Planejar email de saída para um farm do SharePoint Server

APLICA-SE A:yes-img-132013 yes-img-16 2016yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint no Microsoft 365

O email de saída é a base na qual os administradores do site podem implementar vários recursos de notificação por email. Esses recursos ajudam os usuários finais a rastrear alterações e atualizar conjuntos de sites individuais e permitem que os administradores do site enviem mensagens de status.

Sobre o email de saída

Configurar corretamente o email de saída é um requisito para implementar alertas e notificações por email. O recurso de email de saída usa um serviço SMTP (Simple Mail Transfer Protocol) de saída para retransmitir alertas e notificações por email. Esses recursos de email incluem o seguinte:

  • Alertas

    Em uma coleção de sites grande e crescente, os usuários precisam de uma maneira de acompanhar as atualizações de listas, bibliotecas e discussões. Os alertas ajudam a manter os usuários cientes das alterações. Por exemplo, se muitos usuários trabalham no mesmo documento, o proprietário do documento pode configurar alertas para que seja notificado sempre que houver alterações nesse documento. Os usuários podem especificar quais áreas do conjunto de sites ou quais documentos desejam pesquisar e decidir com que frequência desejam receber alertas.

    Observação

    Os usuários devem ter pelo menos permissões de exibição para configurar alertas.

  • Mensagens administrativas

    É possível que os administradores de site queiram receber avisos quando usuários solicitarem acesso a um site ou quando proprietários de site tiverem excedido o espaço de armazenamento especificado para eles. A configuração de email de saída permite que os administradores do site recebam notificações automáticas para problemas de administração do site.

O suporte a email de saída pode ser habilitado no nível do farm do servidor (disponível na seção Configurações do Sistema do site da Administração Central do SharePoint e no nível do aplicativo Web (disponível na seção Gerenciamento de Aplicativos da Administração Central). As configurações de email de saída no nível do aplicativo Web substituem as configuradas no nível do farm do servidor. Você também pode especificar configurações diferentes para um aplicativo Web específico.

Principais fases de planejamento do email de saída

Você deve considerar os seguintes componentes ao planejar suas configurações de email de saída:

  • Um serviço SMTP para retransmitir alertas e notificações por email. Será preciso o nome do DNS ou endereço IP do servidor de email SMTP a ser usado.

  • Um endereço para usar no cabeçalho de uma mensagem de alerta, que identifique o remetente da mensagem.

  • Um endereço de resposta a que é exibido no campo Para de uma mensagem quando um usuário responde a um alerta ou notificação.

  • Um conjunto de caracteres para usar no corpo das mensagens de alerta.

Servidor SMTP de saída

O serviço SMTP é um componente dos Serviços de Informações da Internet (IIS); no entanto, ele não está habilitado por padrão. Ele pode ser habilitado usando o Assistente de Adicionar Funções e Recursos no Gerenciador do Servidor.

Depois de determinar qual servidor SMTP usar, o servidor SMTP deve ser configurado para permitir acesso anônimo e permitir que mensagens de email sejam retransmitidas. Além disso, o servidor SMTP deve ter acesso à Internet se você quiser a capacidade de enviar mensagens para endereços de email externos.

Para obter mais informações sobre como instalar, configurar e gerenciar o serviço SMTP, consulte Configuração de email de saída .

Observação

Somente um membro do grupo de Administradores do farm pode configurar um servidor SMTP. O usuário também deve ser um membro do grupo de Administradores local no servidor.

Endereços De e Responder Para

Ao configurar o email de saída, você pode configurar os dois endereços a seguir:

  • Endereço do remetente

    Alertas e notificações são enviados de uma conta administrativa no farm de servidores. Essa conta provavelmente não é a que você deseja ser exibida no campo De uma mensagem de email. O endereço usado não precisa corresponder a uma conta de email real; pode ser um endereço simples e amigável que é reconhecível para um usuário final. Por exemplo, “Administrador do site” pode ser um endereço De apropriado.

  • Endereço Responder Para

    Esse é o endereço exibido no campo To de uma mensagem quando um usuário responde a um alerta ou notificação. O endereço Responder Para deve ser uma conta monitorada para garantir que os usuários finais recebam o feedback imediato para seus problemas. Por exemplo, um alias de suporte técnico pode ser um endereço Responder Para apropriado.

Conjunto de caracteres

Ao configurar o email de saída, você precisará especificar o conjunto de caracteres a ser usado no corpo das mensagens de email. Um conjunto de caracteres é uma associação de caracteres aos valores de código de identificação deles. O conjunto de caracteres padrão para email de saída é Unicode UTF-8, que permite que a maioria dos caracteres (incluindo texto bidirecional) coexista em um único documento. Na maioria dos casos, o padrão UTF-8 funciona bem, embora os idiomas do Leste Asiático sejam melhor renderizados com o próprio conjunto de caracteres deles.

Se você selecionar um código de idioma específico, o texto é menos provável de aparecer corretamente em leitores de mensagens configurados para outros idiomas.

Autenticação do servidor SMTP

O recurso de autenticação do servidor SMTP só está disponível em SharePoint Server 2019.

SharePoint Server 2019 dá suporte à conexão com servidores SMTP anonimamente ou com autenticação. Se o servidor SMTP exigir autenticação, você precisará fornecer credenciais que o SharePoint usará para autenticar no servidor SMTP. É recomendável usar credenciais de conta que correspondam ao endereço De . Se você quiser usar credenciais para uma conta diferente, verifique se a conta tem permissão "Enviar Como" para representar o endereço De.

Observação

Se você estiver usando uma conta do Windows para se autenticar no servidor SMTP, poderá especificar o nome de usuário usando o formato UPN (user@domain.comNome da Entidade Universal) ou o formato de logon NT4 (DOMAIN\user). Se você estiver usando uma conta não Windows para autenticar no servidor SMTP, entre em contato com o administrador de email para determinar o formato de nome de usuário correto.

Você deve definir uma chave de credencial de aplicativo em cada servidor no farm antes de fornecer credenciais. A chave de credencial do aplicativo é uma senha separada que é usada para criptografar e descriptografar a senha SMTP. A chave de credencial do aplicativo deve ser idêntica em todos os servidores do farm. A Microsoft recomenda usar uma senha forte para a chave de credencial do aplicativo e evitar reutilizar a mesma senha que sua senha de farm, contas de serviço farm etc.

O SharePoint dá suporte aos seguintes mecanismos SASL (Simple Authentication and Security Layer) para se autenticar em um servidor SMTP:

  • GSSAPI (Kerberos, NTLM)

  • NTLM

  • LOGIN

Observação

O SharePoint usa o seguinte SPN (Nome da Entidade de Serviço) para autenticar-se no servidor SMTP durante a autenticação Kerberos e NTLM, onde <o host> é o nome do servidor SMTP fornecido:
SMTPSVC/<host>

Usar criptografia de conexão TLS

Defina Usar criptografia de conexão TLS como Sim para exigir que o SharePoint estabeleça uma conexão criptografada com o servidor SMTP antes de enviar email. Um certificado de servidor válido deve ser instalado no servidor SMTP para estabelecer uma conexão criptografada. Se isso estiver definido como Sim e uma conexão criptografada não puder ser estabelecida, nenhum email será enviado.

Observação

O SharePoint dá suporte ao STARTTLS para estabelecer a criptografia de conexão TLS para um servidor SMTP. Ele não dá suporte ao SMTPS para estabelecer a criptografia de conexão SSL para um servidor SMTP.

Observação

Embora o SharePoint possa exigir criptografia de conexão TLS ao enviar email para um servidor SMTP, ele não pode controlar se a criptografia de conexão será usada quando o servidor SMTP enviar o email para outros servidores SMTP. Trabalhe com o administrador de email para configurar seus servidores SMTP para favorecer a criptografia de conexão.

Usar a autenticação de certificado do cliente com um servidor SMTP

Observação

Este recurso Usar autenticação de certificado do cliente com um recurso de servidor SMTP só está disponível em Edição de Assinatura do SharePoint Server.

A autenticação de certificado do cliente no SMTP é uma configuração de autenticação avançada e opcional que permite que o "cliente" (nesse cenário, SharePoint) se autentique no servidor SMTP usando um certificado X.509 que o cliente apresenta ao servidor. Essa autenticação é "em vez de" ou "além" das credenciais de nome de usuário/senha. Essa configuração não é comum, mas pode ser usada em ambientes de alta segurança em que o nome de usuário padrão/autenticação de senha não é considerado suficiente.

Observação

Você não precisa usar a autenticação de certificado do cliente para usar a criptografia de conexão TLS para o servidor SMTP.

A seguir estão os requisitos para o SharePoint usar a autenticação de certificado do cliente com um servidor SMTP:

  1. O servidor SMTP deve ser configurado para dar suporte a STARTTLS para criptografia de conexão TLS.
  2. O servidor SMTP deve ser configurado para aceitar ou exigir certificados de cliente ao estabelecer conexões TLS usando STARTTLS.
  3. O SharePoint deve ser configurado para usar a criptografia de conexão TLS para o servidor SMTP.
  4. O SharePoint deve ser configurado para usar um certificado de cliente ao se conectar ao servidor SMTP.
  5. Contas de processo do SharePoint que enviam emails (que podem incluir a conta de serviço farm do SharePoint e a conta do serviço de aplicativo Web) devem ter permissão para ler a chave privada do certificado X.509.
  6. O certificado X.509 deve atender aos seguintes requisitos:
    • O certificado X.509 deve estar no repositório de certificados "End Entity" no SharePoint.
    • O certificado X.509 deve usar chaves RSA ou ECC (ECDSA). Não há suporte para chaves DSA.
    • O certificado X.509 deve ter uma chave privada.
    • Se o certificado X.509 tiver uma extensão de Uso de Chave, a extensão deverá conter o uso de "Assinatura Digital".
    • Se o certificado X.509 tiver uma extensão de Uso de Chave Estendida, a extensão deverá conter o uso de "Autenticação do Cliente" (OID: 1.3.6.1.5.5.7.3.2).

Captura de tela de exemplo de como isso está configurado na Administração Central:

Como usar a autenticação de certificado do cliente com um servidor SMTP

Email representação

Alguns recursos do SharePoint podem representar usuários finais ao enviar email para personalizar a mensagem. Por exemplo, quando um usuário solicita acesso a um site, o SharePoint definirá o endereço "De" da notificação por email para ser o usuário que fez a solicitação.

Alguns servidores SMTP podem bloquear a representação para proteger os usuários contra tentativas não autorizadas de falsificar suas identidades. Se o servidor SMTP bloquear a representação, haverá várias opções para permitir que emails do SharePoint sejam enviados:

Conceder permissão para a conta de email autenticada do SharePoint para representar usuários

Microsoft Exchange Server permite que você conceda permissão para que um usuário se passe por outros usuários ao enviar email por meio de um conector de recebimento. Essas permissões incluem:

Permissão do conector de recebimento Descrição
ms-Exch-SMTP-Submit
A sessão deve receber essa permissão ou não será possível enviar mensagens para este conector de recebimento. Se uma sessão não tiver essa permissão, os comandos MAIL FROM e AUTH falharão.
ms-Exch-SMTP-Accept-Any-Recipient
Essa permissão autoriza a sessão a retransmitir mensagens por meio desse conector. Se essa permissão não for concedida, somente mensagens endereçadas a destinatários em domínios aceitos serão aceitas por esse conector.
ms-Exch-SMTP-Accept-Any-Sender
Essa permissão autoriza a sessão a ignorar a verificação de falsificação de endereço do remetente.
NOTA: Essa permissão só será necessária se o SharePoint representar usuários cuja conta de email não é gerenciada pela sua organização.
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Essa permissão permite que remetentes que têm endereços de email em domínios autoritativos estabeleçam uma sessão para este conector de recebimento.
ms-Exch-Accept-Headers-Routing
Essa permissão autoriza a sessão a enviar uma mensagem que tenha todos os cabeçalhos recebidos intactos. Se essa permissão não for concedida, o servidor removerá todos os cabeçalhos recebidos.

Execute esse comando em seu Microsoft Exchange Server para conceder permissão para que a conta de email autenticada do SharePoint represente outros usuários por meio de um conector de recebimento:

Get-ReceiveConnector "<Receive Connector Name>" | Add-ADPermission -User <DOMAIN\AuthenticatedEmailAccount> -ExtendedRights ms-Exch-SMTP-Submit, ms-Exch-SMTP-Accept-Any-Recipient, ms-Exch-SMTP-Accept-Any-Sender, ms-Exch-SMTP-Accept-Authoritative-Domain-Sender, ms-Exch-Accept-Headers-Routing

Observação

Ao usar Microsoft Exchange Server 2013 ou posterior, essa permissão deve ser aplicada ao conector de recebimento do proxy do cliente. Ao usar Microsoft Exchange Server 2010 ou anterior, essa permissão deve ser aplicada ao conector de recebimento do front-end do cliente.

Desabilitar representação de email do SharePoint

Você pode configurar cada aplicativo Web do SharePoint para desabilitar a representação de email. Isso garantirá que o SharePoint sempre use o endereço De e Reply-To especificado no nível do aplicativo Web. Execute o seguinte para desabilitar a representação de email do SharePoint:

  1. Inicie o Shell de Gerenciamento do SharePoint 2019.

  2. Execute os seguintes comandos:

    $webapp = Get-SPWebApplication <web application URL>
    $webapp.OutboundMailOverrideEnvelopeSender = $true
    $webapp.Update()
    

Usar um conector de recebimento protegido externamente

Microsoft Exchange Server conectores de recebimento podem ser configurados para confiar automaticamente em todos os emails como autenticados, mesmo que nenhuma autenticação seja executada. Em seguida, o SharePoint enviará emails para esse conector de recebimento anonimamente. Siga estas etapas para criar um conector de recebimento protegido externamente:

  1. Crie um conector de recebimento "Personalizado" dedicado para o farm do SharePoint.
  2. Defina o grupo de permissões do conector de recebimento como "Exchange Servers".
  3. Defina o tipo de autenticação do conector de recebimento como "protegido externamente".

Devido ao risco de falsificação nessa configuração, é recomendável restringir os endereços IP que esse conector de recebimento aceitará mensagens de email apenas para os servidores em seu farm do SharePoint.

Confira também

Conceitos

Configurar o email de saída para um farm do SharePoint Server