近来在论坛上看到有一些朋友都问起，SMTP虚拟服务器不经过验证就可以伪造内部用户发送内部邮件等等，这个问题可以分2种类型解决:MAPI和SMTP。

先来说说MAPI吧，比较简单，如果用户全部使用MAPI，那你就很容易解决这个问题了，只需要在SMTP虚拟服务器上应用发件人筛选（公司域名），因为MAPI客户端是不会应用筛选的，所以可以防止内部，外部伪造内部用户的邮件。

下面说说用户为SMTP客户端的，因为SMTP客户端（即使合法用户）会应用筛选，所以启用发件人筛选是行不通的，那怎么办呢？我们可以新建一个SMTP虚拟服务器，监听的端口是没有占用的，如26，取消匿名身份验证，这样没有经过身份验证就不能使用此SMTP虚拟服务器发送邮件，更不提伪造了。您可以考虑把26端口也发不到外网以便出差的用户正常使用。当然，需要在客户端把SMTP端口改为26，POP3端口不变。默认smtp虚拟服务器需要修改的地方就是应用发件人筛选（公司域名），切勿取消匿名身份验证。