Concetti relativi al firewall dell'intestazione
Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Ultima modifica dell'argomento: 2015-03-09
In Microsoft Exchange Server 2010, firewall intestazioni è un meccanismo che rimuove specifici campi di intestazione dai messaggi in arrivo e in uscita. I computer con Exchange 2010 su cui è installato il ruolo del server Trasporto Hub o Trasporto Edge inseriscono i campi X-header personalizzati nell'intestazione del messaggio. Il campo X-header è un campo di intestazione non ufficiale, presente nell'intestazione del messaggio e definito dall'utente. I campi X-Header non sono menzionati in modo specifico nell'RFC-2822, ma l'utilizzo di un campo di intestazione non definito che inizia con X- è ormai una prassi accettata per aggiungere campi di intestazione non ufficiali al messaggio. Le applicazioni di messaggistica, quali applicazioni di protezione posta indesiderata, antivirus e server di messaggistica, possono aggiungere "X-Header" propri al messaggio. I campi "X-Header" di norma vengono preservati ma ignorati da server e client di messaggistica che non li utilizzano.
I campi X-header contengono informazioni dettagliate relative alle azioni eseguite sul messaggio dal server di trasporto, ad esempio il livello di probabilità di posta indesiderata (SCL, Spam Confidence Level), i risultati del filtro contenuto e lo stato di elaborazione delle regole. Rendere queste informazioni note a fonti non autorizzate potrebbe rappresentare una minaccia per la protezione.
Il firewall dell'intestazione impedisce lo spoofing dei campi X-header rimuovendoli dai messaggi in ingresso nell'organizzazione di Exchange provenienti da origini non attendibili. Il firewall dell'intestazione impedisce la divulgazione dei campi X-header rimuovendoli dai messaggi in uscita che verranno tramessi a destinazioni non attendibili esterne all'organizzazione di Exchange. Il firewall dell'intestazione impedisce anche lo spoofing delle intestazioni di routing standard utilizzate per verificare la cronologia di routing di un messaggio.
Per informazioni sulle attività relative alla gestione dei server di trasporto, vedere Gestione dei server di trasporto.
Sommario
Campi X-Header personalizzati dell'organizzazione e campi X-Header della foresta utilizzati in Exchange 2010
Firewall dell'intestazione per i campi X-Header dell'organizzazione e i campi X-Header della foresta
Firewall dell'intestazione per le intestazioni di routing
Firewall intestazioni e versioni precedenti di Exchange
Campi X-Header personalizzati dell'organizzazione e campi X-Header della foresta utilizzati in Exchange 2010
I campi X-header dell'organizzazione iniziano con X-MS-Exchange-Organization-. I campi X-header della foresta iniziano con X-MS-Exchange-Forest-.
La seguente tabella descrive alcuni campi X-header dell'organizzazione e campi X-header della foresta utilizzati nei messaggi in un'organizzazione Exchange 2010.
Alcuni campi X-header dell'organizzazione e campi X-header della foresta utilizzati nei messaggi in un'organizzazione Exchange 2010
X-Header | Descrizione |
---|---|
X-MS-Exchange-Forest-RulesExecuted |
In questo campo X-header sono elencate le regole di trasporto eseguite sul messaggio. |
X-MS-Exchange-Organization-Antispam-Report |
Questo campo X-header è un rapporto riepilogativo dei risultati del filtro protezione da posta indesiderata applicato al messaggio dall'agente filtro contenuto. |
X-MS-Exchange-Organization-AuthAs |
Questo campo X-header è sempre presente quando si analizza la protezione di un messaggio. Questo campo X-header specifica l'origine dell'autenticazione. I valori possibili sono |
X-MS-Exchange-Organization-AuthDomain |
Questo campo X-header viene compilato durante l'autenticazione di tipo dominio protetto. Il valore è il nome di dominio completo (FQDN) del dominio remoto autenticato. |
X-MS-Exchange-Organization-AuthMechanism |
Questo campo X-header specifica il meccanismo di autenticazione per l'invio del messaggio. Il valore è un numero esadecimale a due cifre. |
X-MS-Exchange-Organization-AuthSource |
Questo campo X-header specifica il nome di dominio completo (FQDN) del server che ha valutato l'autenticazione del messaggio per conto dell'organizzazione. |
X-MS-Exchange-Organization-Journal-Report |
Questo campo X-header identifica i rapporti del journal in fase di trasporto. Appena il messaggio lascia il server di trasporto, l'intestazione diventa X-MS-Journal-Report. |
X-MS-Exchange-Organization-OriginalArrivalTime |
Questo campo X-header identifica l'ora in cui il messaggio è entrato per la prima volta nell'organizzazione di Exchange. |
X-MS-Exchange-Organization-Original-Sender |
Questo campo X-header identifica il mittente originale di un messaggio in quarantena quando entra per la prima volta nell'organizzazione Exchange. |
X-MS-Exchange-Organization-OriginalSize |
Questo campo X-header identifica la dimensione originale di un messaggio in quarantena quando entra per la prima volta nell'organizzazione Exchange. |
X-MS-Exchange-Organization-Original-Scl |
Questo campo X-header identifica il livello di probabilità di posta indesiderata (SCL) originale di un messaggio in quarantena quando entra per la prima volta nell'organizzazione Exchange. |
X-MS-Exchange-Organization-PCL |
Questo campo X-header identifica il livello di probabilità di phishing. I valori possibili per il livello di probabilità di phishing sono compresi fra 1 e 8. Un valore superiore indica un messaggio sospetto. Per ulteriori informazioni, vedere Informazioni sui contrassegni filtro posta indesiderata. |
X-MS-Exchange-Organization-Quarantine |
Questo campo X-header indica che il messaggio è stato messo in quarantena nella cassetta postale di quarantena della posta indesiderata e che è stata inviata una notifica sullo stato del recapito (DSN, Delivery Status Notification). Può anche indicare che il messaggio è stato messo in quarantena e rilasciato dall'amministratore. Questo campo X-header impedisce che il messaggio rilasciato venga inviato nuovamente alla cassetta postale di quarantena della posta indesiderata. Per ulteriori informazioni, vedere Rilascio dei messaggi in quarantena dalla cassetta postale per la quarantena della posta indesiderata. |
X-MS-Exchange-Organization-SCL |
Questo campo X-header identifica il livello di probabilità di posta indesiderata del messaggio. I valori SCL possibili sono compresi fra 0 e 9. Un valore superiore indica un messaggio sospetto. Con il valore speciale -1 il messaggio viene escluso dall'elaborazione da parte dell'agente filtro contenuto. Per ulteriori informazioni, vedere Informazioni sul filtro contenuti. |
X-MS-Exchange-Organization-SenderIdResult |
Questo campo X-header contiene i risultati dell'agente ID mittente. L'agente ID mittente utilizza SPF (Sender Policy Framework) per confrontare l'indirizzo IP di origine del messaggio con il dominio utilizzato nell'indirizzo di posta elettronica del mittente. I risultati dell'ID mittente vengono utilizzati per calcolare il livello di probabilità di posta indesiderata di un messaggio. Per ulteriori informazioni, vedere Informazioni sull'ID mittente. |
Inizio pagina
Firewall dell'intestazione per i campi X-Header dell'organizzazione e i campi X-Header della foresta
Exchange 2010 applica il firewall intestazioni ai campi X-header dell'organizzazione e X-header della foresta presenti nei messaggi nei seguenti modi:
Le autorizzazioni che possono essere utilizzate per mantenere o rimuovere campi X-header specifici nei messaggi vengono assegnate ai connettori di invio o di ricezione.
Il firewall dell'intestazione viene implementato automaticamente per i campi X-header nei messaggi durante altri tipi di invio del messaggio.
Applicazione del firewall intestazioni ai campi X-Header dell'organizzazione e X-header della foresta nei messaggi
Il firewall intestazioni per i campi X-header dell'organizzazione e i campi X-header della foresta presenti nei messaggi in ingresso comprende due autorizzazioni specifiche che sono assegnate al connettore di ricezione configurato su un server Trasporto Hub o su un server Trasporto Edge:
Se le autorizzazioni sono assegnate al connettore di ricezione, il firewall intestazioni non viene applicato al messaggio. I campi X-header dell'organizzazione o X-header della foresta nel messaggio vengono mantenuti.
Se le autorizzazioni non sono applicate al connettore di ricezione, il firewall intestazioni viene applicato al messaggio. I campi X-header dell'organizzazione o X-header della foresta vengono rimossi dal messaggio.
La seguente tabella descrive le autorizzazioni del firewall intestazioni per i campi X-header dell'organizzazione e X-header della foresta disponibili su un connettore di ricezione.
Autorizzazioni del firewall intestazioni per i campi X-header dell'organizzazione e X-header della foresta disponibili su un connettore di ricezione per i messaggi in ingresso
Autorizzazione | Per impostazione predefinita, le identità di sicurezza a cui è stata assegnata l'autorizzazione | Gruppo di autorizzazioni con identità di sicurezza come membri | Per impostazione predefinita, il tipo di utilizzo che consente di assegnare i gruppi di autorizzazioni al connettore di ricezione | Descrizione |
---|---|---|---|---|
Ms-Exch-Accept-Headers-Organization |
|
ExchangeServers |
|
Questa autorizzazione viene applicata ai campi X-header dell'organizzazione. I campi X-header dell'organizzazione iniziano con X-MS-Exchange-Organization-. Se questa autorizzazione non viene concessa, il server di ricezione rimuove dal messaggio tutte le intestazioni dell'organizzazione. |
Ms-Exch-Accept-Headers-Forest |
|
ExchangeServers |
|
Questa autorizzazione viene applicata ai campi X-header della foresta. I campi X-header della foresta iniziano con X-MS-Exchange-Forest-. Se questa autorizzazione non viene concessa, il server di ricezione rimuove dal messaggio tutte le intestazioni della foresta. |
Per applicare il firewall intestazioni ai campi X-header dell'organizzazione e X-header della foresta in uno scenario con il connettore di ricezione personalizzato, utilizzare uno dei seguenti metodi:
Creare un connettore di ricezione e selezionare un tipo di utilizzo diverso da
Internal
. Il tipo di utilizzo del connettore di ricezione può essere impostato solo quando si crea il connettore. Per ulteriori informazioni, vedere Creazione di un connettore di ricezione SMTP.Modificare un connettore di ricezione esistente e rimuovere il gruppo di autorizzazioni ExchangeServers. Per ulteriori informazioni, vedere Configurazione delle proprietà del connettore di ricezione.
Utilizzare il cmdlet Remove-ADPermission per rimuovere l'autorizzazione Ms-Exch-Accept-Headers-Organization e l'autorizzazione Ms-Exch-Accept-Headers-Forest da un'entità di sicurezza configurata sul connettore di ricezione. Questo metodo non funziona se l'autorizzazione è stata assegnata all'identità di sicurezza utilizzando un gruppo di autorizzazioni. Non è possibile modificare le autorizzazioni assegnate o l'appartenenza a un gruppo di autorizzazioni. Per ulteriori informazioni, vedere remove-ADPermission.
Utilizzare il cmdlet Add-ADPermission per negare l'autorizzazione Ms-Exch-Accept-Headers-Organization e l'autorizzazione Ms-Exch-Accept-Headers-Forest a un'entità di sicurezza configurata sul connettore di ricezione. Per ulteriori informazioni, vedere add-ADPermission.
Applicazione del firewall intestazioni ai campi X-Header dell'organizzazione e X-header della foresta nei messaggi in uscita
Il firewall intestazioni per i campi X-header dell'organizzazione e i campi X-header della foresta presenti nei messaggi in uscita comprende due autorizzazioni specifiche che vengono assegnate al connettore di invio configurato su un server Trasporto Hub o su un server Trasporto Edge:
Se le autorizzazioni sono assegnate al connettore di invio, il firewall intestazioni non viene applicato al messaggio. I campi X-header dell'organizzazione o X-header della foresta nel messaggio vengono mantenuti.
Se le autorizzazioni non sono applicate al connettore di invio, il firewall intestazioni viene applicato al messaggio. I campi X-header dell'organizzazione e X-header della foresta vengono rimossi dal messaggio.
La seguente tabella descrive le autorizzazioni del firewall intestazioni per i campi X-header dell'organizzazione e X-header della foresta disponibili su un connettore di invio.
Autorizzazioni del firewall intestazioni per i campi X-header dell'organizzazione e X-header della foresta disponibili su un connettore di invio per i messaggi in uscita
Autorizzazione | Per impostazione predefinita, le identità di sicurezza a cui è stata assegnata l'autorizzazione | Per impostazione predefinita, il tipo di utilizzo che consente di assegnare le identità di sicurezza al connettore di invio | Descrizione |
---|---|---|---|
Ms-Exch-Send-Headers-Organization |
|
|
Questa autorizzazione viene applicata ai campi X-header dell'organizzazione. I campi X-header dell'organizzazione iniziano con X-MS-Exchange-Organization-. Se questa autorizzazione non viene concessa, il server di invio rimuove dal messaggio tutte le intestazioni dell'organizzazione. |
Ms-Exch-Send-Headers-Forest |
|
|
Questa autorizzazione viene applicata ai campi X-header della foresta. I campi X-header della foresta iniziano con X-MS-Exchange-Forest-. Se questa autorizzazione non viene concessa, il server di invio rimuove dal messaggio tutte le intestazioni della foresta. |
Per applicare il firewall intestazioni ai campi X-header dell'organizzazione o X-header della foresta in uno scenario con il connettore di invio personalizzato, utilizzare uno dei seguenti metodi:
Creare un connettore di invio e selezionare un tipo di utilizzo diverso da
Internal
oPartner
. Il tipo di utilizzo del connettore di invio può essere impostato solo quando si crea il connettore. Per ulteriori informazioni, vedere Creazione di un connettore di invio SMTP.Rimuovere un'identità di sicurezza che consente di assegnare l'autorizzazione Ms-Exch-Send-Headers-Organization e l'autorizzazione Ms-Exch-Send-Headers-Forest dal connettore. Per ulteriori informazioni, vedere Configurazione delle proprietà del connettore di invio.
Utilizzare il cmdlet Remove-ADPermission per rimuovere l'autorizzazione Ms-Exch-Send-Headers-Organization e l'autorizzazione Ms-Exch-Send-Headers-Forest da una delle entità di sicurezza configurate sul connettore di invio. Per ulteriori informazioni, vedere remove-ADPermission.
Utilizzare il cmdlet Add-ADPermission per negare l'autorizzazione Ms-Exch-Send-Headers-Organization e l'autorizzazione Ms-Exch-Send-Headers-Forest a una delle entità di sicurezza configurate sul connettore di invio. Per ulteriori informazioni, vedere add-ADPermission.
Applicazione del firewall intestazioni ai campi X-Header dell'organizzazione e X-Header della foresta da altre origini dei messaggi
I messaggi possono entrare nella pipeline di trasporto di Exchange 2010 in un server Trasporto Hub o in un server Trasporto Edge senza utilizzare i connettori di invio o i connettori di ricezione. Il firewall dell'intestazione per i campi X-header dell'organizzazione e X-header della foresta vengono applicati ai messaggi provenienti da altre origini dei messaggi come descritto nell'elenco seguente:
Directory di prelievo La directory di prelievo viene utilizzata dagli amministratori o dalle applicazioni per inviare i file dei messaggi. Il firewall dell'intestazione per i campi X-header dell'organizzazione e X-header della foresta vengono sempre applicati ai file dei messaggi nella directory di prelievo. Per ulteriori informazioni sulla directory di prelievo, vedere Informazioni sulle directory di prelievo e di riesecuzione.
Directory di riesecuzione La directory di riesecuzione viene utilizzata per inviare nuovamente i messaggi esportati dalle code dei messaggi di Exchange 2010. Applicazione del firewall dell'intestazione ai campi X-Header dell'organizzazione e X-header della foresta in questi messaggi controllati dal campo di intestazione
X-CreatedBy:
nel file di messaggio:Se il valore di questo campo di intestazione è
MSExchange14
, il firewall intestazioni non viene applicato al messaggio.Se il valore di
X-CreatedBy:
non èMSExchange14
, il firewall intestazioni viene applicato.Se il campo di intestazione
X-CreatedBy:
non esiste nel file di messaggio, il firewall intestazioni viene applicato.
Per ulteriori informazioni sulla directory di riesecuzione, vedere Informazioni sulle directory di prelievo e di riesecuzione.
Directory di destinazione La directory di destinazione viene utilizzata dai connettori esterni sui server Trasporto Hub per inviare i messaggi ai server di messaggistica che non utilizzano il protocollo SMTP per il trasferimento dei messaggi. Il firewall intestazioni per i campi X-header dell'organizzazione e X-header della foresta viene sempre applicato ai file di messaggi prima che vengano inseriti nella directory di destinazione. Per ulteriori informazioni sui connettori esterni, vedere Informazioni sui connettori esterni.
Driver di archivio Il driver di archivio è disponibile nei server Trasporto Hub per trasportare i messaggi da e verso le cassette postali dei server Cassette postali. Per i messaggi in uscita creati e inoltrati da cassette postali, il firewall dell'intestazione per i campi X-Header dell'organizzazione e i campi X-Header della foresta viene sempre applicato. Per i messaggi in arrivo, il firewall dell'intestazione per i campi X-Header dell'organizzazione e i campi X-Header della foresta viene applicato in modo selettivo. I campi X-header specificati nell'elenco seguente non vengono bloccati dal firewall intestazioni per i messaggi in ingresso nelle cassette postali dei destinatari:
X-MS-Exchange-Organization-SCL
X-MS-Exchange-Organization-AuthDomain
X-MS-Exchange-Organization-AuthMechanism
X-MS-Exchange-Organization-AuthSource
X-MS-Exchange-Organization-AuthAs
X-MS-Exchange-Organization-OriginalArrivalTime
X-MS-Exchange-Organization-OriginalSize
Per ulteriori informazioni sul driver di archivio, vedere Informazioni sulla pipeline di trasporto.
Messaggi DSN Il firewall intestazioni per i campi X-header dell'organizzazione e X-header della foresta viene sempre applicato al messaggio originale o all'intestazione del messaggio originale allegata al messaggio DSN. Per ulteriori informazioni sui messaggi DSN, vedere Gestione delle notifiche sullo stato del recapito.
Invio tramite agente Il firewall intestazioni per i campi X-header dell'organizzazione e X-header della foresta non viene applicato ai messaggi inviati dagli agenti.
Inizio pagina
Firewall dell'intestazione per le intestazioni di routing
Le intestazioni di routing sono campi di intestazione SMTP standard definiti in RFC 2821 e RFC 2822. Le intestazioni di routing contrassegnano un messaggio utilizzando le informazioni sui diversi server di messaggistica utilizzati per recapitare il messaggio al destinatario. Le intestazioni di routing disponibili vengono descritte nell'elenco seguente:
Ricevuto: Un'istanza diversa di questo campo di intestazione viene aggiunta all'intestazione del messaggio da ogni server di messaggistica che ha accettato e inoltrato il messaggio al destinatario. L'intestazione
Received:
in genere include il nome del server di messaggistica e il timestamp della data.Inviato nuovamente-*: I campi di intestazione Inviato nuovamente sono campi di intestazione informativi che possono essere utilizzati per determinare se un messaggio è stato inoltrato da un utente. Sono disponibili i seguenti campi di intestazione Inviato nuovamente:
Resent-Date:
,Resent-From:
,Resent-Sender:
,Resent-To:
,Resent-Cc:
,Resent-Bcc:
eResent-Message-ID:
.I campi Inviato nuovamente vengono utilizzati allo scopo di visualizzare il messaggio al destinatario come se fosse stato inviato direttamente dal mittente originale. Il destinatario può visualizzare l'intestazione del messaggio per individuare chi ha inoltrato il messaggio.
Le intestazioni di routing che sono inserite nei messaggi possono essere utilizzate per rappresentare in modo erroneo il percorso di routing effettuato da un messaggio per raggiungere un destinatario. Exchange 2010 utilizza due modalità diverse per applicare il firewall intestazioni alle intestazioni di routing presenti nei messaggi:
Le autorizzazioni vengono assegnate ai connettori di invio o di ricezione che possono essere utilizzati per mantenere o rimuovere le intestazioni di routing nei messaggi.
Il firewall dell'intestazione viene implementato automaticamente per le intestazioni di routing nei messaggi durante altri tipi di invio del messaggio.
Applicazione del firewall intestazioni alle intestazioni di routing nei messaggi in ingresso
I connettori di ricezione hanno l'autorizzazione Ms-Exch-Accept-Headers-Routing che viene utilizzata per accettare o rifiutare tutte le intestazioni di routing presenti in un messaggio in ingresso:
Se questa autorizzazione viene concessa, tutte le intestazioni di routing vengono mantenute nel messaggio in ingresso.
Se questa autorizzazione non viene concessa, tutte le intestazioni di routing vengono rimosse dal messaggio in ingresso.
La seguente tabella descrive l'applicazione predefinita dell'autorizzazione Ms-Exch-Accept-Headers-Routing su un connettore di ricezione.
Applicazione predefinita dell'autorizzazione Ms-Exch-Accept-Headers-Routing su un connettore di ricezione
Per impostazione predefinita, le identità di sicurezza a cui è stata assegnata l'autorizzazione | Gruppo di autorizzazioni con identità di sicurezza come membri | Per impostazione predefinita, il tipo di utilizzo che consente di assegnare i gruppi di autorizzazioni al connettore di ricezione |
---|---|---|
Account utente anonimi |
Anonimo |
|
Account utente autenticati |
ExchangeUsers |
|
|
ExchangeServers |
|
Gruppo di protezione universale interoperativo di Exchange |
ExchangeLegacyServers |
|
Account server partner |
Partner |
|
L'autorizzazione Ms-Exch-Accept-Headers-Routing viene assegnata a tutti i tipi di utilizzo ad eccezione di Custom
. Per applicare il firewall dell'intestazione alle intestazioni di routing in uno scenario del connettore di ricezione personalizzato, procedere come segue:
Eseguire una delle azioni riportate di seguito:
Creare un connettore di ricezione e selezionare il tipo di utilizzo
Custom
. Non assegnare gruppi di autorizzazioni al connettore di ricezione. Non è possibile modificare le autorizzazioni assegnate o l'appartenenza a un gruppo di autorizzazioni.Modificare un connettore di ricezione esistente e impostare il parametro PermissionGroupssul valore
None
.
Utilizzare il cmdlet Add-ADPermission per aggiungere le appropriate entità di sicurezza necessarie sul connettore di ricezione. Assicurarsi che alle identità di sicurezza non sia stata assegnata l'autorizzazione Ms-Exch-Accept-Headers-Routing. Se necessario, utilizzare il cmdlet Add-ADPermission per negare l'autorizzazione Ms-Exch-Accept-Headers-Routing all'entità di sicurezza da configurare per utilizzare il connettore di ricezione.
Per ulteriori informazioni, vedere i seguenti argomenti:
Applicazione del firewall intestazioni alle intestazioni di routing nei messaggi in uscita
I connettori di ricezione hanno l'autorizzazione Ms-Exch-Send-Headers-Routing che viene utilizzata per consentire o rimuovere tutte le intestazioni di routing presenti in un messaggio in uscita:
Se questa autorizzazione viene concessa, tutte le intestazioni di routing vengono mantenute nel messaggio in uscita.
Se questa autorizzazione non viene concessa, tutte le intestazioni di routing vengono rimosse dal messaggio in uscita.
La seguente tabella descrive l'applicazione predefinita dell'autorizzazione Ms-Exch-Send-Headers-Routing su un connettore di invio.
Applicazione predefinita dell'autorizzazione Ms-Exch-Send-Headers-Routing su un connettore di invio
Per impostazione predefinita, le identità di sicurezza a cui è stata assegnata l'autorizzazione | Per impostazione predefinita, il tipo di utilizzo che consente di assegnare i gruppi di autorizzazioni al connettore di invio |
---|---|
|
|
Account utente anonimo |
|
Server partner |
|
L'autorizzazione Ms-Exch-Send-Headers-Routing viene assegnata a tutti i tipi di utilizzo ad eccezione di Custom
. Per applicare il firewall dell'intestazione alle intestazioni di routing in uno scenario del connettore di invio personalizzato, utilizzare uno dei seguenti metodi:
Creare un connettore di invio e selezionare il tipo di utilizzo
Custom
. Il tipo di utilizzo del connettore di invio può essere impostato solo quando si crea il connettore. Per ulteriori informazioni, vedere Creazione di un connettore di invio SMTP.Rimuovere un'identità di sicurezza che consente di assegnare l'autorizzazione Ms-Exch-Send-Headers-Routing dal connettore. Per ulteriori informazioni, vedere Configurazione delle proprietà del connettore di invio.
Utilizzare il cmdlet Remove-ADPermission per rimuovere l'autorizzazione Ms-Exch-Send-Headers-Routing da una delle entità di sicurezza configurate sul connettore di invio. Per ulteriori informazioni, vedere remove-ADPermission.
Utilizzare il cmdlet Add-ADPermission per negare l'autorizzazione Ms-Exch-Send-Headers-Routing a una delle entità di sicurezza configurate sul connettore di invio. Per ulteriori informazioni, vedere add-ADPermission.
Applicazione del firewall intestazioni alle intestazioni di routing da altre origini dei messaggi
I messaggi possono entrare nella pipeline di trasporto di Exchange 2010 in un server Trasporto Hub o in un server Trasporto Edge senza utilizzare i connettori di invio o i connettori di ricezione. Il firewall intestazioni per le intestazioni di routing viene applicato alle altre origini dei messaggi descritte nell'elenco seguente:
Directory di prelievo La directory di prelievo viene utilizzata dagli amministratori o dalle applicazioni per inviare i file dei messaggi. Il firewall dell'intestazione per le intestazioni di routing viene sempre applicato ai file dei messaggi nella directory di prelievo. Per ulteriori informazioni sulla directory di prelievo, vedere Informazioni sulle directory di prelievo e di riesecuzione.
Driver di archivio Il driver di archivio è disponibile nei server Trasporto Hub per trasportare i messaggi da e verso le cassette postali dei server Cassette postali. Il firewall dell'intestazione per le intestazioni di routing viene sempre applicato a tutti i messaggi inviati dalle cassette postali dei server Cassette postali. Il firewall intestazioni per le intestazioni di routing non viene applicato ai messaggi in arrivo per il recapito ai destinatari delle cassette postali. Per ulteriori informazioni sul driver di archivio, vedere Informazioni sulla pipeline di trasporto.
Messaggi DSN Il firewall intestazioni per le intestazioni di routing viene sempre applicato al messaggio originale o all'intestazione del messaggio originale allegata al messaggio DSN. Per ulteriori informazioni sui messaggi DSN, vedere Gestione delle notifiche sullo stato del recapito.
Directory di riesecuzione, directory di destinazione e invio tramite agente Il firewall intestazioni per le intestazioni di routing non viene applicato ai messaggi inoltrati dalla directory di riesecuzione, dalla directory di destinazione o da agenti.
Inizio pagina
Firewall intestazioni e versioni precedenti di Exchange
In Exchange 2003 e nelle versioni precedenti di Exchange non vengono utilizzati i campi X-header dell'organizzazione o X-header della foresta. Exchange 2010 considera le versioni di Exchange precedenti a Exchange 2007 come origini non attendibili dei messaggi. Il firewall intestazioni viene applicato a tutti i campi X-header dell'organizzazione e X-header della foresta nei messaggi provenienti dai server con versioni precedenti di Exchange. Il firewall intestazioni per i campi X-header dell'organizzazione e X-header della foresta viene applicato anche ai messaggi che vengono recapitati ai server con versioni precedenti di Exchange presenti nell'organizzazione Exchange.
Nelle versioni precedenti di Exchange viene utilizzato il comando di proprietà X-EXCH50 per trasmettere informazioni relative ai messaggi e ai destinatari che non possono essere incluse nel messaggio di posta elettronica. Queste informazioni vengono trasmesse come oggetto binario di grandi dimensioni Exch50 (BLOB). Exch50 BLOB è una raccolta di dati binari archiviati come un unico oggetto. Exch50 contiene dati quali livello di probabilità di posta indesiderata (SCL), informazioni sulla riscrittura degli indirizzi e altre proprietà MAPI che non hanno rappresentazione MIME. Poiché X-EXCH50 è un comando di proprietà Extended Simple Mail Transfer Protocol (ESMTP), i dati Exch50 non possono essere propagati da un server su cui non è installato Exchange. Per ulteriori informazioni, vedere Exchange 2003 - Roadmap di pianificazione per l'aggiornamento e la coesistenza.
I connettori del gruppo di routing tra i server su cui è installato Exchange 2010 o Exchange 2003 vengono automaticamente configurati per supportare l'invio e la ricezione dei dati Exch50. I connettori di invio e di ricezione dispongono delle autorizzazioni che consentono il comando Exch50.
La seguente tabella descrive le autorizzazioni che consentono il comando Exch50 su un connettore di ricezione per i messaggi in ingresso. Se una delle autorizzazioni non viene concessa e viene inviato un messaggio contenente il comando EXCH50, il server accetta il messaggio senza includere il comando Exch50.
Autorizzazioni che consentono il comando Exch50 su un connettore di ricezione per i messaggi in ingresso
Autorizzazione | Per impostazione predefinita, le identità di sicurezza a cui è stata assegnata l'autorizzazione | Gruppo di autorizzazioni con identità di sicurezza come membri | Per impostazione predefinita, il tipo di utilizzo che consente di assegnare i gruppi di autorizzazioni al connettore di ricezione |
---|---|---|---|
Ms-Exch-Accept-Exch50 |
|
ExchangeServers |
|
Ms-Exch-Accept-Exch50 |
Gruppo di protezione universale interoperativo di Exchange |
ExchangeLegacyServers |
|
Per bloccare il comando Exch50 in uno scenario del connettore di ricezione personalizzato, utilizzare uno dei seguenti metodi:
Creare un connettore di ricezione e selezionare un tipo di utilizzo diverso da
Internal
. Il tipo di utilizzo del connettore di ricezione può essere impostato solo quando si crea il connettore. Per ulteriori informazioni, vedere Creazione di un connettore di ricezione SMTP.Modificare un connettore di ricezione esistente e rimuovere il gruppo di autorizzazioni ExchangeServers. Per ulteriori informazioni, vedere Configurazione delle proprietà del connettore di ricezione.
Utilizzare il cmdlet Remove-ADPermission per rimuovere l'autorizzazione Ms-Exch-Accept-Exch50 da un'entità di sicurezza configurata sul connettore di ricezione. Questo metodo non funziona se l'autorizzazione è stata assegnata all'entità di sicurezza utilizzando un gruppo di autorizzazioni. Non è possibile modificare le autorizzazioni assegnate o l'appartenenza a un gruppo di autorizzazioni. Per ulteriori informazioni, vedere remove-ADPermission.
Utilizzare il cmdlet Add-ADPermission per negare l'autorizzazione Ms-Exch-Accept-Exch50 a un'entità di sicurezza configurata sul connettore di ricezione. Per ulteriori informazioni, vedere add-ADPermission.
La seguente tabella descrive l'autorizzazione che consente il comando Exch50 su un connettore di invio per i messaggi in uscita. Se l'autorizzazione non viene concessa e viene inviato un messaggio contenente il comando Exch50, il server invia il messaggio senza includere il comando Exch50.
Autorizzazione che consente il comando Exch50 su un connettore di invio per i messaggi in uscita
Autorizzazione | Per impostazione predefinita, le identità di sicurezza a cui è stata assegnata l'autorizzazione | Per impostazione predefinita, il tipo di utilizzo che consente di assegnare i gruppi di autorizzazioni al connettore di invio |
---|---|---|
Ms-Exch-Send-Exch50 |
|
|
Per bloccare il comando Exch50 in uno scenario del connettore di invio personalizzato, utilizzare uno dei seguenti metodi:
Creare un connettore di invio e selezionare un tipo di utilizzo diverso da
Internal
. Il tipo di utilizzo del connettore di invio può essere impostato solo quando si crea il connettore. Per ulteriori informazioni, vedere Creazione di un connettore di invio SMTP.Rimuovere un'identità di sicurezza che consente di assegnare l'autorizzazione Ms-Exch-Send-Exch50 dal connettore.
Utilizzare il cmdlet Remove-ADPermission per rimuovere l'autorizzazione Ms-Exch-Send-Exch50 da una delle entità di sicurezza configurate sul connettore di invio. Per ulteriori informazioni, vedere remove-ADPermission.
Utilizzare il cmdlet Add-ADPermission per negare l'autorizzazione Ms-Exch-Send-Exch50 a una delle entità di sicurezza configurate sul connettore di invio. Per ulteriori informazioni, vedere add-ADPermission.
Inizio pagina
©2010 Microsoft Corporation. Tutti i diritti riservati.