限制Exchange使用者從Internet收發郵件

[@more@]

在你的系統管理員的工作中，可能需要阻止郵箱使用者透過Internet收發郵件, 以下這篇文章的描述將幫助你達成這個任務。 限制使用者將郵件傳送到Internet為了限制使用者傳送郵件到Internet，我們需要建立一個SMTP Connector（ 聯結器），因為你不能在SMTP Virtual Server上設定這種限制。
1、在Activery Directory Users and Computers管理程式裡，建立一個郵件支援組，給一個有意義的組名，我們就取組名叫 No Intenert Mail 吧。
2、將不許傳送郵件到Internet的使用者增加到這個剛建立的組。現在我們需要建立一個SMTP Connector（ 聯結器）。
1、開啟 System Manager （ESM），定位到Connectors。

2、右擊Connectors，選擇 新建->SMTP Connector，在彈出來的屬性對話方塊中的General選項卡中，寫上新建的SMTP Connector的名稱，在本例我們就寫 Default SMTP Connector。

3、我們現在把新建的SMTP Connector 和SMTP Virtual Server關聯起來，在General選項卡的Local bridgeheads（本地橋頭伺服器）中按"Add..."按鈕，在展現出來的SMTP Virtual Server列表裡選擇本地的SMTP Virtual Server，增加到本地橋頭伺服器列表。

、下一步是設定新建SMTP Connector的Address Space地址空間，這Address Space就是SMTP Connector傳送郵件能到達位置的列表，選擇Address Space選項卡，按"Add..."按鈕，在彈出的“Add Address Space”選擇框中選擇SMTP。

5、接下來的“Internet Address Space Properties”對話方塊中，E-mail Domain的值保留為"*"，這確保SMTP Connector能傳送郵件到任何SMTP域。

我們現在來限制已經建立的 No Intenert Mail 組不能傳送郵件到Internet。
6、選擇Delivery Restrictions選項卡，增加 No Intenert Mail 組到Reject messages from列表，如下圖所示：

7、點選確定退出Default SMTP Connector屬性框。如此設定後，當在No Intenert Mail 組裡的某個使用者試圖傳送郵件到Internet時，將反饋如下資訊：
Your message did not reach some or all of the intended recipients.[/center]
Subject:
Sent: 18/10/2003 10:29 PM
The following recipient(s) could not be reached:
'test@yupai.net' on 18/10/2003 10:29 PM
You do not have permission to send to this recipient. For assistance,

contact your system administrator.所以，如果我們要限制某個使用者傳送郵件到Internet，只需要把該使用者放到No Intenert Mail 組裡即可。現在我們來看看怎樣限制使用者從Internet接收郵件，這種限制的設定比限制使用者將郵件傳送到Internet的設定要複雜些。 我們將繼續以已建立的No Intenert Mail 組來操作。為了阻止使用者接收來自Internet的郵件，需要給使用者一個虛假的SMTP地址，這樣，經由SMTP發來的郵件不知道將把它發到什麼郵箱，郵件將被返回給傳送者。我們對此設定有兩個方法，一、手工具體定製某個使用者的SMTP地址，二、用收件人策略來應用SMTP地址，我們在本例用第二個方法來設定。當你建立一個基於組成員的收件人策略時，收件人策略篩選器要求寫入組成員的Distinguished Name(DN)屬性值。所以我們首先要知道組成員 No Intenert Mail 的DN屬性值。我們可以使用ADSIEDIT工具來獲的組成員 No Intenert Mail 的DN，ADSIEDIT工具是Windows 2000 支援工具集裡的其中一個工具，能在Windows 2000 安裝CD盤的SUPPORTTOOLS目錄裡找到。注意：請小心使用 ADSIEDIT ，稍有不慎，將會帶來嚴重的災難。
1、 開啟ADSIEDIT。
2、找到 No Intenert Mail 所在的組織單元，在本例中，它是在Users單元裡，如下圖所示：圖片如下：

3、在右邊的列表中找到 CN=No Intenert Mail 的組，右擊選擇屬性。
4、在屬性框，從Select a property to view下拉選單中選擇distinguishedName，在value(s)欄位顯示的就是組成員No Intenert Mail 的DN屬性值。
5、記下value(s)欄位顯示的No Intenert Mail 的DN值。
6、關閉ADSIEDIT現在，我們準備建立基於組成員的接收人策略，這個策略將提供虛假的SMTP地址給No Intenert Mail 組裡的所有使用者。
1、開啟 System Manager(ESM)。
2、找到Recipient -〉Recipient Policy。

3、選中Recipient Policies ，右擊選擇新建-〉 Recipient Policy...
4、在New Policy對話方塊裡僅選擇E-Mail Addresses核取方塊。
5、命名你的策略名，在本例我們命名為 No Intenert Mail policy。
6、現在來指定篩選條件，要僅應用策略給屬於No Intenert Mail 組的使用者成員，我們點選“Modify”按鈕做以下操作：
7、在彈出的“查詢 Recipients”對話方塊的General選項卡里，清除所有的核取方塊，除了Users with Mailboxes保持選擇。

8、選擇“高階”選項卡，點選“欄位”按鈕，選擇使用者-〉組成員。此主題相關圖片如下：

9、在“條件”下拉選單，選擇為（完全一致） 。
10、在“值”欄位裡，填寫之前透過ADSIEDIT獲得的No Intenert Mail 組的DN，點選“新增”按鈕。
此主題相關圖片如下：

11、你可以點選“開始查詢”按鈕去測試是否正確顯示組裡的使用者成員，如果每件事都OK了，點選“確定”退出“查詢 Recipients”對話方塊。
12、返回到No Intenert Mail policy屬性框，選擇E-Mail Addresses (Policy)選項卡。
13、點選“New...”，在提供的列表裡選擇SMTP Address。
14、在SMTP Address Properties對話方塊裡的Address欄位，輸入包括@符號、帶虛假域名的郵件地址字尾。在本例我們輸入：@fakedomain.local

15、點選確定接受新的SMTP地址，返回E-Mail Addresses (Policy)選項卡。
16、在Generation rules列表中選擇剛建的虛假SMTP地址，然後點選“Set as Primary”按鈕，這虛假SMTP地址將以粗體字顯示。
17、選擇剩下的其他SMTP地址，點選“Remove”按鈕移除它們。注意：不要移除 X.400 地址。

18、點選確定退出Recipient Policy框，你將被提示應用這個新建的策略，點選是。我建議你現在強制應用新建的收件人策略，右擊新建的策略，選擇“Apply this policy now...”。如果在建立新收件人策略之前，No Intenert Mail 組裡已經有使用者，這些使用者將仍然有一個有效的SMTP地址，

所以在Active Directory Users and Computers，選擇你希望不接收來自Internet郵件的使用者，移除他們在建立策略之前就有了的SMTP地址。在建立策略後新建並且立即放入
No Intenert Mail 組裡的使用者，不會產生有效的SMTP地址。

---------------附件：一.請注意執行以下個修登錄檔操作：
1.Start Registry Editor (Regedt32.exe).
2.Locate and click the following registry key:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Resvc/Parameters/
3.On the Edit menu, click Add value, and then add the following registry value:
value Name: CheckConnectorRestrictions
Data Type: REG_DWORD
Radix: Hexadecimal
value: 1
4.Quit Registry Editor.
5.Restart the Microsoft Routing Engine service and the Simple
Mail Transfer Protocol (SMTP) services for this change