阻止Exchange 2003用户发送和接收因特网邮件

在你的系统管理员的工作中，可能需要阻止邮箱用户通过 Internet收发邮件, 以下这篇文章的描述将帮助你达成这个任务。  
限制用户将邮件发送到Internet
    为了限制用户发送邮件到Internet，我们需要创建一个SMTP Connector（ 连接器），因为你不能在SMTP Virtual Server上设置这种限制。
    1、在Activery Directory Users and Computers管理程序里，创建一个邮件支持组，给一个有意义的组名，我们就取组名叫 No Intenert Mail 吧。
    2、将不许发送邮件到Internet的用户增加到这个刚创建的组。
现在我们需要创建一个SMTP Connector（ 连接器）。
    1、打开 Exchange System Manager （ESM），定位到Connectors。

2、右击Connectors，选择 新建->SMTP Connector，在弹出来的属性对话框中的General选项卡中，写上新建的SMTP Connector的名称，在本例我们就写 Default SMTP Connector。

3、我们现在把新建的SMTP Connector 和SMTP Virtual Server关联起来，在General选项卡的Local bridgeheads（本地桥头服务器）中按"Add..."按钮，在展现出来的SMTP Virtual Server列表里选择本地的SMTP Virtual Server，增加到本地桥头服务器列表。

、下一步是设置新建 SMTP Connector的Address Space地址空间，这Address Space就是SMTP Connector发送邮件能到达位置的列表，选择Address Space选项卡，按"Add..."按钮，在弹出的“Add Address Space”选择框中选择SMTP。

5、接下来的“Internet Address Space Properties”对话框中，E-mail Domain的值保留为"*"，这确保SMTP Connector能发送邮件到任何SMTP域。

 我们现在来限制已经建立的 No Intenert Mail 组不能发送邮件到Internet。
6、选择Delivery Restrictions选项卡，增加 No Intenert Mail 组到Reject messages from列表，如下图所示：

7、点击确定退出Default SMTP Connector属性框。
如此设置后，当在No Intenert Mail 组里的某个用户试图发送邮件到Internet时，将反馈如下信息：
Your message did not reach some or all of the intended recipients.[/center]
Subject:
Sent:    18/10/2003 10:29 PM
The following recipient(s) could not be reached:
'test@yupai.net' on 18/10/2003 10:29 PM
You do not have permission to send to this recipient.  For assistance, 

contact your system administrator.

所以，如果我们要限制某个用户发送邮件到Internet，只需要把该用户放到No Intenert Mail 组里即可。
现在我们来看看怎样限制用户从Internet接收邮件，这种限制的设定比限制用户将邮件发送到Internet的设定要复杂些。 
我们将继续以已创建的No Intenert Mail 组来操作。
 
为了阻止用户接收来自Internet的邮件，需要给用户一个虚假的SMTP地址，这样，经由SMTP发来的邮件不知道将把它发到什么邮箱，邮件将被返回给发送者。
我们对此设定有两个方法，一、手工具体定制某个用户的SMTP地址，二、用收件人策略来应用SMTP地址，我们在本例用第二个方法来设定。
 
当你创建一个基于组成员的收件人策略时，收件人策略筛选器要求写入组成员的Distinguished Name(DN)属性值。所以我们首先要知道组成员 No Intenert Mail 的DN属性值。
我们可以使用ADSIEDIT工具来获的组成员 No Intenert Mail 的DN，ADSIEDIT工具是Windows 2000 支持工具集里的其中一个工具，能在Windows 2000 安装CD盘的SUPPORT\TOOLS目录里找到。
 
注意：请小心使用 ADSIEDIT ，稍有不慎，将会带来严重的灾难。
    1、 打开ADSIEDIT。
    2、找到  No Intenert Mail 所在的组织单元，在本例中，它是在Users单元里，如下图所示：

图片如下：

3、在右边的列表中找到 CN=No Intenert Mail 的组，右击选择属性。
    4、在属性框，从Select a property to view下拉列表中选择distinguishedName，在value(s)字段显示的就是组成员No Intenert Mail 的DN属性值。
    5、记下value(s)字段显示的No Intenert Mail 的DN值。
    6、关闭ADSIEDIT
 
现在，我们准备创建基于组成员的接收人策略，这个策略将提供虚假的SMTP地址给No Intenert Mail 组里的所有用户。 
    1、打开Exchange System Manager(ESM)。
    2、找到Recipient -〉Recipient Policy。

3、选中Recipient Policies ，右击选择新建-〉 Recipient Policy...
    4、在New Policy对话框里仅选择E-Mail Addresses复选框。
    5、命名你的策略名，在本例我们命名为 No Intenert Mail policy。
    6、现在来指定筛选条件，要仅应用策略给属于No Intenert Mail 组的用户成员，我们点击“Modify”按钮做以下操作：
    7、在弹出的“查找Exchange Recipients”对话框的General选项卡里，清除所有的复选框，除了Users with Exchange Mailboxes保持选择。

 8、选择“高级”选项卡，点击“字段”按钮，选择用户-〉组成员。
    此主题相关图片如下：

9、在“条件”下拉列表，选择为（完全一致） 。
10、在“值”字段里，填写之前通过ADSIEDIT获得的No Intenert Mail 组的DN，点击“添加”按钮此主题相关图片如下：

 11、你可以点击“开始查找”按钮去测试是否正确显示
组里的用户成员，如果每件事都OK了，点击“确定”退出“查找Exchange Recipients”对话框。
    12、返回到No Intenert Mail policy属性框，选择E-Mail Addresses (Policy)选项卡。
    13、点击“New...”，在提供的列表里选择SMTP Address。
    14、在SMTP Address Properties对话框里的Address字段，输入包括@符号、带虚假域名的邮件地址后缀。在本例我们输入：@fakedomain.local

15、点击确定接受新的SMTP地址，返回E-Mail Addresses (Policy)选项卡。
    16、在Generation rules列表中选择刚建的虚假SMTP地址，然后点击“Set as Primary”按钮，这虚假SMTP地址将以粗体字显示。
    17、选择剩下的其他SMTP地址，点击“Remove”按钮移除它们。
    注意：不要移除 X.400 地址。

18、点击确定退出Recipient Policy框，你将被提示应用这个新建的策略，点击是。
我建议你现在强制应用新建的收件人策略，右击新建的策略，选择“Apply this policy now...”。
 
如果在创建新收件人策略之前，No Intenert Mail 组里已经有用户，这些用户将仍然有一个有效的SMTP地址，

   所以在 Active Directory Users and Computers，选择你希望不接收来自Internet邮件的用户，移除他们在创建策略之前就有了的SMTP地址。在创建策略后新建并且立即放入
No Intenert Mail 组里的用户，不会产生有效的SMTP地址。

---------------
附件：
一.请注意执行以下个修注册表操作：
1.Start Registry Editor (Regedt32.exe).
2.Locate and click the following registry key:
 HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Resvc/Parameters/ 
3.On the Edit menu, click Add value, and then add the following registry value:
 value Name: CheckConnectorRestrictions
 Data Type: REG_DWORD
 Radix: Hexadecimal
 value: 1 
4.Quit Registry Editor.
5.Restart the Microsoft Exchange Routing Engine service and the Simple 
Mail Transfer Protocol (SMTP) services for this change 

阻止Exchange 2003用户发送和接收因特网邮件

Exchange Server 2003有强大的功能来容易地阻止用户接收来自网络的邮件。一旦这样设置，用户将只能从同一企业中的其他Exchange用户处接收邮件。

　　要想这样做，首先你需要阻止Exchange用户向因特网发送电子邮件:

　　1.在Exchange中建立新的能够发送邮件的组，用它来鉴别受限制的用户。

　　2.向该组中添加限制接收邮件的用户。

　　3.在Exchange服务器上建立新的SMTP连接器，并且把它与适当的Exchange服务器发生联系。

　　4.在连接器属性的发送限制标签下，把已经建立的组添加到“Reject messages from:”部分中

　　现在，你需要把Exchange设置成禁止用户接收基于因特网的电子邮件:

　　1.在活动目录用户和计算机中，进入你想要禁止电子邮件通过的组(或单独用户)的属性页面。

　　2.在Exchange的一般标签下，点击发送禁止。

　　3.检查标签为“接受信息:仅来自认证的用户”对话框。

　　4.点击OK关闭对话框。

“认证的用户”检查栏是Exchange Server 2003中的新功能，为那些能够成功通过服务器验证的用户(也就是其他的Exchange用户)很好的限制了邮件通信量。

XCON: Connector Delivery Restrictions May Not Work Correctly

View products that this article applies to.

Article ID	:	277872
Last Review	:	April 28, 2005
Revision	:	3.2

This article was previously published under Q277872

IMPORTANT : This article contains information about modifying the registry. Before you modify the registry, make sure to back it up and make sure that you understand how to restore the registry if a problem occurs. For information about how to back up, restore, and edit the registry, click the following article number to view the article in the Microsoft Knowledge Base:

256986 (http://support.microsoft.com/kb/256986/EN-US/) Description of the Microsoft Windows Registry

SYMPTOMS

After you configure the delivery restrictions on a connector by using Microsoft Exchange 2000 Server or Microsoft Exchange Server 2003, the restriction settings may not be applied. In Exchange 2000, the following event ID will also be generated:

Type: Warning
Event ID: 957
Source: MSExchangeTransport
Category: Routing Engine/Service

Description:
Connector restrictions (by the group or by the user) are present in the organization. However, restriction checking is disabled. Set the registry value HKLM\SYSTEM\CurrentControlSet\Services\RESvc\Parameters\CheckConnectorRestrictions to 1 (DWORD) and restart resvc and smtpsvc to enable restriction checking on local machine

CAUSE

If you need to apply a distribution list-based restriction to a connector, you must manually enable the checking process for these restrictions. Restriction checking is controlled by a registry key that must be set on the Exchange bridgehead that is the source for the connector that is being checked. If you specify a restriction, but do not create the registry key, the restriction is not checked.

Connector restriction checking is turned off by default because it can significantly affect performance to expand distribution groups and check the restrictions for each message that passes through the system. If possible, turn on this setting on where it is necessary (for example, on the bridgehead server for the restricted connector).

RESOLUTION

WARNING : If you use Registry Editor incorrectly, you may cause serious problems that may require you to reinstall your operating system. Microsoft cannot guarantee that you can solve problems that result from using Registry Editor incorrectly. Use Registry Editor at your own risk.

To resolve this issue:

1.	Start Registry Editor (Regedt32.exe).
2.	Locate and click the following registry key: HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Resvc/Parameters/
3.	On the Edit menu, click Add Value, and then add the following registry value: Value Name: CheckConnectorRestrictions Data Type: REG_DWORD Radix: Hexadecimal Value: 1
4.	Quit Registry Editor.
5.	Restart the Microsoft Exchange Routing Engine service and the Simple Mail Transfer Protocol (SMTP) services for this change to take effect.

MORE INFORMATION

This information can also be found in the Release Notes that are included with the Exchange CD-ROM