如何将 POP3 配置为使用 TLS 或 SSL

尽管Exchange 2007支持OWA、Outlook Anywhere、Activesync，但在实际的工作当中，我们有时候也需要使用POP3的方式接收邮件。在Exchange 2007中配置POP3接收邮件也比Exchange 2003稍微复杂一些，因为在Exchange 2007中没有配置POP3的图形截面，不过该问题在Exchange 2007 SP1中得到了解决。

　　如何将POP3配置为使用TLS或SSL的方式来接受邮件呢，本主题重点介绍具体的配置过程。POP3协议是客户端访问服务器上的一部分，在我们配置POP3之前，需要注意的是POP3服务在缺省情况下没有运行，您需要手动将它的启动类型设置为自动并将它启动。

　　一、 设置POP3服务的身份验证方法

　　我们可以通过两种方法来实现，第一种通过Microsoft Management Console，具体的步骤如下：

　　1. 在“服务”管理单元的控制台树中，单击“服务(本地)”。

　　2. 在结果窗格中，右键单击 Microsoft Exchange POP3，然后单击“属性”。

　　3. 在“常规”选项卡上的“启动类型”下，选择“自动”，然后单击“应用”。

　　4. 在“服务状态”下，单击“启动”，再单击“确定”，如图1所示。

                                                    (图1)

　　我们也可以使用 Exchange 命令行管理程序启用 POP3，首先运行下面的命令将POP3服务的启动类型设置为自动，

　　Set-service msExchangePOP3 -startuptype automatic

　　然后通过下面的命令启动POP3服务：

　　Start-service -service msExchangePOP3

　　接下面我们就会发现，在缺省情况下，POP3和IMAP 4只能接受SSL/TLS连接。也就是说您需要通过安全端口或者显式的TLS协商才能连接成功。Outlook express 可以设置通过安全端口(POP3：995，IMAP4：993)来连接。

　　如果您不使用SSL的话，就会产生如图2所示的错误。产生该错误的原因是因为客户端在使用POP/IMAP 进行连接和认证的时候没有使用安全的连接(可以从Secure (SSL): says No中看出)。

                                                          (图2)

　　有三个身份验证选项可以用于 POP3，下表说明了与不同的身份验证设置一起使用的默认端口。

    这次我们介绍使用SecureLogin的验证方式来建立连接，可以通过运行下面的命令来设置：

　　Set-PopSettings -LoginType SecureLogin

　　运行完成后，我们可以通过下面的命令来查看，如图3所示。

                                                             (图3)

　　修改好POP3的设置后，需要重启POP3服务才能是设置生效。

　　二、 为POP3配置TLS 或 SSL

　　接下来使用 Exchange 命令行管理程序将 POP3 配置为使用 TLS 或 SSL：

　　Set-PopSettings -server ex2k7-01 -X509CertificateName ex2k7-01.exchange.com

　　注意：-X509CertificateName后面的名称必须和证书的certificatedomains保持一致，如图4所示。

                                                                 (图4)

　三、 为POP3和SMTP服务分配证书

　　首先，我们需要为POP3服务申请一张证书，虽然Exchange 2007安装的时候会产生一张自签名的证书，但是该证书不被客户端信任，我们可以通过第三方商业机构来申请证书或者在组织中部署企业CA(Certification Authority)服务器，然后通过企业CA来颁发证书。

　　有关如何申请证书的过程，我们在此不在介绍。假设我们已经通过企业CA申请了一张证书，并通过下面的命令为该证书分配了POP3、IIS、SMTP、IMAP服务，

　　[PS] C:\>Enable-ExchangeCertificate -Thumbprint 71E78AB98D5FFE346FB2648874683715

　　5AE78EDF -Services IMAP,IIS,POP,SMTP

　　注意：我们在申请证书的时候，在new-exchangecertificate 命令中的domainname 中设置服务器的FQDN名称 必须和接收连接器上的FQDN名称保持一致。

　　验证证书的domainname：

　　使用下面的命令来验证证书的certificatedomains，如图5所示。

                                                              (图5)

　　Get-exchangecertificate | fl certificatedomains

验证接收连接器的FQDN名称，我们可以通过下面的命令来实现，如图6所示。

                                                             (图6)

　　Get-receiveconnector –identity “connector_name” | fl fqdn

　　四、 配置接受连接器

　　在缺省情况，当一台Exchange 2007中心传输服务器安装完成后，系统会自动产生两个接收连接器。

　　客户端 Servername。

　　默认 Servername：

　　我们介绍如何设置默认 Servername的接受连接器：

　　1、 打开EMC，定位到服务器配置---中心传输服务器，选中您要配置的服务器，

　　2、 点击Receive Connectors，右键选中默认 Servername，选择属性，如图7所示，

                                                               (图7)

　　3、 点击General，我们可以设置该连接器的FQDN名称，如图8所示，必须保证该FQDN名称和证书的certificatedomains保持一致。

                                                     (图8)

　　4、 点击Network，我们设置该连接器绑定的IP地址以及侦听的端口，在缺省情况下，该连接器侦听在25端口上，同时我们还可以在Remote IP Addresses中指定该连接器接受的远程客户端的IP地址范围，我们保持缺省的值不变，如图9所示。

                                                           (图9)

　5、 点击Authentication，选中Transport Layer Security和Basic Authentication选项，如图10所示，

                                                      (图10)

　　6、 点击Permissions Group，选中Exchange Users，如图11所示。

                                                           (图11)

　　7、 在修改完成后，需要重启Microsoft Exchange Transport服务才能使该设置生效。

五、 配置Outlook Express客户端

　　1、 打开Outlook Express，点击工具，选择帐户，点击邮件，然后点击属性，如图12所示，

                                                          (图12)

　　2、 然后点击“服务器”，在接收邮件POP3和发送邮件SMTP中，填写接收连接器的FQDN名称，如果该名称和接收连接器的FQDN名称不一样，会产生如图13所示的错误。

                                         (图13)

　　3、 选中“我的服务器要求身份验证”，并配置接收邮件POP3和发送邮件SMTP的名称，然后点击设置，如图14所示，

                                        (图14)

4、 在登录方式中输入正确的用户名和密码，如图15所示，

                                   (图15)

　　5、 点击“高级”，在发送邮件(SMTP)中填写25端口，因为我们通过默认Servername的接受连接器来发送邮件。

　　6、 在发送邮件(SMTP)和接收邮件(POP3)中，选中“此服务器要求安全连接”，这时POP3的端口号会自动变成995，如图16所示。

                                           (图16)

　7、 点击应用，

　　8、 然后关闭Outlook Express，重新登录，发送测试邮件，看结果如何。

　　六、 验证POP3是否工作在TLS的方式下

　　我们可以通过在客户端或者服务器端安装抓包工具，然后捕获客户端和服务器之间的数据包，然后功过Netmon或者Eathereal等数据包分析软件来查看，有关具体的安装和捕获的步骤在此不在叙述，我们可以通过观察数据包来验证POP3的工作方式。

　　图17表示POP3工作在TLS的方式下。图18表示POP3没有工作在TLS的方式下。

                                                          (图17)

                                                       (图18)