Windows Server 2003 中配置电子邮件服务

数字签名和加密电子邮件的逐步式指南

本文提供了部署和配置Microsoft Windows Server 2003 操作系统包含的电子邮件服务的示例过程。电子邮件服务与Microsoft 证书服务结合使用，为数字签名和加密组织内部或外部的电子邮件通信奠定了支持基础。本页内容

简介

概述

配置电子邮件服务

获取数字标识

数字签名和加密电子邮件

其他资源

简介

逐步式指南

Windows Server 2003 部署逐步式指南提供了很多常见操作系统配置的实际操作经验。本指南首先介绍通过以下过程来建立通用网络结构：安装Windows Server 2003；配置Active Directory®；安装Windows XP Professional 工作站并最后将此工作站添加到域中。后续逐步式指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构，则需要在使用这些指南时进行适当的修改。

通用网络结构要求完成以下指南。

•第一部分：将Windows Server 2003 安装为域控制器

•第二部分：安装Windows XP Professional 工作站并将其连接到域上

在配置通用网络结构后，可以使用任何其他的逐步式指南。注意，某些逐步式指南除具备通用网络结构要求外，可能还需要满足额外的先决条件。任何额外的要求都将列在特定的逐步式指南中。

Microsoft Virtual PC

可以在物理实验室环境中或通过虚拟化技术（如Microsoft Virtual PC 2004 或Microsoft Virtual Server 2005）来实施Windows Server 2003 部署逐步式指南。借助于虚拟机技术，客户可以同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高工作效率而设计的。

Windows Server 2003 部署逐步式指南假定所有配置都是在物理实验室环境中完成的，但大多数配置不经修改就可以应用于虚拟环境。

将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范围。

重要说明

此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构，决不意指，也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。

此通用基础结构是为在专用网络上使用而设计的。此通用结构中使用的虚拟公司名称和域名系统(DNS) 名称并未注册以便在Internet 上使用。您不应在公共网络或Internet 上使用此名称。

此通用结构的Active Directory 服务结构用于说明“Windows Server 2003 更改和配置管理”如何与Active Directory 配合使用。不能将其作为任何组织进行Active Directory 配置的模型。

返回页首

概述

目前，越来越多的个人和组织将电子邮件作为发送机密信息的工具。考虑到数据具有的敏感性，电子邮件系统必须提供防止修改数据的机制，同时还应确保邮件不能被指定收件人以外的任何其他人中途截获和阅读。

通过在Microsoft Outlook 或Outlook Express 中使用数字标识，您可以在电子交易中以某种方式证明您自己的身份，这种方式类似于在兑现支票时出示您的驾驶执照。您也可以使用数字标识来加密邮件以保守其秘密。数字标识结合了安全/多用途Internet 邮件扩展(S/MIME) 规范以保证电子邮件的安全性。

数字标识的工作方式

数字标识由公钥、私钥和数字签名组成。在邮件经过数字签名后，将向邮件中添加一个数字签名和公钥。数字签名和公钥的组合被称为“证书”。通过使用Outlook 或Outlook Express，您可以将证书指定为供试图向您发送加密邮件的其他人使用。这一证书可能不同于您的签名证书。

电子邮件收件人使用数字签名来验证发件人的身份。电子邮件作者使用公钥来加密邮件，只有指定收件人能够使用对应的私钥阅读该邮件。要发送加密邮件，通讯簿中必须包含该收件人的数字标识。这样，电子邮件发件人即可使用收件人的公钥来加密邮件。当收件人收到加密邮件后，可使用其私钥来解密该邮件以便阅读。

在发送经过数字签名的邮件之前，您必须先获取一个数字标识。如果要发送加密邮件，则您的通讯簿中必须包含各个收件人的数字标识。

如何获取数字标识

数字标识是由独立的证书颁发机构(C A) 颁发的，可出于商业或个人使用目的获取该标识。在CA Web 站点申请数字标识时，先要对申请者的身份加以验证，然后才能颁发标识。数字标识分为不同的等级，不同等级证明具有不同的可信级别。有关更多信息，请参见从哪里获取数字标识Web 站点。

如何验证数字签名

利用撤销检查，电子邮件收件人可以对经过数字签名的邮件的有效性进行验证。在验证数字签名的有效性时，Outlook 客户端从相应CA 请求有关该数字标识的信息。CA 会传回有关该数字标识状态的信息，包括该标识是否已吊销。CA 会对那些由于丢失或终止等原因而被吊销的证书进行跟踪。

先决条件

•第一部分：将Windows Server 2003 安装为域控制器

•第二部分：安装Windows XP Professional 工作站并将其连接到域上

•关于加密文件系统使用的逐步式指南

•强制实施强密码策略的逐步式指南

•Active Directory 管理逐步式指南(GPO)

•了解组策略功能集的逐步式指南(GPO)

•关于组策略管理控制台使用的逐步式指南

返回页首

配置电子邮件服务

利用电子邮件服务，您可以在计算机中安装一些组件并将该计算机配置为电子邮件服务器。电子邮件服务包括邮局协议 3 (POP3) 服务以及简单邮件传输协议(SMTP) 服务，分别用于接收和传送电子邮件。为了向用户提供电子邮件服务（如发送和接收电子邮件），管理员可以在服务器上创建一些邮箱。

POP3

POP3 服务是一种用来接收电子邮件的电子邮件服务。管理员可以使用POP3 服务，在邮件服务器上存储和管理电子邮件帐户。在邮件服务器中安装了POP3 服务后，用户即可使用支持POP3 协议的电子邮件客户端（如Outlook 或Outlook Express）连接到邮件服务器，并将电子邮件接收到其本地计算机中。POP3 服务与用来发送外发电子邮件的SMTP 服务结合使用。

SMTP

SMTP 控制将电子邮件经由组织或Internet 向目标服务器传输和递送的方式。SMTP 在服务器之间接收和发送电子邮件。在安装POP3 服务时，就会自动在计算机中安装SMTP 服务以允许用户发送外发电子邮件。当使用POP3 服务创建域时，还会将该域添加到SMTP 服务中，以允许该域中的邮箱发送外发电子邮件。邮件服务器中的SMTP 服务接收传入的邮件，并将该电子邮件传送到邮件存储中。

设置电子邮件服务

要安装电子邮件服务，请按照以下步骤操作：

1. 以“Administrator@”的身份登录到“HQ-CON-DC-01”中。