Exchange Server 中的发送连接器

Exchange 使用发送连接器将出站 SMTP 连接从源 Exchange 服务器连接到目标电子邮件服务器。 用于将邮件路由到收件人的发送连接器是在邮件分类的路由解析阶段选择的。 有关详细信息,请参阅邮件路由

可以在邮箱服务器和边缘传输服务器上的传输服务中创建发送连接器。 发送连接器存储在 Active Directory 中,默认情况下 () 组织中所有邮箱服务器可见。

重要

默认情况下,安装 Exchange 时,不存在用于外部邮件流的发送连接器。 若要启用出站 Internet 邮件流,需要创建发送连接器,或将边缘传输服务器订阅到 Exchange 组织。 有关详细信息,请参阅 创建发送连接器以将邮件发送到 Internet边缘传输服务器

不需要在同一 Active Directory 林的 Exchange 服务器间配置发送连接器即可发送邮件。 完全感知 Exchange 服务器拓扑的隐式和不可见发送连接器可用于将邮件发送到内部 Exchange 服务器。 这些连接器在隐式发送连接器部分进行描述。

以下是发送连接器的重要设置:

  • 使用类型

  • 网络设置:配置发送连接器路由邮件的方式:使用 DNS 或自动将所有邮件转发到智能主机。

  • 地址空间:配置发送连接器负责的目标域。

  • 范围:配置向组织中的其他 Exchange 服务器发送连接器的可见性。

  • 源服务器:配置托管发送连接器的 Exchange 服务器。 需要使用发送连接器传送的邮件将路由到其中一个源服务器。

在邮箱服务器上,可以在 Exchange 管理中心 或 Exchange 命令行管理程序中创建和管理发送连接器。 在边缘传输服务器上,只能使用 Exchange 命令行管理程序。

在 Exchange Server 中发送连接器更改

与 Exchange 2010 相比,Exchange 2016 或 Exchange 2019 中的发送连接器发生了以下显著变化:

  • 你可以配置发送连接器以通过前端传输服务重定向或代理出站邮件。 有关详细信息,请参阅Configure Send connectors to proxy outbound mail

  • IsCoexistenceConnector 参数不再可用。

  • LinkedReceiveConnector 参数不再可用。

  • 默认最大邮件大小增加到 35 MB(由于使用 Base64 编码,实际约为 25 MB)。 有关详细信息,请参阅 Exchange Server 中的邮件大小和收件人限制

  • 使用 TlsCertificateName 参数可以指定证书颁发者和证书使用者。 这有助于将欺诈证书的风险降到最低。

隐式发送连接器

尽管在安装 Exchange 服务器期间不会创建发送连接器,但存在名为组织内部 发送连接器的特殊隐式 发送连接器。 此隐式发送连接器为自动提供、不可见并且无需管理。 组织内发送连接器存在于传输服务中,可以在本地 Exchange 服务器上的服务之间发送内部邮件,也可以向组织中的远程 Exchange 服务器上的服务发送邮件。 例如:

  • 前端传输服务到传输服务。

  • 传输服务到其他服务器上的传输服务。

  • 传输服务到订阅的边缘传输服务器。

  • 传输服务到邮箱传输传递服务。

  • 邮箱传输提交服务到传输服务。

有关详细信息,请参阅Mail flow and the transport pipeline

发送连接器使用类型

对于发送连接器,使用类型基本上算是一个描述性标签,用于标识发送连接器的用途。 所有使用类型值都接收相同的权限。

连接器使用类型只能在创建发送连接器时指定。 使用 EAC 时,必须选择 类型值。 但是,在 Exchange 命令行管理程序中使用 New-SendConnector cmdlet 时,通过使用 或 -<UsageType>) (-Usage <UsageType> 不需要使用类型。

指定使用类型不会配置默认最大邮件大小,可在创建连接器后更改此值大小。

下表介绍了可用的使用类型值。

使用类型 最大邮件大小 Comments
自定义警报 35 MB
内部 不限制 在 EAC 中创建此使用类型的发送连接器时,无法选择" 与收件人域关联的 MX 记录"。 创建连接器后,可以转到发送连接器的属性中的" 传递"选项卡,然后选择" 与收件人域关联的 MX 记录"。

Exchange 命令行管理程序 中不存在此相同限制。 可以使用“内部”开关,并在 New-SendConnector cmdlet 上将 DNSRoutingEnabled 设置为 $true
Internet 35 MB
合作伙伴 35 MB 在 EAC 中创建此使用类型的发送连接器时,无法选择" 通过智能主机路由邮件"或智能主机身份验证机制。 创建连接器后,可以转到发送连接器的属性中的" 传递"选项卡,然后选择" 通过智能主机路由邮件"和智能主机身份验证机制。

Exchange 命令行管理程序 中不存在此相同限制。 可以使用合作伙伴开关,将 DNSRoutingEnabled 设置为 $false ,并在 New-SendConnector cmdlet 上使用 SmartHostsSmartHostAuthMechanism 参数。

发送连接器网络设置

每个发送连接器都需要配置以下选项之一:

  • 使用 DNS 路由邮件。

  • 使用一个或多个智能主机路由邮件。

使用 DNS 路由邮件

选择 DNS 解析传递邮件时,发送连接器的源 Exchange 服务器必须能够解析该连接器上配置的地址空间的 MX 记录。 根据连接器的性质和服务器中存在的网络适配器的数量,发送连接器可要求访问内部 DNS 服务器或外部(公共)DNS 服务器。 你可以将服务器配置为使用特定 DNS 服务器进行内部和外部 DNS 查找:

  • “服务器服务器>>”处的 EAC 中,选择服务器并单击“编辑”图标。>“DNS 查找”选项卡。

  • 在 Exchange 命令行管理程序中,可以在 Set-TransportServicecmdlet 上使用 ExternalDNS*InternalDNS* 参数。

如果你已将具有单独 DNS 设置的 Exchange 服务器配置为用于内部和外部 DNS 查找,并且发送连接器将邮件路由到外部地址空间,则需要将此发送连接器配置为使用外部 DNS 服务器:

  • 在 EAC 中,选择" 在具有传输角色的服务器上使用外部 DNS 查找设置"(位于新的发送连接器向导中,或位于现有连接器的属性的" 传递"选项卡上)。

  • 在 Exchange 命令行管理程序中,对 New-SendConnector 和 Set-SendConnector cmdlet 使用 UseExternalDNSServersEnabled 参数。

使用智能主机路由邮件

当通过智能主机路由邮件时,发送连接器将邮件转发到智能主机,智能主机负责将邮件路由到其到达最终目的地的下一个跃点。 智能主机路由的常见用途是通过反垃圾邮件服务或设备发送传出邮件。

通过单个 IP 地址(例如 10.1.1.1)、完全限定的域名 (FQDN)(例如 spamservice.contoso.com)或两种类型值的组合来标识用于发送连接器的一个或多个智能主机。 如果使用 FQDN,则发送连接器的源 Exchange 服务器必须能够使用 DNS 解析 FQDN(可以是 MX 记录或 A 记录)。

智能主机路由的一个重要部分是智能主机使用的身份验证机制。 下表介绍了可用的身份验证机制。

身份验证机制 说明
(None) 无需身份验证。 例如,当对智能主机的访问受源 IP 地址限制时。
基本身份验证 (BasicAuth) 基本身份验证。 需要用户名和密码。 用户名和密码以明文形式发送。
仅在启动 TLS () BasicAuthRequireTLS后提供基本身份验证 使用 TLS 加密的基本身份验证。 这需要智能主机上的一个服务器证书,该智能主机包含在发送连接器上定义的智能主机的确切 FQDN。

发送连接器尝试通过向智能主机发送 STARTTLS 命令来建立 TLS 会话,并且仅在 TLS 会话建立后才执行基本身份验证。

若要支持相互 TLS 身份验证,还需要拥有客户端证书。
Exchange Server 身份验证 (ExchangeServer) 通用安全服务应用程序编程接口 (GSSAPI) 和相互 GSSAPI 身份验证。
外部保护 (ExternalAuthoritative) 通过使用 Exchange 外部的安全机制假定连接是安全连接。 该连接可能是 Internet 协议安全性 (IPsec) 关联或虚拟专用网 (VPN)。 或者,服务器可能驻留在受信任的物理控制网络中。

发送连接器地址空间

地址空间指定由发送连接器提供服务的目标域。 邮件通过基于收件人电子邮件地址的域的发送连接器进行路由。

下表介绍了可用的 SMTP 地址空间值。

地址空间 解释
* 发送连接器将邮件路由到所有域中的收件人。
域 (例如, contoso.com) 发送连接器将邮件路由到指定域中的收件人,但不会路由到任何子域中的收件人。
域和子域 (,例如, *.contoso.com) 发送连接器将邮件路由到指定域中和所有子域中的收件人。
-- 发送连接将邮件路由到 Exchange 组织中所有接受的域中的收件人。 此值仅可用于将邮件发送到内部 Exchange 组织对边缘传输服务器上的发送连接器。

地址空间还具有可配置的 类型成本值。

在边缘传输服务器上, Type 值必须为 SMTP。 在邮箱服务器上,还可以使用非 SMTP 地址空间类型,如 X400 或任何其他文本字符串。 X.400 地址需要符合 RFC 1685 (例如 o=MySite;p=MyOrg;a=adatum;c=us ,) ,但其他 Type 值接受地址空间的任何文本值。 如果指定非 SMTP 地址空间类型,则发送连接器必须使用智能主机路由,而 SMTP 用于向智能主机发送邮件。 传递代理连接器和外部连接器不使用 SMTP 即可将非 SMTP 邮件发送到非 SMTP 服务器。 有关详细信息,请参阅 传递代理和传递代理连接器外部连接器

当不同源服务器的多个发送连接器上配置的地址空间相同时,地址空间的 成本价值可用于邮件流优化和容错。 优先级值越低,则发送连接器的优先级越高。

用于将邮件路由到收件人的发送连接器是在邮件分类的路由解析阶段选择的。 选择了其地址空间与收件人的电子邮件地址最匹配、优先级最低的发送连接器。

例如,假设收件人为 julia@marketing.contoso.com。 如果为 *.contoso.com 配置了发送连接器,则邮件将通过该连接器进行路由。 如果没有为 *.contoso.com 配置任何发送连接器,则邮件将通过为 * 配置的连接器进行路由。 如果为 *.contoso.com 配置了同一 Active Directory 站点中的多个发送连接器,则会选择优先级值较低的连接器。

发送连接器作用域

发送连接器的源服务器为需要通过该发送连接器进行路由的邮件确定目标 Exchange 服务器。 发送连接器作用域可控制连接器在 Exchange 组织中是否可见。

默认情况下,发送连接器对整个 Active Directory 林中的所有 Exchange 服务器可见,并可用于制定路由决策。 不过,你可以限制发送连接器的作用域,使其只对同一 Active Directory 站点中的其他 Exchange 服务器可见。 发送连接器对其他 Active Directory 站点中的 Exchange 服务器不可见,且不可用于制定它们的路由决策。 以这种方式限制的发送连接器的范围是限定

若要在 EAC 中配置作用域发送连接器,请在新的发送连接器向导的" 地址空间"部分或在现有发送连接器的属性的" 作用域"选项卡中选择" 作用域发送连接器"。 在 Exchange 命令行管理程序中,对 New-SendConnector 和 Set-SendConnector cmdlet 使用 IsScopedConnector 参数。

发送连接器权限

当发送连接器与目标电子邮件服务器建立连接时,发送连接器权限确定可在邮件中发送的标头类型。 如果邮件包含权限不允许的标题,则会从邮件中删除这些标题。

由已知的安全主体为发送连接器分配权限。 安全主体包括用户帐户、计算机帐户和安全组(可通过安全标识符或具有向其分配权限的 SID 来标识的对象)。 默认情况下,将在所有发送连接器上分配具有相同权限的相同安全主体,而不考虑创建该连接器时选择的使用类型。 若要修改发送连接器的默认权限,必须在 Exchange 命令行管理程序中使用 Add-ADPermissionRemove-ADPermission cmdlet。

下表介绍了可用的发送连接器权限。

权限 分配到 说明
ms-Exch-Send-Headers-Forest <Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers
控件邮件中 Exchange 林邮件头的保留情况。 林邮件头名称以 X-MS-Exchange-Forest- 开头。 如果没有授予此权限,则所有林邮件头都会从邮件中删除。
ms-Exch-Send-Headers-Organization <Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers
控件邮件中 Exchange 组织邮件头的保留情况。 组织邮件头名称以 X-MS-Exchange-Organization- 开头。 如果没有授予此权限,则所有组织邮件头都会从邮件中删除。
ms-Exch-Send-Headers-Routing NT AUTHORITY\ANONYMOUS LOGON

<Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Externally Secured Servers

MS Exchange\Hub Transport Servers

MS Exchange\Legacy Exchange Servers

MS Exchange\Partner Servers
控件邮件中 RECEIVED 邮件头的保留情况。 如果没有授予此权限,则所有接收到的邮件头都会从邮件中删除。
ms-Exch-SMTP-Send-Exch50 <Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Externally Secured Servers

MS Exchange\Hub Transport Servers

MS Exchange\Legacy Exchange Servers
允许源 Exchange 服务器在发送连接器上提交 XEXCH50 命令。 较旧版本的 Exchange(Exchange 2003 以及更早版本)使用 X-EXCH50 二进制大型对象 (BLOB) 将 Exchange 数据存储在邮件中(例如,垃圾邮件可信度或 SCL)。

如果未授予此权限,且邮件包含 X-EXCH50 BLOB,则 Exchange 服务器将发送不带 X-EXCH50 BLOB 的邮件。
ms-Exch-SMTP-Send-XShadow <Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers
此权限仅供 Microsoft 内部使用,在此处仅供参考。

注意:包含 ms-Exch-Send-Headers- 的权限名称是 标头防火墙 功能的一部分。 有关详细信息,请参阅邮件头防火墙

发送连接器权限程序

若要查看分配给发送连接器中的安全主体的权限,请使用 Exchange 命令行管理程序 中的以下语法:

Get-ADPermission -Identity <SendConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

例如,若要查看分配给名为 To Fabrikam.com 的发送连接器上的所有安全主体的权限,请运行以下命令:

Get-ADPermission -Identity "To Fabrikam.com" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

若要查看仅在名为 To Fabrikam 的发送连接器上分配给安全主体 NT AUTHORITY\ANONYMOUS LOGON 的权限,请运行以下命令:

Get-ADPermission -Identity "To Fabrikam.com" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

若要将权限添加到发送连接器上的安全主体,请使用以下语法:

Add-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

若要将权限从发送连接器上的安全主体删除,请使用以下语法:

Remove-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...