Articles /

connettori di Invio in Exchange Server

  • Articolo
  • 08/30/2021
  • 12 minuti a leggere
    • m
    • D
    • m
    • Un
    • v
    • +5
questa pagina è stata utile?

Grazie.

Exchange utilizza i connettori Send per le connessioni SMTP in uscita dai server Exchange di origine ai server di posta elettronica di destinazione. Il connettore di invio utilizzato per instradare i messaggi a un destinatario viene selezionato durante la fase di risoluzione del routing della categorizzazione dei messaggi. Per ulteriori informazioni, vedere Instradamento della posta.

È possibile creare connettori di invio nel servizio di trasporto sui server mailbox e sui server di trasporto Edge. I connettori di invio sono memorizzati in Active Directory e sono (per impostazione predefinita) visibili a tutti i server di cassette postali dell’organizzazione.

Importante

Per impostazione predefinita, non esistono connettori di invio per il flusso di posta esterna quando si installa Exchange. Per abilitare il flusso di posta Internet in uscita, è necessario creare un connettore di invio o sottoscrivere un server di trasporto Edge all’organizzazione Exchange. Per ulteriori informazioni, vedere Creare un connettore di invio per inviare la posta ai server di trasporto Internet ed Edge.

Non è necessario configurare i connettori Send per inviare la posta tra i server Exchange nella stessa foresta di Active Directory. I connettori di invio impliciti e invisibili che sono pienamente consapevoli della topologia di Exchange server sono disponibili per l’invio di posta ai server Exchange interni. Questi connettori sono descritti nella sezione Connettori di invio impliciti.

Queste sono le impostazioni importanti sui connettori di invio:

  • Tipo di utilizzo

  • Impostazioni di rete: Configurare il modo in cui il connettore di invio instrada la posta: utilizzando DNS o inoltrando automaticamente tutta la posta a uno smart host.

  • Spazi indirizzi: configurare i domini di destinazione di cui è responsabile il connettore di invio.

  • Ambito: Configura la visibilità del connettore di invio ad altri server Exchange nell’organizzazione.

  • Server di origine: configurare i server di Exchange in cui è ospitato il connettore di invio. La posta che deve essere consegnata utilizzando il connettore di invio viene instradata a uno dei server di origine.

Sui server mailbox, è possibile creare e gestire i connettori di invio nel centro di amministrazione di Exchange o nella Shell di gestione di Exchange. Sui server di trasporto Edge, è possibile utilizzare solo la Shell di gestione Exchange.

Invia modifiche al connettore in Exchange Server

Queste sono le modifiche notevoli per inviare connettori in Exchange 2016 o Exchange 2019 rispetto a Exchange 2010:

  • È possibile configurare i connettori di invio per reindirizzare o proxy la posta in uscita tramite il servizio di trasporto front-end. Per ulteriori informazioni, vedere Configurare i connettori di invio alla posta in uscita proxy.

  • Il parametro Isoexistenceconnector non è più disponibile.

  • Il parametro LinkedReceiveConnector non è più disponibile.

  • La dimensione massima predefinita del messaggio è aumentata a 35 MB (circa 25 MB a causa della codifica Base64). Per ulteriori informazioni, vedere Dimensione del messaggio e limiti del destinatario in Exchange Server.

  • Il parametro TlsCertificateName consente di specificare l’emittente del certificato e l’oggetto del certificato. Questo aiuta a ridurre al minimo il rischio di certificati fraudolenti.

Connettori di invio impliciti

Sebbene non vengano creati connettori di invio durante l’installazione dei server Exchange, è presente uno speciale connettore di invio implicito denominato connettore di invio intra-organizzazione. Questo connettore di invio implicito è automaticamente disponibile, invisibile e non richiede alcuna gestione. Il connettore di invio intra-organizzazione esiste nei servizi di trasporto per inviare la posta, internamente tra i servizi sul server Exchange locale o ai servizi sui server Exchange remoti dell’organizzazione. Biru:

  • Servizio di trasporto front-end al servizio di trasporto.

  • Servizio di trasporto al servizio di trasporto su altri server.

  • Servizio di trasporto ai server di trasporto Edge sottoscritti.

  • Servizio di trasporto al servizio di consegna del trasporto della cassetta postale.

  • Mailbox Transport Submission service al servizio di trasporto.

Per ulteriori informazioni, vedere Flusso di posta e pipeline di trasporto.

Tipi di utilizzo del connettore di invio

Per i connettori di invio, il tipo di utilizzo è fondamentalmente un’etichetta descrittiva che identifica a cosa serve il connettore di invio. Tutti i valori del tipo di utilizzo ricevono le stesse autorizzazioni.

È possibile specificare il tipo di utilizzo del connettore solo quando si creano i connettori di invio. Quando si utilizza l’EAC, è necessario selezionare un valore di tipo. Ma quando si utilizza il cmdlet New-SendConnector nella Shell di gestione Exchange, il tipo di utilizzo non è richiesto (utilizzando -Usage <UsageType> o -<UsageType>).

La specifica di un tipo di utilizzo configura una dimensione massima predefinita del messaggio, che è possibile modificare dopo aver creato il connettore.

I valori dei tipi di utilizzo disponibili sono descritti nella seguente tabella.

tipo di Utilizzo dimensione Massima dei messaggi
Personalizzato 35 MB Nessuno
Interni unlimited Quando si crea un connettore di Invio di questo tipo di utilizzo in EAC, non è possibile selezionare il record MX associato con il dominio del destinatario. Dopo aver creato il connettore, è possibile accedere alla scheda Consegna nelle proprietà del connettore Invia e selezionare Record MX associato al dominio destinatario.
Questa stessa restrizione non esiste nella Shell di Exchange Management. È possibile utilizzare l’interruttore interno e impostare DNSRoutingEnabled su $true sul cmdlet New-SendConnector.
Internet 35 MB Nessuno
Partner 35 MB Quando si crea un connettore di Invio di questo tipo di utilizzo in EAC, non è possibile selezionare il Percorso di posta elettronica tramite smart host o un meccanismo di autenticazione smart host. Dopo aver creato il connettore, è possibile accedere alla scheda Consegna nelle proprietà del connettore Invia e selezionare Instrada la posta tramite smart host e il meccanismo di autenticazione smart host.
Questa stessa restrizione non esiste nella Shell di Exchange Management. È possibile utilizzare l’opzione Partner e impostare DNSRoutingEnabled su $false e utilizzare i parametri SmartHosts e SmartHostAuthMechanism sul cmdlet New-SendConnector.

Impostazioni di rete del connettore di invio

Ogni connettore di invio deve essere configurato con una di queste opzioni:

  • Utilizzare DNS per instradare la posta.

  • Utilizzare uno o più smart host per instradare la posta.

Utilizzare DNS per instradare la posta

Quando si seleziona Risoluzione DNS per recapitare la posta, il server Exchange di origine per il connettore di invio deve essere in grado di risolvere i record MX per gli spazi di indirizzo configurati sul connettore. A seconda della natura del connettore e del numero di schede di rete presenti nel server, il connettore di invio potrebbe richiedere l’accesso a un server DNS interno o a un server DNS esterno (pubblico). È possibile configurare il server per utilizzare server DNS specifici per ricerche DNS interne ed esterne:

  • Nell’EAC at Server > Server > selezionare il server e fare clic sull’icona Modifica Modifica. > Scheda Ricerche DNS.

  • Nella Shell di gestione Exchange, si utilizzano i parametri ExternalDNS* e InternalDNS* nel cmdlet Set-TransportService.

Se è già stato configurato il server Exchange con impostazioni DNS separate da utilizzare per le ricerche DNS interne ed esterne e il connettore Send indirizza la posta a uno spazio di indirizzi esterno, è necessario configurare il connettore Send per utilizzare il server DNS esterno:

  • In EAC, selezionare Usa l’impostazione di ricerca DNS esterna sui server con ruoli di trasporto (nella procedura guidata nuovo connettore di invio o nella scheda Consegna nelle proprietà dei connettori esistenti).

  • Nella Shell di gestione Exchange, utilizzare il parametro UseExternalDNSServersEnabled sui cmdlet New-SendConnector e Set-SendConnector.

Utilizzare gli host intelligenti per instradare la posta

Quando si instradano la posta attraverso un host intelligente, il connettore di invio inoltra la posta all’host intelligente e l’host intelligente è responsabile del routing della posta al successivo salto verso la destinazione finale. Un uso comune per smart host routing è quello di inviare la posta in uscita attraverso un servizio antispam o dispositivo.

È possibile identificare uno o più smart host da utilizzare per il connettore di invio tramite un singolo indirizzo IP (ad esempio 10.1.1.1), un nome di dominio completo (FQDN) (ad esempio spamservice.contoso.com), o combinazioni di entrambi i tipi di valori. Se si utilizza un FQDN, il server Exchange di origine per il connettore di invio deve essere in grado di risolvere l’FQDN (che potrebbe essere un record MX o un record A) utilizzando DNS.

Una parte importante del routing smart host è il meccanismo di autenticazione utilizzato dagli smart host. I meccanismi di autenticazione disponibili sono descritti nella seguente tabella.

Meccanismo di autenticazione Descrizione
Nessuna (None) Nessuna autenticazione. Ad esempio, quando l’accesso allo smart host è limitato dall’indirizzo IP di origine.
Autenticazione di base(BasicAuth) Autenticazione di base. Richiede un nome utente e una password. Il nome utente e la password vengono inviati in chiaro.
Offri l’autenticazione di base solo dopo aver avviato TLS (BasicAuthRequireTLS) Autenticazione di base crittografata con TLS. Ciò richiede un certificato server sull’host intelligente che contenga l’FQDN esatto dell’host intelligente definito sul connettore di invio.
Il connettore Send tenta di stabilire la sessione TLS inviando il comando STARTTLS allo smart host ed esegue l’autenticazione di base solo dopo che la sessione TLS è stata stabilita.
È inoltre necessario un certificato client per supportare l’autenticazione TLS reciproca.
Autenticazione server Exchange (ExchangeServer) Generic Security Services Application Programming Interface (GSSAPI) e autenticazione reciproca GSSAPI.
Fissato esternamente(ExternalAuthoritative) Si presume che la connessione sia protetta utilizzando un meccanismo di sicurezza esterno a Exchange. La connessione può essere un’associazione IPSec (Internet Protocol Security) o una rete privata virtuale (VPN). In alternativa, i server possono risiedere in una rete attendibile, fisicamente controllata.

Invia spazi indirizzo connettore

Lo spazio indirizzo specifica i domini di destinazione serviti dal connettore di invio. La posta viene instradata attraverso un connettore di invio in base al dominio dell’indirizzo e-mail del destinatario.

I valori dello spazio indirizzi SMTP disponibili sono descritti nella seguente tabella.

Spazio indirizzi Spiegazione
* Il connettore Send instrada la posta ai destinatari di tutti i domini.
Dominio (ad esempio, contoso.com) Il connettore Send instrada la posta ai destinatari nel dominio specificato, ma non in eventuali sottodomini.
Dominio e sottodomini (ad esempio, *.contoso.com) Il connettore Send instrada la posta ai destinatari nel dominio specificato e in tutti i sottodomini.
-- Il connettore Send instrada la posta ai destinatari di tutti i domini accettati nell’organizzazione Exchange. Questo valore è disponibile solo sui connettori Send sui server di trasporto Edge che inviano posta all’organizzazione Exchange interna.

Uno spazio indirizzi ha anche valori di tipo e Costo che è possibile configurare.

Sui server di trasporto Edge, il valore del tipo deve essere SMTP. Sui server delle cassette postali, è anche possibile utilizzare tipi di spazio indirizzi non SMTP come X400 o qualsiasi altra stringa di testo. Gli indirizzi X. 400 devono essere conformi a RFC 1685 (ad esempio, o=MySite;p=MyOrg;a=adatum;c=us), ma altri valori di tipo accettano qualsiasi valore di testo per lo spazio degli indirizzi. Se si specifica un tipo di spazio indirizzi non SMTP, il connettore di invio deve utilizzare il routing smart host e SMTP viene utilizzato per inviare messaggi all’host smart. I connettori dell’agente di consegna e i connettori esterni inviano messaggi non SMTP a server non SMTP senza utilizzare SMTP. Per ulteriori informazioni, vedere Agenti di consegna e connettori per agenti di consegna e connettori esterni.

Il valore di costo nello spazio indirizzi viene utilizzato per l’ottimizzazione del flusso di posta e la tolleranza agli errori quando si hanno gli stessi spazi di indirizzo configurati su più connettori di invio su server di origine diversi. Un valore di priorità inferiore indica un connettore di invio preferito.

Il connettore di invio utilizzato per instradare i messaggi a un destinatario viene selezionato durante la fase di risoluzione del routing della categorizzazione dei messaggi. Viene selezionato il connettore di invio il cui spazio indirizzi corrisponde maggiormente all’indirizzo e-mail del destinatario e il cui valore di priorità è il più basso.

Ad esempio, supponiamo che il destinatario sia [email protected]. Se un connettore di invio è configurato per *.contoso.com, il messaggio è instradato attraverso quel connettore. Se nessun connettore di invio è configurato per *.contoso.com, il messaggio viene instradato attraverso il connettore configurato per *. Se più connettori di invio nello stesso sito Active Directory sono configurati per *.contoso.com, il connettore con il valore di priorità più basso è selezionato.

Send connector scope

I server di origine per un connettore Send determinano il server Exchange di destinazione per la posta che deve essere instradata attraverso il connettore Send. L’ambito Send connector controlla la visibilità del connettore all’interno dell’organizzazione Exchange.

Per impostazione predefinita, i connettori di invio sono visibili a tutti i server Exchange nell’intera foresta di Active Directory e vengono utilizzati nelle decisioni di routing. Tuttavia, è possibile limitare l’ambito di un connettore di invio in modo che sia visibile solo ad altri server Exchange nello stesso sito di Active Directory. Il connettore di invio è invisibile ai server Exchange in altri siti di Active Directory e non viene utilizzato nelle loro decisioni di routing. Si dice che un connettore di invio limitato in questo modo sia ambito.

Per configurare i connettori di invio con ambito nell’EAC, selezionare Connettore di invio con ambito nella sezione Spazio indirizzi della procedura guidata nuovo connettore di invio o nella scheda Ambito nelle proprietà dei connettori di invio esistenti. Nella Shell di gestione Exchange, si utilizza il parametro IsScopedConnector sui cmdlet New-SendConnector e Set-SendConnector.

Autorizzazioni di invio connettore

Quando il connettore di invio stabilisce una connessione con il server di posta elettronica di destinazione, le autorizzazioni di invio connettore determinano i tipi di intestazioni che possono essere inviate nei messaggi. Se un messaggio include intestazioni non consentite dalle autorizzazioni, tali intestazioni vengono rimosse dai messaggi.

Le autorizzazioni vengono assegnate per inviare connettori da principi di sicurezza noti. I principi di sicurezza includono account utente, account computer e gruppi di sicurezza (oggetti identificabili da un identificatore di sicurezza o da un SID a cui possono essere assegnate autorizzazioni). Per impostazione predefinita, gli stessi principi di sicurezza con le stesse autorizzazioni vengono assegnati a tutti i connettori di invio, indipendentemente dal tipo di utilizzo selezionato al momento della creazione del connettore. Per modificare le autorizzazioni predefinite per un connettore Send, è necessario utilizzare i cmdlet Add-ADPermission e Remove-ADPermission nella Shell di Exchange Management.

Le autorizzazioni del connettore di invio disponibili sono descritte nella seguente tabella.

Autorizzazione Assegnato a Descrizione
ms-Exch-Send-Headers-Forest <Domain>\Exchange Servers
MS Exchange\Edge Transport Servers
MS Exchange\Hub Transport Servers 		Controlla la conservazione della foresta di Exchange intestazioni dei messaggi. I nomi dell’intestazione della foresta iniziano con X-MS-Exchange-Forest -. Se questa autorizzazione non viene concessa, tutte le intestazioni della foresta vengono rimosse dai messaggi.
ms-Exch-Send-Headers-Organization <Domain>\Exchange Servers
MS Exchange\Edge Transport Servers
MS Exchange\Hub Transport Servers 		Controlla la conservazione delle intestazioni dell’organizzazione Exchange nei messaggi. I nomi delle intestazioni dell’organizzazione iniziano con X-MS-Exchange-Organization -. Se questa autorizzazione non viene concessa, tutte le intestazioni dell’organizzazione vengono rimosse dai messaggi.
ms-Exch-Send-Headers-Routing NT AUTHORITY\ANONYMOUS LOGON
<Domain>\Exchange Servers
MS Exchange\Edge Transport Servers
MS Exchange\Externally Secured Servers
MS Exchange\Hub Transport Servers
MS Exchange\Legacy Exchange Servers
MS Exchange\Partner Servers 		Controlla la conservazione delle intestazioni RICEVUTE nei messaggi. Se questa autorizzazione non viene concessa, tutte le intestazioni ricevute vengono rimosse dai messaggi.
ms-Exch-SMTP-Send-Exch50 <Domain>\Exchange Servers
MS Exchange\Edge Transport Servers
MS Exchange\Externally Secured Servers
MS Exchange\Hub Transport Servers
MS Exchange\Legacy Exchange Servers 		Consente al server Exchange di origine di inviare comandi XEXCH50 sul connettore di invio. X-EXCH50 binary Large object (BLOB) è stato utilizzato dalle versioni precedenti di Exchange (Exchange 2003 e precedenti) per memorizzare i dati di Exchange nei messaggi (ad esempio, il livello di confidenza spam o SCL).
Se questa autorizzazione non viene concessa e i messaggi contengono il BLOB X-EXCH50, il server Exchange invia il messaggio senza il BLOB X-EXCH50.
ms-Exch-SMTP-Send-XShadow <Domain>\Exchange Servers
MS Exchange\Edge Transport Servers
MS Exchange\Hub Transport Servers 		Questa autorizzazione è riservata all’uso interno di Microsoft e viene presentata qui solo a scopo di riferimento.

Nota: i nomi delle autorizzazioni che contengono ms-Exch-Send-Headers- fanno parte della funzione header firewall. Per ulteriori informazioni, vedere Header firewall.

connettore di Invio di autorizzazione procedure

Per vedere le autorizzazioni assegnate a identità di protezione su un connettore di Invio, utilizzare la seguente sintassi in Exchange Management Shell:

Get-ADPermission -Identity <SendConnector> | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Per esempio, per vedere le autorizzazioni assegnate a tutte le entità di protezione del connettore di Invio di nome Per Fabrikam.com, eseguire il comando riportato di seguito:

Get-ADPermission -Identity "To Fabrikam.com" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Per vedere le autorizzazioni sono assegnate solo per l’entità di protezione NT AUTHORITY\ANONYMOUS LOGON connettore di Invio di nome Di Fabrikam, eseguire il comando riportato di seguito:

Get-ADPermission -Identity "To Fabrikam.com" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Per aggiungere autorizzazioni a un principal di sicurezza su un connettore di invio, utilizzare la seguente sintassi:

Add-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Per rimuovere le autorizzazioni da un principal di sicurezza su un connettore di invio, utilizzare la seguente sintassi:

Remove-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Leave a Reply