在 Windows Server 上配置 IIS SMTP 服務器時，身份驗證是保障郵件安全傳輸的核心環節。本文結合微軟官方文檔與實戰經驗，深度解析3 種權威身份驗證方案，并提供覆蓋多場景的配置指南，文末附 SEO 優化標題及關鍵詞，助你構建企業級郵件傳輸體系！

?? 核心解決方案

方案一：基礎身份驗證（Basic Authentication）配置

1. 安裝 SMTP 服務器角色

• 打開「服務器管理器」→「添加角色和功能」→勾選「SMTP 服務器」及「IIS 6 管理兼容性」。
• 安裝完成后，通過「IIS 管理器 6.0」進入 SMTP 虛擬服務器配置。

啟用基礎身份驗證

• 在「訪問」選項卡→「身份驗證」中，勾選「基本身份驗證」，并取消「匿名訪問」。
• 輸入用于驗證的 Windows 域賬戶（格式：域名\用戶名）及密碼。

配置出站安全

• 在「傳遞」選項卡→「出站安全」中，選擇「基本身份驗證」并輸入相同賬戶信息。
• 啟用「TLS 加密」，并通過「服務器證書」綁定有效 SSL 證書（需提前通過 IIS 申請或導入）。

測試驗證

• 將測試郵件放入C:\inetpub\mailroot\Pickup目錄，系統自動發送。
• 使用 PowerShell 命令驗證：

powershell

Send-MailMessage -From "sender@example.com" -To "recipient@example.com" -Subject "Test" -Body "Hello" -SmtpServer "localhost" -Credential (Get-Credential)

方案二：集成 Windows 身份驗證（Integrated Windows Authentication）

1. 配置域環境

• 確保 SMTP 服務器加入域，并與域控制器正常通信。

啟用集成驗證

• 在「身份驗證」中勾選「集成 Windows 身份驗證」，取消「匿名訪問」。
• 無需手動輸入賬戶，系統自動使用當前登錄用戶憑證進行驗證。

設置訪問控制

• 在「連接」和「中繼」中添加允許的客戶端 IP（如127.0.0.1或域內服務器 IP）。
• 勾選「允許所有通過身份驗證的計算機進行中繼」，確保域用戶可跨服務器發送郵件。

方案三：混合模式（匿名 + 驗證）靈活配置

1. 同時啟用匿名和基本驗證

• 在「身份驗證」中同時勾選「匿名訪問」和「基本身份驗證」，確保可接收外部郵件并限制中繼。
• 注意：若僅啟用匿名訪問，將導致未認證用戶可任意發送郵件，存在安全風險。

精細化中繼限制

• 在「中繼」設置中，添加允許的 IP 地址（如郵件客戶端或應用服務器 IP）。
• 勾選「僅以下列表」并輸入 IP，同時保留「允許所有通過身份驗證的計算機」選項，實現內外網差異化控制。

?? 關鍵注意事項

1. TLS 加密強制要求

• 基本身份驗證必須配合 TLS 加密（端口 587），避免密碼明文傳輸。
• 證書需包含服務器域名，且有效期內未被吊銷。

防火墻規則配置

• 開放 TCP 端口 25（SMTP）、587（SMTP over TLS）及 465（SMTPS）。
• 使用netsh advfirewall firewall add rule命令創建入站 / 出站規則。

權限與日志監控

• 定期檢查C:\inetpub\mailroot\Badmail目錄，分析發送失敗原因。
• 啟用 SMTP 日志記錄，路徑：C:\inetpub\logs\LogFiles\SMTPSVC1。

Windows Server 2025 + 替代方案

• 微軟已移除內置 SMTP 組件，可使用開源工具E-MailRelay替代，支持 Windows/Linux 雙平臺，配置步驟參考。