接收連線器作用於是限於單台伺服器,屬於接收偵聽器一類。
基本介紹
- 中文名:接收連線器
- 外文名:無
- 作用域:限於單台伺服器
- 類型:接收偵聽器”
接收連線器的概述,接收連線器使用類型,許可權組,本地網路設定,遠程網路設定,接收連線器身份驗證設定,其他接收連線器屬性,詳細信息,
接收連線器的概述
Exchange2007 傳輸伺服器要求接收連線器從 Internet、電子郵件客戶端和其他電子郵件伺服器接收郵件。接收連線器控制與 Exchange 組織的入站連線。默認情況下,安裝集線器傳輸伺服器角色之後,將自動創建內部郵件流所需的接收伺服器。安裝邊緣傳輸伺服器角色之後,將自動創建能夠接收來自 Internet 和集線器傳輸伺服器的郵件的接收連線器。但是,只有當使用邊緣訂閱過程將邊緣傳輸伺服器訂閱到 Active Directory 目錄服務站點之後,才能建立端到端郵件流。其他方案,如面向 Internet 的集線器傳輸伺服器或未訂閱的邊緣傳輸伺服器,必須手動配置連線器,才能建立端到端郵件流。 在 Exchange 2007 中,接收連線器是一個“接收偵聽器”。這意味著該連線器會偵聽與接收連線器的設定相匹配的入站連線。接收連線器會偵聽通過特定的本地 IP 地址和連線埠接收的、來自指定 IP 地址範圍的連線。若要控制哪些伺服器接收來自特定 IP 地址或 IP 地址範圍的郵件,以及若要針對從特定 IP 地址接收的郵件來配置特殊的連線器屬性(如更大的郵件大小、每個郵件的更多收件人或更多的入站連線),則可以創建接收連線器。
接收連線器的作用域限於單台伺服器,可確定該特定伺服器如何偵聽連線。在集線器傳輸伺服器上創建接收連線器時,該接收連線器會作為其所在伺服器的子對象存儲在 Active Directory 目錄服務中。在邊緣傳輸伺服器上創建接收連線器時,該接收連線器會存儲在 Active Directory 應用程式模式 (ADAM) 中。
如果特定方案需要使用其他的接收連線器,可以使用 Exchange 管理控制台或 Exchange 命令行管理程式創建所需的接收連線器。每個接收連線器必須使用綁定的 IP 地址、分配的連線埠號和遠程 IP 地址範圍(該連線器接受來自這些 IP 地址的郵件)的唯一組合。
接收連線器使用類型
使用類型決定連線器的默認安全設定。
使用 Exchange 管理控制台配置接收連線器時,新建 SMTP 接收連線器嚮導會提示您選擇連線器的使用類型。
在 Exchange 2007 的正式發布 (RTM) 版本中,在 Exchange 命令行管理程式中使用 New-ReceiveConnector cmdlet 創建接收連線器時,也可以指定 Usage 參數。但是,在 Exchange 2007 RTM 中,Usage 並非必需的參數。如果在運行 New-ReceiveConnector cmdlet 時沒有指定使用類型,則默認的使用類型將設定為 Custom。
在 Exchange 2007 Service Pack 1 (SP1) 中,在 Exchange 命令行管理程式中使用 New-ReceiveConnector cmdlet 創建接收連線器時,必須指定使用類型。在 Exchange 2007 SP1 中,可以使用兩種不同的方法指定使用類型:
使用包含所需值的 Usage 參數,例如 UsageCustom。根據您所指定的使用類型,還有其他必需的參數。如果在 New-ReceiveConnector 命令中未指定必需的參數,該命令將失敗。
使用所需使用類型的開關參數,例如 Custom。根據您所指定的使用類型,還有其他必需的參數。如果在 New-ReceiveConnector 命令中未指定必需的參數,系統將提示您提供缺少的參數值,以便可以繼續執行該命令。
許可權組
許可權組是預定義的許可權集,將其授予常用的安全主體並分配給接收連線器。安全主體包括用戶、計算機以及安全組。安全主體由安全標識符 (SID) 進行標識。許可權組僅用於接收連線器。使用許可權組可以簡化接收連線器的許可權配置操作。PermissionGroups 屬性定義可將郵件提交給接收連線器的組或角色以及分配給這些組的許可權。在 Exchange 2007 中已經預定義了許可權組集,這意味著您無法創建其他許可權組。此外,您也無法修改許可權組成員或關聯的許可權。
| 許可權組名稱 | 關聯的安全主體 (SID) | 授予的許可權 |
|---|---|---|
匿名 | 匿名用戶帳戶 | Ms-Exch-SMTP-Submit Ms-Exch-SMTP-Accept-Any-Sender Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender Ms-Exch-Accept-Headers-Routing |
ExchangeUsers | 通過身份驗證的用戶帳戶 | Ms-Exch-SMTP-Submit Ms-Exch-SMTP-Accept-Any-Recipient Ms-Exch-Bypass-Anti-Spam Ms-Exch-Accept-Headers-Routing |
ExchangeServers | 集線器傳輸伺服器 邊緣傳輸伺服器 Exchange 伺服器(僅限集線器傳輸伺服器) 外部安全伺服器 | Ms-Exch-SMTP-Submit Ms-Exch-SMTP-Accept-Any-Sender Ms-Exch-SMTP-Accept-Any-Recipient Ms-Exch-Accept-Authoritative-Domain-Sender Ms-Exch-Bypass-Anti-Spam Ms-Exch-SMTP-Accept-Authentication-Flag Ms-Exch-Bypass-Message-Size-Limit Ms-Exch-Accept-Headers-Routing Ms-Exch-Accept-Exch50 Ms-Exch-Accept-Headers-Organization(注意:未對外部安全伺服器授予此許可權。) Ms-Exch-Accept-Headers-Forest(注意:未對外部安全伺服器授予此許可權。) |
ExchangeLegacyServers | Exchange 舊版 Interop 安全組 | Ms-Exch-SMTP-Submit Ms-Exch-SMTP-Accept-Any-Sender Ms-Exch-SMTP-Accept-Any-Recipient Ms-Exch-Accept-Authoritative-Domain-Sender Ms-Exch-Bypass-Anti-Spam Ms-Exch-SMTP-Accept-Authentication-Flag Ms-Exch-Bypass-Message-Size-Limit Ms-Exch-Accept-Headers-Routing Ms-Exch-Accept-Exch50 |
合作夥伴 | 合作夥伴伺服器帳戶 | Ms-Exch-SMTP-Submit Ms-Exch-Accept-Headers-Routing |
表 2 說明了可用的使用類型和默認設定。
客戶端(在邊緣傳輸伺服器上不可用) | ExchangeUsers | TLS 基本身份驗證加上 TLS 集成的 Windows 身份驗證 |
自定義 | 無 | 無 |
內部 | ExchangeServers ExchangeLegacyServers(此許可權組在邊緣傳輸伺服器上不可用。) | Exchange Server 身份驗證 |
Internet | AnonymousUsers 合作夥伴 | “無”或“外部安全” |
合作夥伴 | 合作夥伴 | 不適用。與遠程域建立相互的 TLS 時,會選擇該使用類型。 |
每種使用類型適用於特定的連線方案。請選擇默認設定最適合所需配置的使用類型。可以使用 Add-ADPermission cmdlet 和 Remove-ADPermission cmdlet 修改許可權。
表 3 列出了常見的連線方案以及適用於每種方案的使用類型。
接收來自 Internet 的電子郵件的邊緣傳輸伺服器 | Internet | 安裝邊緣傳輸伺服器角色後,將自動創建一個配置為接受來自所有域的電子郵件的接收連線器。 |
接收來自 Internet 的電子郵件的集線器傳輸伺服器 | Internet | 建議不使用此配置。 |
接收來自 Exchange Server 2003 或 Exchange 2000 Server 橋頭伺服器的電子郵件的邊緣傳輸伺服器 | 內部 | 在此方案中,將 Exchange 2003 或 Exchange 2000 橋頭伺服器配置為將邊緣傳輸伺服器用作傳送連線器的智慧型主機。 |
接收使用郵局協定 3 (POP3) 或 IMAP4 的客戶端應用程式所提交的電子郵件的集線器傳輸伺服器 | 客戶端 | 安裝集線器傳輸伺服器角色後,將在每台集線器傳輸伺服器上自動創建該接收連線器。默認情況下,將該接收連線器配置為通過 TCP 連線埠 587 接收電子郵件。 |
接收來自集線器傳輸伺服器的電子郵件的集線器傳輸伺服器 | 內部 | 無須在同一組織內的集線器傳輸伺服器之間配置接收連線器。此使用類型可用來配置跨林的接收連線器。 |
接收來自同一個林中 Exchange 2003 或 Exchange 2000 橋頭伺服器的電子郵件的集線器傳輸伺服器 | 內部 | 這是一種可選的配置。Exchange 2007 與早期版本 Exchange Server 之間的郵件傳輸是通過雙向路由組連線器來實現的。如果創建連線到 Exchange 2003 路由組或 Exchange 2000 路由組的簡單郵件傳輸協定 (SMTP) 連線器,則必須還要存在一個路由組連線器。 |
接收來自集線器傳輸伺服器的電子郵件的邊緣傳輸伺服器 | 內部 | 安裝邊緣傳輸伺服器角色後,將自動創建一個配置為接受來自所有域的電子郵件的接收連線器。您可以創建另一個連線器,並將其配置為僅接收來自 Exchange 組織的電子郵件。 |
適用於一個林內的集線器傳輸伺服器的跨林接收連線器,它可接收來自另一個林內集線器傳輸伺服器的電子郵件 | 自定義 | |
適用於一個林內的集線器傳輸伺服器的跨林接收連線器,它可接收來自另一個林內的 Exchange 2003 或 Exchange 2000 橋頭伺服器的電子郵件 | 自定義 | |
接收來自第三方郵件傳輸代理的電子郵件的集線器傳輸伺服器 | 內部 | 指定 IP 地址範圍以接受來自這些地址的郵件,並將身份驗證機制設定為“基本身份驗證”或“外部安全”。 |
接收來自第三方郵件傳輸代理的電子郵件的邊緣傳輸伺服器 | 自定義 | 使用 Add-AdPermission cmdlet 設定擴展許可權。指定 IP 地址範圍以接受來自這些地址的郵件,並將身份驗證機制設定為“基本身份驗證”。也可以選擇“內部”使用類型並將“外部安全”設定為身份驗證方法。如果選擇此選項,則無須配置其他許可權。 |
接收來自外部中繼域的電子郵件的邊緣傳輸伺服器 | 自定義 | 邊緣傳輸伺服器可以接受來自外部中繼域的電子郵件,然後將電子郵件中繼到目標收件人域。指定 IP 地址範圍以接受來自這些地址的郵件,設定適用的身份驗證機制,然後使用 Add-AdPermission cmdlet 設定擴展的許可權。 |
接收來自某個域(您已經與之建立了相互 TLS 身份驗證)的電子郵件的邊緣傳輸伺服器 | 合作夥伴 | 只有滿足下列條件,才能正常進行相互 TLS 身份驗證: DomainSecureEnabled 參數的值已設定為 $True。 AuthMechanism 參數的值含有 TLS 且不能含有 External。 Get-TransportConfig cmdlet 中的 TLSReceiveDomainSecureList 參數至少包含一個由此接收連線器提供服務的域。為相互 TLS 身份驗證配置的域不支持通配符 (*)。還必須在相應的傳送連線器上,以及在 Get-TransportConfig cmdlet 的 TLSSendDomainSecureList 參數值中定義相同的域。 |
接收來自 Microsoft Exchange Hosted Services 伺服器的連線的邊緣傳輸伺服器 | 自定義 | Exchange 託管服務伺服器可以充當外部權威伺服器。若要使用“外部安全”身份驗證機制,請使用 Set-ReceiveConnector cmdlet 將 PermissionGroup 參數設定為 ExchangeServers。 |
接收來自 Exchange Hosted Services 伺服器的連線的集線器傳輸伺服器 | 自定義 | Exchange 託管服務伺服器可以充當外部權威伺服器。若要使用“外部安全”身份驗證機制,請使用 Set-ReceiveConnector cmdlet 將 PermissionGroup 參數設定為 ExchangeServers。 |
表 4 說明了可以分配給安全主體的接收連線器許可權。
您可使用 Exchange 管理控制台或在 Exchange 命令行管理程式中結合使用 PermissionGroups 參數與 Set-ReceiveConnector cmdlet 來設定接收連線器的許可權。若要修改接收連線器的默認許可權,還可以使用 Add-AdPermission cmdlet。
ms-Exch-SMTP-Submit | 必須為會話授予此許可權,否則會話無法將郵件提交給此接收連線器。如果會話不具備此許可權,則 MAIL FROM 和 AUTH 命令將失敗。 |
ms-Exch-SMTP-Accept-Any-Recipient | 此許可權允許會話通過此連線器中繼郵件。如果未授予此許可權,則此連線器僅接受傳送給所接受域中收件人的郵件。 |
ms-Exch-SMTP-Accept-Any-Sender | 此許可權允許會話繞過發件人地址欺騙檢查。 |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender | 此許可權允許電子郵件地址位於權威域中的發件人與該接收連線器建立會話。 |
ms-Exch-SMTP-Accept-Authentication-Flag | 此許可權允許 Exchange 2003 伺服器提交來自內部發件人的郵件。Exchange 2007 會將這些郵件識別為內部郵件。發件人可以聲明這些郵件為“受信任”的郵件。通過匿名提交而進入 Exchange 系統的郵件將通過 Exchange 組織進行中繼,但此標誌處於不受信任的狀態。 |
ms-Exch-Accept-Headers-Routing | 此許可權允許會話提交收到的所有標頭均完整無缺的郵件。如果未授予此許可權,則伺服器將刪除收到的所有標頭。 |
ms-Exch-Accept-Headers-Organization | 此許可權允許會話提交所有組織標頭均完整無缺的郵件。組織標頭均以“X-MS-Exchange-Organization-”作為開頭。如果未授予此許可權,則接收伺服器將刪除所有組織標頭。 |
ms-Exch-Accept-Headers-Forest | 此許可權允許會話提交所有林標頭均完整無缺的郵件。林頭全部以“X-MS-Exchange-Forest-”開頭。如果未授予此許可權,則接收伺服器將刪除所有林標頭。 |
ms-Exch-Accept-Exch50 | 此許可權允許會話提交含有 XEXCH50 命令的郵件。與 Exchange 2000 及 2003 互操作時,需要使用此命令。XEXCH50 命令提供諸如郵件的垃圾郵件可信度 (SCL) 等數據。 |
ms-Exch-Bypass-Message-Size-Limit | 此許可權允許會話提交大小超過為連線器配置的郵件大小限制的郵件。 |
Ms-Exch-Bypass-Anti-Spam | 此許可權允許會話繞過反垃圾郵件篩選。 |
本地網路設定
在 Exchange 管理控制台中,可以對接收連線器使用本地網路設定來指定 IP 地址和連線埠,以便傳輸伺服器接受通過該 IP 地址和連線埠的連線。在 Exchange 命令行管理程式中,使用 Bindings 參數可以指定傳輸伺服器的本地 IP 地址和連線埠,以便接收連線器接受通過該 IP 地址和連線埠的連線。這些設定可將接收連線器綁定到傳輸伺服器上特定的網路適配器和 TCP 連線埠。
配置接收連線器綁定時,請指定網路適配器的 IP 地址。如果將接收連線器配置為接受通過非默認連線埠的連線,則必須將傳送客戶端或伺服器配置為傳送到該連線埠,並且郵件發件人與接收伺服器之間的所有防火牆都必須允許通過該連線埠的網路通信。
在 Exchange 管理控制台中,新建 SMTP 接收連線器嚮導的“本地網路設定”頁面含有“指定此連線器為回響 HELO 或 EHLO 將提供的 FQDN”選項。在 Exchange 命令行管理程式中,結合使用 Fqdn 參數與 Set-ReceiveConnector cmdlet 可設定此屬性。建立 SMTP 會話之後,傳送電子郵件伺服器與接收電子郵件伺服器之間將開始 SMTP 協定轉換。傳送電子郵件伺服器或客戶端會將 EHLO 或 HELO SMTP 命令及其完全限定的域名 (FQDN) 傳送到接收伺服器。隨後,接收伺服器會相應地傳送成功代碼並提供其自身的 FQDN。在 Exchange 2007 中,如果在接收連線器上配置此屬性,則可以自定義接收伺服器所提供的 FQDN。只要要求提供目標伺服器名稱,就會向已連線的郵件伺服器顯示 FQDN 值,如下所述:
.在接收連線器的默認 SMTP 標題中
.當郵件傳入集線器傳輸伺服器或邊緣傳輸伺服器時,在傳入郵件最近的 Received: 頭欄位中
.在 TLS 身份驗證期間
遠程網路設定
在 Exchange 管理控制台中,可以對接收連線器使用遠程網路設定來指定 IP 地址範圍,以便該接收連線器接受來自這些 IP 地址的連線。在 Exchange 命令行管理程式中,請使用 RemoteIPRanges 參數來指定該接收連線器將接受其連線的 IP 地址範圍。默認情況下,在集線器傳輸伺服器和邊緣傳輸伺服器上創建接收連線器,以允許來自 {0.0.0.0-255.255.255.255} 的連線或來自每個 IP 地址的連線。
如果為特定的方案配置接收連線器,請僅將遠程網路設定設定為該接收連線器的許可權和配置設定所允許的伺服器 IP 地址。只要一個範圍與另一個範圍完全重疊,多個接收連線器就會有重疊的遠程 IP 地址範圍。當遠程 IP 地址範圍重疊時,將使用與連線伺服器的 IP 地址最匹配的遠程 IP 地址範圍。
請按照下列其中一種格式輸入接收連線器將接受其入站連線的遠程伺服器 IP 地址或 IP 地址範圍:
.IP 地址 192.168.1.1
.IP 地址範圍 192.168.1.10-192.168.1.20
.IP 地址以及子網掩碼 192.168.1.0 (255.255.255.0)
.使用無類別域際路由選擇 (CIDR) 表示法的 IP 地址以及子網掩碼 192.168.1.0/24
接收連線器身份驗證設定
在 Exchange 管理控制台中,可以對接收連線器使用身份驗證設定,以指定 Exchange 2007 傳輸伺服器所支持的身份驗證機制。在 Exchange 命令行管理程式中,可以使用 AuthMechanisms 參數來指定所支持的身份驗證機制。可以為一個接收連線器配置多種身份驗證機制。請參閱前面的表 2,以了解為每種使用類型自動配置的身份驗證機制。
表 5 列出了接收連線器可用的身份驗證機制。
無 | 無需身份驗證。 |
TLS | 公布 STARTTLS。要求提供伺服器證書以提供 TLS。 |
集成 | NTLM 和 Kerberos(集成的 Windows 身份驗證) |
BasicAuth | 基本身份驗證。需要在登錄時進行身份驗證。 |
BasicAuthRequireTLS | 基於 TLS 的基本身份驗證。需要伺服器證書。 |
ExchangeServer | Exchange Server 身份驗證(GSSAPI 及相互的 GSSAPI)。 |
ExternalAuthoritative | 該連線因使用 Exchange 外部安全機制而被視為外部安全連線。該連線可能是 Internet 協定安全性 (IPsec) 關聯或虛擬專用網路 (VPN)。或者,伺服器可能駐留在受信任的物理控制網路中。ExternalAuthoritative 身份驗證方法需要 ExchangeServers 許可權組。這種將身份驗證方法與安全組配合使用的功能,允許對通過該連線器接收的郵件的匿名發件人電子郵件地址進行解析。這代替了 Exchange Server 2003 中的“解析匿名發件人”功能。 |
其他接收連線器屬性
接收連線器的屬性配置可定義如何通過該連線器接收電子郵件。Exchange 管理控制台中並未提供所有屬性。
詳細信息
有關詳細信息,請參閱網上其它。
