Condividi tramite


Pianificare la posta elettronica in uscita per una farm di SharePoint Server

SI APPLICA A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

La posta elettronica in uscita è la base su cui gli amministratori del sito possono implementare diverse funzionalità di notifica tramite posta elettronica. Tali caratteristiche consentono agli utenti finali di tenere traccia di modifiche e aggiornamenti a singole raccolte siti e agli amministratori dei siti di recapitare messaggi di stato.

Informazioni sulla posta elettronica in uscita

La configurazione corretta della posta elettronica in uscita è un requisito per l'implementazione di avvisi e notifiche tramite posta elettronica. La funzionalità di posta elettronica in uscita usa un servizio SMTP (Simple Mail Transfer Protocol) in uscita per inoltrare avvisi e notifiche tramite posta elettronica. Queste funzionalità di posta elettronica includono quanto segue:

  • Avvisi

    In una raccolta siti di grandi dimensioni e in continua crescita, gli utenti hanno bisogno di un modo per tenere il passo con gli aggiornamenti a elenchi, raccolte e discussioni. Gli avvisi consentono di tenere gli utenti a conoscenza delle modifiche. Se ad esempio utenti diversi lavorano allo stesso documento, il proprietario del documento può impostare avvisi per ricevere notifiche quando vengono apportate modifiche al documento. Gli utenti possono specificare le aree della raccolta siti o i documenti di cui desiderano tenere traccia e possono decidere con quale frequenza desiderano ricevere avvisi.

    Nota

    Gli utenti devono avere almeno le autorizzazioni Di visualizzazione per configurare gli avvisi.

  • Messaggi amministrativi

    È possibile che gli amministratori del sito desiderino ricevere notifiche quando gli utenti richiedono accesso al sito o quando i proprietari del sito superano il proprio spazio di archiviazione specificato. La configurazione della posta elettronica in uscita consente agli amministratori del sito di ricevere notifiche automatiche per i problemi di amministrazione del sito.

Il supporto della posta elettronica in uscita può essere abilitato sia a livello di server farm (disponibile nella sezione Impostazioni di sistema del sito Web Amministrazione centrale SharePoint che a livello di applicazione Web (disponibile nella sezione Gestione applicazioni di Amministrazione centrale). Le impostazioni di posta elettronica in uscita a livello di applicazione Web sostituiscono quelle configurate a livello di server farm. È anche possibile specificare impostazioni diverse per un'applicazione Web specifica.

Fasi di pianificazione chiave della posta elettronica in uscita

Quando si pianificano le impostazioni di posta elettronica in uscita, è necessario considerare i componenti seguenti:

  • Un servizio SMTP per inoltrare avvisi e notifiche tramite posta elettronica. È necessario il nome DNS o l'indirizzo IP del server di posta elettronica SMTP da utilizzare.

  • Un indirizzo da utilizzare nell'intestazione di un messaggio di avviso per identificare il mittente del messaggio.

  • Indirizzo di risposta visualizzato nel campo A di un messaggio quando un utente risponde a un avviso o una notifica.

  • Un set di caratteri da utilizzare nel corpo dei messaggi di avviso.

Server SMTP in uscita

Il servizio SMTP è un componente di Internet Information Services (IIS), ma non è attivato per impostazione predefinita con IIS. Può essere abilitato tramite l'Aggiunta guidata ruoli e funzionalità in Server Manager.

Dopo aver determinato quale server SMTP usare, è necessario configurare il server SMTP per consentire l'accesso anonimo e consentire l'inoltro dei messaggi di posta elettronica. Inoltre, il server SMTP deve avere accesso a Internet se si vuole poter inviare messaggi a indirizzi di posta elettronica esterni.

Per altre informazioni sull'installazione, la configurazione e la gestione del servizio SMTP, vedere Configurazione della posta elettronica in uscita .

Nota

Solo un membro del gruppo Amministratori farm può configurare un server SMTP. L'utente deve inoltre essere membro del gruppo Administrators locale nel server.

Indirizzo mittente e indirizzo destinatario risposta

Quando si configura la posta elettronica in uscita, è possibile configurare i due indirizzi seguenti:

  • Indirizzo mittente

    Gli avvisi e le notifiche vengono inviati da un account amministrativo nella server farm. Questo account probabilmente non è quello che si vuole visualizzare nel campo Da di un messaggio di posta elettronica. L'indirizzo usato non deve corrispondere a un account di posta elettronica effettivo; può essere un semplice indirizzo descrittivo che è riconoscibile per un utente finale. È possibile utilizzare un semplice indirizzo descrittivo che risulti riconoscibile all'utente finale, ad esempio "Amministratore del sito".

  • Indirizzo destinatario risposta

    Si tratta dell'indirizzo visualizzato nel campo A di un messaggio quando un utente risponde a un avviso o una notifica. L'indirizzo destinatario risposta deve essere inoltre un account monitorato, per assicurare che gli utenti finali ricevano risposte rapide a eventuali problemi rilevati. Un indirizzo destinatario risposta appropriato può essere ad esempio un alias dell'helpdesk.

Set di caratteri

Quando si configura la posta elettronica in uscita, è necessario specificare il set di caratteri da usare nel corpo dei messaggi di posta elettronica. Un set di caratteri è un mapping tra i caratteri e i rispettivi valori di codice di identificazione. Il set di caratteri predefinito per la posta elettronica in uscita è Unicode UTF-8, che consente la coesistono la maggior parte delle combinazioni di caratteri (incluso il testo bidirezionale) in un singolo documento. Nella maggior parte dei casi l'impostazione predefinita UTF-8 risulta appropriata, benché per il rendering delle lingue asiatiche sia consigliabile l'utilizzo del set di caratteri specifico.

Si noti che se si seleziona un codice della lingua specifico, si riduce la probabilità che il testo venga visualizzato correttamente in programmi di lettura della posta elettronica configurati per altre lingue.

Autenticazione del server SMTP

La funzionalità di autenticazione del server SMTP è disponibile solo in SharePoint Server 2019.

SharePoint Server 2019 supporta la connessione ai server SMTP in modo anonimo o con l'autenticazione. Se il server SMTP richiede l'autenticazione, è necessario fornire le credenziali che SharePoint userà per eseguire l'autenticazione al server SMTP. È consigliabile usare le credenziali dell'account che corrispondono all'indirizzo Da . Se si desidera usare le credenziali per un account diverso, assicurarsi che l'account disponga dell'autorizzazione "Invia come" per rappresentare l'indirizzo Da.

Nota

Se si usa un account di Windows per eseguire l'autenticazione nel server SMTP, è possibile specificare il nome utente usando il formato UPN (Universal Principal Name) (user@domain.com) o il formato di accesso NT4 (DOMINIO\utente). Se si usa un account non Windows per l'autenticazione al server SMTP, contattare l'amministratore della posta elettronica per determinare il formato del nome utente corretto.

Prima di specificare le credenziali, è necessario impostare una chiave delle credenziali dell'applicazione in ogni server della farm. La chiave delle credenziali dell'applicazione è una password separata usata per crittografare e decrittografare la password SMTP. La chiave delle credenziali dell'applicazione deve essere identica in tutti i server della farm. Microsoft consiglia di usare una password complessa per la chiave delle credenziali dell'applicazione ed evitare di riutilizzare la stessa password della passphrase della farm, degli account del servizio farm e così via.

SharePoint supporta i meccanismi SASL (Simple Authentication and Security Layer) seguenti per l'autenticazione a un server SMTP:

  • GSSAPI (Kerberos, NTLM)

  • NTLM

  • ACCESSO

Nota

SharePoint usa il nome dell'entità servizio (SPN) seguente per eseguire l'autenticazione al server SMTP durante l'autenticazione Kerberos e NTLM, dove <host> è il nome del server SMTP specificato:
SMTPSVC/<host>

Usare la crittografia della connessione TLS

Impostare Usa crittografia connessione TLS su Sì per richiedere a SharePoint di stabilire una connessione crittografata al server SMTP prima di inviare la posta elettronica. Per stabilire una connessione crittografata, è necessario installare un certificato server valido nel server SMTP. Se è impostato su Sì e non è possibile stabilire una connessione crittografata, non verranno inviati messaggi di posta elettronica.

Nota

SharePoint supporta STARTTLS per stabilire la crittografia della connessione TLS a un server SMTP. Non supporta SMTPS per stabilire la crittografia della connessione SSL a un server SMTP.

Nota

Anche se SharePoint può richiedere la crittografia della connessione TLS quando si invia un messaggio di posta elettronica a un server SMTP, non può controllare se la crittografia della connessione verrà usata quando il server SMTP invia il messaggio di posta elettronica ad altri server SMTP. Collaborare con l'amministratore della posta elettronica per configurare i server SMTP per favorire la crittografia della connessione.

Usare l'autenticazione del certificato client con un server SMTP

Nota

Questa opzione Usare l'autenticazione del certificato client con una funzionalità del server SMTP è disponibile solo in SharePoint Server Subscription Edition.

L'autenticazione del certificato client tramite SMTP è una configurazione di autenticazione avanzata facoltativa che consente al "client" (in questo scenario SharePoint) di eseguire l'autenticazione nel server SMTP usando un certificato X.509 che il client presenta al server. Questa autenticazione è "anziché" o "in aggiunta" alle credenziali di nome utente/password. Questa configurazione non è comune, ma può essere usata in ambienti con sicurezza elevata in cui l'autenticazione standard di nome utente/password non è considerata sufficiente.

Nota

Non è necessario usare l'autenticazione del certificato client per usare la crittografia della connessione TLS al server SMTP.

Di seguito sono riportati i requisiti per l'uso dell'autenticazione del certificato client da parte di SharePoint con un server SMTP:

  1. Il server SMTP deve essere configurato per supportare STARTTLS per la crittografia della connessione TLS.
  2. Il server SMTP deve essere configurato per accettare o richiedere certificati client quando si stabiliscono connessioni TLS tramite STARTTLS.
  3. SharePoint deve essere configurato per l'uso della crittografia della connessione TLS al server SMTP.
  4. SharePoint deve essere configurato per l'uso di un certificato client durante la connessione al server SMTP.
  5. Gli account di processo di SharePoint che inviano messaggi di posta elettronica (che possono includere l'account del servizio farm di SharePoint e l'account del servizio applicazione Web) devono disporre dell'autorizzazione per leggere la chiave privata del certificato X.509.
  6. Il certificato X.509 deve soddisfare i requisiti seguenti:
    • Il certificato X.509 deve trovarsi nell'archivio certificati "End Entity" in SharePoint.
    • Il certificato X.509 deve usare chiavi RSA o ECC (ECDSA). Le chiavi DSA non sono supportate.
    • Il certificato X.509 deve avere una chiave privata.
    • Se il certificato X.509 ha un'estensione utilizzo chiave, l'estensione deve contenere l'utilizzo della "firma digitale".
    • Se il certificato X.509 ha un'estensione Utilizzo chiave estesa, l'estensione deve contenere l'utilizzo di "Autenticazione client" (OID: 1.3.6.1.5.5.7.3.2).

Screenshot di esempio della configurazione in Amministrazione centrale:

Come usare l'autenticazione del certificato client con un server SMTP

Rappresentazione della posta elettronica

Alcune funzionalità di SharePoint possono rappresentare gli utenti finali quando inviano messaggi di posta elettronica per personalizzare il messaggio. Ad esempio, quando un utente richiede l'accesso a un sito, SharePoint imposterà l'indirizzo "Da" della notifica di posta elettronica come utente che ha effettuato la richiesta.

Alcuni server SMTP possono bloccare la rappresentazione per proteggere gli utenti da tentativi non autorizzati di spoofing delle proprie identità. Se il server SMTP blocca la rappresentazione, sono disponibili diverse opzioni per consentire l'invio di messaggi di posta elettronica di SharePoint:

Concedere l'autorizzazione per l'account di posta elettronica autenticato di SharePoint per rappresentare gli utenti

Microsoft Exchange Server consente di concedere a un utente l'autorizzazione per rappresentare altri utenti durante l'invio di messaggi di posta elettronica tramite un connettore di ricezione. Tali autorizzazioni includono:

Autorizzazione del connettore di ricezione Descrizione
ms-Exch-SMTP-Submit
Alla sessione deve essere concessa questa autorizzazione o non sarà possibile inviare messaggi a questo connettore di ricezione. Se una sessione non dispone di questa autorizzazione, i comandi MAIL FROM e AUTH non verranno eseguiti.
ms-Exch-SMTP-Accept-Any-Recipient
Questa autorizzazione consente alla sessione di inviare messaggi tramite questo connettore. Se l'autorizzazione non viene concessa, questo connettore accetterà solo i messaggi indirizzati a destinatari in domini accettati.
ms-Exch-SMTP-Accept-Any-Sender
Questa autorizzazione consente alla sessione di ignorare il controllo della contraffazione dell'indirizzo del mittente.
NOTA: Questa autorizzazione è necessaria solo se SharePoint rappresenta gli utenti il cui account di posta elettronica non è gestito dall'organizzazione.
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Questa autorizzazione consente ai mittenti che dispongono di indirizzi di posta elettronica in domini autorevoli di stabilire una sessione per questo connettore di ricezione.
ms-Exch-Accept-Headers-Routing
Questa autorizzazione consente alla sessione di inviare un messaggio con tutte le intestazioni Ricevuto intatte. Se questa autorizzazione non viene concessa, il server rimuoverà tutte le intestazioni ricevute.

Eseguire questo comando in Microsoft Exchange Server per concedere l'autorizzazione per l'account di posta elettronica autenticato di SharePoint per rappresentare altri utenti tramite un connettore di ricezione:

Get-ReceiveConnector "<Receive Connector Name>" | Add-ADPermission -User <DOMAIN\AuthenticatedEmailAccount> -ExtendedRights ms-Exch-SMTP-Submit, ms-Exch-SMTP-Accept-Any-Recipient, ms-Exch-SMTP-Accept-Any-Sender, ms-Exch-SMTP-Accept-Authoritative-Domain-Sender, ms-Exch-Accept-Headers-Routing

Nota

Quando si usa Microsoft Exchange Server 2013 o versioni successive, questa autorizzazione deve essere applicata al connettore di ricezione del proxy client. Quando si usa Microsoft Exchange Server 2010 o versioni precedenti, questa autorizzazione deve essere applicata al connettore di ricezione front-end client.

Disabilitare la rappresentazione della posta elettronica di SharePoint

È possibile configurare ogni applicazione Web di SharePoint per disabilitare la rappresentazione della posta elettronica. In questo modo, SharePoint usa sempre l'indirizzo From e Reply-To specificato a livello di applicazione Web. Eseguire quanto segue per disabilitare la rappresentazione della posta elettronica di SharePoint:

  1. Avviare SharePoint 2019 Management Shell.

  2. Eseguire i comandi seguenti:

    $webapp = Get-SPWebApplication <web application URL>
    $webapp.OutboundMailOverrideEnvelopeSender = $true
    $webapp.Update()
    

Usare un connettore di ricezione protetto esternamente

I connettori di ricezione di Microsoft Exchange Server possono essere configurati in modo da considerare automaticamente attendibili tutti i messaggi di posta elettronica come autenticati, anche se non viene eseguita alcuna autenticazione. SharePoint invierà quindi messaggi di posta elettronica a questo connettore di ricezione in modo anonimo. Seguire questa procedura per creare un connettore di ricezione protetto esternamente:

  1. Creare un connettore di ricezione "personalizzato" dedicato per la farm di SharePoint.
  2. Impostare il gruppo di autorizzazioni del connettore di ricezione su "Exchange Servers".
  3. Impostare il tipo di autenticazione del connettore di ricezione su "protetto esternamente".

A causa del rischio di spoofing in questa configurazione, è consigliabile limitare gli indirizzi IP che questo connettore di ricezione accetterà i messaggi di posta elettronica solo dai server nella farm di SharePoint.

Vedere anche

Concetti

Configurare la posta elettronica in uscita per una farm di SharePoint Server