如何将POP3配置为使用TLS或SSL

如何将 POP3 配置为使用 TLS 或 SSL

尽管Exchange 2007支持OWA、Outlook Anywhere、Activesync，但在实际的工作当中，我们有时候也需要使用POP3的方式接收邮件。在Exchange 2007中配置POP3接收邮件也比Exchange 2003稍微复杂一些，因为在Exchange 2007中没有配置POP3的图形截面，不过该问题在Exchange 2007 SP1中得到了解决。

如何将POP3配置为使用TLS或SSL的方式来接受邮件呢，本主题重点介绍具体的配置过程。POP3协议是客户端访问服务器上的一部分，在我们配置POP3之前，需要注意的是POP3服务在缺省情况下没有运行，您需要手动将它的启动类型设置为自动并将它启动。 一、 设置POP3服务的身份验证方法

我们可以通过两种方法来实现，第一种通过Microsoft Management Console，具体的步骤如下：

1. 在“服务”管理单元的控制台树中，单击“服务(本地)”。

2. 在结果窗格中，右键单击 Microsoft Exchange POP3，然后单击“属性”。 3. 在“常规”选项卡上的“启动类型”下，选择“自动”，然后单击“应用”。 4. 在“服务状态”下，单击“启动”，再单击“确定”，如图1所示。

(图1)

我们也可以使用 Exchange 命令行管理程序启用 POP3，首先运行下面的命令将POP3服务的启动类型设置为自动，

Set-service msExchangePOP3 -startuptype automatic 然后通过下面的命令启动POP3服务： Start-service -service msExchangePOP3

接下面我们就会发现，在缺省情况下，POP3和IMAP 4只能接受SSL/TLS连接。也就是说您需要通过安全端口或者显式的TLS协商才能连接成功。Outlook express 可以设置通过安全端口(POP3：995，IMAP4：993)来连接。

如果您不使用SSL的话，就会产生如图2所示的错误。产生该错误的原因是因为客户端在使用POP/IMAP 进行连接和认证的时候没有使用安全的连接(可以从Secure (SSL): says No中看出)。

(图2)

有三个身份验证选项可以用于 POP3，下表说明了与不同的身份验证设置一起使用的默认端口。

这次我们介绍使用SecureLogin的验证方式来建立连接，可以通过运行下面的命令来设置：

Set-PopSettings -LoginType SecureLogin

运行完成后，我们可以通过下面的命令来查看，如图3所示。

(图3)

修改好POP3的设置后，需要重启POP3服务才能是设置生效。

二、 为POP3配置TLS 或 SSL

接下来使用 Exchange 命令行管理程序将 POP3 配置为使用 TLS 或 SSL： Set-PopSettings -server ex2k7-01 -X509CertificateName ex2k7-01.exchange.com

注意：-X509CertificateName后面的名称必须和证书的certificatedomains保持一致，如图4所示。

(图4) 三、 为POP3和SMTP服务分配证书

首先，我们需要为POP3服务申请一张证书，虽然Exchange 2007安装的时候会产生一张自签名的证书，但是该证书不被客户端信任，我们可以通过第三方商业机构来申请证书或者在组织中部署企业CA(Certification Authority)服务器，然后通过企业CA来颁发证书。

有关如何申请证书的过程，我们在此不在介绍。假设我们已经通过企业CA申请了一张证书，并通过下面的命令为该证书分配了POP3、IIS、SMTP、IMAP服务， [PS] C:\\>Enable-ExchangeCertificate -Thumbprint 71E78AB98D5FFE346FB2648874683715 5AE78EDF -Services IMAP,IIS,POP,SMTP

注意：我们在申请证书的时候，在new-exchangecertificate 命令中的domainname 中设置服务器的FQDN名称 必须和接收连接器上的FQDN名称保持一致。 验证证书的domainname：

使用下面的命令来验证证书的certificatedomains，如图5所示。

(图5) Get-exchangecertificate | fl certificatedomains

验证接收连接器的FQDN名称，我们可以通过下面的命令来实现，如图6所示。

(图6)

Get-receiveconnector –identity “connector_name” | fl fqdn 四、 配置接受连接器

在缺省情况，当一台Exchange 2007中心传输服务器安装完成后，系统会自动产生两个接收连接器。

客户端 Servername。 默认 Servername：

我们介绍如何设置默认 Servername的接受连接器：

1、 打开EMC，定位到服务器配置---中心传输服务器，选中您要配置的服务器， 2、 点击Receive Connectors，右键选中默认 Servername，选择属性，如图7所示，

(图7)

3、 点击General，我们可以设置该连接器的FQDN名称，如图8所示，必须保证该FQDN名称和证书的certificatedomains保持一致。

(图8)

4、 点击Network，我们设置该连接器绑定的IP地址以及侦听的端口，在缺省情况下，该连接器侦听在25端口上，同时我们还可以在Remote IP Addresses中指定该连接器接受的远程客户端的IP地址范围，我们保持缺省的值不变，如图9所示。

(图9)

5、 点击Authentication，选中Transport Layer Security和Basic Authentication选项，如图10所示，

(图10)

6、 点击Permissions Group，选中Exchange Users，如图11所示。

(图11)

7、 在修改完成后，需要重启Microsoft Exchange Transport服务才能使该设置生效。

五、 配置Outlook Express客户端

1、 打开Outlook Express，点击工具，选择帐户，点击邮件，然后点击属性，如图12所示，

(图12)

2、 然后点击“服务器”，在接收邮件POP3和发送邮件SMTP中，填写接收连接器的FQDN名称，如果该名称和接收连接器的FQDN名称不一样，会产生如图13所示的错误。

(图13)

3、 选中“我的服务器要求身份验证”，并配置接收邮件POP3和发送邮件SMTP的名称，然后点击设置，如图14所示，

(图14)

4、 在登录方式中输入正确的用户名和密码，如图15所示，

(图15)

5、 点击“高级”，在发送邮件(SMTP)中填写25端口，因为我们通过默认Servername的接受连接器来发送邮件。

6、 在发送邮件(SMTP)和接收邮件(POP3)中，选中“此服务器要求安全连接”，这时POP3的端口号会自动变成995，如图16所示。

(图16) 7、 点击应用，

8、 然后关闭Outlook Express，重新登录，发送测试邮件，看结果如何。 六、 验证POP3是否工作在TLS的方式下

我们可以通过在客户端或者服务器端安装抓包工具，然后捕获客户端和服务器之间的数据包，然后功过Netmon或者Eathereal等数据包分析软件来查看，有关具体的安装和捕获的步骤在此不在叙述，我们可以通过观察数据包来验证POP3的工作方式。

图17表示POP3工作在TLS的方式下。图18表示POP3没有工作在TLS的方式下。

(图17)

(图18)

本文来源：https://www.bwwdw.com/article/rema.html