Condividi tramite


Inviare connettori in Exchange Server

Exchange usa i connettori di invio per le connessioni SMTP in uscita dai server Exchange di origine ai server di posta elettronica di destinazione. Il connettore di invio utilizzato per instradare i messaggi a un destinatario viene selezionato durante la fase di risoluzione del routing di categorizzazione dei messaggi. Per altre informazioni, vedere Routing della posta elettronica.

È possibile creare connettori di invio nel servizio Trasporto nei server Cassette postali e nei server Trasporto Edge. I connettori di invio sono archiviati in Active Directory e sono (per impostazione predefinita) visibili a tutti i server Cassette postali dell'organizzazione.

Importante

Per impostazione predefinita, non esiste alcun connettore di invio per il flusso di posta esterno quando si installa Exchange. Per abilitare il flusso di posta Internet in uscita, è necessario creare un connettore di invio o sottoscrivere un server Trasporto Edge all'organizzazione di Exchange. Per altre informazioni, vedere Creare un connettore di invio per inviare posta elettronica ai server Trasporto Internet e Edge.

Non è necessario configurare i connettori di invio per inviare posta elettronica tra server Exchange nella stessa foresta di Active Directory. I connettori di invio impliciti e invisibili che conoscono la topologia server Exchange sono disponibili per inviare posta ai server Exchange interni. I connettori di invio vengono descritti nella sezione Connettori di invio impliciti.

Queste sono le impostazioni importanti nei connettori di invio:

  • Tipo di utilizzo

  • Impostazioni di rete: configurare il modo in cui il connettore di invio instrada la posta: tramite DNS o inoltrando automaticamente tutta la posta a uno smart host.

  • Spazi indirizzi: configurare i domini di destinazione di cui è responsabile il connettore di invio.

  • Ambito: configura la visibilità del connettore di invio ad altri server Exchange nell'organizzazione.

  • Server di origine: configurare i server Exchange in cui è ospitato il connettore di invio. La posta elettronica che deve essere consegnata utilizzando il connettore di invio viene instradata a uno dei server di origine.

Nei server Cassette postali, è possibile creare e gestire i connettori di invio in Interfaccia di amministrazione di Exchange o Exchange Management Shell. Nei server Trasporto Edge, è possibile utilizzare solo Exchange Management Shell.

Inviare modifiche al connettore in Exchange Server

Queste sono le importanti modifiche apportate ai connettori di invio in Exchange 2016 o Exchange 2019 rispetto a Exchange 2010:

  • È possibile configurare i connettori di invio da reindirizzare o la posta in uscita proxy tramite il servizio Trasporto front-end. Per ulteriori informazioni, vedere Configure Send connectors to proxy outbound mail.

  • Il parametro IsCoexistenceConnector non è più disponibile.

  • Il parametro LinkedReceiveConnector non è più disponibile.

  • La dimensione massima predefinita dei messaggi viene aumentata a 35 MB (circa 25 MB a causa della codifica Base64). Per altre informazioni, vedere Dimensioni dei messaggi e limiti dei destinatari in Exchange Server.

  • Il parametro TlsCertificateName consente di specificare l'autorità di certificazione e l'oggetto del certificato. Ciò consente di ridurre il rischio di certificati fraudolenti.

Connettori di invio impliciti

Anche se durante l'installazione dei server Exchange non vengono creati connettori di invio, è presente uno speciale connettore di invio implicito denominato connettore di invio all'interno dell'organizzazione. Tale connettore di invio implicito è automaticamente disponibile, invisibile e non richiede gestione. Il connettore di invio tra organizzazioni esiste nei servizi di trasporto per inviare la posta, sia internamente tra i servizi nel server Exchange locale o ai servizi nei server Exchange remoti nell'organizzazione. Ad esempio:

  • Dal servizio Trasporto front-end al servizio di trasporto.

  • Dal servizio di trasporto al servizio di trasporto in altri server.

  • Dal servizio di trasporto ai server Trasporto Edge sottoscritti.

  • Dal servizio di trasporto al servizio Recapito alle cassette postali.

  • Dal servizio Invio alle cassette postali al servizio di trasporto.

Per ulteriori informazioni, vedere Mail flow and the transport pipeline.

Tipi di utilizzo del connettore di invio

Per i connettori di invio, il tipo di utilizzo è fondamentalmente un'etichetta descrittiva che identifica per cosa viene usato il connettore di invio. Tutti i valori del tipo di utilizzo ricevono le stesse autorizzazioni.

È possibile specificare il tipo di utilizzo del connettore solo quando si creano connettori di invio. Quando si utilizza EAC, è necessario selezionare un valore Type. Tuttavia, quando si usa il cmdlet New-SendConnector in Exchange Management Shell, il tipo di utilizzo non è obbligatorio (tramite -Usage <UsageType> o -<UsageType>).

Specificando un tipo di utilizzo viene configurata una dimensione massima predefinita del messaggio, che è possibile modificare dopo aver creato il connettore.

I valori del tipo di utilizzo disponibili sono descritti nella seguente tabella.

Tipo di utilizzo Dimensione massima dei messaggi Commenti
Personalizzato 35 MB Nessuna
Interna illimitata Quando si crea un connettore di invio di questo tipo di utilizzo in EAC, non è possibile selezionare Record MX associato con il dominio del destinatario. Dopo aver creato il connettore, è possibile accedere alla scheda Consegna nelle proprietà del connettore di invio e selezionare Record MX associato con il dominio del destinatario.

Questa stessa restrizione non esiste in Exchange Management Shell. È possibile usare l'opzione Internal e impostare DNSRoutingEnabled$true su nel cmdlet New-SendConnector .
Internet 35 MB Nessuna
Partner 35 MB Quando si crea un connettore di invio di questo tipo di utilizzo in EAC, non è possibile selezionare Instrada la posta tramite smart host o un meccanismo di autenticazione di smart host. Dopo aver creato il connettore, è possibile andare alla scheda Consegna nelle proprietà del connettore di invio e selezionare Instrada la posta tramite smart host e il meccanismo di autenticazione smart host.

Questa stessa restrizione non esiste in Exchange Management Shell. È possibile usare l'opzione Partner e impostare DNSRoutingEnabled$false su e usare i parametri SmartHosts e SmartHostAuthMechanism nel cmdlet New-SendConnector .

Impostazioni di rete dei connettori di invio

Ogni connettore di invio deve essere configurato con una di queste opzioni:

  • Utilizzare DNS per instradare la posta.

  • Utilizzare uno o più smart host per instradare la posta.

Utilizzare DNS per instradare la posta

Quando si seleziona la risoluzione DNS per il recapito della posta, il server Exchange di origine per il connettore di invio deve essere in grado di risolvere i record MX per gli spazi indirizzi configurati nel connettore. A seconda della natura del connettore e del numero di schede di rete nel server, il connettore di invio potrebbe richiedere l'accesso a un server DNS interno o a un server DNS esterno (pubblico). È possibile configurare il server per utilizzare i server DNS specifici per le ricerche nel DNS interno ed esterno:

  • Nell'interfaccia di amministrazione di Exchange nel>server> selezionare il server e fare clic sull'icona Modifica modifica.>Scheda Ricerche DNS.

  • In Exchange Management Shell si usano i parametri ExternalDNS* e InternalDNS* nel cmdlet Set-TransportService .

Se già stato configurato il server Exchange con impostazioni DNS separate da utilizzare per ricerche nel DNS esterno e interno e il connettore di invio indirizza la posta a uno spazio indirizzi esterno, è necessario configurare il connettore di invio affinché utilizzi il server DNS esterno:

  • In EAC, selezionare Usa l'impostazione di ricerca nel DNS esterno nei server con ruoli di trasporto (nella nuova procedura guidata del connettore di invio o nella scheda Consegnanelle proprietà dei connettori esistenti).

  • In Exchange Management Shell usare il parametro UseExternalDNSServersEnabled nei cmdlet New-SendConnector e Set-SendConnector .

Utilizzare smart host per instradare la posta

Quando si distribuisce posta tramite uno smart host, il connettore di invio inoltra la posta allo smart host e lo smart host è responsabile dell'instradamento della posta all'hop successivo nel percorso verso la destinazione finale. Un utilizzo comune del routing dello smart host è quello di inviare la posta in uscita attraverso un servizio o dispositivo antispam.

Si identificano uno o più host da utilizzare per il connettore di invio attraverso un indirizzo IP singolo (ad esempio, 10.1.1.1), un nome di dominio completo (FQDN) (ad esempio, spamservice.contoso.com) oppure combinazioni di entrambi i tipi di valori. Se si usa un nome di dominio completo, il server Exchange di origine deve essere in grado di risolvere il nome di dominio completo (che può essere un record MX o un record A) utilizzando DNS.

Una parte importante dell'instradamento dello smart host è il meccanismo di autenticazione che usa gli smart host. Nella tabella seguente vengono descritti i meccanismi di autenticazione disponibili.

Meccanismo di autenticazione Descrizione
Nessuno (None) Nessuna autenticazione. Ad esempio, quando l'accesso allo smart host è limitato dall'indirizzo IP di origine.
Autenticazione di base (BasicAuth) Autenticazione di base. Richiede un nome utente e una password. Il nome utente e la password vengono inviati in testo non crittografati.
Offrire l'autenticazione di base solo dopo l'avvio di TLS (BasicAuthRequireTLS) Autenticazione di base crittografata con TLS. Questa opzione richiede un certificato del server nello smart host che contiene l'esatto FQDN dello smart host definito nel connettore di invio.

Il connettore di invio tenta di stabilire la sessione TLS inviando il comando STARTTLS allo smart host ed esegue l'autenticazione di base dopo che è stata stabilita la sessione TLS.

Inoltre, per supportare l'autenticazione TLS reciproca, è necessario un certificato client.
Autenticazione di Exchange Server (ExchangeServer) Autenticazione Generic Security Services application programming interface (GSSAPI) e GSSAPI reciproca.
Protetto esternamente (ExternalAuthoritative) La connessione è considerata protetta esternamente se si utilizza un meccanismo di sicurezza esterno a Exchange. La connessione può essere un'associazione IPsec (Internet Protocol security) o una connessione VPN (Virtual Private Network). In alternativa i server possono risiedere in una rete di tipo trusted controllata fisicamente.

Spazi indirizzi dei connettori di invio

Lo spazio indirizzi specifica i domini di destinazione assistiti dal connettore di invio. La posta viene instradata attraverso un connettore di invio basato sul dominio dell'indirizzo di posta elettronica del destinatario.

I valori dello spazio indirizzi SMTP disponibili sono descritti nella seguente tabella.

Spazio indirizzo Spiegazione
* Il connettore di invio indirizza la posta elettronica ai destinatari in tutti i domini.
Dominio (ad esempio, contoso.com) Il connettore di invio indirizza la posta elettronica ai destinatari nel dominio specificato, ma non in eventuali sottodomini.
Dominio e sottodomini (ad esempio, *.contoso.com) Il connettore di invio indirizza la posta elettronica ai destinatari nel dominio specificato e in tutti i sottodomini.
-- Il connettore di invio indirizza la posta elettronica ai destinatari in tutti i domini accettati nell'organizzazione Exchange. Questo valore è disponibile solo nei connettori di invio nei server Trasporto Edge che inviano la posta all'organizzazione Exchange interna.

Uno spazio indirizzi presenta anche i valori Tipo e Costo che è possibile configurare.

Nei server Trasporto Edge, il valore Type deve essere SMTP. Nei server Cassette postali è anche possibile usare tipi di spazio indirizzi non SMTP come X400 o qualsiasi altra stringa di testo. Gli indirizzi X.400 devono essere conformi a RFC 1685 (ad esempio, o=MySite;p=MyOrg;a=adatum;c=us), ma altri valori di tipo accettano qualsiasi valore di testo per lo spazio indirizzi. Se si specifica un tipo di spazio indirizzi non SMTP, il connettore di invio deve utilizzare l'instradamento dello smart host e SMTP consente di inviare messaggi a quest'ultimo. I connettori Agente di recapito e i connettori esterni inviano messaggi non SMTP a server non SMTP senza utilizzare SMTP. Per altre informazioni, vedere Delivery Agents and Delivery Agent Connectors and Foreign Connectors (Agenti di recapito e connettori dell'agente di recapito e Connettori esterni).

Il valore Costo nello spazio indirizzi viene utilizzato per l'ottimizzazione della posta elettronica e la tolleranza di errore quando gli stessi spazi indirizzi sono configurati in più connettori di invio in diversi server di origine. Un valore con priorità più bassa indica un connettore di invio preferito.

Il connettore di invio utilizzato per instradare i messaggi a un destinatario viene selezionato durante la fase di risoluzione del routing di categorizzazione dei messaggi. Viene selezionato il connettore di invio il cui spazio indirizzo ha maggiori corrispondenze con l'indirizzo di posta elettronica del destinatario e il cui valore di priorità è più basso.

Si supponga, ad esempio, che il destinatario sia julia@marketing.contoso.com. Se un connettore di invio è configurato per *.contoso.com, il messaggio è stato instradato attraverso tale connettore. Se nessun connettore di invio è configurato per *.contoso.com, il messaggio viene instradato attraverso il connettore configurato per *. Se più connettori di invio nello stesso sito di Active Directory sono configurati per *.contoso.com, viene selezionato il connettore con il valore di priorità inferiore.

Ambito dei connettori di invio

I server di origine per un connettore di invio determinano il server Exchange di destinazione per la posta che deve essere instradata attraverso il connettore di invio. L'ambito del connettore di invio controlla la visibilità del connettore all'interno dell'organizzazione Exchange.

Per impostazione predefinita, i connettori di invio sono visibili a tutti i server Exchange nell'intera foresta Active Directory e vengono utilizzati nelle decisioni di routing. Tuttavia, è possibile limitare l'ambito di un connettore di invio in modo che sia visibile solo ad altri server Exchange nello stesso sito di Active Directory. Il connettore di invio non è visibile a server Exchange in altri siti di Active Directory siti e non viene utilizzato nelle decisioni di routing relative. Un connettore di invio con restrizioni in questo modo viene definito con ambito.

Per configurare connettori di invio con ambito in EAC, selezionare Connettore di invio con ambito nella sezione Spazio indirizzi della nuova procedura guidata del connettore di invio o nella scheda Ambito nelle proprietà dei connettori di invio esistenti. In Exchange Management Shell si usa il parametro IsScopedConnector nei cmdlet New-SendConnector e Set-SendConnector .

Autorizzazioni del connettore di invio

Quando il connettore di invio stabilisce una connessione con il server di posta elettronica di destinazione, le autorizzazioni del connettore di invio determinano i tipi di intestazioni che possono essere inviate nei messaggi. Se un messaggio include intestazioni che non sono consentite dalle autorizzazioni, tali intestazioni vengono rimosse dai messaggi.

Le autorizzazioni vengono assegnate ai connettori di invio da entità di sicurezza note. Le entità di sicurezza includono account utente, account computer e gruppi di sicurezza (oggetti identificabili tramite ID di sicurezza o SID con autorizzazioni). Per impostazione predefinita, le stesse entità di sicurezza con le stesse autorizzazioni vengono assegnate in tutti i connettori di invio, indipendentemente dal tipo di utilizzo selezionato durante la creazione del connettore. Per modificare le autorizzazioni predefinite per un connettore di invio, è necessario utilizzare i cmdlet Add-ADPermission e Remove-ADPermission in Exchange Management Shell.

Le autorizzazioni del connettore di invio disponibili sono descritte nella seguente tabella.

Autorizzazione Assegnata a Descrizione
ms-Exch-Send-Headers-Forest <Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers
Controlla l'archiviazione delle intestazioni della foresta di Exchange nei messaggi. I nomi delle intestazioni della foresta iniziano con X-MS-Exchange-Forest-. Se questa autorizzazione non viene concessa, tutte le intestazioni della foresta vengono rimosse dai messaggi.
ms-Exch-Send-Headers-Organization <Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers
Controlla l'archiviazione delle intestazioni dell'organizzazione di Exchange nei messaggi. I nomi delle intestazioni dell'organizzazione iniziano con X-MS-Exchange-Organization-. Se questa autorizzazione non viene concessa, tutte le intestazioni dell'organizzazione vengono rimosse dai messaggi.
ms-Exch-Send-Headers-Routing NT AUTHORITY\ANONYMOUS LOGON

<Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Externally Secured Servers

MS Exchange\Hub Transport Servers

MS Exchange\Legacy Exchange Servers

MS Exchange\Partner Servers
Controlla l'archiviazione delle intestazioni di RECEIVED nei messaggi. Se questa autorizzazione non viene concessa, tutte le intestazioni ricevute vengono rimosse dai messaggi.
ms-Exch-SMTP-Send-Exch50 <Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Externally Secured Servers

MS Exchange\Hub Transport Servers

MS Exchange\Legacy Exchange Servers
Consente al server Exchange di origine di inviare i comandi XEXCH50 nel connettore di invio. L'oggetto binario di grandi dimensioni (BLOB) di X-EXCH50 è stato utilizzato da versioni precedenti di Exchange (Exchange 2003 e versioni precedenti) per archiviare i dati di Exchange nei messaggi (ad esempio, il livello di probabilità di posta indesiderata o SCL).

Se questa autorizzazione non è concessa e i messaggi contengono il BLOB di X-EXCH50, il server Exchange invia il messaggio senza il BLOB di X-EXCH50.
ms-Exch-SMTP-Send-XShadow <Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers
Questa autorizzazione è riservata per uso interno di Microsoft e viene visualizzata qui solo a scopo di riferimento.

Nota: i nomi delle autorizzazioni che contengono ms-Exch-Send-Headers- fanno parte della funzionalità del firewall dell'intestazione . Per ulteriori informazioni, vedere Firewall intestazioni.

Procedure di autorizzazione del connettore di invio

Per visualizzare le autorizzazioni assegnate alle entità di sicurezza in un connettore di invio, utilizzare la seguente sintassi in Exchange Management Shell:

Get-ADPermission -Identity <SendConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Ad esempio, per visualizzare le autorizzazioni assegnate a tutte le entità di sicurezza in un connettore di invio denominato To Fabrikam.com, utilizzare il seguente comando:

Get-ADPermission -Identity "To Fabrikam.com" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Per visualizzare le autorizzazioni assegnate solo all'entità NT AUTHORITY\ANONYMOUS LOGON di sicurezza nel connettore di invio denominato To Fabrikam, eseguire il comando seguente:

Get-ADPermission -Identity "To Fabrikam.com" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Per aggiungere le autorizzazioni a un'entità di sicurezza in un connettore di invio, utilizzare la seguente sintassi:

Add-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Per rimuovere le autorizzazioni da un'entità di sicurezza in un connettore di invio, utilizzare la seguente sintassi:

Remove-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...