用Windows 2003配置邮件服务器

ZDNetChina服务器站 8月15日x86技巧 

一、概述

　　大家知道，邮件服务器系统由POP3服务、简单邮件传输协议(SMTP)服务以及电子邮件客户端三个组件组成。其中的POP3服务与SMTP服务一起使用，POP3为用户提供邮件下载服务，而SMTP则用于发送邮件以及邮件在服务器之间的传递。电子邮件客户端是用于读取、撰写以及管理电子邮件的软件。

　　Windows Server 2003操作系统新增的POP3服务组件可以使用户无需借助任何工具软件，即可搭建一个邮件服务器。通过电子邮件服务，可以在服务器计算机上安装POP3组件，以便将其配置为邮件服务器，管理员可使用 POP3 服务来存储和管理邮件服务器上的电子邮件帐户。下面的内容是让我们来讨论邮件服务器的配置与管理。

二、配置POP3邮件服务器

　　Windows Server 2003初始安装完毕后，POP3服务组件并没有被安装。因此在配置POP3服务之前，必须首先要安装相应的组件，然后才可以进行诸如身份验证方法的设置、邮件存储区设置、域及邮箱的管理等工作。

　　POP3 服务提供三种不同的身份验证方法来验证连接到邮件服务器的用户。在邮件服务器上创建任何电子邮件域之前，必须选择一种身份验证方法。只有在邮件服务器上没有电子邮件域时，才可以更改身份验证方法。

1、本地Windows账户身份验证

　　如果邮件服务器不是活动目录域的成员，并且希望在安装了邮件服务的本地计算机上存储用户账户，那么可以使用“本地Windows 帐户”身份验证方法来进行邮件服务的用户身份验证。本地Windows账户身份验证将邮件服务集成到本地计算机的安全账户管理器(SAM)中。通过使用安全帐户管理器，在本地计算机上拥有用户账户的用户就可使用与由POP3服务提供的或本地计算机进行身份验证的相同的用户名和密码。

　　本地Windows账户身份验证可以支持一个服务器上的多个域，但是不同域上的用户名必须惟一的。例如，用户名为webmaster@ghq.net和webmaster@jscei.com的用户不能同时在一个服务器上存在的。

　　如果以相应的用户账户创建一个邮箱，则该用户账户将被添加到“POP3用户”本地组。即使在服务器上拥有相同的用户账户，“POP3用户”组的成员也不能在本地登录服务器。使用计算机的本地安全策略可以增强对本地登录的限制，因此仅授权的用户有本地登录权限，这样可以提高服务器的安全性。另外如果用户不能本地登录到服务器，并不影响其使用POP3服务。

　　本地Windows账户身份验证同时支持明文和安全密码身份验证(SPA)的电子邮件客户端身份验证。其中的明文以不安全和非加密的格式传输用户数据，所以不推荐使用明文身份验证。而SPA要求电子邮件客户端使用安全的身份验证传输用户名和密码，因此推荐使用该方法来取代明文身份验证。

2、Active Directory集成的身份验证

　　如果安装POP3服务的服务器是活动目录域的成员或者是活动目录域控制器，则可以使用活动目录集成的身份验证。同时，使用活动目录集成的身份验证，可以将POP3服务集成到现有的活动目录域中。如果创建的邮箱与现有的活动目录用户账户相对应，则用户就可以使用现有的活动目录域用户名和密码来收发电子邮件。

　　可以使用活动目录集成的身份验证来支持多个POP3域，这样就可以在不同的域中建立相同的用户名。例如，可以使用名为webmaster@ghq.net的用户和名为webmaster@jscei.com的用户。

　　在使用活动目录集成的身份验证，并且拥有多个POP3电子邮件域时，当创建一个邮箱时，应该确保考虑新邮箱的名称与其他POP3电子邮件域中现有邮箱的名称是否相同。每个邮箱都与一个活动目录用户账户相对应。

　　活动目录集成的身份验证同时支持明文和安全密码身份验证(SPA)的电子邮件客户端身份验证。

　　如果将一个正在使用本地Windows账户身份验证的邮件服务器升级到域控制器，必须按照下面的步骤来进行：

　　 (1)删除POP3服务中所有现有的电子邮件账户及域。

　　 (2)创建活动目录。

　　 (3)将本地Windows账户身份验证方法更改为活动目录集成的身份验证方法。

　　 (4)重新创建域及相应的邮箱。

　　需要注意的是，如果不按照以上推荐的升级过程，有可能会造成POP3服务不能正常工作。另外，当使用活动目录集成的身份验证时，同时若要管理POP3服务，则必须登录到活动目录域，而不是登录到本地计算机上。

　　采用以上两种身份验证机制的活动目录域，可以实现对客户端连接的身份验证机制。在“POP3服务”控制台右键单击计算机名，选择“属性”菜单项，将显示计算机属性对话框。选择其中的“对所有客户端连接要求安全密码身份验证(SPA)”复选框，即可启用该域中所有电子邮件客户端的身份验证。SPA仅支持活动目录集成的身份验证和本地Windows账户身份验证。如果启用了SPA，则用户的电子邮件客户端也必须配置为使用SPA。如果配置邮件服务器要求安全密码身份验证，只会影响POP3服务而不会影响简单邮件传输协议(SMTP)服务。

3、加密密码文件身份验证

　　“加密的密码文件”身份验证对于还没有安装活动目录，并且又不想在本地计算机上创建用户的大规模部署来说十分理想，同时从一台本地计算机上就可以很轻松地管理可能存在的大量账户。

　　加密密码文件身份验证将使用用户的密码来创建一个加密文件，该文件存储在服务器上用户邮箱的目录中。在用户的身份验证过程中，用户提供的密码将被加密，然后与存储在服务器上的加密文件进行比较。如果加密的密码与存储在服务器上的加密密码相匹配，则用户通过身份验证。如果是使用加密密码文件身份验证，则可以在不同的域中使用相同的用户名。