Articles /

odeslat konektory v Exchange Server

  • článek
  • 08/30/2021
  • 12 zápis ke čtení
    • m
    • D
    • m
    • A
    • v
    • +5
je tato stránka užitečná?

Děkuji.

Exchange používá odesílání konektorů pro odchozí připojení SMTP ze zdrojových serverů Exchange na cílové e-mailové servery. Konektor odeslat, který se používá k směrování zpráv příjemci, je vybrán během fáze rozlišení směrování kategorizace zpráv. Další informace naleznete v části směrování pošty.

v přepravní službě můžete vytvářet konektory pro odesílání na poštovních serverech a na okrajových transportních serverech. Odeslat konektory jsou uloženy ve službě Active Directory a jsou (ve výchozím nastavení) viditelné pro všechny servery poštovní schránky v Organizaci.

důležité

ve výchozím nastavení neexistují žádné konektory pro externí tok pošty při instalaci Exchange. Chcete-li povolit odchozí internetový tok pošty, musíte vytvořit konektor pro odeslání nebo předplatit Server Edge Transport vaší organizaci Exchange. Další informace naleznete v části Vytvořit konektor pro odesílání pošty na servery Internet a Edge Transport.

pro odesílání pošty mezi servery Exchange ve stejném adresáři služby Active Directory nemusíte konfigurovat odesílací konektory. Implicitní a neviditelné odesílací konektory, které jsou si plně vědomy topologie serveru Exchange, jsou k dispozici pro odesílání pošty na interní Servery Exchange. Tyto konektory jsou popsány v části implicitní Send konektory.

toto jsou důležitá nastavení na odesílacích konektorech:

  • Typ použití

  • Nastavení Sítě: nakonfigurujte, jak odesílat konektor směruje poštu: pomocí DNS nebo automatickým předáním veškeré pošty inteligentnímu hostiteli.

  • adresní prostory: nakonfigurujte cílové domény, za které odpovídá odesílací konektor.

  • rozsah: konfiguruje viditelnost odesílacího konektoru na jiné výměnné servery v Organizaci.

  • zdrojové servery: nakonfigurujte Servery Exchange, kde je hostován konektor Send. Pošta, která musí být doručena pomocí konektoru Send, je směrována na jeden ze zdrojových serverů.

na serverech poštovní schránky můžete vytvářet a spravovat odesílat konektory v centru správy Exchange nebo v shellu správy Exchange. Na serverech Edge Transport můžete použít pouze Shell Exchange Management.

Odeslat změny konektorů v Exchange Serveru

Jedná se o významné změny odesílání konektorů v Exchange 2016 nebo Exchange 2019 ve srovnání s Exchange 2010:

  • můžete nakonfigurovat odesílání konektorů pro přesměrování nebo proxy odchozí poštu prostřednictvím služby Front End Transport. Další informace naleznete v části Konfigurace odesílání konektorů do odchozí pošty proxy.

  • parametr IsCoexistenceConnector již není k dispozici.

  • parametr LinkedReceiveConnector již není k dispozici.

  • výchozí maximální velikost zprávy se zvýší na 35 MB (přibližně 25 MB kvůli kódování Base64). Pro více informací, viz Velikost zprávy a limity příjemce v Exchange Server.

  • parametr TlsCertificateName umožňuje určit emitenta certifikátu a předmět certifikátu. To pomáhá minimalizovat riziko podvodných certifikátů.

implicitní odesílací konektory

ačkoli během instalace výměnných serverů nejsou vytvořeny žádné odesílací konektory, je přítomen speciální implicitní odesílací konektor s názvem odesílací konektor uvnitř organizace. Tento implicitní odesílací konektor je automaticky dostupný, neviditelný a nevyžaduje žádnou správu. V přepravních službách existuje konektor odesílání uvnitř organizace pro odesílání pošty, buď interně mezi službami na místním serveru Exchange, nebo do služeb na vzdálených serverech Exchange v Organizaci. Příklad:

  • přední dopravní služba k dopravní službě.

  • přepravní služba k přepravní službě na jiných serverech.

  • přeprava na předplacené servery Edge Transport.

  • přepravní služba do doručovací služby poštovní schránky.

  • služba odeslání poštovní schránky přepravní službě.

pro více informací, viz Mail flow a dopravní potrubí.

odeslat typy použití konektoru

pro Odeslat konektory je typ použití v podstatě popisným štítkem, který identifikuje, k čemu se používá konektor Send. Všechny hodnoty typu použití obdrží stejná oprávnění.

typ použití konektoru můžete určit pouze při vytváření odesílacích konektorů. Pokud používáte EAC, musíte vybrat hodnotu typu. Ale když použijete rutinu New-SendConnector v shellu Exchange Management, typ použití není vyžadován (buď pomocí -Usage <UsageType> nebo -<UsageType>).

zadáním typu použití nakonfigurujete výchozí maximální velikost zprávy, kterou můžete změnit po vytvoření konektoru.

dostupné hodnoty typu použití jsou popsány v následující tabulce.

Typ použití maximální velikost zprávy
vlastní 35 MB žádné
interní neomezený když v EAC vytvoříte odesílací konektor tohoto typu použití, nemůžete vybrat záznam MX spojený s doménou příjemce. Po vytvoření konektoru můžete přejít na kartu doručení ve vlastnostech odeslat konektor a vybrat MX záznam přidružený k doméně příjemce.
stejné omezení neexistuje v shellu Exchange Management. Můžete použít interní přepínač a nastavit DNSRoutingEnabled na $true v rutině New-SendConnector.
Internet 35 MB žádné
Partner 35 MB když v EAC vytvoříte odesílací konektor tohoto typu použití, nemůžete vybrat trasu pošty prostřednictvím inteligentních hostitelů nebo mechanismu autentizace inteligentního hostitele. Po vytvoření konektoru můžete přejít na kartu doručení ve vlastnostech konektoru Odeslat a vybrat trasu pošty prostřednictvím inteligentních hostitelů a mechanismu ověřování inteligentního hostitele.
stejné omezení neexistuje v shellu Exchange Management. Můžete použít přepínač Partner a nastavit DNSRoutingEnabled na $false a použít parametry SmartHosts a SmartHostAuthMechanism v rutině New-SendConnector.

Nastavení Sítě pro odeslání konektoru

každý konektor pro odeslání musí být nakonfigurován pomocí jedné z těchto možností:

  • použijte DNS pro směrování pošty.

  • použijte jeden nebo více inteligentních hostitelů pro směrování pošty.

použijte DNS pro směrování pošty

když vyberete rozlišení DNS pro doručování pošty, server pro výměnu zdrojů pro odesílací konektor musí být schopen vyřešit záznamy MX pro adresní prostory nakonfigurované na konektoru. V závislosti na povaze konektoru a počtu síťových adaptérů na serveru může odesílat konektor vyžadovat přístup k internímu serveru DNS nebo externímu (veřejnému) serveru DNS. Server můžete nakonfigurovat tak, aby používal konkrétní servery DNS pro interní a externí vyhledávání DNS:

  • v EAC at Servers > Server > vyberte server a klikněte na ikonu Upravit upravit. > Záložka vyhledávání DNS.

  • v shellu Exchange Management používáte parametry ExternalDNS* a InternalDNS* v rutině Set-TransportService.

pokud jste již nakonfigurovali server Exchange se samostatným nastavením DNS pro interní a externí vyhledávání DNS a konektor Send směruje poštu do externího adresního prostoru, musíte nakonfigurovat konektor Send pro použití externího serveru DNS:

  • v EAC vyberte Použít nastavení externího vyhledávání DNS na serverech s transportními rolemi (v průvodci novým odesíláním konektorů nebo na kartě doručení ve vlastnostech existujících konektorů).

  • v shellu Exchange Management použijte parametr UseExternalDNSServersEnabled na rutinách New-SendConnector a Set-SendConnector.

Použijte Inteligentní hostitele pro směrování pošty

když směrujete poštu prostřednictvím inteligentního hostitele, odesílací konektor předává poštu inteligentnímu hostiteli a inteligentní hostitel je zodpovědný za směrování pošty na další hop na cestě ke konečnému cíli. Běžné použití pro směrování inteligentních hostitelů je odesílání odchozí pošty prostřednictvím antispamové služby nebo zařízení.

identifikujete jednoho nebo více inteligentních hostitelů, které chcete použít pro odesílací konektor, podle individuální IP adresy (například 10.1.1.1), plně kvalifikovaného doménového jména (FQDN) (například spamservice.contoso.com), nebo kombinace obou typů hodnot. Pokud používáte FQDN, zdrojový výměnný server pro odesílací konektor musí být schopen vyřešit FQDN (což může být záznam MX nebo záznam A) pomocí DNS.

důležitou součástí směrování inteligentních hostitelů je autentizační mechanismus, který inteligentní hostitelé používají. Dostupné mechanismy autentizace jsou popsány v následující tabulce.

autentizační mechanismus popis
žádné (None) žádná autentizace. Například pokud je přístup k inteligentnímu hostiteli omezen zdrojovou IP adresou.
základní autentizace (BasicAuth) základní autentizace. Vyžaduje uživatelské jméno a heslo. Uživatelské jméno a heslo jsou odesílány v čistém textu.
nabídněte základní autentizaci až po spuštění TLS (BasicAuthRequireTLS) základní autentizace, která je šifrována pomocí TLS. To vyžaduje certifikát serveru na inteligentním hostiteli, který obsahuje přesný FQDN inteligentního hostitele, který je definován na konektoru pro odeslání.
konektor Send se pokusí navázat relaci TLS zasláním příkazu STARTTLS inteligentnímu hostiteli a provede základní autentizaci až po vytvoření relace TLS.
klientský certifikát je také vyžadován pro podporu vzájemné autentizace TLS.
ověřování serveru Exchange (ExchangeServer) Generic Security Services application programming interface (GSSAPI) a Mutual GSSAPI authentication.
externě zajištěné (ExternalAuthoritative) předpokládá se, že spojení je zajištěno pomocí bezpečnostního mechanismu, který je externí pro výměnu. Připojení může být sdružení IPSec (Internet Protocol security) nebo virtuální privátní síť (VPN). Alternativně, servery mohou být umístěny v důvěryhodné, fyzicky řízená síť.

adresní prostory pro odeslání konektoru

adresní prostor určuje cílové domény, které jsou obsluhovány odesílacím konektorem. Pošta je směrována přes odesílací konektor na základě domény e-mailové adresy příjemce.

dostupné hodnoty adresního prostoru SMTP jsou popsány v následující tabulce.

adresní prostor vysvětlení
* konektor odeslat směruje poštu příjemcům ve všech doménách.
doména (například, contoso.com) konektor Send směruje poštu příjemcům v zadané doméně, ale ne v žádných subdoménách.
Doména a subdomény (například, *.contoso.com) konektor Send směruje poštu příjemcům v zadané doméně a ve všech subdoménách.
-- konektor Send směruje poštu příjemcům ve všech přijatých doménách v Organizaci Exchange. Tato hodnota je k dispozici pouze na odeslaných konektorech na okrajových transportních serverech, které odesílají poštu interní organizaci výměny.

adresní prostor má také hodnoty typu a nákladů, které můžete nakonfigurovat.

na okrajových transportních serverech musí být hodnota typu SMTP. Na poštovních serverech můžete také použít typy adresního prostoru bez SMTP, jako je X400 nebo jakýkoli jiný textový řetězec. X. 400 adresy musí být kompatibilní s RFC 1685 (například o=MySite;p=MyOrg;a=adatum;c=us), ale jiné typové hodnoty akceptují libovolnou textovou hodnotu pro adresový prostor. Pokud zadáte typ adresního prostoru, který není SMTP, musí konektor Send používat směrování inteligentního hostitele a SMTP se používá k odesílání zpráv inteligentnímu hostiteli. Konektory Delivery Agent a cizí konektory odesílají non-SMTP zprávy na non-SMTP servery bez použití SMTP. Pro více informací, viz dodací agenti a dodací Agent Konektory a zahraniční konektory.

hodnota nákladů v adresním prostoru se používá pro optimalizaci toku pošty a odolnost proti chybám, pokud máte stejné adresní prostory nakonfigurované na více konektorech odesílání na různých zdrojových serverech. Nižší hodnota priority označuje preferovaný konektor pro odeslání.

konektor odesílání, který slouží k přesměrování zpráv příjemci, je vybrán během fáze kategorizace zpráv rozlišení směrování. Je vybrán konektor Send, jehož adresní prostor se nejvíce shoduje s e-mailovou adresou příjemce a jehož prioritní hodnota je nejnižší.

Předpokládejme například, že příjemce je [email protected]. je-li konektor Send nakonfigurován pro *.contoso.com, zpráva je směrována přes tento konektor. Není-li konektor Send nakonfigurován pro *.contoso.com, zpráva je směrována přes konektor, který je nakonfigurován pro *. Pokud je nakonfigurováno více konektorů odesílání na stejném webu služby Active Directory pro *.contoso.com je vybrán konektor s nižší hodnotou priority.

rozsah odeslání konektoru

zdrojové servery pro konektor odeslání určují cílový výměnný server pro poštu, který musí být směrován přes konektor odeslání. Rozsah Send connector řídí viditelnost konektoru v rámci organizace výměny.

ve výchozím nastavení jsou konektory Send viditelné pro všechny servery Exchange v celém lese služby Active Directory a používají se při rozhodování o směrování. Můžete však omezit rozsah odesílacího konektoru tak, aby byl viditelný pouze pro jiné servery Exchange na stejném webu služby Active Directory. Konektor Send je neviditelný pro servery Exchange na jiných webech služby Active Directory a nepoužívá se při rozhodování o směrování. Konektor pro odesílání, který je tímto způsobem omezen, se říká, že je rozsahem.

Chcete-li nakonfigurovat konektory scoped Send v EAC, vyberte možnost Scoped send connector v části adresní prostor Průvodce novým konektorem Send nebo na kartě Scoping ve vlastnostech existujících konektorů Send. V shellu Exchange Management použijete parametr IsScopedConnector na rutinách New-SendConnector a Set-SendConnector.

oprávnění pro odeslání konektoru

když konektor pro odeslání naváže spojení s cílovým e-mailovým serverem, oprávnění pro odeslání konektoru určují typy záhlaví, které lze odeslat ve zprávách. Pokud zpráva obsahuje záhlaví, která nejsou povolena oprávněními, jsou tato záhlaví ze zpráv odstraněna.

oprávnění jsou přiřazena k odesílání konektorů známými principy zabezpečení. Principy zabezpečení zahrnují uživatelské účty, počítačové účty a skupiny zabezpečení (objekty, které jsou identifikovatelné identifikátorem zabezpečení nebo SID, které jim mohou být přiřazena oprávnění). Ve výchozím nastavení jsou na všech konektorech odesílání přiřazeny stejné principy zabezpečení se stejnými oprávněními, bez ohledu na typ použití, který jste vybrali při vytváření konektoru. Chcete-li upravit výchozí oprávnění pro konektor Send, musíte použít rutiny Add-ADPermission a Remove-ADPermission v shellu Exchange Management.

dostupná oprávnění pro odesílání konektorů jsou popsána v následující tabulce.

oprávnění přiřazeno popis
ms-Exch-Send-Headers-Forest <Domain>\Exchange Servers
MS Exchange\Edge Transport Servers
MS Exchange\Hub Transport Servers 		řídí zachování záhlaví Exchange forest ve zprávách. Názvy záhlaví lesa začínají x-MS-Exchange-Forest -. Pokud toto oprávnění není uděleno, všechny záhlaví lesů jsou ze zpráv odstraněny.
ms-Exch-Send-Headers-Organization <Domain>\Exchange Servers
MS Exchange\Edge Transport Servers
MS Exchange\Hub Transport Servers 		řídí zachování záhlaví organizace Exchange ve zprávách. Názvy záhlaví organizace začínají x-MS-Exchange-Organization -. Pokud toto oprávnění není uděleno, všechny záhlaví organizace jsou ze zpráv odstraněny.
ms-Exch-Send-Headers-Routing NT AUTHORITY\ANONYMOUS LOGON
<Domain>\Exchange Servers
MS Exchange\Edge Transport Servers
MS Exchange\Externally Secured Servers
MS Exchange\Hub Transport Servers
MS Exchange\Legacy Exchange Servers
MS Exchange\Partner Servers 		řídí uchování přijatých záhlaví ve zprávách. Pokud toto oprávnění není uděleno, všechny přijaté záhlaví jsou ze zpráv odstraněny.
ms-Exch-SMTP-Send-Exch50 <Domain>\Exchange Servers
MS Exchange\Edge Transport Servers
MS Exchange\Externally Secured Servers
MS Exchange\Hub Transport Servers
MS Exchange\Legacy Exchange Servers 		umožňuje serveru source Exchange odesílat příkazy XEXCH50 na konektoru Send. X-EXCH50 binary large object (BLOB) byl používán staršími verzemi Exchange (Exchange 2003 a starší) pro ukládání dat Exchange ve zprávách (například úroveň spolehlivosti spamu nebo SCL).
pokud toto oprávnění není uděleno a zprávy obsahují BLOB X-EXCH50, server Exchange odešle zprávu bez BLOB X-EXCH50.
ms-Exch-SMTP-Send-XShadow <Domain>\Exchange Servers
MS Exchange\Edge Transport Servers
MS Exchange\Hub Transport Servers 		toto oprávnění je vyhrazeno pro interní použití společnosti Microsoft a je zde uvedeno pouze pro referenční účely.

Poznámka: názvy oprávnění, které obsahují ms-Exch-Send-Headers-, jsou součástí funkce brány firewall záhlaví. Další informace naleznete v záhlaví brány firewall.

postupy oprávnění pro odeslání konektoru

Chcete-li zobrazit oprávnění, která jsou přiřazena principům zabezpečení na konektoru pro odeslání, použijte následující syntaxi v shellu pro správu Exchange:

Get-ADPermission -Identity <SendConnector> | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Chcete-li například zobrazit oprávnění, která jsou přiřazena všem principům zabezpečení na konektoru Send s názvem To Fabrikam.com, spusťte následující příkaz:

Get-ADPermission -Identity "To Fabrikam.com" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Chcete-li zobrazit oprávnění, která jsou přiřazena pouze jistině zabezpečení NT AUTHORITY\ANONYMOUS LOGON na konektoru Send pojmenovaném pro Fabrikam, spusťte následující příkaz:

Get-ADPermission -Identity "To Fabrikam.com" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Chcete-li přidat oprávnění k jistině zabezpečení na konektoru Send, použijte následující syntaxi:

Add-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Chcete-li odstranit oprávnění z jistiny zabezpečení na konektoru Send, použijte následující syntaxi:

Remove-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Leave a Reply