Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Последнее изменение раздела: 2011-06-16
В Microsoft Exchange Server 2007 пограничный транспортный сервер и транспортный сервер-концентратор похожи. Однако они предназначены для выполнения разных ролей и имеют различные параметры по умолчанию. Например, роль пограничного транспортного сервера настроена для приема почты Интернета. Роль транспортного сервера-концентратора настроена с максимально строгими параметрами безопасности и не допускает прием почты из непроверенных (не прошедших проверку подлинности) источников.
Поскольку пограничный транспортный сервер защищен хуже, чем транспортный сервер-концентратор, некоторые клиенты отказываются от его использования. Однако что делать, если необходимо принимать почту Интернета на сервере-концентраторе? В этом разделе описана настройка соединителя получения на транспортном сервере-концентраторе для получения почты Интернета.
Exchange Server и Интернет
Поскольку серверу Microsoft Exchange необходим прямой доступ к службе каталогов Active Directory, серверы Microsoft Exchange не следует подключать к Интернету напрямую. Независимо от того, используется ли для получения почты Интернета роль пограничного транспортного сервера или транспортного сервера-концентратора, сервер Exchange должен быть защищен брандмауэром. Тип брандмауэра зависит от того, какие протоколы используются для доступа к Интернету. В случае протоколов сервера клиентского доступа, таких как HTTPS, IMAP и POP, сервер Exchange должен быть защищен брандмауэром, обеспечивающим возможности обратного прокси-сервера и перенаправления портов, таким как Internet Security and Acceleration (ISA) Server. ISA Server может обнаруживать и блокировать атаки. Для протокола SMTP рекомендуется установить роль пограничного транспортного сервера. В отличие от других решений для активной фильтрации SMTP, пограничный транспортный сервер включает все функциональные возможности Exchange 2007 и при необходимости может быть полностью изолирован от остального леса.
Если имеется только один сервер, рекомендуется использовать службу санации, например службы Exchange Hosted Services (EHS). Подобную службу может также предлагать поставщик услуг Интернета. Как правило, один сервер Exchange развертывают в конфигурации, в которой Microsoft Exchange находится непосредственно за брандмауэром NAT или обратным прокси-сервером, таким как ISA Server. Очевидно, что такой подход связан с дополнительным риском. Однако для многих небольших организаций такой риск приемлем.
Дополнительные сведения о сервере Exchange Server и имеющихся возможностях подключения к Интернету см. в разделе How to Configure Connectors for Internet Mail Flow (на английском языке).
Возможности, недоступные при использовании роли транспортного сервера-концентратора
Если для получения почты Интернета вместо роли пограничного транспортного сервера используется роль транспортного сервера-концентратора, для основных функций сервера справедливо указанное ниже.
Пограничный транспортный сервер может быть развернут в демилитаризованной зоне. Для повышения безопасности этот сервер можно не подключать к домену. И напротив, транспортный сервер-концентратор должен быть подключен к службе каталогов Active Directory.
Транспортный сервер-концентратор не может быть изолирован. Поток данных SMTP из Интернета может содержать до 70 процентов нежелательной почты. Отделив поток данных SMTP от внутреннего трафика, можно избежать обработки и фильтрации нежелательной почты на внутренних серверах. В этом случае внутренние серверы смогут осуществлять маршрутизацию, управлять соответствием требованиям и выполнить другие операции между почтовыми ящиками. Это особенно выгодно, если внутренняя почта является критически важной.
Агент правил пограничного транспортного сервера недоступен. Вместо этого доступен агент правил транспортного сервера-концентратора, который используется преимущественно для обеспечения соответствия требованиям. Пограничные транспортные правила используются в основном для санации. Дополнительные сведения об этом см. в разделе Understanding Transport Rules (на английском языке).
Правила транспортного сервера-концентратора поддерживают некоторые возможности использования вложений. Однако транспортный сервер-концентратор не может проверять входящий поток MIME на наличие вложений вредоносных типов и отклонять сообщения на уровне протокола. Для обеспечения такой возможности можно использовать антивирусные продукты, например Microsoft Forefront.
На транспортном сервере-концентраторе недоступен агент перезаписи адресов. Как правило, этот агент используют крупные корпорации, применяющие пограничный транспортный сервер или дополнительное программное обеспечение, обеспечивающее эту возможность. Дополнительные сведения об этой возможности см. в разделе Managing the Address Rewriting Agent (на английском языке).
Настройка соединителя получения
Соединитель получения представляет собой логический шлюз, через который принимаются все входящие сообщения. Существует много способов настройки соединителей получения. Ниже описан способ настройки соединителей получения с помощью консоли управления Exchange, включающий наименьшее количество этапов.
Настройка соединителей получения в консоли управления Exchange
В консоли управления Exchange щелкните в разделе Настройка серверов элемент Транспортный сервер-концентратор.
В области результатов щелкните имя сервера с установленной ролью транспортного сервера-концентратора.
В рабочей области дважды щелкните элемент <имя_сервера> по умолчанию на вкладке Соединители получения.
На вкладке Группы разрешений установите флажок Анонимные пользователи и нажмите кнопку ОК.
.gif "note") Примечание. |
|---|
| Если не выполнить это действие, при отправке сообщений на транспортный сервер-концентратор отправитель получит следующее сообщение об ошибке в отчете о недоставке: «530 5.7.1 Клиент не прошел проверку подлинности». |
Дополнительные сведения о соединителях получения см. в указанных ниже разделах.
Обслуживаемые домены
По умолчанию сервер Microsoft Exchange принимает только электронную почту, отправляемую в домен Windows, в который входит данный сервер. Для приема почты, отправляемой во внешний домен SMTP, может потребоваться создать новый обслуживаемый домен.
Дополнительные сведения о создании обслуживаемого домена см. в разделе Инструкции по созданию принятых доменов.
| Примечание. |
|---|
| Если не выполнить это действие, при непосредственной отправке сообщений получатели в организации могут получить следующее сообщение в отчете о недоставке: «550 5.7.1 Не удается выполнить ретрансляцию». |
Настройка соединителя отправки
Для отправки электронной почты необходимо настроить соединитель отправки. Если сервер Microsoft Exchange был установлен в существующей среде, содержащей Microsoft Exchange Server 2003, то скорее всего соединитель отправки (соединитель SMTP) уже имеется. Возможно, потребуется проверить его параметры.
Если соединитель настроен на сервере Exchange 2003, его параметры можно просмотреть с помощью консоли управления Exchange 2007. Однако изменять конфигурацию соединителя отправки необходимо только с помощью диспетчера Exchange 2003. Например, если соединитель настроен только на сервере Exchange 2003, вся исходящая электронная почта будет проходить через сервер Exchange Server 2003. Если один соединитель настроен на сервере Exchange 2003, а второй — на сервере Microsoft Exchange, вся исходящая почта будет передаваться через ближайший соединитель. Если удалить соединитель отправки на сервере Exchange 2003, оставив соединитель отправки на сервере Microsoft Exchange, вся исходящая почта будет передаваться через сервер Microsoft Exchange.
Чтобы настроить соединитель отправки в Microsoft Exchange, воспользуйтесь консолью управления Exchange. Дополнительные сведения о создании соединителя отправки в Exchange Server 2007 см. в разделе Инструкции по созданию нового отправляющего соединителя.
При использовании мастера создания соединителя отправки SMTP для создания соединителя отправки выберите тип использования «Интернет» на странице Введение. Чтобы вся исходящая почта передавалась через соединитель, на странице Адресное пространство выберите в качестве адресного пространства соединителя значение «*», а в качестве типа — «smtp». Задайте остальные параметры, следуя указаниям мастера, и выберите конфигурацию, соответствующую среде.
Рекомендуется также настроить запись инфраструктуры политики отправителей для домена. Дополнительные сведения о настройке инфраструктуры политики отправителей см. в разделе Sender ID Framework SPF Record Wizard (на английском языке).
Дополнительные сведения о соединителях отправки см. в разделе Understanding Send Connectors (на английском языке).
Настройка защиты от нежелательной почты
Если в среде не используется пограничный транспортный сервер, функции защиты от нежелательной почты возлагаются на транспортные серверы-концентраторы. Эти функции можно легко добавить на транспортные серверы-концентраторы с помощью командной консоли Exchange.
Добавление функций защиты от нежелательной почты на транспортный сервер-концентратор
В командной консоли Exchange найдите следующий каталог: C:\Program Files\Microsoft\Exchange Server\Scripts
Введите следующую команду и нажмите клавишу ВВОД: Install-AntispamAgents.psi
Перезагрузите компьютер.
После включения защиты от нежелательной почты в консоли управления Exchange появится вкладка Защита от нежелательной почты.
Дополнительные сведения см. в разделе Enable Anti-Spam Functionality on a Hub Transport Server (на английском языке).
| Примечание. |
|---|
| Если в Exchange 2003 ранее были настроены параметры защиты от нежелательной почты, эти параметры необходимо перенести в Microsoft Exchange. Дополнительные сведения см. в разделе Managing Exchange 2003 Settings in a Coexistence Environment (на английском языке). |
Полезные настройки
Для оптимизации работы сервера Exchange Server можно использовать приведенные ниже сведения.
Поскольку сервер Exchange 2007 непосредственно подключен к Интернету, можно изменить объявленное полное доменное имя, отправляемое в командах HELO/EHLO протокола SMTP. Чтобы изменить его как для соединителя отправки, так и для соединителя получения, воспользуйтесь консолью управления Exchange. На вкладке Общие окна Свойства соединителей отправки и получения укажите полное доменное имя, которое соединитель будет предоставлять в ответ на команды HELO и EHLO.
Поскольку пограничный транспортный сервер в описанной конфигурации не используется, служба Exchange 2007 EdgeSync не требуется. В разделе Службы установите для службы Microsoft Exchange EdgeSync значение Отключено, чтобы запретить ее запуск и предотвратить использование ею системных ресурсов.
Проверка и устранение неполадок с конфигурацией
Чтобы завершить настройку конфигурации, выполните указанные ниже действия.
Убедитесь в правильности записи MX.
Убедитесь, что брандмауэр не блокирует входящие подключения к порту 25.
Для этого можно либо повторно использовать IP-адрес существующего постового сервера, либо обновить правило брандмауэра так, чтобы оно указывало на внутренний IP-адрес нового сервера Microsoft Exchange.
Для устранения возможных неполадок используйте анализатор потока почты. Кроме того, существует ряд веб-сайтов, помогающих диагностировать проблемы с приемом почты, связанные с протоколами DNS и SMTP, включая следующие сайты:
Дополнительные сведения
Дополнительные сведения о роли пограничного транспортного сервера см. в разделе Overview of the Edge Transport Server Role (на английском языке).
Дополнительные сведения о роли транспортного сервера-концентратора см. в разделе Overview of the Edge Transport Server Role (на английском языке).