Получение соединители в Exchange Server

Exchange серверы используют соединители приемников для управления входящие подключения SMTP из:

  • от серверов обмена сообщениями, не входящих в организацию Exchange;

  • служб в транспортном конвейере на локальном сервере Exchange Server или удаленных серверах Exchange Server;

  • почтовых клиентов, которым необходимо использовать для отправки сообщений протокол SMTP с проверкой подлинности.

Соединители получения можно создавать в службе транспорта на серверах почтовых ящиков, во внешней службе транспорта на серверах почтовых ящиков, а также на пограничных транспортных серверах. По умолчанию соединители Прием, необходимые для потока входящих сообщений почты, создаются автоматически при установке сервера Exchange почтовых ящиков и при подписании на Exchange организации edge transport server.

Соединитель получения связан с сервером почтовых ящиков или пограничным транспортным сервером, на котором он создан, и определяет, как этот сервер прослушивает SMTP-подключения. На серверах почтовых ящиков соединитель получения хранится в Active Directory как дочерний объект сервера. На транспортных серверах edge соединители приемки хранятся в службах легкого каталога Active Directory (AD LDS).

Ниже перечислены важные параметры соединителей получения.

  • Локальные привязки адаптеров. Настройте сочетание локальных IP-адресов и портов TCP, которые соединиттель Прием использует для приемки подключений.

  • Параметры удаленной сети. Настройте исходные IP-адреса, которые прослушивает соединители приемки для подключения.

  • Тип использования. Настройте группы разрешений по умолчанию и механизмы проверки подлинности смарт-хостов для соединиттеля Получения.

  • Группы разрешений. Настройте тех, кому разрешено использовать соединители Получения, и разрешения, которые они получают.

Каждый соединитель получения ищет входящие подключения, соответствующие параметрам конфигурации этого соединителя. Каждый соединитель получения на сервере Exchange Server использует уникальное сочетание привязок локальных IP-адресов, TCP-портов и диапазонов удаленных IP-адресов, определяющих, будут ли приниматься подключения от клиентов и серверов SMTP и каким образом это будет происходить.

В большинстве случаев достаточно заданных по умолчанию соединителей получения, но вы можете создавать собственные соединители получения для определенных сценариев. Например, вы можете:

  • применять специальные свойства к источнику электронной почты, например увеличивать максимальный размер сообщения, количество получателей на сообщение или количество одновременных входящих подключений;

  • принимать зашифрованные сообщения с помощью определенного сертификата TLS.

На серверах почтовых ящиков вы можете создавать соединители получения и управлять ими с помощью Центра администрирования Exchange (EAC) или командной консоли Exchange. На пограничных транспортных серверах доступна только командная консоль Exchange.

Получение изменений соединитетеля в Exchange Server

Вот заметные изменения соединители получения в Exchange 2016 и Exchange 2019 г. по сравнению с Exchange 2010 г.:

  • Параметр TlsCertificateName позволяет указать эмитент сертификата и субъект сертификата. Это помогает защититься от поддельных сертификатов.

  • Параметр TransportRole позволяет различать соединителей frontend (client Access) и backend на серверах почтовых ящиков.

Соединители приема по умолчанию, созданные во время установки

При установке Exchange по умолчанию создается несколько соединителей получения. Эти соединители включены по умолчанию, а для большинства из них отключено ведение журнала подключений, выполняющихся согласно протоколу. Дополнительные сведения о ведении журнала подключений по протоколу для соединителей получения см. в статье Ведение журнала протокола.

Соединители получения по умолчанию во внешней службе транспорта на серверах почтовых ящиков

Основная функция соединителей получения во внешней службе транспорта — принимать анонимные и проверенные SMTP-подключения в организацию Exchange. Значение свойства TransportRole для этих соединителей .FrontendTransport Передняя транспортная служба передает или прокси эти подключения к службе транспорта для классификации и маршрутизации в конечный пункт назначения.

В приведенной ниже таблице представлены соединители получения по умолчанию, создаваемые во внешней службе транспорта на серверах почтовых ящиков.

Имя Описание Ведение журнала протокола TCP-порт Привязки к локальным IP-адресам Диапазоны удаленных IP-адресов Механизмы проверки подлинности Группы разрешений
Frontend клиента <ServerName> Принимает подключения от клиентов SMTP, прошедших проверку подлинности. Нет 587 Все доступные адреса IPv4 и IPv6 (0.0.0.0 и [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (все IPv4- и IPv6-адреса) TLS
BasicAuth
BasicAuthRequireTLS
Integrated
ExchangeUsers
Frontend по умолчанию <ServerName> Принимает анонимные подключения от внешних серверов SMTP. Это распространенная точка входа сообщений в организацию Exchange. Подробное 25 Все доступные адреса IPv4 и IPv6 (0.0.0.0 и [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (все IPv4- и IPv6-адреса) TLS
BasicAuth
BasicAuthRequireTLS
ExchangeServer
Integrated
AnonymousUsers
ExchangeLegacyServers
ExchangeServers
Исходящие прокси-серверы frontend <ServerName> Принимает проверенные подключения от службы транспорта на серверах почтовых ящиков. Для шифрования подключений используется самозаверяющий сертификат сервера Exchange Server.
Этот соединитель используется, только если соединитель отправки настроен на использование исходящего прокси-сервера. Дополнительные сведения см. в статье Configure Send connectors to proxy outbound mail.
Нет 717 Все доступные адреса IPv4 и IPv6 (0.0.0.0 и [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (все IPv4- и IPv6-адреса) TLS
BasicAuth
BasicAuthRequireTLS
ExchangeServer
Integrated
ExchangeServers

Соединители получения по умолчанию в службе транспорта на серверах почтовых ящиков

Основная функция соединителей получения в службе транспорта — принимать проверенные и зашифрованные SMTP-подключения от других служб транспорта на локальном сервере почтовых ящиков или удаленных серверах почтовых ящиков в организации. Значение свойства TransportRole в соединителях тесс HubTransportсоставляет . Клиенты не подключаются к таким соединителям напрямую.

В приведенной ниже таблице представлены соединители получения по умолчанию, создаваемые в службе транспорта на серверах почтовых ящиков.

Имя Описание Ведение журнала протокола TCP-порт Привязки к локальным IP-адресам Диапазоны удаленных IP-адресов Механизмы проверки подлинности Группы разрешений
Прокси-сервер клиента <ServerName> Принимает проверенные клиентские подключения, переданные через прокси-сервер из внешней службы транспорта. Нет 465 Все доступные адреса IPv4 и IPv6 (0.0.0.0 и [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (все IPv4- и IPv6-адреса) TLS
BasicAuth
BasicAuthRequireTLS
ExchangeServer
Integrated
ExchangeServers
ExchangeUsers
По умолчанию <ServerName> Принимает проверенные подключения:
  • от внешней службы транспорта на локальных или удаленных серверах почтовых ящиков;
  • службы транспорта на удаленных серверах почтовых ящиков;
  • службы транспорта почтовых ящиков на локальных или удаленных серверах почтовых ящиков.
  • Пограничные транспортные серверы

Для шифрования подключений используется самозаверяющий сертификат сервера Exchange Server.

Нет 2525 Все доступные адреса IPv4 и IPv6 (0.0.0.0 и [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (все IPv4- и IPv6-адреса) TLS
BasicAuth
ExchangeServer
Integrated
ExchangeLegacyServers
ExchangeServers
ExchangeUsers

Соединители получения по умолчанию в службе транспорта на пограничных транспортных серверах

Основная функция соединителя получения на пограничных транспортных серверах — принимать почту из Интернета. При подписке пограничного транспортного сервера на организацию Exchange автоматически настраиваются разрешения соединителя и механизмы проверки подлинности, необходимые для потока обработки почты в организацию и из нее. Дополнительные сведения см. в статье Пограничные транспортные серверы.

В приведенной ниже таблице представлен соединитель получения по умолчанию, создаваемый в службе транспорта на пограничных транспортных серверах.

Имя Описание Ведение журнала протокола TCP-порт Привязки к локальным IP-адресам Диапазоны удаленных IP-адресов Механизмы проверки подлинности Группы разрешений
Внутренний соединиттель получения по умолчанию <ServerName> Принимает анонимные подключения от внешних серверов SMTP. Нет 25 Все доступные адреса IPv4 (0.0.0.0) {0.0.0.0-255.255.255.255} (все IPv4-адреса) TLS
ExchangeServer
AnonymousUsers
ExchangeServers
Partners

Скрытые соединители получения в службе доставки транспорта почтовых ящиков на серверах почтовых ящиков

В дополнение к соединителям получения, созданным во время установки Exchange серверов, в службе доставки транспорта почтовых ящиков на серверах почтовых ящиков есть специальный неявный соединителя получения. Этот скрытый соединитель получения автоматически доступен, не виден и не требует управления. Основная функция этого соединителя — принимать почту из службы транспорта на локальном сервере почтовых ящиков или удаленных серверах почтовых ящиков в организации.

В приведенной ниже таблице описывается скрытый соединитель получения, который находится в службе доставки транспорта почтовых ящиков на серверах почтовых ящиков.

Имя Описание Ведение журнала протокола TCP-порт Привязки к локальным IP-адресам Диапазоны удаленных IP-адресов Механизмы проверки подлинности Группы разрешений
Соединитель получения для доставки почты в почтовые ящики Принимает проверенные подключения от службы транспорта на локальных или удаленных серверах почтовых ящиков. Нет 475 Все доступные адреса IPv4 и IPv6 (0.0.0.0 и [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (все IPv4- и IPv6-адреса) ExchangeServer ExchangeServers

Привязки локальных адресов для соединителей получения

Привязки локальных адресов сужают область прослушивания для соединителя получения до определенных SMTP-подключений с определенным локальным IP-адресом (сетевым адаптером) и TCP-портом. Как правило, сочетание локального IP-адреса и TCP-порта уникально для каждого соединителя получения на сервере. Однако у нескольких соединителей получения на сервере могут быть одинаковые IP-адреса и TCP-порты, если их диапазоны удаленных IP-адресов отличаются. Дополнительные сведения см. в разделе Удаленные адреса соединителей получения.

По умолчанию соединиттель приемки прослушивает подключения для всех доступных локальных адресов IPv4 и IPv6 (0.0.0.0 и [::]:). Если на сервере несколько сетевых адаптеров, вы можете настроить соединители получения так, чтобы они принимали подключения только с тех IP-адресов, которые указаны для определенного сетевого адаптера. Например, на сервере Exchange Server с доступом к Интернету можно настроить соединитель получения, привязанный к IP-адресу внешнего сетевого адаптера, для прослушивания анонимных подключений к Интернету. У вас может быть отдельный соединитель получения, привязанный к IP-адресу внутреннего сетевого адаптера, для прослушивания проверенных подключений со внутренних серверов Exchange Server.

Примечание

Привязывая соединитель получения к определенному IP-адресу, убедитесь, что этот адрес настроен на локальном сетевом адаптере. Если указать недействительный локальный IP-адрес, служба транспорта Microsoft Exchange может не запуститься при перезагрузке сервера или перезапуске службы.

В Центре администрирования Exchange вы можете настроить привязки локальных адресов в поле Привязки сетевого адаптера мастера создания соединителей получения или на вкладке Определение области в свойствах имеющихся соединителей получения. В оболочке Exchange управления используется параметр Bindings для команды New-ReceiveConnector и Set-ReceiveConnector. В зависимости от выбранного типа использования, у вас может отсутствовать возможность настраивать привязки локальных адресов при создании соединителя получения, но вы можете изменить эти привязки после его создания. Соответствующие типы использования определены в разделе Типы использования соединителей получения.

Удаленные адреса соединителей получения

Удаленные адреса определяют, откуда соединитель получения принимает SMTP-подключения. По умолчанию соединители получения прослушивают подключения со всех IPv4- и IPv6-адресов (0.0.0.0-255.255.255.255 и ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff). Создавая пользовательский соединитель получения, чтобы принимать почту из определенного источника, настройте его на прослушивание подключений только от определенного IP-адреса или диапазона адресов.

Допустимо пересечение диапазонов удаленных IP-адресов для нескольких соединителей получения на сервере при условии, что такое пересечение является полным. Когда диапазоны удаленных IP-адресов пересекаются, используется тот диапазон, который содержит наиболее точное совпадение с IP-адресом подключающегося сервера.

Например, рассмотрим следующие соединители получения во внешней службе транспорта на сервере Exchange01:

  • Имя соединителя: Client Frontend Exchange01

    • Привязки сетевого адаптера: все доступные IPv4 в порту 25.

    • Параметры удаленной сети: 0.0.0.0-255.255.255.255.255

  • Имя соединитетеля: Настраиваемый соединитатель A

    • Привязки сетевого адаптера: все доступные IPv4 в порту 25.

    • Параметры удаленной сети: 192.168.1.0-192.168.1.255

  • Имя соединитетеля: Настраиваемый соединитатель B

    • Привязки сетевого адаптера: все доступные IPv4 в порту 25.

    • Параметры удаленной сети: 192.168.1.75

SMTP-подключения с адреса 192.168.1.75 принимает "Пользовательский соединитель Б", так как его совпадение с IP-адресом наиболее точное.

SMTP-подключения с адреса 192.168.1.100 принимает "Пользовательский соединитель А", так как его совпадение с IP-адресом наиболее точное.

В Центре администрирования Exchange вы можете настроить удаленные IP-адреса в поле Настройки удаленной сети мастера создания соединителя получения или на вкладке Определение области в свойствах имеющихся соединителей получения. В оболочке Exchange управления используется параметр RemoteIPRanges в командых New-ReceiveConnector и Set-ReceiveConnector.

Типы использования соединителей получения

Тип использования определяет параметры безопасности по умолчанию для этого соединителя получения. Тип использования указывает, кому разрешено использовать соединитель, какие разрешения получают эти пользователи и какие способы проверки подлинности поддерживаются.

При создании соединителей получения в Центре администрирования Exchange мастер предлагает выбрать значение Тип для соединителя. При использовании команды New-ReceiveConnector в оболочке управления Exchange используется параметр Use с одним из доступных значений (например, -Usage Custom) или назначенный переключатель для типа использования (например). -Custom

Тип использования можно указать только при создании соединителей получения. Создав соединитель, вы можете изменить доступные механизмы проверки подлинности и группы разрешений в Центре администрирования Exchange или с помощью командлета Set-ReceiveConnector в командной консоли Exchange.

Доступные типы использования представлены в приведенной ниже таблице.

Тип использования Назначенные группы разрешений Доступные механизмы проверки подлинности Комментарии
Клиент Exchange пользователей (ExchangeUsers) Безопасность транспортного слоя (TLS)
Базовая проверка подлинности (BasicAuth)
Предлагаем базовую проверку подлинности только после запуска TLS (BasicAuthRequireTLS)
Интегрированная Windows проверки подлинности (Integrated)
Используется клиентами POP3 и IMAP4, которым требуется отправлять электронные сообщения по протоколу SMTP с проверкой подлинности.
При создании соединителя получения с этим типом использования в Центре администрирования Exchange или командной консоли Exchange невозможно выбрать привязки локальных IP-адресов и TCP-порт. По умолчанию этот тип использования привязан ко всем локальным IPv4- и IPv6-адресам для TCP-порта 587. Вы можете изменить эти привязки после создания соединителя.
Этот тип использования недоступен на пограничных транспортных серверах.
Пользовательский Ни один выбранный (None) Безопасность транспортного слоя (TLS) Используется в сценариях с несколькими лесами для получения почты от сторонних серверов обмена сообщениями, а также для внешней ретрансляции.
Создав соединитель получения с этим типом использования, необходимо добавить группы разрешений в Центре администрирования Exchange или командной консоли Exchange.
Внутренний Устаревшие Exchange серверы (ExchangeLegacyServers)
Exchange серверов (ExchangeServers)
Безопасность транспортного слоя (TLS)
Exchange Server проверки подлинности (ExchangeServers)
Используется в сценариях с несколькими лесами для получения почты от предыдущих версий Exchange или от сторонних серверов обмена сообщениями либо на пограничных транспортных серверах для получения исходящей почты из внутренней организации Exchange.
При создании соединителя получения с этим типом использования в Центре администрирования Exchange или командной консоли Exchange невозможно выбрать привязки локальных IP-адресов и TCP-порт. По умолчанию соединитель привязан ко всем локальным IPv4- и IPv6-адресам для TCP-порта 25. Вы можете изменить эти привязки после создания соединителя.
Группа ExchangeLegacyServers разрешений недоступна на edge transport servers.
Интернет Анонимные пользователи (AnonymousUsers) Безопасность транспортного слоя (TLS) Используется для получения почты из Интернета.
При создании соединителя получения с этим типом использования в Центре администрирования Exchange или командной консоли Exchange невозможно выбрать удаленные IP-адреса. По умолчанию соединитель принимает удаленные подключения со всех IPv4-адресов (0.0.0.0-255.255.255.255). Вы можете изменить эти привязки после создания соединителя.
Партнер Партнеры (Partners) Безопасность транспортного слоя (TLS) Используется для настройки защищенного соединения с внешним партнером (взаимная проверка подлинности TLS, также называемая защитой на уровне домена).

Механизмы проверки подлинности соединителя получения

Механизмы проверки подлинности задают параметры входа и шифрования, используемые для входящих SMTP-подключений. Для соединителя получения можно настроить несколько механизмов проверки подлинности. В Центре администрирования Exchange механизмы проверки подлинности доступны на вкладке Безопасность в окне свойств соединителя получения. В оболочке Exchange управления группы разрешений доступны в параметре AuthMechanisms в группах New-ReceiveConnector и Set-ReceiveConnector.

Доступные механизмы проверки подлинности описаны в таблице ниже.

Механизм проверки подлинности Описание
Ни один выбранный (None) Проверка подлинности не выполняется.
Безопасность транспортного слоя (TLS) (TLS) Реклама STARTTLS в ответе EHLO. Для зашифрованных подключений TLS требуется сертификат сервера, который включает имя, которое соединитатель Receive рекламирует в ответе EHLO. Дополнительные сведения см. в заголовке Изменение баннера SMTP на соединители получения. Другие Exchange в организации доверяют самозаверяемого сертификату сервера, но клиенты и внешние серверы обычно используют надежный сторонний сертификат.
Базовая проверка подлинности (BasicAuth) Обычная проверка подлинности (открытый текст).
Предлагаем базовую проверку подлинности только после запуска TLS (BasicAuthRequireTLS) Обычная проверка подлинности с шифрованием TLS.
Интегрированная Windows проверки подлинности (Integrated) Проверка подлинности NTLM и Kerberos.
Exchange Server проверки подлинности (ExchangeServer) Программный интерфейс универсальных служб защиты (GSSAPI) и взаимная проверка подлинности GSSAPI.
Внешняя безопасность (ExternalAuthoritative) Предполагается, что используется внешний механизм защиты соединения, не входящий в состав Exchange. Подключение может быть связью IPsec или виртуальной частной сетью. Кроме того, серверы могут находиться в доверенной, физически контролируемой сети.
Этот механизм проверки подлинности требует группы ExchangeServers разрешений. Такое сочетание механизма проверки подлинности и группы безопасности обеспечивает поддержку разрешения электронных адресов анонимных отправителей для сообщений, получаемых через соединитель.

Группы разрешений соединителя получения

Группа разрешений — это заранее заданный набор разрешений, которые выданы известным директорам безопасности и назначены соединителичему приему. К числу основных объектов безопасности относятся учетные записи пользователей, учетные записи компьютеров и группы безопасности (объекты, идентифицируемые идентификатором безопасности или SID, которые могут иметь соответствующие разрешения). Группы разрешений определяют, кто может использовать соединители Прием и разрешения, которые они получают. Вы не можете создавать группы разрешений и изменять разрешения группы разрешений или разрешения группы разрешений по умолчанию.

В Центре администрирования Exchange группы разрешений доступны на вкладке Безопасность в свойствах соединителя получения. В оболочке Exchange управления группы разрешений доступны в параметре PermissionGroups в группах New-ReceiveConnector и Set-ReceiveConnector.

Доступные группы разрешений представлены в приведенной ниже таблице.

Группа разрешений Связанные субъекты безопасности Предоставляемые разрешения
Анонимные пользователи (Anonymous) NT AUTHORITY\ANONYMOUS LOGON ms-Exch-Accept-Headers-Routing
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Submit
Exchange пользователей (ExchangeUsers) NT AUTHORITY\Authenticated Users ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Submit
Exchange серверов (ExchangeServers) <Domain>\Exchange Servers
MS Exchange\Edge Transport Servers
MS Exchange\Hub Transport Servers
Примечание: Эти принципы безопасности также имеют другие внутренние разрешения, которые им назначены. Дополнительные сведения см. в конце раздела Разрешения соединители получения.
ms-Exch-Accept-Headers-Forest
ms-Exch-Accept-Headers-Organization
ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-Bypass-Message-Size-Limit
ms-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authentication-Flag
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Accept-Exch50
ms-Exch-SMTP-Submit
Exchange серверов (ExchangeServers) MS Exchange\Externally Secured Servers ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-Bypass-Message-Size-Limit
s-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authentication-Flag
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Accept-Exch50
ms-Exch-SMTP-Submit
Устаревшие Exchange серверы (ExchangeLegacyServers) <Domain>\ExchangeLegacyInterop ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-Bypass-Message-Size-Limit
ms-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authentication-Flag
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Accept-Exch50
ms-Exch-SMTP-Submit
Партнеры (Partner) MS Exchange\Partner Servers ms-Exch-Accept-Headers-Routing
ms-Exch-SMTP-Submit

Разрешения описаны в разделе Разрешения соединителя получения далее в этой статье.

Разрешения соединителя получения

Как правило, разрешения применяются к соединителям получения с помощью групп разрешений. Однако вы можете настраивать детализированные разрешения для соединителя получения с помощью командлетов Add-ADPermission и Remove-ADPermission.

Разрешения соединителя получения назначаются субъектам безопасности с помощью групп разрешений для соединителя. Когда клиент или сервер SMTP создает подключение к соединителю получения, разрешения этого соединителя определяют, принимается ли соединение и как оно обрабатывается.

Доступные разрешения соединителя получения представлены в приведенной ниже таблице.

Разрешение соединителя получения Описание
ms-Exch-Accept-Headers-Forest Управляет хранением заголовков лесов Exchange в сообщениях. Имена заголовков лесов начинаются с X-MS-Exchange-Forest-. Если разрешение не предоставлено, все заголовки лесов удаляются из сообщений.
ms-Exch-Accept-Headers-Organization Управляет сохранением заголовков организаций Exchange в сообщениях. Имена заголовков организаций начинаются с X-MS-Exchange-Organization-. Если это разрешение не предоставлено, все заголовки организаций удаляются из сообщений.
ms-Exch-Accept-Headers-Routing Управляет сохранением заголовков Received и Resent-* в сообщениях. Если разрешение не предоставлено, все эти заголовки удаляются из сообщений.
ms-Exch-Bypass-Anti-Spam Позволяет клиентам и серверам SMTP обходить фильтрацию спама.
ms-Exch-Bypass-Message-Size-Limit Позволяет клиентам и серверам SMTP отправлять сообщения больше максимального размера, настроенного для соединителя получения.
ms-Exch-SMTP-Accept-Any-Recipient Позволяет клиентам и серверам SMTP ретранслировать сообщения через соединитель получения. Если это разрешение не предоставлено, соединитель получения принимает только те сообщения, которые отправлены получателям в обслуживаемых доменах, настроенных для организации Exchange.
ms-Exch-SMTP-Accept-Any-Sender Позволяет клиентам и серверам SMTP обходить проверку адреса отправителя на спуфинг, для которой обычно требуется, чтобы электронный адрес отправителя находился на обслуживаемом домене, настроенном для организации Exchange.
ms-Exch-SMTP-Accept-Authentication-Flag Указывает, будут ли сообщения от клиентов и серверов SMTP рассматриваться как прошедшие проверку подлинности. Если это разрешение не предоставлено, то сообщения из этих источников определяются как внешние (непроверенные). Этот параметр важен для групп рассылки, настроенных на прием почты только от внутренних получателей (например, значение параметра RequireSenderAuthenticationEnabled для группы).$true
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender Разрешает доступ к соединителю получения для отправителей, электронные адреса которых находятся на уполномоченных доменах, настроенных для организации Exchange.
ms-Exch-SMTP-Accept-Exch50 Позволяет клиентам и серверам SMTP отправлять команды XEXCH50 соединителю отправки. Большой двоичный объект X-EXCH50 использовался старыми версиями Exchange (Exchange 2003 и более ранними) для хранения данных Exchange в сообщениях (например, о вероятности нежелательной почты).
ms-Exch-SMTP-Submit Это разрешение необходимо для отправки сообщений соединителям получения. Если это разрешение не предоставлено, команды MAIL FROM и AUTH не будут выполняться.

Примечания.

  • Помимо задокументированных разрешений существуют разрешения, которые назначены всем директорам безопасности в группе разрешений Exchange (ExchangeServers) MS Exchange\Externally Secured Serversза исключением . Эти разрешения зарезервированы для внутреннего использования в корпорации Майкрософт и представлены здесь исключительно в справочных целях.

    • ms-Exch-SMTP-Accept-Xattr

    • ms-Exch-SMTP-Accept-XProxyFrom

    • ms-Exch-SMTP-Accept-XSessionParams

    • ms-Exch-SMTP-Accept-XShadow

    • ms-Exch-SMTP-Accept-XSysProbe

    • ms-Exch-SMTP-Send-XMessageContext-ADRecipientCache

    • ms-Exch-SMTP-Send-XMessageContext-ExtendedProperties

    • ms-Exch-SMTP-Send-XMessageContext-FastIndex

  • Имена разрешений, содержащиеся ms-Exch-Accept-Headers- , являются частью функции брандмауэра загона . Дополнительные сведения см. в брандмауэре Header.

Действия с разрешениями соединителей получения

Чтобы просмотреть разрешения, назначенные субъектам безопасности соединителя получения, используйте следующий синтаксис в командной консоли Exchange:

Get-ADPermission -Identity <ReceiveConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Например, чтобы просмотреть разрешения, назначенные всем субъектам безопасности соединителя получения Client Frontend Mailbox01, выполните следующую команду:

Get-ADPermission -Identity "Client Frontend Mailbox01" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Чтобы увидеть разрешения, NT AUTHORITY\Authenticated Users которые назначены только директору безопасности в соединительщике Получения с именем Почтовый ящик по умолчанию, запустите следующую команду:

Get-ADPermission -Identity "Default Mailbox01" -User "NT AUTHORITY\Authenticated Users" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Чтобы добавить разрешения для субъекта безопасности, используйте следующий синтаксис:

Add-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Чтобы удалить разрешения субъекта безопасности, используйте следующий синтаксис:

Remove-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...