Compartilhar via


Enviar conectores no Exchange Server

O Exchange utiliza Enviar conectores para ligações SMTP de saída de servidores Exchange de origem para servidores de e-mail de destino. O conector Enviar que é utilizado para encaminhar mensagens para um destinatário é selecionado durante a fase de resolução de encaminhamento da categorização de mensagens. Para obter mais informações, consulte Encaminhamento de correio.

Pode criar Conectores de envio no serviço Transporte em servidores de Caixa de Correio e em servidores de Transporte edge. Os conectores de envio são armazenados no Active Directory e estão (por predefinição) visíveis para todos os servidores da Caixa de Correio na organização.

Importante

Por predefinição, não existem conectores de envio para o fluxo de correio externo quando instala o Exchange. Para ativar o fluxo de correio da Internet de saída, tem de criar um conector Enviar ou subscrever um servidor de Transporte Edge para a sua organização do Exchange. Para obter mais informações, consulte Criar um conector Enviar para enviar correio para os servidores de Transporte da Internet e do Edge.

Não precisa de configurar o Envio de conectores para enviar e-mails entre servidores do Exchange na mesma floresta do Active Directory. Os conectores de Envio implícitos e invisíveis que estão totalmente cientes da topologia do servidor Exchange estão disponíveis para enviar correio para servidores internos do Exchange. Estes conectores estão descritos na secção Implicit Send connectors (Conectores de Envio Implícito ).

Estas são as definições importantes em Enviar conectores:

  • Tipo de uso

  • Definições de rede: configure a forma como o conector Enviar encaminha o correio: utilizando o DNS ou reencaminhando automaticamente todo o correio para um anfitrião inteligente.

  • Espaços de endereços: configure os domínios de destino pelos quais o conector Enviar é responsável.

  • Âmbito: configura a visibilidade do conector Enviar para outros servidores do Exchange na organização.

  • Servidores de origem: configure os servidores Exchange onde o conector Enviar está alojado. O correio que tem de ser entregue através do conector Enviar é encaminhado para um dos servidores de origem.

Nos servidores da Caixa de Correio, pode criar e gerir Os conectores de envio no centro de administração do Exchange ou na Shell de Gestão do Exchange. Nos servidores de Transporte Edge, só pode utilizar a Shell de Gestão do Exchange.

Enviar alterações ao conector no Exchange Server

Estas são as alterações importantes para Enviar conectores no Exchange 2016 ou Exchange 2019 em comparação com o Exchange 2010:

  • Pode configurar o envio de conectores para redirecionar ou enviar e-mails por proxy através do serviço de Transporte de Front-end. Para saber mais, confira Configure Send connectors to proxy outbound mail.

  • O parâmetro IsCoexistenceConnector já não está disponível.

  • O parâmetro LinkedReceiveConnector já não está disponível.

  • O tamanho máximo predefinido da mensagem é aumentado para 35 MB (aproximadamente 25 MB devido à codificação Base64). Para obter mais informações, veja Tamanho da mensagem e limites de destinatários no Exchange Server.

  • O parâmetro TlsCertificateName permite-lhe especificar o emissor do certificado e o requerente do certificado. Isto ajuda a minimizar o risco de certificados fraudulentos.

Conectores de Envio Implícitos

Embora não sejam criados conectores de Envio durante a instalação de servidores Exchange, está presente um conector de Envio implícito especial denominado Conector de Envio intra-organização. Este conector de Envio implícito está disponível automaticamente, invisível e não requer gestão. O conector de Envio da intra-organização existe nos serviços de transporte para enviar correio, quer internamente entre serviços no servidor Exchange local, quer para serviços em servidores exchange remotos na organização. Por exemplo:

  • Serviço de Transporte front-end para o serviço transporte.

  • Serviço de transporte para o serviço transporte noutros servidores.

  • Serviço de transporte para servidores de Transporte Edge subscritos.

  • Serviço de transporte para o serviço de Entrega de Transporte da Caixa de Correio.

  • Serviço de Submissão de Transporte de Caixa de Correio para o serviço transporte.

Para obter mais informações, veja Fluxo de correio e o pipeline de transporte.

Enviar tipos de utilização de conectores

Para Os conectores de envio, o tipo de utilização é basicamente uma etiqueta descritiva que identifica para que serve o conector Enviar. Todos os valores de tipo de utilização recebem as mesmas permissões.

Só pode especificar o tipo de utilização do conector quando criar Conectores de envio. Quando utiliza o EAC, tem de selecionar um valor Tipo . No entanto, quando utiliza o cmdlet New-SendConnector na Shell de Gestão do Exchange, o tipo de utilização não é necessário (utilizando -Usage <UsageType> ou -<UsageType>).

Especificar um tipo de utilização configura um tamanho máximo de mensagem predefinido, que pode alterar depois de criar o conector.

Os valores do tipo de utilização disponíveis estão descritos na tabela seguinte.

Tipo de uso Tamanho máximo da mensagem Comments
Personalizado 35 MB Nenhum
Interno ilimitado Quando cria um conector Enviar deste tipo de utilização no EAC, não pode selecionar o registo MX associado ao domínio do destinatário. Depois de criar o conector, pode aceder ao separador Entrega nas propriedades do conector Enviar e selecionar o registo MX associado ao domínio do destinatário.

Esta mesma restrição não existe na Shell de Gestão do Exchange. Pode utilizar o comutador Interno e definir o DNSRoutingEnabled como $true no cmdlet New-SendConnector .
Internet 35 MB Nenhum
Parceiro 35 MB Quando cria um conector Enviar deste tipo de utilização no EAC, não pode selecionar Encaminhar correio através de anfitriões inteligentes ou de um mecanismo de autenticação de anfitrião inteligente. Depois de criar o conector, pode aceder ao separador Entrega nas propriedades do conector Enviar e selecionar Encaminhar correio através de anfitriões inteligentes e do mecanismo de autenticação do anfitrião inteligente.

Esta mesma restrição não existe na Shell de Gestão do Exchange. Pode utilizar o comutador Parceiro e definir o DNSRoutingEnabled como $false e utilizar os parâmetros SmartHosts e SmartHostAuthMechanism no cmdlet New-SendConnector .

Enviar definições de rede do conector

Todos os conectores de Envio têm de ser configurados com uma destas opções:

  • Utilize o DNS para encaminhar correio.

  • Utilize um ou mais anfitriões inteligentes para encaminhar correio.

Utilizar o DNS para encaminhar correio

Quando seleciona resolução de DNS para entregar correio, o servidor exchange de origem do conector Enviar tem de conseguir resolver os registos MX dos espaços de endereços que estão configurados no conector. Dependendo da natureza do conector e do número de adaptadores de rede existentes no servidor, o conector Enviar pode exigir acesso a um servidor DNS interno ou a um servidor DNS externo (público). Pode configurar o servidor para utilizar servidores DNS específicos para pesquisas DNS internas e externas:

  • No EAC em Servidores>,> selecione o servidor e clique em Editarícone Editar.>Separador pesquisas DNS .

  • Na Shell de Gestão do Exchange, utilize os parâmetros ExternalDNS* e InternalDNS* no cmdlet Set-TransportService .

Se já tiver configurado o servidor Exchange com definições DNS separadas a utilizar para pesquisas DNS internas e externas e o conector Enviar encaminhar o correio para um espaço de endereços externo, terá de configurar o conector Enviar para utilizar o servidor DNS externo:

  • No EAC, selecione Utilizar a definição de pesquisa DNS externa em servidores com funções de transporte (no novo assistente Enviar conector ou no separador Entrega nas propriedades dos conectores existentes).

  • Na Shell de Gestão do Exchange, utilize o parâmetro UseExternalDNSServersEnabled nos cmdlets New-SendConnector e Set-SendConnector .

Utilizar anfitriões inteligentes para encaminhar correio

Quando encaminha correio através de um anfitrião inteligente, o conector Enviar reencaminha correio para o anfitrião inteligente e o anfitrião inteligente é responsável por encaminhar o correio para o próximo salto a caminho do destino final. Uma utilização comum para o encaminhamento de anfitriões inteligentes é o envio de correio através de um serviço ou dispositivo antisspam.

Identifica um ou mais anfitriões inteligentes a utilizar para o conector Enviar por um endereço IP individual (por exemplo, 10.1.1.1), um nome de domínio completamente qualificado (FQDN) (por exemplo, spamservice.contoso.com) ou combinações de ambos os tipos de valores. Se utilizar um FQDN, o servidor Exchange de origem para o conector Enviar tem de conseguir resolver o FQDN (que pode ser um registo MX ou um registo A) com o DNS.

Uma parte importante do encaminhamento de anfitriões inteligentes é o mecanismo de autenticação que os anfitriões inteligentes utilizam. Os mecanismos de autenticação disponíveis estão descritos na tabela seguinte.

Mecanismo de autenticação Descrição
Nenhum (None) Sem autenticação. Por exemplo, quando o acesso ao anfitrião inteligente é restringido pelo endereço IP de origem.
Autenticação básica (BasicAuth) Autenticação básica. Requer um nome de utilizador e uma palavra-passe. O nome de utilizador e a palavra-passe são enviados em texto não encriptado.
Oferecer autenticação básica apenas após iniciar o TLS (BasicAuthRequireTLS) Autenticação básica encriptada com TLS. Isto requer um certificado de servidor no anfitrião inteligente que contém o FQDN exato do anfitrião inteligente definido no conector Enviar.

O conector Enviar tenta estabelecer a sessão TLS ao enviar o comando STARTTLS para o anfitrião inteligente e apenas efetua a autenticação Básica após a sessão do TLS ser estabelecida.

Também é necessário um certificado de cliente para suportar a autenticação TLS mútua.
Autenticação do Exchange Server (ExchangeServer) Interface de programação de aplicações dos Serviços de Segurança Genéricos (GSSAPI) e Autenticação GSSAPI Mútua.
Protegido externamente (ExternalAuthoritative) Presume-se que a ligação está protegida através de um mecanismo de segurança externo ao Exchange. A ligação pode ser uma associação de segurança de Protocolo Internet (IPsec) ou uma rede privada virtual (VPN). Em alternativa, os servidores podem residir numa rede fidedigna e controlada fisicamente.

Enviar espaços de endereços do conector

O espaço de endereços especifica os domínios de destino que são reparados pelo conector Enviar. O correio é encaminhado através de um conector Enviar com base no domínio do endereço de e-mail do destinatário.

Os valores de espaço de endereços SMTP disponíveis estão descritos na tabela seguinte.

Espaço de endereçamento Explicação
* O conector Enviar encaminha o correio para os destinatários em todos os domínios.
Domínio (por exemplo, contoso.com) O conector Enviar encaminha o correio para os destinatários no domínio especificado, mas não em subdomínios.
Domínio e subdomínios (por exemplo, *.contoso.com) O conector Enviar encaminha o correio para os destinatários no domínio especificado e em todos os subdomínios.
-- O conector Enviar encaminha o correio para os destinatários em todos os domínios aceites na organização do Exchange. Este valor só está disponível em Enviar conectores em servidores de Transporte Edge que enviam correio para a organização interna do Exchange.

Um espaço de endereços também tem valores de Tipo e Custo que pode configurar.

Nos servidores de Transporte Edge, o valor Tipo tem de ser SMTP. Nos servidores da Caixa de Correio, também pode utilizar tipos de espaço de endereços não SMTP, como X400 ou qualquer outra cadeia de texto. Os endereços X.400 têm de ser compatíveis com RFC 1685 (por exemplo, o=MySite;p=MyOrg;a=adatum;c=us), mas outros valores de Tipo aceitam qualquer valor de texto para o espaço de endereços. Se especificar um tipo de espaço de endereço não SMTP, o conector Enviar tem de utilizar o encaminhamento de anfitrião inteligente e o SMTP é utilizado para enviar mensagens para o anfitrião inteligente. Os conectores do Agente de Entrega e os conectores externos enviam mensagens não SMTP para servidores não SMTP sem utilizar SMTP. Para obter mais informações, veja Agentes de Entrega e Conectores do Agente de Entrega e Conectores Externos.

O valor Custo no espaço de endereços é utilizado para otimização do fluxo de correio e tolerância a falhas quando tem os mesmos espaços de endereços configurados em vários Conectores de envio em diferentes servidores de origem. Um valor de prioridade inferior indica um conector enviar preferencial.

O conector Enviar que é utilizado para encaminhar mensagens para um destinatário é selecionado durante a fase de resolução de encaminhamento da categorização de mensagens. O conector Enviar cujo espaço de endereços corresponde mais estreitamente ao endereço de e-mail do destinatário e cujo valor de prioridade é mais baixo está selecionado.

Por exemplo, suponha que o destinatário é julia@marketing.contoso.com. Se um conector Enviar estiver configurado para *.contoso.com, a mensagem é encaminhada através desse conector. Se nenhum conector Enviar estiver configurado para *.contoso.com, a mensagem é encaminhada através do conector que está configurado para *. Se estiverem configurados vários Conectores de envio no mesmo site do Active Directory para *.contoso.com, o conector com o valor de prioridade inferior é selecionado.

Enviar âmbito do conector

Os servidores de origem de um conector Enviar determinam o servidor Exchange de destino para o correio que precisa de ser encaminhado através do conector Enviar. O âmbito Enviar conector controla a visibilidade do conector na organização do Exchange.

Por predefinição, os Conectores de envio são visíveis para todos os servidores do Exchange em toda a floresta do Active Directory e são utilizados em decisões de encaminhamento. No entanto, pode limitar o âmbito de um conector Enviar para que só esteja visível para outros servidores do Exchange no mesmo site do Active Directory. O conector Enviar é invisível para os servidores do Exchange noutros sites do Active Directory e não é utilizado nas suas decisões de encaminhamento. Diz-se que um conector Enviar restrito desta forma está no âmbito.

Para configurar conectores de Envio no âmbito no EAC, selecione Conector de envio no âmbito na secção Espaço de endereços do novo assistente Enviar conector ou no separador Âmbito nas propriedades dos conectores Enviar existentes. Na Shell de Gestão do Exchange, utilize o parâmetro IsScopedConnector nos cmdlets New-SendConnector e Set-SendConnector .

Enviar permissões de conector

Quando o conector Enviar estabelece uma ligação com o servidor de e-mail de destino, as permissões enviar conector determinam os tipos de cabeçalhos que podem ser enviados nas mensagens. Se uma mensagem incluir cabeçalhos que não são permitidos pelas permissões, esses cabeçalhos são removidos das mensagens.

As permissões são atribuídas a Enviar conectores por principais de segurança conhecidos. Os principais de segurança incluem contas de utilizador, contas de computador e grupos de segurança (objetos que são identificáveis por um identificador de segurança ou SID que podem ter permissões atribuídas aos mesmos). Por predefinição, os mesmos principais de segurança com as mesmas permissões são atribuídos em todos os conectores Enviar, independentemente do tipo de utilização que selecionou quando criou o conector. Para modificar as permissões predefinidas para um conector Enviar, tem de utilizar os cmdlets Add-ADPermission e Remove-ADPermission na Shell de Gestão do Exchange.

As permissões do conector Enviar disponíveis estão descritas na tabela seguinte.

Permissão Atribuído a Descrição
ms-Exch-Send-Headers-Forest <Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers
Controla a preservação de cabeçalhos de floresta do Exchange em mensagens. Os nomes dos cabeçalhos de floresta começam com X-MS-Exchange-Forest-. Se esta permissão não for concedida, todos os cabeçalhos de floresta são removidos das mensagens.
ms-Exch-Send-Headers-Organization <Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers
Controla a preservação dos cabeçalhos da organização do Exchange nas mensagens. Os nomes dos cabeçalhos da organização começam com X-MS-Exchange-Organization-. Se esta permissão não for concedida, todos os cabeçalhos da organização serão removidos das mensagens.
ms-Exch-Send-Headers-Routing NT AUTHORITY\ANONYMOUS LOGON

<Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Externally Secured Servers

MS Exchange\Hub Transport Servers

MS Exchange\Legacy Exchange Servers

MS Exchange\Partner Servers
Controla a preservação de cabeçalhos RECEBIDOS em mensagens. Se esta permissão não for concedida, todos os cabeçalhos recebidos serão removidos das mensagens.
ms-Exch-SMTP-Send-Exch50 <Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Externally Secured Servers

MS Exchange\Hub Transport Servers

MS Exchange\Legacy Exchange Servers
Permite que o servidor Exchange de origem submeta XEXCH50 comandos no conector Enviar. O objeto binário grande X-EXCH50 (BLOB) foi utilizado por versões mais antigas do Exchange (Exchange 2003 e anterior) para armazenar dados do Exchange em mensagens (por exemplo, o nível de confiança de spam ou SCL).

Se esta permissão não for concedida e as mensagens contiverem o BLOB X-EXCH50 , o servidor Exchange envia a mensagem sem o BLOB X-EXCH50 .
ms-Exch-SMTP-Send-XShadow <Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers
Esta permissão está reservada para utilização interna da Microsoft e é apresentada aqui apenas para fins de referência.

Nota: os nomes das permissões que contêm ms-Exch-Send-Headers- fazem parte da funcionalidade de firewall de cabeçalhos . Para obter mais informações, veja Firewall de cabeçalhos.

Enviar procedimentos de permissão do conector

Para ver as permissões atribuídas aos principais de segurança num conector Enviar, utilize a seguinte sintaxe na Shell de Gestão do Exchange:

Get-ADPermission -Identity <SendConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Por exemplo, para ver as permissões atribuídas a todos os principais de segurança no conector Enviar com o nome Para Fabrikam.com, execute o seguinte comando:

Get-ADPermission -Identity "To Fabrikam.com" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Para ver as permissões atribuídas apenas ao principal NT AUTHORITY\ANONYMOUS LOGON de segurança no conector Enviar com o nome Para Fabrikam, execute o seguinte comando:

Get-ADPermission -Identity "To Fabrikam.com" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Para adicionar permissões a um principal de segurança num conector Enviar, utilize a seguinte sintaxe:

Add-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Para remover permissões de um principal de segurança num conector Enviar, utilize a seguinte sintaxe:

Remove-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...