Come consentire l'inoltro anonimo su un conettore di ricezione
Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Ultima modifica dell'argomento: 2007-07-02
In questo argomento viene illustrato come utilizzare Exchange Management Console o Exchange Management Shell per creare e configurare un connettore di ricezione che consenta l'inoltro anonimo. Il connettore di ricezione è configurato sui server in cui è installato il ruolo del server Trasporto Hub o Trasporto Edge Microsoft Exchange Server 2007.
L'inoltro è il trasferimento di messaggi da un server di messaggistica SMTP (Simple Mail Transfer Protocol) all'altro quando il server di messaggistica SMTP di accettazione non è la destinazione finale del messaggio. Se privo di restrizioni, l'inoltro anonimo sui server di messaggistica SMTP in Internet è una seria vulnerabilità di protezione, che può essere sfruttata da mittenti di messaggi commerciali indesiderati o spammer, per nascondere l'origine dei messaggi. Quindi, sui server di messaggistica con accesso a Internet vengono impostate restrizioni, per impedire l'inoltro a destinazioni non autorizzate.
In Exchange 2007, l'inoltro viene in genere gestito utilizzando domini accettati. I domini accettati vengono configurati sul server Trasporto Edge o Trasporto Hub. I domini accettati vengono inoltre classificati come domini di inoltro interno o domini di inoltro esterno. Per ulteriori informazioni sui domini accettati, vedere Gestione dei domini accettati.
È inoltre possibile limitare l'inoltro anonimo in base all'origine dei messaggi in ingresso. Questo metodo è utile quando un'applicazione o un server di messaggistica non autenticato deve utilizzare un server Trasporto Hub o Trasporto Edge come server di inoltro.
Informazioni preliminari
Per eseguire questa procedura, è necessario utilizzare un account che disponga della seguente delega:
- Ruolo Exchange Server Administrator e gruppo Administrators locale per il computer di destinazione
Per eseguire le procedure riportate di seguito su un computer in cui è installato il ruolo del server Trasporto Edge, è necessario accedere al sistema utilizzando un account che sia membro del gruppo Administrators locale del computer.
Per ulteriori informazioni sulle autorizzazioni, sulla delega dei ruoli e sui diritti necessari per l'amministrazione di Exchange 2007, vedere Considerazioni sulle autorizzazioni.
Creazione di un connettore di ricezione configurato per concedere l'autorizzazione all'inoltro anonimo a specifici indirizzi IP di origine
Quando si crea un connettore di ricezione configurato per consentire l'inoltro anonimo, è consigliabile applicargli le seguenti restrizioni:
Impostazioni della rete locale Vincolano il connettore di ricezione all'ascolto sulla sola scheda di rete appropriata sul server Trasporto Hub o Trasporto Edge.
Impostazioni della rete remota Vincolano il connettore di ricezione ad accettare connessioni solo da determinati server. Questa restrizione è necessaria, poiché il connettore di ricezione è configurato per accettare l'inoltro da utenti anonimi. La limitazione dei server di origine in base all'indirizzo IP è l'unica misura di protezione consentita su questo connettore di ricezione.
Per concedere l'autorizzazione all'inoltro a utenti anonimi sul connettore di ricezione, è possibile utilizzare una delle strategie descritte nelle sezioni seguenti. Ogni strategia ha i suoi vantaggi e svantaggi.
Concessione dell'autorizzazione all'inoltro a connessioni anonime
Questa strategia implica le attività seguenti:
Creare un nuovo connettore di ricezione con il tipo di utilizzo impostato su
Custom
.Aggiungere il gruppo di autorizzazioni Anonimo al connettore di ricezione.
Assegnare l'autorizzazione all'inoltro all'entità di protezione Accesso anonimo sul connettore di ricezione.
Il gruppo di autorizzazione Anonimo concede le seguenti autorizzazioni all'entità di protezione Accesso anonimo sul connettore di ricezione:
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
Tuttavia, per consentire l'inoltro anonimo su questo connettore di ricezione, è necessario concedere anche la seguente autorizzazione all'entità di protezione Accesso anonimo sul connettore di ricezione:
- Ms-Exchange-SMTP-Accept-Any-Recipient
Il vantaggio di questa strategia sta nel fatto di concedere le autorizzazioni minime necessarie per l'inoltro agli indirizzi IP remoti specificati.
Gli svantaggi della strategia sono i seguenti:
È possibile assegnare l'autorizzazione all'inoltro all'account Accesso anonimo sul connettore di ricezione solo utilizzando Exchange Management Shell in un passaggio separato, dopo aver creato il connettore di ricezione.
I messaggi che hanno origine dagli indirizzi IP specificati vengono considerati messaggi anonimi. Quindi non eludono i controlli di protezione da posta indesiderata né i controlli dei limiti alle dimensioni dei messaggi e non è possibile risolvere i mittenti anonimi. La risoluzione dei mittenti anonimi impone una corrispondenza forzata tra l'indirizzo di posta elettronica del mittente anonimo e il corrispondente nome visualizzato nell'elenco indirizzi globale.
Nota
Se Exchange 2007 Service Pack 1 (SP1) è distribuito su un computer che esegue Windows Server 2008, è possibile immettere gli indirizzi IP e gli intervalli di indirizzi IP in formato IPv4, IPv6 o entrambi. L'installazione predefinita di Windows Server 2008 abilita il supporto per i formati IPv4 e IPv6.
Si sconsiglia la configurazione dei connettori di ricezione per accettare le connessioni anonime dagli indirizzi IPv6 sconosciuti. Se si configura un connettore di ricezione per accettare le connessioni anonime dagli indirizzi IPv6 sconosciuti, è probabile un aumento della quantità di posta indesiderata che arriva all'organizzazione. Attualmente non esiste un protocollo standard di settore ampiamente accettato per la ricerca degli indirizzi IPv6. La maggior parte dei provider di elenchi Blocca indirizzo IP non supporta gli indirizzi IPv6. Pertanto, se si consentono connessioni anonime da indirizzi IPv6 sconosciuti su un connettore di ricezione, aumenta la possibilità che gli spammer ignorino i provider di elenchi Blocca indirizzo IP, riuscendo a inviare la posta indesiderata nell'organizzazione.
Per ulteriori informazioni sul supporto di Exchange 2007 SP1 per gli indirizzi in formato IPv6, vedere Supporto IPv6 in Exchange 2007 SP1 e SP2. Per ulteriori informazioni sul filtro connessioni, su come aggiungere gli indirizzi IP all'elenco Consenti indirizzi IP e Blocca indirizzi IP e su come configurare i servizi del provider elenco Blocca indirizzi IP e Consenti indirizzi IP, vedere Configurazione del filtro connessioni.
Per utilizzare Exchange Management Console per creare un nuovo connettore di ricezione che conceda l'autorizzazione all'inoltro a connessioni anonime
Aprire Exchange Management Console. Eseguire uno dei passaggi riportati di seguito:
Per creare un connettore di ricezione su un computer in cui è installato il ruolo del server Trasporto Edge, selezionare Trasporto Edge quindi, nel riquadro di lavoro, scegliere la scheda Connettori di ricezione.
Per creare un connettore di ricezione su un server Trasporto Hub, espandere l'opzione Configurazione server nell'albero della console e selezionare Trasporto Hub. Nel riquadro dei risultati selezionare il server sul quale si desidera creare un connettore e quindi scegliere la scheda Connettori di ricezione.
Nel riquadro azioni scegliere Nuovo connettore di ricezione. Verrà avviata la Creazione guidata nuovo connettore di ricezione SMTP.
Nella pagina Introduzione procedere come segue:
Nel campo Nome: digitare un nome significativo per il connettore. che sarà utilizzato per identificare il connettore.
Nel campo Selezionare la modalità di utilizzo di questo connettore: selezionare Personalizzata.
Fare clic su Avanti.
Nella pagina Impostazioni della rete locale, effettuare le seguenti operazioni:
Selezionare la voce Tutti i disponibili quindi fare clic su .
Scegliere il pulsante Aggiungi. Nella finestra di dialogo Aggiungi binding del connettore di ricezione selezionare Specificare un indirizzo IP. Digitare un indirizzo IP assegnato a una scheda di rete sul server locale che sia in grado di comunicare con il server di messaggistica remoto.
Nel campo Porta della pagina Impostazioni della rete locale digitare 25, quindi scegliere OK.
Scegliere il pulsante Avanti.
Nella pagina Impostazioni della rete remota eseguire le seguenti operazioni:
Selezionare la voce 0.0.0.0 - 255.255.255.255 quindi fare clic su .
Fare clic su Aggiungi o sulla freccia a discesa vicino ad Aggiungi e digitare l'indirizzo IP o l'intervallo di indirizzi IP per uno o più server di messaggistica remota a cui è consentito inoltrare la posta al server. Dopo aver immesso gli indirizzi IP, scegliere OK.
Fare clic su Avanti.
Nella pagina Nuovo connettore, esaminare il riepilogo della configurazione del connettore. Se si desidera modificare le impostazioni, scegliere Indietro. Per creare il connettore di ricezione utilizzando le impostazioni contenute nel riepilogo della configurazione, scegliere Nuovo.
Nella pagina Completamento fare clic su Fine.
Nel riquadro di lavoro selezionare il connettore di ricezione creato.
Sotto il nome del connettore di ricezione nel riquadro azioni, fare clic su Proprietà per aprire la pagina Proprietà.
Fare clic sulla scheda Gruppi di autorizzazioni. Selezionare Utenti anonimi.
Fare clic su OK per salvare le modifiche e uscire dalla pagina Proprietà.
Aprire Exchange Management Shell.
Eseguire il comando riportato di seguito utilizzando il nome del connettore di ricezione creato nei passaggi dall'1 all'11:
Get-ReceiveConnector "Receive Connector Name" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
Per utilizzare Exchange Management Shell per creare un nuovo connettore di ricezione che conceda l'autorizzazione all'inoltro a connessioni anonime
Eseguire il comando riportato di seguito:
New-ReceiveConnector -Name <Name> -Usage Custom -PermissionGroups AnonymousUsers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>
Per creare, ad esempio, un connettore di ricezione denominato "Inoltro anonimo" che ascolti sull'indirizzo IP locale 10.2.3.4 sulla porta 25 da un server di origine con indirizzo IP 192.168.5.77, eseguire il comando riportato di seguito:
New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -PermissionGroups AnonymousUsers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77
Eseguire il comando riportato di seguito utilizzando il nome del connettore di ricezione creato al passaggio 1:
Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
Configurazione del connettore di ricezione come protetto esternamente
Questa strategia implica le attività seguenti:
Creare un nuovo connettore di ricezione con il tipo di utilizzo impostato su
Custom
.Aggiungere il gruppo di autorizzazioni ExchangeServers al connettore di ricezione.
Aggiungere il meccanismo di autenticazione
ExternalAuthoritative
al connettore di ricezione.
Il gruppo di autorizzazioni ExchangeServers è necessario quando si seleziona il meccanismo di autenticazione ExternalAuthoritative
. Questa combinazione di metodo di autenticazione e gruppo di autorizzazioni concede le seguenti autorizzazioni a qualsiasi connessione in ingresso consentita sul connettore di ricezione:
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
Ms-Exch-Accept-Exch50
Ms-Exch-Bypass-Anti-Spam
Ms-Exch-Bypass-Message-Size-Limit
Ms-Exch-SMTP-Accept-Any-Recipient
Ms-Exch-SMTP-Accept-Authentication-Flag
I vantaggi della strategia sono i seguenti:
Semplicità di configurazione
I messaggi che hanno origine dagli indirizzi IP specificati vengono considerati messaggi autenticati. I messaggi eludono i controlli di protezione da posta indesiderata e i controlli dei limiti alle dimensioni dei messaggi e consentono la risoluzione dei mittenti anonimi.
Gli svantaggi della strategia stanno nel fatto che gli indirizzi IP remoti vengono considerati completamente attendibili. Le autorizzazioni che vengono concesse agli indirizzi IP remoti consentono al server di messaggistica remoto di inoltrare messaggi come se avessero origine da mittenti interni all'organizzazione di Exchange.
Per utilizzare Exchange Management Console per creare un nuovo connettore di ricezione configurato come protetto esternamente
Aprire Exchange Management Console. Eseguire uno dei passaggi riportati di seguito:
Per creare un connettore di ricezione su un computer in cui è installato il ruolo del server Trasporto Edge, selezionare Trasporto Edge quindi, nel riquadro di lavoro, scegliere la scheda Connettori di ricezione.
Per creare un connettore di ricezione su un server Trasporto Hub, espandere l'opzione Configurazione server nell'albero della console e selezionare Trasporto Hub. Nel riquadro dei risultati selezionare il server sul quale si desidera creare un connettore e quindi scegliere la scheda Connettori di ricezione.
Nel riquadro azioni scegliere Nuovo connettore di ricezione. Verrà avviata la Creazione guidata nuovo connettore di ricezione SMTP.
Nella pagina Introduzione procedere come segue:
Nel campo Nome: digitare un nome significativo per il connettore. che sarà utilizzato per identificare il connettore.
Nel campo Selezionare la modalità di utilizzo di questo connettore: selezionare Personalizzata.
Fare clic su Avanti.
Nella pagina Impostazioni della rete locale, effettuare le seguenti operazioni:
Selezionare la voce Tutti i disponibili quindi fare clic su .
Scegliere il pulsante Aggiungi. Nella finestra di dialogo Aggiungi binding del connettore di ricezione selezionare Specificare un indirizzo IP. Digitare un indirizzo IP assegnato a una scheda di rete sul server locale che sia in grado di comunicare con il server di messaggistica remoto.
Nel campo Porta della pagina Impostazioni della rete locale digitare 25, quindi scegliere OK.
Scegliere il pulsante Avanti.
Nella pagina Impostazioni della rete remota eseguire le seguenti operazioni:
Selezionare la voce 0.0.0.0 - 255.255.255.255 quindi fare clic su .
Fare clic su Aggiungi o sulla freccia a discesa vicino ad Aggiungi e digitare l'indirizzo IP o l'intervallo di indirizzi IP per uno o più server di messaggistica remota a cui è consentito inoltrare la posta al server. Dopo aver immesso gli indirizzi IP, scegliere OK.
Fare clic su Avanti.
Nella pagina Nuovo connettore, esaminare il riepilogo della configurazione del connettore. Se si desidera modificare le impostazioni, scegliere Indietro. Per creare il connettore di ricezione utilizzando le impostazioni contenute nel riepilogo della configurazione, scegliere Nuovo.
Nella pagina Completamento fare clic su Fine.
Nel riquadro di lavoro selezionare il connettore di ricezione creato.
Sotto il nome del connettore di ricezione nel riquadro azioni, fare clic su Proprietà per aprire la pagina Proprietà.
Fare clic sulla scheda Gruppi di autorizzazioni. Selezionare Server Exchange.
Fare clic sulla scheda Autenticazione. Selezionare Protetto esternamente (ad esempio con IPsec).
Fare clic su OK per salvare le modifiche e uscire dalla pagina Proprietà.
Per utilizzare Exchange Management Console per creare un nuovo connettore di ricezione configurato come protetto esternamente
Eseguire il comando riportato di seguito:
New-ReceiveConnector -Name <Name> -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>
Per creare, ad esempio, un connettore di ricezione denominato "Inoltro anonimo" che ascolti sull'indirizzo IP locale 10.2.3.4 sulla porta 25 da un server di origine con indirizzo IP 192.168.5.77, eseguire il comando riportato di seguito:
New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77
Ulteriori informazioni
Per ulteriori informazioni, vedere i seguenti argomenti: