Настройка потока почты Интернета через службы Exchange Hosted Services или внешний шлюз SMTP
Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Последнее изменение раздела: 2012-07-23
Для настройки потока почты Интернета через службы Microsoft Exchange Hosted Services или внешний SMTP-шлюз можно использовать консоль управления или командную консоль Exchange.
В состав группы Exchange Hosted Services входят четыре различные службы:
служба Hosted Filtering, помогающая организациям защититься от вредоносного программного обеспечения, содержащегося в электронной почте;
служба Hosted Archive, помогающая соблюдать требования к хранению данных;
служба Hosted Encryption, помогающая шифровать данные для обеспечения конфиденциальности;
служба Hosted Continuity, помогающая сохранять доступ к электронной почте во время и после аварийных ситуаций.
Эти службы интегрируются с любыми локальными серверами Exchange, которые управляются внутренними или размещенными службами электронной почты Exchange, предлагаемыми поставщиками служб. Дополнительные сведения о службах Exchange Hosted Services см. в разделе Microsoft Exchange Hosted Services.
В Exchange Server 2010для создания потока почты Интернета через службы Exchange Hosted Services или через внешний SMTP-шлюз следует создать соединитель отправки и соединитель приема между транспортными серверами-концентраторами в организации Exchange и внешними SMTP-серверами, обрабатывающими и маршрутизирующими почту Интернета.
В данном сценарии можно использовать перечисленные ниже методы проверки подлинности:
Обычная проверка подлинности. Транспортные серверы-концентраторы Exchange 2010 и внешние SMTP-серверы выполняют проверку подлинности, используя обычную процедуру проверки. Необходимы имя пользователя и пароль. Данный метод проверки подлинности недоступен для служб Exchange Hosted Services.
Внешняя защита. Сетевое соединение между транспортными серверами-концентраторами и внешними SMTP-серверами защищается с использованием метода, внешнего по отношению к Exchange 2010.
Примечание. Настройка соединителя приема как внешне защищаемого без использования метода проверки подлинности «Внешняя защита» функционально эквивалентна настройке соединителя приема как открытого ретранслятора для внешнего SMTP-сервера. Сообщения, исходящие с внешнего SMTP-сервера, считаются прошедшими проверку подлинности. Сообщения обходят проверку защиты от нежелательной почты и проверку на соответствие предельному размеру сообщения. Внешнему SMTP-серверу разрешается отправлять сообщения, как если бы он был одним из отправителей внутри данной организации Exchange. Дополнительные сведения см. в разделе Включение анонимной ретрансляции на соединителе получения. Анонимная ретрансляция. Этот метод следует использовать лишь в крайнем случае. Если внешнему SMTP-серверу разрешается анонимно ретранслировать сообщения, используя соответствующий соединитель приема на транспортном сервере-концентраторе, к соединителю приема необходимо применить приведенные ниже ограничения.
Параметры локальной сети. Если у транспортного сервера-концентратора есть несколько сетевых адаптеров, ограничьте прослушивание для соединителя приема только соответствующим сетевым адаптером.
Настройки удаленной сети. Позволяет разрешить соединителю приема принимать подключения только с определенных серверов. Это ограничение является обязательным, поскольку соединитель приема настроен на прием ретрансляции от анонимных пользователей. Ограничение исходных серверов по IP-адресу является единственной мерой защиты, которая разрешена для данного соединителя приема.
Дополнительные сведения см. в разделе Включение анонимной ретрансляции на соединителе получения.
Необходимы сведения о других задачах управления, связанных с управлением маршрутизацией сообщений? См. раздел Управление маршрутизацией сообщений.
Предварительные условия
При использовании обычной проверки подлинности в лесу Служба каталогов Active Directory должна существовать учетная запись домена. Например, можно создать учетную запись пользователя домена с именем участника-пользователя smtpgateway@fabrikam.com, которая должна использоваться в качестве учетных данных для проверки подлинности SMTP-шлюзом при доставке почты на серверы Exchange в домене Fabrikam.
При использовании обычной проверки подлинности с применением протокола TLS на конечном сервере следует настроить использование сертификата X.509, содержащего полное доменное имя, идентичное полному доменному имени соединителя приема.
При использовании внешней проверки подлинности между транспортным сервером-концентратором и сервером SMTP-шлюза должно существовать доверенное сетевое подключение. Это подключение должно быть соединением IPsec или виртуальной частной сетью. Также серверы могут располагаться в доверенной физически управляемой сети.
Создание потока почты Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом с использованием обычной проверки подлинности
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Соединители отправки» в разделе Разрешения транспорта.
Примечание. |
---|
Так как соединитель приема по умолчанию будет принимать сообщения электронной почты от SMTP-шлюза, прошедшего проверку подлинности, при использовании обычной проверки подлинности новый соединитель приема не понадобится. |
Использование консоли управления Exchange для создания потока почты Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом с использованием обычной проверки подлинности
Откройте консоль управления Exchange на транспортном сервере-концентраторе. Разверните узел Конфигурация организации, щелкните пункт Транспортный концентратор и выберите в области действий команду Создать соединитель отправки.
В мастере создания соединителя отправки на странице Введение в поле Имя введите уникальное имя соединителя.
В раскрывающемся списке Выберите назначение для этого соединителя отправки выберите Настраиваемое, а затем нажмите кнопку Далее.
На странице Адресное пространство нажмите кнопку Добавить. В диалоговом окне Адресное пространство SMTP в поле Адрес введите "*" и нажмите кнопку ОК. Нажмите кнопку Далее.
На странице Параметры сети можно выбрать только параметр Выполнять маршрутизацию почты через следующие промежуточные узлы. Выберите этот параметр и нажмите кнопку Добавить.
В поле IP-адрес или Полное доменное имя диалогового окна Добавить промежуточный узел введите IP-адрес или полное доменное имя внешнего сервера SMTP-шлюза и нажмите кнопку ОК. Чтобы задать в качестве промежуточного узла несколько SMTP-шлюзов, нажмите кнопку Добавить и введите дополнительные IP-адреса или полные доменные имена, а затем нажмите кнопку Далее.
На странице Настройка параметров проверки подлинности промежуточных узлов выберите параметр Обычная проверка подлинности или Обычная проверка подлинности с использованием TLS, введите имя пользователя и пароль, которые будут использоваться для проверки подлинности подключения, а затем нажмите кнопку Далее.
На странице Исходный сервер нажмите кнопку Добавить. В диалоговом окне Выбор транспортного сервера-концентратора и подписанных пограничных транспортных серверов выберите один или несколько транспортных серверов-концентраторов в организации, нажмите кнопку ОК, а затем нажмите кнопку Далее.
На странице Создать соединитель нажмите кнопку Создать, а затем на странице Завершение нажмите кнопку Готово.
Использование командной консоли для создания потока почты Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом с использованием обычной проверки подлинности
Выполните следующую команду.
$mycred = Get-Credential
В появившемся диалоговом окне введите учетные данные для учетной записи пользователя на внешнем сервере SMTP-шлюза. Введите имя и пароль пользователя. Нажмите кнопку ОК.
В этом примере создается соединитель отправки ToInternetGateway, используемый транспортным сервером-концентратором HubA, подключающимся к внешнему SMTP-шлюзу smtpgateway1.contoso.com с использованием обычной проверки подлинности.
New-SendConnector -Name "ToInternetGateway" -AddressSpaces "*" -SmartHosts "smtpgateway1.contoso.com" -SmartHostAuthMechanism BasicAuth,BasicAuthRequireTLS -AuthenticationCredential $mycred -SourceTransportServers "HubA" -DNSRoutingEnabled $false
Подробные сведения о синтаксисе и параметрах см. в разделе New-SendConnector.
Создание потока почты Интернета между транспортным сервером-концентратором и службами Exchange Hosted Services или внешним SMTP-шлюзом при помощи проверки подлинности «Внешняя защита»
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Записи «Соединители отправки» и «Соединители получения» в разделе Разрешения транспорта.
Использование консоли управления Exchange для создания потока почты Интернета между транспортным сервером-концентратором и службами Exchange Hosted Services или внешним SMTP-шлюзом при помощи проверки подлинности «Внешняя защита»
Создайте соединитель отправки к внешнему шлюзу SMTP на транспортном сервере-концентраторе. Для этого выполните следующие шаги.
Разверните узел Конфигурация организации, щелкните пункт Транспортный сервер-концентратор, а затем в области действий выберите команду Создание соединителя отправки.
В мастере создания соединителя отправки на странице Введение в поле Имя введите уникальное имя соединителя. В раскрывающемся списке Выберите назначение для этого соединителя выберите значение Внутренний, а затем нажмите кнопку Далее.
На странице Адресное пространство нажмите кнопку Добавить. В диалоговом окне Добавить адресное пространство выберите параметр "*" в поле Адрес, а затем нажмите кнопку ОК. Нажмите кнопку Далее.
На странице Параметры сети доступен только параметр Выполнять маршрутизацию почты через следующие промежуточные узлы. Нажмите кнопку Добавить.
В диалоговом окне Добавить промежуточный узел в поле IP-адрес или Полное доменное имя введите IP-адрес или полное доменное имя сервера шлюза SMTP и нажмите кнопку ОК. Чтобы задать в качестве промежуточного узла несколько SMTP-шлюзов, нажмите кнопку Добавить и введите дополнительные IP-адреса или полные доменные имена, а затем нажмите кнопку Далее.
На странице Настройка параметров проверки подлинности промежуточных узлов выберите параметр Внешняя защита (например, с помощью IPsec), а затем нажмите кнопку Далее.
На странице Исходный сервер нажмите кнопку Добавить. В диалоговом окне Выбор транспортного сервера-концентратора и подписанных пограничных транспортных серверов выберите один или несколько транспортных серверов-концентраторов в организации, нажмите кнопку ОК, а затем нажмите кнопку Далее.
На странице Создать соединитель нажмите кнопку Создать, а затем на странице Завершение нажмите кнопку Готово.
Создайте соединитель получения на транспортном сервере-концентраторе для получения почты от внешнего шлюза SMTP. Для этого выполните следующие шаги.
Разверните узел Конфигурация организации, щелкните пункт Транспортный концентратор, а затем а области действий выберите команду Создать соединитель приема.
В мастере создания соединителя получения на странице Введение в поле Имя введите уникальное имя соединителя.
В раскрывающемся списке Выберите назначение для этого соединителя выберите значение Внутренний, а затем нажмите кнопку Далее.
На странице Настройки удаленной сети удалите все записи сетевых диапазонов, а затем нажмите кнопку Добавить.
В диалоговом окне Добавить IP-адреса удаленных серверов введите IP-адрес внешнего сервера SMTP-шлюза, а затем нажмите кнопку ОК и кнопку Далее.
На странице Создать соединитель нажмите кнопку Создать, а затем на странице Завершение нажмите кнопку Готово.
Измените метод проверки подлинности для только что созданного соединителя получения на «Внешняя защита», выполнив приведенные ниже шаги:
В области задач выберите соединитель приема, созданный в шаге 2, а затем на панели действий выберите пункт Свойства.
Откройте вкладку Проверка подлинности. Снимите флажки Обычная проверка подлинности и Сервер Exchange, выберите пункт Внешняя защита (например, с помощью IPsec), а затем нажмите кнопку ОК
Использование командной консоли для создания потока почты Интернета между транспортным сервером-концентратором и службами Exchange Hosted Services или внешним SMTP-шлюзом при помощи проверки подлинности «Внешняя защита»
В этом примере создается соединитель отправки ToInternetGateway, используемый транспортным сервером-концентратором HubA, настроенным для отправки исходящей электронной почты через внешний SMTP-шлюз smtpgateway1.contoso.com с использованием проверки подлинности «Внешняя защита».
New-SendConnector -Name "ToInternetGateway" -Usage Internal -AddressSpaces "*" -SmartHosts "smtpgateway1.contoso.com" -SmartHostAuthMechanism ExternalAuthoritative -SourceTransportServers "HubA" -DNSRoutingEnabled $false
В этом примере создается соединитель получения FromInternetGateway на транспортном сервере-концентраторе HubA, который использует проверку подлинности «Внешняя защита» для получения почты от внешнего SMTP-шлюза с IP-адресом 192.168.1.10.
New-ReceiveConnector -Name "FromInternetGateway" -Server HubA -Usage Internal -RemoteIPRanges 192.168.1.10 -AuthMechanism ExternalAuthoritative
Дополнительные сведения о синтаксисе и параметрах см. в разделах New-SendConnector и New-ReceiveConnector.
Создание потока почты Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом с использованием анонимной ретрансляции
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Записи «Соединители отправки» и «Соединители получения» в разделе Разрешения транспорта.
Использование консоли управления Exchange и командной консоли для установки потока почты Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом с использованием анонимной ретрансляции
Примечание. |
---|
В этой процедуре для шагов 1-4 используется консоль управления Exchange. Последний шаг этой процедуры (предоставление разрешения на ретрансляцию при анонимном доступе к соединителю приема) нельзя выполнить с помощью консоли управления Exchange. Для этого шага необходимо использовать командную консоль. |
Создайте соединитель отправки к внешнему шлюзу SMTP на транспортном сервере-концентраторе. Для этого выполните следующие шаги.
Разверните узел Конфигурация организации, щелкните пункт Транспортный сервер-концентратор, а затем в области действий выберите команду Создание соединителя отправки.
В мастере создания соединителя отправки на странице Введение в поле Имя введите уникальное имя соединителя. В раскрывающемся списке Выберите назначение для этого соединителя отправки укажите Интернет и затем нажмите кнопку Далее.
На странице Адресное пространство нажмите кнопку Добавить. В диалоговом окне Адресное пространство SMTP в поле Адрес введите "*" и нажмите кнопку ОК. Нажмите кнопку Далее.
На странице Параметры сети можно выбрать только параметр Выполнять маршрутизацию почты через следующие промежуточные узлы. Нажмите кнопку Добавить.
В диалоговом окне Добавить промежуточный узел в поле IP-адрес или Полное доменное имя введите IP-адрес или полное доменное имя сервера шлюза SMTP и нажмите кнопку ОК. Чтобы задать в качестве промежуточного узла несколько SMTP-шлюзов, нажмите кнопку Добавить и введите дополнительные IP-адреса или полные доменные имена, а затем нажмите кнопку Далее.
На странице Настройка параметров проверки подлинности промежуточных узлов выберите параметр Отсутствует, а затем нажмите кнопку Далее.
На странице Исходный сервер нажмите кнопку Добавить. В диалоговом окне Выбор транспортного сервера-концентратора и подписанных пограничных транспортных серверов выберите один или несколько транспортных серверов-концентраторов в организации, нажмите кнопку ОК, а затем нажмите кнопку Далее.
На странице Создать соединитель нажмите кнопку Создать, а затем на странице Завершение нажмите кнопку Готово.
Создайте соединитель получения на транспортном сервере-концентраторе для получения почты от внешнего шлюза SMTP. Для этого выполните следующие шаги.
Разверните узел Конфигурация организации, щелкните пункт Транспортный концентратор, а затем а области действий выберите команду Создать соединитель приема.
В мастере создания соединителя получения на странице Введение в поле Имя введите уникальное имя соединителя.
В раскрывающемся списке Выберите назначение для этого соединителя выберите Другое и затем нажмите кнопку Далее.
На странице Параметры локальной сети удалите существующую запись Все доступные IPv4, а затем нажмите кнопку Добавить.
В диалоговом окне Добавить привязку получающего соединителя выберите пункт Укажите IP-адрес. Введите IP-адрес, назначенный сетевому адаптеру на локальном сервере, который наилучшим образом подходит для связи с внешним SMTP-сервером. Удостоверьтесь, что в поле Порт указано значение 25, и нажмите кнопку ОК. Оставьте пустым поле Укажите полное доменное имя, которое этот соединитель будет предоставлять в ответ на запрос HELO или EHLO и нажмите кнопку Далее.
На странице Настройки удаленной сети удалите все записи сетевых диапазонов, а затем нажмите кнопку Добавить.
В диалоговом окне Добавить IP-адреса удаленных серверов введите IP-адрес внешнего сервера SMTP-шлюза, а затем нажмите кнопку ОК и кнопку Далее.
На странице Создать соединитель просмотрите раздел Сводка конфигурации. Если все в порядке, нажмите кнопку Создать. Если нужно внести изменения, нажмите кнопку Назад.
На странице Завершение просмотрите следующие сведения и нажмите кнопку Готово, чтобы закрыть мастер.
Состояние Завершено означает, что мастер успешно выполнил операцию.
Состояние Сбой означает, что операцию выполнить не удалось. Если операция дала сбой, для выяснения причин просмотрите сводные данные, а затем нажмите кнопку Назад, чтобы внести изменения в конфигурацию.
Добавьте группу разрешений «Анонимные» для только созданного соединителя приема, выполнив приведенные ниже шаги:
В области задач выберите соединитель приема, созданный в шаге 2, а затем на панели действий выберите пункт Свойства.
Откройте вкладку Группы разрешений. Выберите параметр Анонимные пользователи и нажмите кнопку ОК.Нажмите кнопку ОК, чтобы сохранить изменения и закрыть страницу Свойства.
Предоставьте разрешение на ретрансляцию для только что измененного соединителя приема участнику безопасности «Анонимный вход», выполнив следующие шаги:
Откройте командную консоль.
Выполните следующую команду, используя имя соединителя приема, созданного в шаге 2 и измененного в шаге 3:
Get-ReceiveConnector "Receive Connector Name" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-ReceiveConnector и Add-ADPermission.
Использование командной консоли для создания потока почты Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом с использованием анонимной ретрансляции
В этом примере создается соединитель отправки ToInternetGateway, используемый транспортным сервером-концентратором HubA, настроенным для отправки исходящей электронной почты через внешний SMTP-шлюз smtpgateway1.contoso.com с использованием анонимной ретрансляции.
New-SendConnector -Name "ToInternetGateway" -Usage Internet -AddressSpaces "*" -SmartHosts "smtpgateway1.contoso.com" -SmartHostAuthMechanism None -SourceTransportServers "HubA" -DNSRoutingEnabled $false
В этом примере создается соединитель получения FromInternetGateway для транспортного сервера-концентратора HubA, который прослушивает локальный IP-адрес 10.2.3.4 на порте 25 в ожидании анонимных подключений с сервера SMTP-шлюза с IP-адресом 192.168.5.77.
New-ReceiveConnector -Name "FromInternetGateway" -Server HubA -Usage Custom -PermissionGroups AnonymousUsers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77
В этом примере участнику безопасности «Анонимный вход» предоставляется разрешение на ретрансляцию для соединителя приема, созданного в шаге 2.
Get-ReceiveConnector "FromInternetGateway" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
Подробное описание синтаксиса и параметров команд см. в разделах New-SendConnector, New-ReceiveConnector, Get-ReceiveConnector и add-ADPermission.
© Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.