Connettori di ricezione in Exchange Server
I server Exchange usano i connettori di ricezione per controllare le connessioni SMTP in ingresso da:
Server di messaggistica esterni all'organizzazione di Exchange.
Servizi nella pipeline di trasporto nel server Exchange locale o nei server Exchange remoti.
Client di posta elettronica che devono utilizzare server SMTP autenticati per inviare messaggi.
È possibile creare connettori di ricezione nel servizio di trasporto nei server Cassette postali, il servizio Trasporto front-end nei server Cassette postali e nei server Trasporto Edge. Per impostazione predefinita, i connettori di ricezione necessari per il flusso di posta in ingresso vengono creati automaticamente quando si installa un server Cassette postali di Exchange e quando si sottoscrive un server Trasporto Edge all'organizzazione di Exchange.
Un connettore di ricezione è associato al server Cassette postali o al server Trasporto Edge in cui viene creato e determina la modalità in cui tale server specifico attende le connessioni SMTP. Nei server Cassette postali, il connettore di ricezione è archiviato in Active Directory come un oggetto secondario del server. Nei server Trasporto Edge, il connettore di ricezione viene archiviato in Active Directory Lightweight Directory Services (AD LDS).
Queste sono le impostazioni importanti nei connettori di ricezione:
Associazioni di adattatori locali: configurare la combinazione di indirizzi IP locali e porte TCP usate dal connettore di ricezione per accettare le connessioni.
Impostazioni di rete remote: configurare gli indirizzi IP di origine a cui il connettore di ricezione è in ascolto per le connessioni.
Tipo di utilizzo: configurare i gruppi di autorizzazioni predefiniti e i meccanismi di autenticazione smart host per il connettore di ricezione.
Gruppi di autorizzazioni: configurare gli utenti autorizzati a usare il connettore di ricezione e le autorizzazioni che ricevono.
Un connettore di ricezione è in ascolto delle connessioni in ingresso che corrispondono alle impostazioni di configurazione del connettore. Ogni connettore di ricezione nel server di Exchange usa una combinazione univoca di binding di indirizzo IP locale, porte TCP e intervalli di indirizzi IP remoti che definiscono se e come le connessioni dai server o client SMTP vengono accettate.
Sebbene i connettori di ricezione predefiniti siano appropriati nella maggior parte dei casi, è possibile creare connettori di ricezione personalizzati per scenari specifici. Ad esempio:
Per applicare proprietà speciali a un'origine di posta elettronica come, ad esempio, dimensioni massime dei messaggi più grandi, più destinatari per messaggio o più connessioni in ingresso simultanee.
Per accettare messaggi crittografati utilizzando un certificato TLS specifico.
Nei server Cassette postali, è possibile creare e gestire i connettori di ricezione in Interfaccia di amministrazione di Exchange (EAC) o Exchange Management Shell. Nei server Trasporto Edge, è possibile utilizzare solo Exchange Management Shell.
Ricevere le modifiche del connettore in Exchange Server
Queste sono le importanti modifiche apportate ai connettori di ricezione in Exchange 2016 ed Exchange 2019 rispetto a Exchange 2010:
Il parametro TlsCertificateName consente di specificare l'autorità di certificazione e l'oggetto del certificato. Ciò consente di ridurre il rischio di certificati fraudolenti.
Il parametro TransportRole consente di distinguere tra i connettori front-end (Accesso client) e back-end nei server Cassette postali.
Connettori di ricezione predefiniti creati durante l'installazione
Diversi connettori di ricezione vengono creati per impostazione predefinita quando si installa Exchange. Per impostazione predefinita, tali connettori sono abilitati e la registrazione del protocollo è disabilitata per la maggior parte di essi. Per ulteriori informazioni sulla registrazione del protocollo per i connettori di ricezione, vedere Registrazione del protocollo.
I connettori di ricezione predefiniti nel servizio di trasporto front-end sui server Cassette postali
La funzione primaria dei connettori di ricezione nel servizio Trasporto front-end consiste nell'accettare connessioni SMTP autenticate e anonime nell'organizzazione di Exchange. Il valore della proprietà TransportRole per questi connettori è FrontendTransport
. Il servizio Trasporto front-end inoltra o proxy queste connessioni al servizio trasporto per la categorizzazione e il routing verso la destinazione finale.
I connettori di ricezione predefiniti creati nel servizio Trasporto front-end nei server Cassette postali sono descritti nella tabella seguente.
Nome | Descrizione | Registrazione del protocollo | Porta TCP | Binding di indirizzi IP locali | Intervalli di indirizzi IP remoti | Meccanismi di autenticazione | Gruppi di autorizzazioni |
---|---|---|---|---|---|---|---|
Client Frontend <ServerName> | Accetta le connessioni dai client SMTP autenticati. | Nessuna | 587 | Tutti gli indirizzi IPv4 e IPv6 disponibili (0.0.0.0 e [::]: ) |
{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (tutti gli indirizzi IPv4 e IPv6) |
TLS BasicAuth BasicAuthRequireTLS Integrated |
ExchangeUsers |
Nomeserver> front-end< predefinito | Accetta le connessioni anonime dai server SMTP esterni. Si tratta del comune punto di ingresso della messaggistica nell'organizzazione di Exchange. | Dettagliato | 25 | Tutti gli indirizzi IPv4 e IPv6 disponibili (0.0.0.0 e [::]: ) |
{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (tutti gli indirizzi IPv4 e IPv6) |
TLS BasicAuth BasicAuthRequireTLS ExchangeServer Integrated |
AnonymousUsers ExchangeLegacyServers ExchangeServers |
Nomeserver front-end <proxy in uscita> | Accetta le connessioni autenticate dal servizio di trasporto nei server Cassette postali. Le connessioni vengono crittografate con il certificato autofirmato del server Exchange. Questo connettore viene utilizzato solo se il connettore di invio è configurato per l'uso del proxy in uscita. Per ulteriori informazioni, vedere Configure Send connectors to proxy outbound mail. |
Nessuna | 717 | Tutti gli indirizzi IPv4 e IPv6 disponibili (0.0.0.0 e [::]: ) |
{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (tutti gli indirizzi IPv4 e IPv6) |
TLS BasicAuth BasicAuthRequireTLS ExchangeServer Integrated |
ExchangeServers |
I connettori di ricezione predefiniti nel servizio di trasporto sui server Cassette postali
La funzione principale dei connettori di ricezione nel servizio di trasporto consiste nell'accettare le connessioni SMTP autenticate e crittografate provenienti da altri servizi di trasporto nel server Cassette postali locale o nei server Cassette postali remoti dell'organizzazione. Il valore della proprietà TransportRole nei connettori di questi tipi è HubTransport
. I client non si connettono direttamente a tali connettori.
I connettori di ricezione predefiniti creati nel servizio di trasporto nei server Cassette postali sono descritti nella tabella seguente.
Nome | Descrizione | Registrazione del protocollo | Porta TCP | Binding di indirizzi IP locali | Intervalli di indirizzi IP remoti | Meccanismi di autenticazione | Gruppi di autorizzazioni |
---|---|---|---|---|---|---|---|
Client Proxy <ServerName> | Accetta le connessioni client autenticate che vengono elaborate dal servizio Trasporto front-end. | Nessuna | 465 | Tutti gli indirizzi IPv4 e IPv6 disponibili (0.0.0.0 e [::]: ) |
{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (tutti gli indirizzi IPv4 e IPv6) |
TLS BasicAuth BasicAuthRequireTLS ExchangeServer Integrated |
ExchangeServers ExchangeUsers |
NomeServer> predefinito< | Accetta le connessioni autenticate provenienti da:
Le connessioni vengono crittografate con il certificato autofirmato del server Exchange. |
Nessuna | 2525 | Tutti gli indirizzi IPv4 e IPv6 disponibili (0.0.0.0 e [::]: ) |
{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (tutti gli indirizzi IPv4 e IPv6) |
TLS BasicAuth ExchangeServer Integrated |
ExchangeLegacyServers ExchangeServers ExchangeUsers |
Connettori di ricezione predefiniti nel servizio di trasporto sui server Trasporto Edge
La funzione principale del connettore di ricezione nei server Trasporto Edge consiste nell'accettare posta proveniente da Internet. La sottoscrizione del server Trasporto Edge all'organizzazione di Exchange consente di configurare automaticamente le autorizzazioni e i meccanismi di autenticazione relativi al connettore necessari per il flusso della posta di Internet da e verso l'organizzazione. Per altre informazioni, vedere Server Trasporto Edge.
Il connettore di ricezione predefinito creato nel servizio di trasporto nei server Trasporto Edge è descritto nella tabella seguente.
Nome | Descrizione | Registrazione del protocollo | Porta TCP | Binding di indirizzi IP locali | Intervalli di indirizzi IP remoti | Meccanismi di autenticazione | Gruppi di autorizzazioni |
---|---|---|---|---|---|---|---|
Nomeserver del connettore <di ricezione interno predefinito> | Accetta le connessioni anonime dai server SMTP esterni. | Nessuna | 25 | Tutti gli indirizzi IPv4 disponibili (0.0.0.0 ) |
{0.0.0.0-255.255.255.255} (tutti gli indirizzi IPv4) |
TLS ExchangeServer |
AnonymousUsers ExchangeServers Partners |
Connettori di ricezione impliciti nel servizio Recapito alle cassette postali nei server Cassette postali
Oltre ai connettori di ricezione creati durante l'installazione dei server Exchange, è presente uno speciale connettore di ricezione implicito nel servizio Recapito trasporto cassette postali nei server Cassette postali. Tale connettore di ricezione implicito è automaticamente disponibile, invisibile e non richiede gestione. La funzione principale di questo connettore consiste nell'accettare posta dal servizio di trasporto nel server Cassette postali locale o nei server Cassette postali remoti dell'organizzazione.
Il connettore di ricezione implicito che si trova nel servizio Recapito alle cassette postali nei server Cassette postali viene descritto nella tabella seguente.
Nome | Descrizione | Registrazione del protocollo | Porta TCP | Binding di indirizzi IP locali | Intervalli di indirizzi IP remoti | Meccanismi di autenticazione | Gruppi di autorizzazioni |
---|---|---|---|---|---|---|---|
Connettore di ricezione per il recapito alla cassetta postale | Accetta le connessioni autenticate dal servizio di trasporto nei server Cassette postali locali o remoti. | Nessuna | 475 | Tutti gli indirizzi IPv4 e IPv6 disponibili (0.0.0.0 e [::]: ) |
{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (tutti gli indirizzi IPv4 e IPv6) |
ExchangeServer |
ExchangeServers |
Binding degli indirizzi locali dei connettori di ricezione
I binding degli indirizzi locali limitano il connettore di ricezione ad ascoltare le connessioni SMTP in un indirizzo IP locale specifico (scheda di rete) e una porta TCP. In genere, la combinazione di indirizzo IP locale e porta TCP è univoca per ogni connettore di ricezione in un server. Tuttavia, più connettori di ricezione su un server possono avere gli stessi indirizzi IP locali e porte TCP se gli intervalli di indirizzi IP remoti sono diversi. Per ulteriori informazioni, vedere la sezione Indirizzi remoti dei connettori di ricezione.
Per impostazione predefinita, un connettore di ricezione è in ascolto delle connessioni in tutti gli indirizzi IPv4 e IPv6 locali disponibili (0.0.0.0
e [::]:
). Se il server dispone di più schede di rete, è possibile configurare i connettori di ricezione in modo che accettino connessioni solo se provenienti da indirizzi IP configurati per una scheda di rete specifica. Ad esempio, in un server Exchange con connessione a Internet, è possibile avere un connettore di ricezione associato all'indirizzo IP della scheda di rete esterna che attenda connessioni Internet anonime. È possibile avere un connettore di ricezione separato associato all'indirizzo IP della scheda di rete interna che attende connessioni autenticate provenienti dai server Exchange interni.
Nota
Se si associa un connettore di ricezione a un indirizzo IP specifico, assicurarsi che quest'ultimo sia configurato su una scheda di rete locale. Se si specifica un indirizzo IP locale non valido, potrebbe essere impossibile avviare il servizio di trasporto di Microsoft Exchange quando viene riavviato il server o il servizio.
Nell'interfaccia di amministrazione di Exchange, si utilizza il campo Binding scheda di rete per configurare i binding dell'indirizzo locale nella procedura guidata del nuovo connettore di ricezione oppure nella scheda Ambito nelle proprietà dei connettori di ricezione esistenti. In Exchange Management Shell usare il parametro Bindings nei cmdlet New-ReceiveConnector e Set-ReceiveConnector . A seconda del tipo di utilizzo selezionato, potrebbe non essere possibile configurare i binding dell'indirizzo locale quando si crea il connettore di ricezione, ma è possibile modificarli dopo aver creato il connettore di ricezione. I tipi di utilizzo interessati sono identificati nella sezione Tipi di utilizzo del connettore di ricezione.
Indirizzi remoti dei connettori di ricezione
Gli indirizzi remoti consentono di definire da dove il connettore di ricezione riceve le connessioni SMTP. Per impostazione predefinita, i connettori di ricezione ascoltano le connessioni provenienti da tutti gli indirizzi IPv4 e IPv6 (0.0.0.0-255.255.255.255 e ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff). Se si crea un connettore di ricezione personalizzato per ricevere la posta proveniente da un'origine specifica, configurare il connettore in modo che ascolti solo le connessioni provenienti dall'indirizzo IP o dall'intervallo di indirizzi specifico.
Più connettori di ricezione sullo stesso server possono avere intervalli di indirizzi IP remoti che si sovrappongono se un intervallo è completamente sovrapposto a un altro. Quando gli intervalli di indirizzi IP remoti si sovrappongono, viene utilizzato l'intervallo di indirizzi IP remoto con la corrispondenza più completa all'indirizzo IP del server connesso.
Ad esempio, si prendano in considerazione i seguenti connettori di ricezione nel servizio Trasporto front-end sul server denominato Exchange01:
Nome connettore: Client Frontend Exchange01
Associazioni di schede di rete: tutti i valori IPv4 disponibili sulla porta 25.
Impostazioni di rete remote: 0.0.0.0-255.255.255.255
Nome connettore: Connettore personalizzato A
Associazioni di schede di rete: tutti i valori IPv4 disponibili sulla porta 25.
Impostazioni di rete remota: 192.168.1.0-192.168.1.255
Nome connettore: Connettore personalizzato B
Associazioni di schede di rete: tutti i valori IPv4 disponibili sulla porta 25.
Impostazioni di rete remota: 192.168.1.75
Le connessioni SMTP da 192.168.1.75 sono accettate dal Connettore B personalizzato perché tale connettore ha la corrispondenza più completa all'indirizzo IP.
Le connessioni SMTP da 192.168.1.100 sono accettate dal Connettore A personalizzato perché tale connettore ha la corrispondenza più completa all'indirizzo IP.
Nell'interfaccia di amministrazione di Exchange, si utilizza il campo Impostazioni della rete remota per configurare gli indirizzi IP remoti nella procedura guidata del nuovo connettore di ricezione oppure nella scheda Ambito nelle proprietà dei connettori di ricezione esistenti. In Exchange Management Shell si usa il parametro RemoteIPRanges nei cmdlet New-ReceiveConnector e Set-ReceiveConnector .
Tipi di utilizzo del connettore di ricezione
Il tipo di utilizzo determina le impostazioni di protezione predefinite per il connettore di ricezione. Il tipo di utilizzo specifica chi è autorizzato a usare il connettore, le relative autorizzazioni e i metodi di autenticazione supportati.
Quando si utilizza l'interfaccia di amministrazione di Exchange per creare connettori di ricezione, la procedura guidata richiede all'utente di selezionare il valore Tipo per il connettore. Quando si usa il cmdlet New-ReceiveConnector in Exchange Management Shell, si usa il parametro Usage con uno dei valori disponibili ( ad esempio , -Usage Custom
) o l'opzione designata per il tipo di utilizzo (ad esempio, -Custom
).
È possibile specificare il tipo di utilizzo del connettore solo quando si creano connettori di ricezione. Dopo aver creato un connettore, è possibile modificare i meccanismi di autenticazione e i gruppi di autorizzazioni disponibili nell'interfaccia di amministrazione di Exchange oppure usando il cmdlet Set-ReceiveConnector in Exchange Management Shell.
I tipi di utilizzo disponibili sono descritti nella seguente tabella.
Tipo di utilizzo | Gruppi di autorizzazioni assegnati | Meccanismi di autenticazione disponibili | Commenti |
---|---|---|---|
Client |
Utenti di Exchange (ExchangeUsers ) |
Transport Layer Security (TLS )Autenticazione di base ( BasicAuth )Offrire l'autenticazione di base solo dopo l'avvio di TLS ( BasicAuthRequireTLS )Autenticazione di Windows integrato ( Integrated ) |
Utilizzati dai client POP3 e IMAP4 che devono inviare messaggi di posta elettronica mediante server SMTP autenticati. Quando si crea un connettore di ricezione per questo tipo di utilizzo nell'interfaccia di amministrazione di Exchange o in Exchange Management Shell, non è possibile selezionare la porta TCP o i binding degli indirizzi IP locali. Per impostazione predefinita, questo tipo di utilizzo è associato a tutti gli indirizzi IPv4 e IPv6 locali sulla porta TCP 587. È possibile modificare tali binding dopo aver creato il connettore. Questo tipo di utilizzo non è disponibile nei server Trasporto Edge. |
Personalizzato | Nessuna selezionata (None ) |
Transport Layer Security (TLS ) |
Utilizzato in scenari tra foreste, per ricevere la posta da server di messaggistica di terze parti e per l'inoltro esterno. Dopo aver creato un connettore di ricezione per questo tipo di utilizzo, è necessario aggiungere gruppi di autorizzazioni nell'interfaccia di amministrazione di Exchange o in Exchange Management Shell. |
Interno |
Server Exchange legacy (ExchangeLegacyServers )Server Exchange ( ExchangeServers ) |
Transport Layer Security (TLS )autenticazione Exchange Server ( ExchangeServers ) |
Utilizzato in scenari tra foreste, per ricevere la posta da versioni precedenti di Exchange, per ricevere la posta da server di messaggistica di terze parti o nei server Trasporto Edge per ricevere la posta in uscita dall'organizzazione di Exchange interna. Quando si crea un connettore di ricezione per questo tipo di utilizzo nell'interfaccia di amministrazione di Exchange o in Exchange Management Shell, non è possibile selezionare la porta TCP o i binding degli indirizzi IP locali. Per impostazione predefinita, il connettore è associato a tutti gli indirizzi IPv4 e IPv6 locali sulla porta TCP 25. È possibile modificare tali binding dopo aver creato il connettore. Il ExchangeLegacyServers gruppo di autorizzazioni non è disponibile nei server Trasporto Edge. |
Internet |
Utenti anonimi (AnonymousUsers ) |
Transport Layer Security (TLS ) |
Utilizzato per ricevere la posta da Internet. Quando si crea un connettore di ricezione per questo tipo di utilizzo nell'interfaccia di amministrazione di Exchange o in Exchange Management Shell, non è possibile selezionare gli indirizzi IP remoti. Per impostazione predefinita, il connettore accetta le connessioni remote provenienti da tutti gli indirizzi IPv4 (0.0.0.0-255.255.255.255). È possibile modificare tali binding dopo aver creato il connettore. |
Partner |
Partner (Partners ) |
Transport Layer Security (TLS ) |
Utilizzato per configurare comunicazioni protette con un partner esterno (autenticazione Mutual TLS, nota anche come dominio protetto). |
Meccanismi di autenticazione del connettore di ricezione
I meccanismi di autenticazione consentono di specificare le impostazioni di accesso e crittografia che servono per le connessioni SMTP in ingresso. Per un connettore di ricezione è possibile configurare più meccanismi di autenticazione. Nell'interfaccia di amministrazione di Exchange, i meccanismi di autenticazione sono disponibili nella scheda Sicurezza nelle proprietà del connettore di ricezione. In Exchange Management Shell i gruppi di autorizzazioni sono disponibili nel parametro AuthMechanisms nei cmdlet New-ReceiveConnector e Set-ReceiveConnector .
Nella tabella seguente vengono descritti i meccanismi di autenticazione disponibili.
Meccanismo di autenticazione | Descrizione |
---|---|
Nessuna selezionata (None ) |
Nessuna autenticazione. |
Transport Layer Security (TLS) (TLS ) |
Annunciare STARTTLS nella risposta EHLO. Le connessioni TLS crittografate richiedono un certificato del server contenente il nome che il connettore di ricezione annuncia nella risposta EHLO. Per altre informazioni, vedere Modificare il banner SMTP nei connettori di ricezione. Altri server Exchange nell'organizzazione considerano attendibile il certificato autofirmato del server, ma in genere i client e i server esterni utilizzano un certificato di terze parti attendibile. |
Autenticazione di base (BasicAuth ) |
Autenticazione di base (testo non crittografato). |
Offrire l'autenticazione di base solo dopo l'avvio di TLS (BasicAuthRequireTLS ) |
Autenticazione di base crittografata con TLS. |
Autenticazione di Windows integrato (Integrated ) |
Autenticazione Kerberos e NTLM. |
autenticazione Exchange Server (ExchangeServer ) |
Autenticazione Generic Security Services application programming interface (GSSAPI) e GSSAPI reciproca. |
Protetto esternamente (ExternalAuthoritative ) |
La connessione è considerata protetta esternamente se si utilizza un meccanismo di sicurezza esterno a Exchange. La connessione può essere un'associazione IPsec (Internet Protocol security) o una connessione VPN (Virtual Private Network). In alternativa i server possono risiedere in una rete di tipo trusted controllata fisicamente. Questo meccanismo di autenticazione richiede il ExchangeServers gruppo di autorizzazioni. Questa combinazione di meccanismo di autenticazione e gruppo di sicurezza consente la risoluzione degli indirizzi di posta elettronica dei mittenti anonimi per i messaggi ricevuti tramite il connettore. |
Gruppi di autorizzazioni per il connettore di ricezione
Un gruppo di autorizzazioni è un set predefinito di autorizzazioni concesse a entità di sicurezza note e assegnate a un connettore di ricezione. Le entità di sicurezza includono account utente, account computer e gruppi di sicurezza (oggetti identificabili tramite ID di sicurezza o SID con autorizzazioni). I gruppi di autorizzazioni consentono di definire chi può utilizzare il connettore di ricezione e le relative autorizzazioni. Non è possibile creare gruppi di autorizzazioni, né modificare i membri del gruppo di autorizzazioni o le autorizzazioni predefinite del gruppo di autorizzazioni.
Nell'interfaccia di amministrazione di Exchange, i gruppi di autorizzazioni sono disponibili nella scheda Sicurezza nelle proprietà del connettore di ricezione. In Exchange Management Shell i gruppi di autorizzazioni sono disponibili nel parametro PermissionGroups nei cmdlet New-ReceiveConnector e Set-ReceiveConnector .
I gruppi di autorizzazioni disponibili sono descritti nella seguente tabella.
Gruppo di autorizzazioni | Entità di sicurezza associate | Autorizzazioni concesse |
---|---|---|
Utenti anonimi (Anonymous ) |
NT AUTHORITY\ANONYMOUS LOGON |
ms-Exch-Accept-Headers-Routing ms-Exch-SMTP-Accept-Any-Sender ms-Exch-SMTP-Accept-Authoritative-Domain-Sender ms-Exch-SMTP-Submit |
Utenti di Exchange (ExchangeUsers ) |
NT AUTHORITY\Authenticated Users |
ms-Exch-Accept-Headers-Routing ms-Exch-Bypass-Anti-Spam ms-Exch-SMTP-Accept-Any-Recipient ms-Exch-SMTP-Submit |
Server Exchange (ExchangeServers ) |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers Nota: A queste entità di sicurezza sono assegnate anche altre autorizzazioni interne. Per ulteriori informazioni, vedere la fine della sezione Autorizzazioni del connettore di ricezione. |
ms-Exch-Accept-Headers-Forest ms-Exch-Accept-Headers-Organization ms-Exch-Accept-Headers-Routing ms-Exch-Bypass-Anti-Spam ms-Exch-Bypass-Message-Size-Limit ms-Exch-SMTP-Accept-Any-Recipient ms-Exch-SMTP-Accept-Any-Sender ms-Exch-SMTP-Accept-Authentication-Flag ms-Exch-SMTP-Accept-Authoritative-Domain-Sender ms-Exch-SMTP-Accept-Exch50 ms-Exch-SMTP-Submit |
Server Exchange (ExchangeServers ) |
MS Exchange\Externally Secured Servers |
ms-Exch-Accept-Headers-Routing ms-Exch-Bypass-Anti-Spam ms-Exch-Bypass-Message-Size-Limit s-Exch-SMTP-Accept-Any-Recipient ms-Exch-SMTP-Accept-Any-Sender ms-Exch-SMTP-Accept-Authentication-Flag ms-Exch-SMTP-Accept-Authoritative-Domain-Sender ms-Exch-SMTP-Accept-Exch50 ms-Exch-SMTP-Submit |
Server Exchange legacy (ExchangeLegacyServers ) |
<Domain>\ExchangeLegacyInterop |
ms-Exch-Accept-Headers-Routing ms-Exch-Bypass-Anti-Spam ms-Exch-Bypass-Message-Size-Limit ms-Exch-SMTP-Accept-Any-Recipient ms-Exch-SMTP-Accept-Any-Sender ms-Exch-SMTP-Accept-Authentication-Flag ms-Exch-SMTP-Accept-Authoritative-Domain-Sender ms-Exch-SMTP-Accept-Exch50 ms-Exch-SMTP-Submit |
Partner (Partner ) |
MS Exchange\Partner Servers |
ms-Exch-Accept-Headers-Routing ms-Exch-SMTP-Submit |
Le autorizzazioni vengono descritte nella sezione Autorizzazioni del connettore di ricezione più avanti in questo argomento.
Autorizzazioni del connettore di ricezione
In genere, le autorizzazioni si applicano ai connettori di ricezione mediante i gruppi di autorizzazioni. Tuttavia, è possibile configurare autorizzazioni granulare su un connettore di ricezione usando i cmdlet Add-ADPermission e Remove-ADPermission.
Le autorizzazioni del connettore di ricezione vengono assegnate a entità di sicurezza tramite i gruppi di autorizzazioni per il connettore. Quando un client o un server SMTP stabilisce una connessione con un connettore di ricezione, le autorizzazioni del connettore di ricezione determinano se accettare la connessione e come elaborare i messaggi.
Le autorizzazioni del connettore di ricezione disponibili sono descritte nella seguente tabella.
Autorizzazione del connettore di ricezione | Descrizione |
---|---|
ms-Exch-Accept-Headers-Forest |
Controlla l'archiviazione delle intestazioni della foresta di Exchange nei messaggi. I nomi delle intestazioni della foresta iniziano con X-MS-Exchange-Forest-. Se questa autorizzazione non viene concessa, tutte le intestazioni della foresta vengono rimosse dai messaggi. |
ms-Exch-Accept-Headers-Organization |
Controlla l'archiviazione delle intestazioni dell'organizzazione di Exchange nei messaggi. I nomi delle intestazioni dell'organizzazione iniziano con X-MS-Exchange-Organization-. Se questa autorizzazione non viene concessa, tutte le intestazioni dell'organizzazione vengono rimosse dai messaggi. |
ms-Exch-Accept-Headers-Routing |
Controlla la conservazione delle intestazioni Received e Resent-* nei messaggi. Se questa autorizzazione non viene concessa, tutte le intestazioni vengono rimosse dai messaggi. |
ms-Exch-Bypass-Anti-Spam |
Consente ai client o ai server SMTP di ignorare il filtro posta indesiderata. |
ms-Exch-Bypass-Message-Size-Limit |
Consente ai client o server SMTP di inviare i messaggi che superano le dimensioni massime dei messaggi configurate per il connettore di ricezione. |
ms-Exch-SMTP-Accept-Any-Recipient |
Consente ai client o server SMTP di inoltrare messaggi tramite il connettore di ricezione. Se l'autorizzazione non viene concessa, il connettore di ricezione accetterà solo i messaggi inviati ai destinatari in domini accettati configurati per l'organizzazione di Exchange. |
ms-Exch-SMTP-Accept-Any-Sender |
Consente ai client o server SMTP di ignorare il controllo per lo spoofing dell'indirizzo del mittente per il quale, in genere, è necessario che l'indirizzo di posta elettronica del mittente si trovi in un dominio accettato configurato per l'organizzazione di Exchange. |
ms-Exch-SMTP-Accept-Authentication-Flag |
Controlla se i messaggi provenienti da client o server SMTP vengono considerati come autenticati. Se questa autorizzazione non viene concessa, i messaggi provenienti da tali origini sono identificati come esterni (non autenticati). Questa impostazione è importante per i gruppi di distribuzione configurati per accettare la posta solo da destinatari interni (ad esempio, il valore del parametro RequireSenderAuthenticationEnabled per il gruppo è $true ). |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
Consente l'accesso al connettore di ricezione da mittenti con indirizzi di posta elettronica in domini autorevoli configurati per l'organizzazione di Exchange. |
ms-Exch-SMTP-Accept-Exch50 |
Consente ai client o server SMTP di inviare comandi XEXCH50 nel connettore di ricezione. L'oggetto binario di grandi dimensioni (BLOB) di X-EXCH50 è stato utilizzato da versioni precedenti di Exchange (Exchange 2003 e versioni precedenti) per archiviare i dati di Exchange nei messaggi (ad esempio, il livello di probabilità di posta indesiderata o SCL). |
ms-Exch-SMTP-Submit |
Questa autorizzazione è necessaria per inviare messaggi al connettore di ricezione. Se questa autorizzazione non è stata concessa, i comandi MAIL FROM e AUTH avranno esito negativo. |
Note:
Oltre alle autorizzazioni documentate, sono disponibili autorizzazioni assegnate a tutte le entità di sicurezza nel gruppo di autorizzazioni server Exchange (
ExchangeServers
), ad eccezioneMS Exchange\Externally Secured Servers
di . Queste autorizzazioni sono riservate per uso interno di Microsoft e vengono visualizzate qui solo a scopo di riferimento.ms-Exch-SMTP-Accept-Xattr
ms-Exch-SMTP-Accept-XProxyFrom
ms-Exch-SMTP-Accept-XSessionParams
ms-Exch-SMTP-Accept-XShadow
ms-Exch-SMTP-Accept-XSysProbe
ms-Exch-SMTP-Send-XMessageContext-ADRecipientCache
ms-Exch-SMTP-Send-XMessageContext-ExtendedProperties
ms-Exch-SMTP-Send-XMessageContext-FastIndex
I nomi delle autorizzazioni che contengono
ms-Exch-Accept-Headers-
fanno parte della funzionalità del firewall dell'intestazione . Per ulteriori informazioni, vedere Firewall intestazioni.
Procedure di autorizzazione del connettore di ricezione
Per visualizzare le autorizzazioni assegnate alle entità di sicurezza in un connettore di ricezione, utilizzare la seguente sintassi in Exchange Management Shell:
Get-ADPermission -Identity <ReceiveConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
Ad esempio, per visualizzare le autorizzazioni assegnate a tutte le entità di sicurezza nel connettore di ricezione denominato Client Frontend Mailbox01, utilizzare il seguente comando:
Get-ADPermission -Identity "Client Frontend Mailbox01" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
Per visualizzare le autorizzazioni assegnate solo all'entità NT AUTHORITY\Authenticated Users
di sicurezza nel connettore di ricezione denominato Default Mailbox01, eseguire il comando seguente:
Get-ADPermission -Identity "Default Mailbox01" -User "NT AUTHORITY\Authenticated Users" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
Per aggiungere le autorizzazioni a un'entità di sicurezza in un connettore di ricezione, utilizzare la seguente sintassi:
Add-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...
Per rimuovere le autorizzazioni da un'entità di sicurezza in un connettore di ricezione, utilizzare la seguente sintassi:
Remove-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...