Envoyer des connecteurs dans Exchange Server

Exchange utilise des connecteurs d’envoi pour les connexions SMTP sortantes des serveurs Exchange source vers les serveurs de messagerie de destination. Le connecteur d’envoi utilisé pour acheminer les messages vers un destinataire est sélectionné pendant la phase de résolution de routage de la catégorisation des messages. Pour plus d’informations, reportez-vous à la section Routage du courrier.

Vous pouvez créer des connecteurs d’envoi dans le service de transport sur des serveurs de boîtes aux lettres et sur des serveurs de transport périphériques. Les connecteurs d’envoi sont stockés dans Active Directory et sont (par défaut) visibles par tous les serveurs de boîtes aux lettres de l’organisation.

Vous n’avez pas besoin de configurer les connecteurs d’envoi pour envoyer du courrier entre les serveurs Exchange dans la même forêt Active Directory. Des connecteurs d’envoi implicites et invisibles qui connaissent parfaitement la topologie du serveur Exchange sont disponibles pour l’envoi de courrier aux serveurs Exchange internes. Ces connecteurs sont décrits dans la section Connecteurs d’envoi implicites.

Ce sont les paramètres importants sur les connecteurs d’envoi:

• Type d’utilisation

• Paramètres réseau : Configurez la façon dont le connecteur d’envoi achemine le courrier : en utilisant DNS ou en transférant automatiquement tout le courrier vers un hôte intelligent.

• Espaces d’adressage : Configurez les domaines de destination dont le connecteur d’envoi est responsable.

• Portée : Configure la visibilité du connecteur d’envoi vers d’autres serveurs Exchange de l’organisation.

• Serveurs sources : Configurez les serveurs Exchange sur lesquels le connecteur d’envoi est hébergé. Le courrier qui doit être livré à l’aide du connecteur d’envoi est acheminé vers l’un des serveurs sources.

Sur les serveurs de boîtes aux lettres, vous pouvez créer et gérer des connecteurs d’envoi dans le centre d’administration Exchange ou dans le shell de gestion Exchange. Sur les serveurs de transport périphériques, vous ne pouvez utiliser que le shell de gestion Exchange.

Envoyer des changements de connecteurs dans Exchange Server

Ce sont les changements notables pour envoyer des connecteurs dans Exchange 2016 ou Exchange 2019 par rapport à Exchange 2010:

• Vous pouvez configurer des connecteurs d’envoi pour rediriger ou proxy le courrier sortant via le service de transport frontal. Pour plus d’informations, consultez Configurer les connecteurs d’envoi au courrier sortant proxy.

• Le paramètre IsCoexistenceConnector n’est plus disponible.

• Le paramètre LinkedReceiveConnector n’est plus disponible.

• La taille maximale du message par défaut est portée à 35 Mo (environ 25 Mo en raison de l’encodage Base64). Pour plus d’informations, reportez-vous à la section Taille des messages et limites des destinataires dans Exchange Server.

• Le paramètre TlsCertificateName vous permet de spécifier l’émetteur du certificat et l’objet du certificat. Cela permet de minimiser le risque de certificats frauduleux.

Connecteurs d’envoi implicites

Bien qu’aucun connecteur d’envoi ne soit créé lors de l’installation des serveurs Exchange, un connecteur d’envoi implicite spécial nommé connecteur d’envoi intra-organisation est présent. Ce connecteur d’envoi implicite est automatiquement disponible, invisible et ne nécessite aucune gestion. Le connecteur d’envoi intra-organisation existe dans les services de transport pour envoyer du courrier, soit en interne entre des services sur le serveur Exchange local, soit vers des services sur des serveurs Exchange distants de l’organisation. Exemple:

• Service de transport frontal au service de transport.

• Service de transport vers le service de transport sur d’autres serveurs.

• Service de transport vers les serveurs de transport périphériques abonnés.

• Service de transport au Service de Livraison de transport de Boîte aux lettres.

• Service de soumission de transport de boîtes aux lettres au service de transport.

Pour plus d’informations, consultez Flux de courrier et pipeline de transport.

Types d’utilisation du connecteur d’envoi

Pour les connecteurs d’envoi, le type d’utilisation est essentiellement une étiquette descriptive qui identifie à quoi sert le connecteur d’envoi. Toutes les valeurs de type d’utilisation reçoivent les mêmes autorisations.

Vous pouvez spécifier le type d’utilisation du connecteur uniquement lorsque vous créez des connecteurs d’envoi. Lorsque vous utilisez l’EAC, vous devez sélectionner une valeur de type. Mais lorsque vous utilisez l’applet de commande New-SendConnector dans le shell de gestion Exchange, le type d’utilisation n’est pas requis (soit en utilisant -Usage <UsageType> ou -<UsageType>).

La spécification d’un type d’utilisation configure une taille de message maximale par défaut, que vous pouvez modifier après avoir créé le connecteur.

Les valeurs de type d’utilisation disponibles sont décrites dans le tableau suivant.

Type d’utilisation	Taille maximale du message
Personnalisé	35 Mo	Aucun
Interne	illimité	Lorsque vous créez un connecteur d’envoi de ce type d’utilisation dans l’EAC, vous ne pouvez pas sélectionner l’enregistrement MX associé au domaine destinataire. Après avoir créé le connecteur, vous pouvez accéder à l’onglet Livraison dans les propriétés du connecteur d’envoi et sélectionner Enregistrement MX associé au domaine du destinataire. Cette même restriction n’existe pas dans l’interpréteur de commandes Exchange Management. Vous pouvez utiliser le commutateur interne et définir DNSRoutingEnabled sur $true sur l’applet de commande New-SendConnector.
Internet	35 Mo	Aucun
Partenaire	35 Mo	Lorsque vous créez un connecteur d’envoi de ce type d’utilisation dans l’EAC, vous ne pouvez pas sélectionner Router le courrier via des hôtes intelligents ou un mécanisme d’authentification d’hôte intelligent. Après avoir créé le connecteur, vous pouvez accéder à l’onglet Livraison dans les propriétés du connecteur d’envoi et sélectionner Acheminer le courrier via des hôtes intelligents et le mécanisme d’authentification de l’hôte intelligent. Cette même restriction n’existe pas dans l’interpréteur de commandes Exchange Management. Vous pouvez utiliser le commutateur de partenaire et définir DNSRoutingEnabled sur $false et utiliser les paramètres SmartHosts et SmartHostAuthMechanism sur l’applet de commande New-SendConnector.

Paramètres réseau du connecteur d’envoi

Chaque connecteur d’envoi doit être configuré avec l’une de ces options:

• Utilisez DNS pour acheminer le courrier.

• Utilisez un ou plusieurs hôtes intelligents pour acheminer le courrier.

Utilisez DNS pour acheminer le courrier

Lorsque vous sélectionnez la résolution DNS pour distribuer le courrier, le serveur d’échange source du connecteur d’envoi doit pouvoir résoudre les enregistrements MX pour les espaces d’adressage configurés sur le connecteur. Selon la nature du connecteur et le nombre de cartes réseau présentes sur le serveur, le connecteur d’envoi peut nécessiter l’accès à un serveur DNS interne ou à un serveur DNS externe (public). Vous pouvez configurer le serveur pour qu’il utilise des serveurs DNS spécifiques pour les recherches DNS internes et externes:

• Dans l’EAC at Servers > Server > sélectionnez le serveur et cliquez sur l’icône Edit > Onglet recherches DNS.

• Dans le shell de gestion Exchange, vous utilisez les paramètres ExternalDNS* et InternalDNS* sur l’applet de commande Set-TransportService.

Si vous avez déjà configuré le serveur Exchange avec des paramètres DNS distincts à utiliser pour les recherches DNS internes et externes, et que le connecteur d’envoi achemine le courrier vers un espace d’adressage externe, vous devez configurer le connecteur d’envoi pour utiliser le serveur DNS externe:

• Dans l’EAC, sélectionnez Utiliser le paramètre de recherche DNS externe sur les serveurs avec des rôles de transport (dans l’assistant nouveau connecteur d’envoi ou dans l’onglet Livraison des propriétés des connecteurs existants).

• Dans le shell de gestion Exchange, utilisez le paramètre UseExternalDNSServersEnabled sur les applets de commande New-SendConnector et Set-SendConnector.

Utilisez des hôtes intelligents pour acheminer le courrier

Lorsque vous acheminez le courrier via un hôte intelligent, le connecteur d’envoi transmet le courrier à l’hôte intelligent et l’hôte intelligent est responsable de l’acheminement du courrier vers la destination finale. Une utilisation courante du routage d’hôte intelligent consiste à envoyer du courrier sortant via un service ou un périphérique antispam.

Vous identifiez un ou plusieurs hôtes intelligents à utiliser pour le connecteur d’envoi par une adresse IP individuelle (par exemple 10.1.1.1), un nom de domaine complet (FQDN) (par exemple spamservice.contoso.com), ou des combinaisons des deux types de valeurs. Si vous utilisez un nom de domaine complet, le serveur d’échange source du connecteur d’envoi doit pouvoir résoudre le nom de domaine complet (qui peut être un enregistrement MX ou un enregistrement A) en utilisant DNS.

Une partie importante du routage des hôtes intelligents est le mécanisme d’authentification utilisé par les hôtes intelligents. Les mécanismes d’authentification disponibles sont décrits dans le tableau suivant.

Mécanisme d’authentification	Description
Aucun (None)	Pas d’authentification. Par exemple, lorsque l’accès à l’hôte intelligent est limité par l’adresse IP source.
Authentification de base (BasicAuth)	Authentification de base. Nécessite un nom d’utilisateur et un mot de passe. Le nom d’utilisateur et le mot de passe sont envoyés en texte clair.
Offrir une authentification de base uniquement après le démarrage de TLS (BasicAuthRequireTLS)	Authentification de base chiffrée avec TLS. Cela nécessite un certificat de serveur sur l’hôte intelligent qui contient le nom de domaine complet exact de l’hôte intelligent défini sur le connecteur d’envoi. Le connecteur d’envoi tente d’établir la session TLS en envoyant la commande STARTTLS à l’hôte intelligent et n’effectue l’authentification de base qu’après l’établissement de la session TLS. Un certificat client est également requis pour prendre en charge l’authentification TLS mutuelle.
Authentification du serveur Exchange (ExchangeServer)	Interface de programmation d’application des Services de sécurité génériques (GSSAPI) et authentification GSSAPI mutuelle.
Sécurisé de l’extérieur (ExternalAuthoritative)	La connexion est présumée sécurisée en utilisant un mécanisme de sécurité externe à Exchange. La connexion peut être une association IPSec (Internet Protocol security) ou un réseau privé virtuel (VPN). Alternativement, les serveurs peuvent résider dans un réseau contrôlé physiquement et de confiance.

Espaces d’adressage du connecteur d’envoi

L’espace d’adressage spécifie les domaines de destination desservis par le connecteur d’envoi. Le courrier est acheminé via un connecteur d’envoi basé sur le domaine de l’adresse e-mail du destinataire.

Les valeurs d’espace d’adressage SMTP disponibles sont décrites dans le tableau suivant.

Espace d’adressage	Explication
*	Le connecteur d’envoi achemine le courrier vers les destinataires de tous les domaines.
Domaine (par exemple, contoso.com)	Le connecteur Send achemine le courrier vers les destinataires du domaine spécifié, mais pas dans les sous-domaines.
Domaine et sous-domaines (par exemple, *.contoso.com)	Le connecteur Send achemine le courrier vers les destinataires du domaine spécifié et de tous les sous-domaines.
--	Le connecteur Send achemine le courrier vers les destinataires de tous les domaines acceptés de l’organisation Exchange. Cette valeur n’est disponible que sur les connecteurs d’envoi sur les serveurs de transport périphériques qui envoient du courrier à l’organisation Exchange interne.

Un espace d’adressage comporte également des valeurs de type et de coût que vous pouvez configurer.

Sur les serveurs de transport périphériques, la valeur de type doit être SMTP. Sur les serveurs de boîtes aux lettres, vous pouvez également utiliser des types d’espace d’adressage non SMTP tels que X400 ou toute autre chaîne de texte. Les adresses X.400 doivent être conformes à la norme RFC 1685 (par exemple, o=MySite;p=MyOrg;a=adatum;c=us), mais les autres valeurs de type acceptent n’importe quelle valeur de texte pour l’espace d’adressage. Si vous spécifiez un type d’espace d’adressage non SMTP, le connecteur d’envoi doit utiliser le routage intelligent de l’hôte et SMTP est utilisé pour envoyer des messages à l’hôte intelligent. Les connecteurs d’agent de livraison et les connecteurs étrangers envoient des messages non-SMTP à des serveurs non-SMTP sans utiliser SMTP. Pour plus d’informations, consultez Agents de livraison et Connecteurs d’Agent de livraison et Connecteurs étrangers.

La valeur de coût sur l’espace d’adressage est utilisée pour l’optimisation du flux de courrier et la tolérance aux pannes lorsque les mêmes espaces d’adressage sont configurés sur plusieurs connecteurs d’envoi sur différents serveurs sources. Une valeur de priorité inférieure indique un connecteur d’envoi préféré.

Le connecteur d’envoi utilisé pour acheminer les messages vers un destinataire est sélectionné pendant la phase de résolution de routage de la catégorisation des messages. Le connecteur d’envoi dont l’espace d’adressage correspond le mieux à l’adresse e-mail du destinataire et dont la valeur de priorité est la plus faible est sélectionné.

Par exemple, supposons que le destinataire soit [email protected] . Si un connecteur d’envoi est configuré pour *.contoso.com , le message est acheminé via ce connecteur. Si aucun connecteur d’envoi n’est configuré pour *.contoso.com , le message est acheminé via le connecteur configuré pour *. Si plusieurs connecteurs d’envoi dans le même site Active Directory sont configurés pour *.contoso.com , le connecteur avec la valeur de priorité inférieure est sélectionné.

Portée du connecteur d’envoi

Les serveurs source d’un connecteur d’envoi déterminent le serveur Exchange de destination pour le courrier qui doit être acheminé via le connecteur d’envoi. La portée du connecteur d’envoi contrôle la visibilité du connecteur au sein de l’organisation Exchange.

Par défaut, les connecteurs d’envoi sont visibles par tous les serveurs Exchange de toute la forêt Active Directory et sont utilisés dans les décisions de routage. Cependant, vous pouvez limiter la portée d’un connecteur d’envoi afin qu’il ne soit visible que par les autres serveurs Exchange du même site Active Directory. Le connecteur d’envoi est invisible pour les serveurs Exchange d’autres sites Active Directory et n’est pas utilisé dans leurs décisions de routage. Un connecteur d’envoi restreint de cette manière est dit étendu.

Pour configurer des connecteurs d’envoi à portée dans l’EAC, vous sélectionnez Connecteur d’envoi à portée dans la section Espace d’adressage de l’assistant nouveau connecteur d’envoi ou dans l’onglet Portée des propriétés des connecteurs d’envoi existants. Dans l’interpréteur de commandes Exchange Management, vous utilisez le paramètre IsScopedConnector sur les applets de commande New-SendConnector et Set-SendConnector.

Autorisations de connecteur d’envoi

Lorsque le connecteur d’envoi établit une connexion avec le serveur de messagerie de destination, les autorisations de connecteur d’envoi déterminent les types d’en-têtes pouvant être envoyés dans les messages. Si un message contient des en-têtes qui ne sont pas autorisés par les autorisations, ces en-têtes sont supprimés des messages.Les autorisations

sont attribuées aux connecteurs d’envoi par des responsables de sécurité bien connus. Les principes de sécurité comprennent les comptes d’utilisateurs, les comptes d’ordinateurs et les groupes de sécurité (objets identifiables par un identifiant de sécurité ou un SID pouvant recevoir des autorisations). Par défaut, les mêmes principes de sécurité avec les mêmes autorisations sont attribués sur tous les connecteurs d’envoi, quel que soit le type d’utilisation que vous avez sélectionné lors de la création du connecteur. Pour modifier les autorisations par défaut d’un connecteur d’envoi, vous devez utiliser les applets de commande Add-ADPermission et Remove-ADPermission dans le shell de gestion Exchange.

Les autorisations de connecteur d’envoi disponibles sont décrites dans le tableau suivant.

Autorisation	Attribuée à	Description
ms-Exch-Send-Headers-Forest	<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers	Contrôle la préservation des en-têtes de forêt d’échange dans les messages. Les noms d’en-tête de forêt commencent par X-MS-Exchange-Forest-. Si cette autorisation n’est pas accordée, tous les en-têtes de forêt sont supprimés des messages.
ms-Exch-Send-Headers-Organization	<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers	Contrôle la préservation des en-têtes d’organisation Exchange dans les messages. Les noms d’en-tête d’organisation commencent par X-MS-Exchange-Organization-. Si cette autorisation n’est pas accordée, tous les en-têtes d’organisation sont supprimés des messages.
ms-Exch-Send-Headers-Routing	NT AUTHORITY\ANONYMOUS LOGON <Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Externally Secured Servers MS Exchange\Hub Transport Servers MS Exchange\Legacy Exchange Servers MS Exchange\Partner Servers	Contrôle la conservation des en-têtes REÇUS dans les messages. Si cette autorisation n’est pas accordée, tous les en-têtes reçus sont supprimés des messages.
ms-Exch-SMTP-Send-Exch50	<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Externally Secured Servers MS Exchange\Hub Transport Servers MS Exchange\Legacy Exchange Servers	Permet au serveur Exchange source de soumettre des commandes XEXCH50 sur le connecteur d’envoi. Le grand objet binaire X-EXCH50 (BLOB) était utilisé par les anciennes versions d’Exchange (Exchange 2003 et antérieures) pour stocker des données d’échange dans des messages (par exemple, le niveau de confiance du spam ou SCL). Si cette autorisation n’est pas accordée et que les messages contiennent le BLOB X-EXCH50, le serveur Exchange envoie le message sans le BLOB X-EXCH50.
ms-Exch-SMTP-Send-XShadow	<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers	Cette autorisation est réservée à l’usage interne de Microsoft et est présentée ici à titre de référence uniquement.

Remarque : Les noms d’autorisations contenant ms-Exch-Send-Headers- font partie de la fonctionnalité de pare-feu d’en-tête. Pour plus d’informations, consultez Pare-feu d’en-tête.

Procédures d’autorisation de connecteur d’envoi

Pour voir les autorisations attribuées aux principaux de sécurité sur un connecteur d’envoi, utilisez la syntaxe suivante dans le shell de gestion Exchange:

Get-ADPermission -Identity <SendConnector> | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Par exemple, pour voir les autorisations attribuées à tous les responsables de sécurité sur le connecteur d’envoi nommé à Fabrikam.com , exécutez la commande suivante:

Get-ADPermission -Identity "To Fabrikam.com" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Pour voir les autorisations attribuées uniquement au principal de sécurité NT AUTHORITY\ANONYMOUS LOGON sur le connecteur d’envoi nommé Fabrikam, exécutez la commande suivante:

Get-ADPermission -Identity "To Fabrikam.com" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Pour ajouter des autorisations à un principal de sécurité sur un connecteur d’envoi, utilisez la syntaxe suivante:

Add-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Pour supprimer les autorisations d’un principal de sécurité sur un connecteur d’envoi, utilisez la syntaxe suivante :

Remove-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...