中的所有计算机账户使用 SMTP 中继功能，则选择 “计算机组” 单选按钮，然后在下面的 “子网地址” 文本框中输入相应子网的网络地址，在 “子网掩码” 文本框中输入相应子网的子网掩码。如果要允许某个域中所有计算机账户使用 SMTP 中继功能，则选择 “域” 单选按钮，然后在下面的 “名称” 文本框中输入相应域的名称。

 

图 4-32 “中继限制” 对话框 图 4-33 “计算机” 对话框

如果不允许使用 SMTP 中继功能的用户较少，则要在图 4-32 所示的对话框中选择 “仅以下列表除外” 单选按钮，然后再单击【添加】按钮，同样会弹出如图 4-33 所示的对话框。配置方法与上面选择 “仅以下列表” 单选按钮时介绍的一样，在此不再赘述。只不过此处添加的计算机账户属于不允许使用 SMTP 中继功能的。

（3）单击【确定】按钮返回到如图 4-32 所示的对话框。如果同时选择了 “允许所有通过身份验证的计算机进行中继，而忽略上表” 复选框，则凡是通过了身份验证的计算机账户，都可以使用该服务器的中继服务，不再考虑上面的限制列表。但如果不是通过了身份验证的计算机账户，则仍按上面的限制列表执行。

4.4.2  邮件出站传递配置

在使用 SMTP 中继功能向外发送邮件时，也需要对 SMTP 虚拟服务器进行必要的设置。

1．出站连接基本属性设置

出站连接基本属性的设置方法是在图 4-34 所示的 SMTP 虚拟服务器属性对话框的 “传递” 选项卡中进行配置的。

“出站” 选项组中的选项是用来设置 SMTP 虚拟服务器向外发送邮件时的连接属性的，其中包括重试连接时间间隔、允许邮件在网络上传递的延迟时间（过了这个时间会发出通知）和邮件发送超时的时间（超过了这个期限则不再尝试发送）。“本地” 选项组中的两个选项是用来设置在本地延迟通知的时间和过期超时的时间，只不过，此处设置的是针对本地网络中的邮件传递。

2．出站连接身份验证设置

除了以上基本属性设置外，还可以配置 SMTP 虚拟服务器出站连接的其他属性，如接收邮件服务器所要求的身份验证、出站连接和出站连接的目标域。

在图 4-34 所示的对话框中单击【出站安全性】按钮，弹出如图 4-35 所示的对话框，出站身份验证的设置就是在这里进行的。

 

图 4-34 “默认 SMTP 虚拟服务器属性” 对话框 图 4-35 “出站安全性” 对话框

在这里也有 3 类可用的身份验证：匿名、基本（明文）和集成 Windows 身份验证。但这里的身份验证配置与图 4-20 所配置的身份验证方式不一样，图 4-20 配置的是邮件客户端访问 SMTP 虚拟服务器要发送邮件时所需要的身份验证方式，此处的身份验证是在本地 POP3 邮件系统中进行的。而出站传递身份验证配置的是 SMTP 虚拟服务器访问对方接收邮件服务器时所需要的身份验证方式。匿名方式不需要进行身份验证；选择明文方式，则需要指定用户所连接的服务器的账户名称和密码，以明文方式进行传输；选择集成 Windows 身份验证方式，则也要求提供 Windows 账户名称和密码，以便在对方接收邮件服务器上进行身份验证。表 4-4 描述了几个配置示例。

表 4-4  SMTP 虚拟服务器身份验证方式选择示例

SMTP 传输

身份验证选项

通常将邮件发送到多个地址

禁用 SMTP 虚拟服务器的验证。如果到某个地址的邮件传递操作由于身份验证要求而失败，则为该地址添加一个远程域。然后，在服务器要求的相同级别上启用该域的身份验证

通常将邮件发送到某个地址（要求进行身份验证）

确定连接所需的身份验证级别。然后，使用相同的级别启用 SMTP 虚拟服务器的身份验证。如果随后要将邮件发送到其他地址，则建立远程域并设置不同的身份验证选项。如果使用此选项，则使用的账户名可能就是用于标识设置为中继主机的计算机的账户名

如果选择 “匿名访问” 单选按钮，则 SMTP 虚拟服务器向外发送邮件时就不需要进行身份验证了，当然这要求对方的接收邮件服务器支持匿名访问才行。

如果选择的是 “基本身份验证” 单选按钮，将以明文形式传输正在连接的服务器的账户名和密码。此选项要求在下面的 “用户名” 和 “密码” 文本框中配置用户名和密码，也可通过单击【浏览】按钮，在弹出的对话框中选择用户。此设置应与接收服务器的传入（POP3）身份验证要求相匹配。

如果选择的是 “集成 Windows 身份验证” 单选按钮（本示例选择该选项），此选项要求提供 Windows 用户账户名和密码。此项身份验证方式也需要配置用于身份验证的用户名和密码，同样也可通过单击【浏览】按钮，在弹出的对话框中选择用户，此设置也应与接收服务器的传入身份验证要求相匹配。如果要使用 SMTP 虚拟服务器的中继服务，就必须选择 “集成 Windows 身份验证” 的验证方式。

如果在选择以上身份验证方式的同时选择了 “TLS 加密” 复选框，则要求所有传出邮件都使用 “传输层安全（TLS）” 进行加密。

选择并配置好身份验证方式后，单击【确定】按钮即可完成出站身份验证设置。

从以上的身份验证方式配置可以看出，这种 POP3 邮件系统通常仅适用于局域网内部，因为为公众服务的因特网邮件服务器很少使用这种简单的 POP3 邮件系统，也可能不支持以上 3 种身份验证方式。况且此处的身份验证是适用于 POP3 邮件域中所有账户，更是很少见。

3．出站连接配置

在图 4-34 所示对话框的 “传递” 选项卡中单击【出站连接】按钮，弹出如图 4-36 所示的对话框，出站连接配置就是在这里进行的。

对于出站连接，在 “限制连接数为” 文本框中，定义可同时连接到远程域的出站连接总数。此复选框默认被选择，默认限制是 1 000。最小连接数为 1。对于传入和传出连接，必须选中此复选框，相应限制才能生效。

在 “超时（分钟）” 文本框中指定一个时间，如果某一连接在该时间段始终处于非活动状态，则 Microsoft SMTP Service 将关闭此连接。对于传入和传出连接，默认时间都是 10 分钟。

在 “限制每个域的连接数为” 文本框中，限制可以连接到单个远程域的传出连接数，默认值为 100。此数值应小于或等于为 “限制连接数为” 设置的值。

在 “TCP 端口” 文本框中指定用于传出传输的 TCP 端口。默认端口是 SMTP 标准 TCP 端口 25，不要更改。

4．出站连接目标域设置

在图 4-34 所示对话框的 “传递” 选项卡中单击【高级】按钮，弹出如图 4-37 所示的对话框，出站连接目标域设置就是在这里进行的。在传递邮件时，邮件在到达最终目的地前可能要经过多个服务器，在 “最大跳数” 文本框中可以指定允许邮件通过的服务器数目，通常称为 “跳数”。设置跳数之后，SMTP 虚拟服务器将对邮件头的 “已收到” 行中的跳数进行计数。当 “已收到” 字段的数值超过最大跳数设置时，邮件将被退回发件人，并附有未传递报告（NDR）。默认跳数值为 15。在 “虚拟域” 文本框中，设置出站连接目标虚拟域名将替换协议中的 “邮件来自于” 行中的本地域名，可不配置。在 “完全规范域名” 文本框中，设置 SMTP 虚拟服务器的完全合格域名。通常系统默认显示了，不用另外配置。

可以使用两个记录标识并验证 TCP/IP 网络中的计算机。邮件交换程序（MX）记录标识主机及与计算机相关的域名，域名将使用完全规范域名（FQDN）；地址（A）记录标识计算机的 IP 地址。同时使用这两个记录时，名称解析速度更快。

必须为要处理 MX 记录的 Microsoft SMTP Service 指定一个 FQDN。FQDN 被 DNS 用来标识域的主机服务器，语法为 host.domain。例如：CompanyA.com 可能具有数个主机服务器，其中之一名为 Server01，则此服务器的 FQDN 为 Server01.CompanyA.com。

若要指定 FQDN，可以双击 “控制面板” 中的 “系统” 图标，在弹出的对话框中切换到 “计算机名” 选项卡，如图 4-38 所示，在这里可以指定名称；或者为正在配置的 SMTP 虚拟服务器指定唯一的 FQDN。启动时，在 “系统属性” 对话框的 “计算机名” 选项卡上指定的名称将自动用于 FQDN。如果手动或通过加入域更改名称，新名称将在下次启动计算机时自动用于 FQDN，而无须执行任何操作来更新 SMTP 虚拟服务器的 FQDN。

 

图 4-37 “高级传递” 对话框 图 4-38 “计算机名” 选项卡

若要覆盖自动使用的 “计算机名” 选项卡上的计算机及域名，请在这里的 “高级传递” 选项卡上更改 FQDN，但一定要通过单击【检查 DNS 名】按钮检查所设置的名称是否有效。然后，Microsoft SMTP Service 将使用指定的名称而不是 “计算机名” 选项卡上指定的名称。

在图 4-37 所示的对话框中的 “中继主机” 文本框中可以设置邮件传递的中继主机，这样就可以通过中继主机将所有传出邮件路由到远程域，而不是直接发送。这种邮件路由连接方式比其他路由方式更直接、成本更低。中继主机类似于远程域的路由域选项，区别在于指定中继主机之后，所有传出邮件都将路由到此服务器，而使用路由域时，只有远程域的邮件被路由到特定服务器。

即使设置了中继主机，仍可以为远程域指定一个不同的路由。路由域设置将覆盖中继主机设置。在此输入 FQDN 或 IP 地址以标识中继主机。如果使用 IP 地址，请将它用 “【】” 括起来以提高系统性能。Microsoft SMTP Service 首先检查名称，然后检查 IP 地址。括号将该值标识为 IP 地址，从而绕过 DNS 搜索。

配置了中继主机以后，“在发送到中继主机之前尝试直接发送” 复选框才会生效。选择此复选框时，Microsoft SMTP Service 会在将远程邮件转发到中继主机服务器前尝试直接发送。默认设置是将所有远程邮件发送到中继主机，而不是直接发送。

如果选择了 “对传入的邮件执行反向 DNS 搜索” 复选框，则 Microsoft SMTP Service 将试图验证客户端 IP 地址是否与 EHLO/HELO 命令中客户端提交的主机 / 域相匹配。如果反向 DNS 搜索成功，“已收到” 头将完整保留；如果验证失败，邮件的 “已收到” 头中的 IP 地址后面将显示 “未验证”；如果 DNS 搜索失败，邮件的 “已收到” 头中将显示 “RDNS 失败”。

但需要注意的是，由于此功能将验证所有传入邮件的地址，所以使用它会影响 Microsoft SMTP Service 的性能。

相关知识点：

一、 知识要点：

1．SMTP，Simple Mail Transfer Protocol，简单邮件传输协议。

SMTP 通常用于把电子邮件从客户机传输到服务器，以及从某一服务器传输到另一个服务器。默认使用 TCP 端口为 25。配置了 SMTP 协议的电子邮件服务器称为 SMTP 服务器。

2．POP3，Post Office Protocol，邮局协议，目前是第 3 版

    提供信息存储功能，负责为用户保存收到的电子邮件，并且从邮件服务器下载取回这些邮件。 默认使用 TCP 端口 110。

3. IMAP4，Internet Message Access Protocol，网际消息访问协议，目前是第 4 版，使用 IMAP 时，用户可以有选择地下载电子邮件，甚至只是下载部分邮件。

4. MIME，多用途的网际邮件扩展

MIME 增强了在 RFC 822 中定义的电子邮件报文的能力，允许传输二进制数据。

声音、图象、中文等使用 8 为二进制编码的电子邮件

5. 邮件传输的过程：

1）当用户要发送电子邮件时，首先利用用户界面生成邮件，然后使用 SMTP 协议把邮件发送到 SMTP 服务器上。

2） SMTP 服务器根据邮件收信人的地址，使用 SMTP 协议把邮件转发到收信人的 POP3 服务器上。

3） 收信人使用 POP3 协议从自己的邮件服务器上接收邮件。

     6．安装 POP3 和 SMTP 服务：

        1）安装 POP3 服务：制面板 --- 添加删除程序 --- 添加删除组件 --- 电子邮件服务

        2）安装 SMTP 服务：制面板 --- 添加删除程序 --- 添加删除组件 --- 应用程序服务器 ---Internet 信息服务（IIS）---SMTP Service

     7. POP3 服务器 身份验证：POP3 服务提供三种不同的身份验证方法来验证连接到邮件服务器的用户，即本地 Windows 账户身份验证、Active Directory 集成的身份验证和加密密码文件身份验证。

1） 本地 Windows 账户身份验证：“本地 Windows 账户身份验证” 将 POP3 的账户身份验证和本地计算机的 Windows 账户身份验证集成在一起。用户可以使用 Windows 账户和密码登录 POP3。

2） Active Directory 集成的身份验证

它是利用 Active Directory 数据库内的用户账户信息来验证用户的身份。此方法适合于 POP3 服务器是架设在成员服务器或域控制器上的情况。

3） 加密密码文件身份验证

加密密码文件身份验证使用用户的密码创建一个加密文件，该文件存储在服务器上用户邮箱的目录中。在身份验证过程中，用户提供的密码被加密，然后与存储在服务器上的加密文件比较。如果加密的密码与存储在服务器上的加密密码匹配，则用户通过身份验证。

8．POP3 为域中每个拥有邮箱的用户创建一个目录，例如，存储 test 用户邮件的目录是 “P3_test.mbx”，而下面的路径是存储用户 test 一封邮件的绝对路径：“F:\inetpub\mailroot\mailbox\szpt.net\P3_test.mbx\P3_20050110090047026500000003.eml”。用户收到的电子邮件以单个文件的形式存放在用户的目录中，直到用户用 POP3 电子邮件客户端检索该邮件。

9．配置 POP3 服务的磁盘配额

可以使用磁盘配额来控制和限制邮件服务器上个人邮箱所使用的磁盘空间。这样可以确保单个邮箱（通常也能确保邮件存储区）不会占用过多的或无法预计的磁盘空间。

10．SMTP 服务器的访问控制（身份验证）

(1) 匿名访问

匿名访问允许任意用户使用 SMTP 服务器，不询问用户名和密码。

(2) 基本身份验证

基本身份验证方法要求提供用户名和密码才能够使用 SMTP 服务器，密码在网络上是以明文（未加密的文本）的形式发送的，安全性很低。

(3) 集成 Windows 身份验证

集成 Windows 身份验证是一种安全的验证形式，因为在通过网络发送用户名和密码之前，先将它们进行哈希计算。

        11．连接控制：

可以按客户端计算机的 IP 地址来限制对 SMTP 服务器的访问。默认情况下，所有 IP 地址都有权访问 SMTP 虚拟服务器。可以允许或拒绝特定列表中的 IP 地址的访问权限。既可以单独指定 IP 地址，也可以通过使用子网掩码按组指定 IP 地址。

12．中继限制

默认情况下，SMTP 服务禁止计算机通过虚拟服务器中继不需要的邮件，也就是说，只要收到的邮件若不是寄给它所负责的域，则一律拒绝转发。

13．当 SMTP 虚拟服务器要发送远程邮件（即收信人的邮箱是在另外一台服务上）时，它会通过 DNS 服务器来寻找远程邮件的 SMTP 服务器（MX 资源记录），然后将邮件发送给此台 SMTP 服务器。但是你的 SMTP 服务器也可以不需要通过 DNS 服务器，而直接将邮件发送给特殊的 SMTP 服务器，然后由这台 SMTP 服务器负责发送邮件，这台特定的 SMTP 服务器被称为 “中继主机”。

我有一个在 Windows 2003上运行的域,在2000模式下.我正在尝试创建一个AD组,以向用户授予临时域管理员权限,以节省必须为其提供永久DA.

我在OU：Groups / Admin / Delegated Permissions中创建了一个AD组：g.Temp_DomainAdmin.

我有一个运行VBScript的计划任务,以从该组中删除所有用户.

该任务作为服务帐户运行,具有有限的权限：s.purge_temp_da

我已将OU的权限委派给服务帐户,以允许完全控制其下的组.

手动运行任务非常有效.但无论何时在午夜运行,它都会失败并显示“-2147024891 – 一般访问被拒绝错误”.查看g.Temp_DomainAdmin组会显示委派的权限已消失.

有任何想法吗？这是VBScript：

Option Explicit
Dim objRootDSE,strDomain,objGroup,objUser,strdistinguishedname,arrDnComponents
Const ADS_PROPERTY_DELETE = 4
' Retrieve domain information
Set objRootDSE = Getobject("LDAP://RootDSE")
strDomain = objRootDSE.Get("DefaultNamingContext")
' Bind to the group
Set objGroup = Getobject("LDAP://CN=G.ADM.Temp_DomainAdmin,OU=Delegated Permissions,OU=Admin,OU=Resource Access,OU=groups," & strDomain)

' Iterate through the user objects in the group
For Each objUser In objGroup.Members

    on error resume next

    ' Get the users distinguishedname
    strdistinguishedname = objUser.distinguishedname
    wscript.echo "Removing " & objUser.cn

    ' Remove the user from the group
    objGroup.PutEx ADS_PROPERTY_DELETE,"member",Array(strdistinguishedname)
    objGroup.SetInfo
    wscript.echo "Removed " & objUser.cn

    if err.number <> 0 then
        wscript.echo err.number & " - " & err.description
    end if

    on error goto 0
Next
wscript.echo "Done"

谢谢

您正在体验Active Directory的“adminSDHolder”和“SDProp”功能的影响.此功能的目的是将已知ACL应用于作为特殊保护组成员的安全主体(用户,组和计算机).您的“g.Temp_DomainAdmin”组作为“域管理员”的成员,已标记为“adminCount”值为“1”,现在受“adminSDHolder”的约束.当此线程运行时,“g.Temp_DomainAdmin”组中的ACL将重置为已知ACL. (Microsoft has a more long-winded description of this functionality如果您想了解更多详细信息.)

您可以modify the adminSDHolder ACL允许您尝试执行的操作,但通常不建议您这样做.

由于您的脚本可以添加/删除“Domain Admins”组的成员,因此您最好只是以具有“Domain Admins”成员身份的用户身份运行该脚本,从而避免了为脚本委派任何权限的需要. (基本上,如果有人“拥有”脚本执行上下文,即使您尝试安排了委托,他们也可以使用脚本将自己添加到“域管理员”中.该委托使问题变得复杂并且没有提供真正的安全性. )

当您想在IIS 6.0( Windows Server 2003)上启用HTTP压缩时,您需要做很多事情/考虑.

有人可以提供一个完整的列表,列出您为正确启用HTTP压缩所必须采取的措施吗？

> HTTP COMPRESSION in IIS 6 and IIS 7 using Service Account
> TechNet – Enabling HTTP Compression
> IIS Compression in IIS6.0
> How to enable HTTP compression (IIS6)
> HTTP Compression and IIS 6.0
> IIS 6 Compression – quickest and effective way to do it for ASP.NET compression

更新：

要验证压缩是否有效,您可以将Firefox与Firebug和YSlow插件一起使用,它们将显示每个组件的压缩状态(html,javascript,css).

另外,为了测试每种压缩方法(gzip / deflate),您可以在Firefox中更改“network.http.accept-encoding”首选项(默认值为“gzip,deflate”)

首先,我的设置是运行 Windows 2003 Server的VPS,其上有多个域
IIS 6,Plesk

IsapiRewrite4.ini

RewriteLogLevel 3

RewriteCond %{HTTP_HOST} ^mydomain.com$
RewriteRule ^/(.*)$       http://www.mydomain.com/$1  [R]

这是他们的基本例子之一. Ionic安装和设置正确,因为如果我使用另一个规则(一个更简单的…如下一个),它立即工作

# IsapiRewrite4.ini
#

RewriteLogLevel 3

#
# This ini file illustrates the use of a redirect rule. 
# Any incoming URL that starts with an uppercase W
# will be redirected to the specified server.

RewriteRule ^/(W.*)$ http://server.dyndns.org:7070/$1   [R]

这个工作在TestDriver工具中,并且它们都没有在TestParse工具中提供任何错误或警告,但它在Web服务器上没有做任何事情……一个规则有效的事实意味着isapi模块工作.我正在使用最新版本.

RedirectRule http://mydomain.com/someplace/somefile.html http://www.mydomain.com/howto/someplace/anotherfile.html  [I,L]

两个例子都取自http://iirf.codeplex.com/Wiki/View.aspx?title=Redirection&referringTitle=Home
所以我的IsapiRewrite4.ini需要完成这两项任务：自动转换和重定向许多网址.你能帮忙吗…我真的不知道我做错了什么.

RedirectRule是新语法. 301或302重定向的旧语法是带有[R]标志的RewriteRule,但它变得非常混乱,所以它被改变了.使用当前版本的IIRF,要进行重定向,可以使用RedirectRule指令.

注意：从IIRF v2.1.1.5开始,再次支持带有[R]标志的RewriteRule语法,以便与mod_rewrite兼容.