两个虚拟SMTP服务器防止垃圾邮件中转的总结

    在论坛上看到了很多高手的发言，结合自己在实践中的体会，终于有了一些比较成型的经验：

    首先要说的是，想要彻底防止垃圾邮件制造者利用你的Exchange 服务器进行中转，以及其他非法利用你的SMTP服务的现象，两个虚拟SMTP服务器是必不可少的。

    这看起来是很基础的结论，却是我的“血泪”之言。因为我以前一直依靠一个虚拟服务器和一个SMTP连接器，进行SMTP限制，并且一直自信很有成效，结果前些日子被ISP警告：我的服务器成为垃圾邮件中转服务器！

    现在具体说说我之前的设置，供大家对照。如果你的设置和我相同，请务必当心！那一点也不安全！

    我以前的设置：default Virtual SMTP server上，启用三种认证模式（匿名、基本和集成），允许所有通过认证的计算机进行Relay；然后建一个SMTP Connector，在Delivery Restrictions当中，选择 By default, messages from everyone are rejected，然后将所有合法的用户，添加到后面的允许列表中。

    我原先以为，有了这个SMTP Connector，那么只有合法的用户才能将邮件发送出去，而所有其他用户的信息，将被截留。可事实证明，垃圾邮件制造者仍然成功的利用我的服务器中转了邮件。也就是说，虚拟SMTP服务器的Relay可以突破这个SMTP Connector中的Delivery Restriction限制。

    于是，我参考了一些帖子和微软的KB，总结出以下方法，实践中证明是有效的：

    第一步，在你的Exchange 服务器上，安装两块网卡；

    第二步，设置网卡。一块网卡是接收内部用户SMTP请求的，称为内部NIC，一块网卡是接收外部用户SMTP请求的，称为外部NIC。每块网卡，各绑定一个固定IP（两块网卡均为内部虚拟IP即可，不必是一个外部IP，一个内部IP。因为我的内部网络是处于ISA server之后的，所以只能是两个内部虚拟IP）

    第三步，设置Exchange 服务，让它区分内外网卡。因为我是利用ISA server发布Exchange服务器，包括POP3、SMTP、IMAP4、NNTP等等，所以，我把除SMTP以外的服务，均绑定到外部NIC的IP上。