配置通过 Exchange 托管服务或外部 SMTP 网关的 Internet 邮件流
**适用于:**Exchange Server 2010
**上一次修改主题:**2009-10-15
您可以使用 EMC 或命令行管理程序,配置通过 Microsoft Exchange 托管服务或外部 SMTP 网关的 Internet 邮件流。
Exchange 托管服务是一组服务,包含四种不同的托管服务:
- 托管筛选,帮助组织防御以电子邮件为载体的恶意软件
- 托管存档,帮助组织满足合规性的保留要求
- 托管加密,帮助组织对数据进行加密以保持机密性
- 托管连续性,帮助组织在发生紧急情况期间和之后仍然能够访问电子邮件
这些服务与在内部管理的所有内部部署 Exchange 服务器或通过服务提供商提供的托管 Exchange 电子邮件服务相集成。有关 Exchange 托管服务的详细信息,请参阅 Microsoft Exchange Hosted Services(英文网页)。
在 Exchange Server 2010 中,若要通过 Exchange 托管服务或外部 SMTP 网关建立 Internet 邮件流,需要在 Exchange 组织内的集线器传输服务器与处理和路由 Internet 电子邮件的外部 SMTP 服务器之间创建发送连接器和接收连接器。
在此方案中可以使用以下身份验证方法:
基本身份验证 运行 Exchange 2010 集线器传输服务器角色的服务器和外部 SMTP 服务器使用基本身份验证进行身份验证。此身份验证方法必须提供用户名和密码。Exchange 托管服务无法使用此身份验证方法。
外部安全 通过使用相对于 Exchange 2010 的外部方法来保护集线器传输服务器与外部 SMTP 服务器之间的网络连接。
备注
从功能角度看,将接收连接器配置为外部安全连接器(而不使用外部安全身份验证方法)相当于将接收连接器配置为外部 SMTP 服务器的开放中继。来自外部 SMTP 服务器的邮件均视为已通过身份验证的邮件。该邮件会绕过反垃圾邮件检查和邮件大小限制检查。允许外部 SMTP 服务器提交邮件,就像它们来自 Exchange 组织内的内部发件人一样。有关详细信息,请参阅允许在接收连接器上进行匿名中继。
匿名中继 应将此方法视为最后采取的方法。如果允许外部 SMTP 服务器使用集线器传输服务器上的指定接收连接器以匿名方式中继邮件,则必须在接收连接器上应用以下限制:
- 本地网络设置 如果您的集线器传输服务器具有多个网络适配器,请将接收连接器限制为仅在适当的网络适配器上进行侦听。
- 远程网络设置 将接收连接器限制为仅接受来自指定的单个或多个服务器的连接。此限制是必要的,因为接收连接器被配置为接受来自匿名用户的中继。通过 IP 地址限制源服务器是此接收连接器上允许实行的唯一保护措施。
有关详细信息,请参阅允许在接收连接器上进行匿名中继。
是否正在寻找与管理邮件路由相关的其他管理任务?请查看管理邮件路由。
先决条件
- 如果要使用基本身份验证,Active Directory 林中必须存在域帐户。例如,创建一个用户主体名称 (UPN) 为 smtpgateway@fabrikam.com 的域用户帐户作为凭据,向 Fabrikam 域中的 Exchange 服务器发送邮件时,SMTP 网关必须使用这些凭据进行身份验证。
- 如果正在使用基于传输层安全性 (TLS) 的基本身份验证,则必须将目标服务器配置为使用所包含的完全限定的域名 (FQDN) 与接收连接器的 FQDN 相同的 X.509 证书。
- 如果正在使用外部身份验证,则集线器传输服务器与 SMTP 网关服务器之间必须存在受信任的网络连接。该连接可以是 IPsec 关联或虚拟专用网络 (VPN)。或者,服务器可能驻留在受信任的物理控制网络中。
使用基本身份验证在集线器传输服务器与外部 SMTP 网关之间建立 Internet 邮件流
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅传输权限主题中的“发送连接器”条目。
备注
由于默认接收连接器会接受已通过身份验证的 SMTP 网关提交的电子邮件,因此使用基本身份验证时不需要新的接收连接器。
使用 EMC 通过基本身份验证在集线器传输服务器与外部 SMTP 网关之间建立 Internet 邮件流
- 在集线器传输服务器上打开 EMC。展开“组织配置”,单击“中心传输”****,然后在操作窗格中单击“新建发送连接器”。
- 在“新建发送连接器”向导的“简介”****页上,在“名称”字段中,键入连接器的唯一名称。
- 从“选择此发送连接器的预期用法”下拉列表中,选择“自定义”,然后单击“下一步”。
- 在“地址空间”页上,单击****“添加”。在“SMTP 地址空间”对话框中的“地址”字段中键入 "*",然后单击“确定”。单击“下一步”。
- 在“网络设置”页上,仅能选择“通过下列智能主机路由邮件”****设置。选择此设置,然后单击“添加”。
- 在“添加智能主机”****对话框的“IP 地址”或“完全限定的域名(FQDN)”字段中,键入外部 SMTP 网关服务器的 IP 地址或 FQDN,然后单击“确定”。若要将多个 SMTP 网关指定为智能主机,请单击“添加”,输入其他 IP 地址或 FQDN,然后单击“下一步”。
- 在“配置智能主机身份验证设置”页上,选择“基本身份验证”,单击“基于 TLS 的基本身份验证”,键入将用于验证连接身份的用户名和密码,然后单击“下一步”。
- 在“源服务器”****页上,单击“添加”。在“选择集线器传输服务器和订阅的边缘传输服务器”对话框中,选择组织中的一个或多个集线器传输服务器,单击“确定”,再单击“下一步”。
- 在“新建连接器”页中,单击“新建”,然后在“完成”页中单击“完成”。
使用命令行管理程序通过基本身份验证在集线器传输服务器与外部 SMTP 网关之间建立 Internet 邮件流
运行以下命令。
$mycred = Get-Credential
在出现的对话框中,输入外部 SMTP 网关服务器上用户帐户的凭据。输入用户名并提供用户密码。单击“确定”。
此示例创建由集线器传输服务器 HubA 使用的发送连接器 ToInternetGateway,该服务器使用基本身份验证连接到外部 SMTP 网关 smtpgateway1.contoso.com。
New-SendConnector -Name "ToInternetGateway" -AddressSpaces "*" -SmartHosts "smtpgateway1.contoso.com" -SmartHostAuthMechanism BasicAuth,BasicAuthRequireTLS -AuthenticationCredential $mycred -SourceTransportServers "HubA" -DNSRoutingEnabled $false
有关详细的语法和参数信息,请参阅New-SendConnector。
使用外部安全身份验证在集线器传输服务器与 Exchange 托管服务或外部 SMTP 网关之间建立 Internet 邮件流
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅传输权限主题中的“发送连接器”和“接收连接器”条目。
使用 EMC 通过外部安全身份验证在集线器传输服务器与 Exchange 托管服务或外部 SMTP 网关之间建立 Internet 邮件流
- 按照以下步骤在集线器传输服务器上创建指向外部 SMTP 网关的发送连接器:
- 展开“组织配置”,单击“集线器传输”,然后在操作窗格中单击“新建发送连接器”。
- 在“新建发送连接器”向导的“简介”页上,在“名称”字段中,键入连接器的唯一名称。从“选择此连接器的预期用法”下拉列表中,选择“内部”,再单击“下一步”。
- 在“地址空间”****页上,单击“添加”。在“添加地址空间”对话框的“地址”字段中,键入 "*" 并单击“确定”。单击“下一步”。
- 在“网络设置”页上,只能选择“通过以下智能主机路由邮件”设置。单击“添加”。
- 在“添加智能主机”对话框的“IP 地址”或“完全限定域名(FQDN)”字段中,键入 SMTP 网关服务器的 IP 地址或 FQDN,然后单击“确定”。若要将多个 SMTP 网关服务器指定为智能主机,请单击“添加”,输入其他 IP 地址或 FQDN,再单击“下一步”****。
- 在“配置智能主机身份验证设置”页中,选择“外部保护(例如,使用 IPsec)”****,然后单击“下一步”。
- 在“源服务器”****页上,单击“添加”。在“选择集线器传输服务器和订阅的边缘传输服务器”对话框中,选择组织中的一个或多个集线器传输服务器,单击“确定”,再单击“下一步”。
- 在“新建连接器”页中,单击“新建”,然后在“完成”页中单击“完成”。
- 按照以下步骤在集线器传输服务器上创建用于从外部 SMTP 网关接收邮件的接收连接器:
- 展开“服务器配置”,单击“中心传输”****,然后在操作窗格中,单击“新建接收连接器”。
- 在“新建接收连接器”向导的“简介”****页上,在“名称”字段中,键入连接器的唯一名称。
- 从“选择此连接器的预期用法”下拉列表中,选择“内部”,再单击“下一步”。
- 在“远程网络设置”页上,删除所有网络范围条目,然后单击“添加”****。
- 在“添加远程服务器的 IP 地址”对话框中,键入外部 SMTP 网关服务器的 IP 地址,单击“确定”****,然后单击“下一步”。
- 在“新建连接器”****页中,单击“新建”,然后在“完成”****页中单击“完成”。
- 对于刚创建的接收连接器,请按照以下步骤设置外部安全身份验证方法:
- 在任务窗格中,选择在步骤 2 中创建的接收连接器,然后在操作窗格中单击“属性”****。
- 单击“身份验证”选项卡。清除“基本身份验证”和“Exchange Server”对应的复选框,选择“外部保护(例如,使用 IPsec)”,然后单击“确定”。
使用命令行管理程序通过外部安全身份验证在集线器传输服务器与 Exchange 托管服务或外部 SMTP 网关之间建立 Internet 邮件流
此示例创建由集线器传输服务器 HubA 使用的发送连接器 ToInternetGateway,该服务器配置为使用外部安全身份验证通过外部 SMTP 网关 smtpgateway1.contoso.com 发送传出电子邮件。
New-SendConnector -Name "ToInternetGateway" -Usage Internal -AddressSpaces "*" -SmartHosts "smtpgateway1.contoso.com" -SmartHostAuthMechanism ExternalAuthoritative -SourceTransportServers "HubA" -DNSRoutingEnabled $false
此示例在集线器传输服务器 HubA 上创建接收连接器 FromInternetGateway,该服务器使用外部安全身份验证从 IP 地址为 192.168.1.10 的外部 SMTP 网关接收邮件。
New-ReceiveConnector -Name "FromInternetGateway" -Server HubA -Usage Internal -RemoteIPRanges 192.168.1.10 -AuthMechanism ExternalAuthoritative
有关语法和参数的详细信息,请参阅New-SendConnector和New-ReceiveConnector。
使用匿名中继在集线器传输服务器与外部 SMTP 网关之间建立 Internet 邮件流
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅传输权限主题中的“发送连接器”和“接收连接器”条目。
使用 EMC 和命令行管理程序通过匿名中继在集线器传输服务器与外部 SMTP 网关之间建立 Internet 邮件流
备注
此过程中的步骤 1 到 4 使用 EMC。不能使用 EMC 执行此过程中的最后一个步骤(即,在接收连接器上向匿名访问授予中继权限)。对于该步骤,必须使用命令行管理程序。
- 按照以下步骤在集线器传输服务器上创建指向外部 SMTP 网关的发送连接器:
- 展开“组织配置”,单击“集线器传输”,然后在操作窗格中单击“新建发送连接器”。
- 在“新建发送连接器”向导的“简介”页上,在“名称”字段中,键入连接器的唯一名称。从“选择此发送连接器的预期用法”下拉列表中,选择“Internet”,然后单击“下一步”。
- 在****“地址空间”页上,单击“添加”。在“SMTP 地址空间”对话框中的“地址”字段中键入 "*",然后单击“确定”。单击“下一步”。
- 在“网络设置”页上,仅能选择“通过下列智能主机路由邮件”****设置。单击“添加”。
- 在“添加智能主机”****对话框的“IP 地址”或“完全限定域名(FQDN)”字段中,键入 SMTP 网关服务器的 IP 地址或 FQDN,然后单击“确定”。若要将多个 SMTP 网关服务器指定为智能主机,请单击“添加”,输入其他 IP 地址或 FQDN,再单击“下一步”。
- 在“配置智能主机身份验证设置”页中,选择“无”,然后单击“下一步”。
- 在“源服务器”页上,单击“添加”。在“选择集线器传输服务器和订阅的边缘传输服务器”对话框中,选择组织中的一个或多个集线器传输服务器,单击“确定”,再单击“下一步”。
- 在“新建连接器”****页中,单击“新建”,然后在“完成”****页中单击“完成”。
- 按照以下步骤在集线器传输服务器上创建用于从外部 SMTP 网关接收邮件的接收连接器:
- 展开“服务器配置”,单击“中心传输”,然后在操作窗格中,单击“新建接收连接器”。
- 在“新建接收连接器”向导的“简介”页上,在“名称”****字段中,键入连接器的唯一名称。
- 从“选择此连接器的预期用法”下拉列表中,选择“自定义”****,然后单击“下一步”。
- 在“本地网络设置”页上,删除现有的“所有可用 IPv4”条目,然后单击“添加”。
- 在“添加接收连接器绑定”对话框中,选择****“指定 IP 地址”。键入分配给与外部 SMTP 网关通信能力最强的本地服务器上的网络适配器的 IP 地址。确保“端口”字段的值为 25,然后单击“确定”。将“指定此连接器为响应 HELO 或 EHLO 将提供的 FQDN”****字段留空,然后单击“下一步”。
- 在“远程网络设置”****页上,删除所有网络范围条目,然后单击“添加”。
- 在“添加远程服务器的 IP 地址”对话框中,键入外部 SMTP 网关服务器的 IP 地址,单击“确定”,然后单击“下一步”。
- 在“新建连接器”页上,复查“配置摘要”。如果满意此配置,则单击“新建”。如果要进行修改,则单击“上一步”。
- 在“完成”页上,检查下列内容,然后单击“完成”****关闭向导:
- “已完成”状态表示向导已成功完成任务。
- “失败”****状态表示任务未完成。如果任务失败,请查看摘要获得相应说明,然后单击“上一步”进行配置更改。
- 对于刚创建的接收连接器,按照以下步骤添加匿名权限组:
- 在任务窗格中,选择在步骤 2 中创建的接收连接器,然后在操作窗格中单击“属性”****。
- 单击“权限组”选项卡。选择“匿名用户”,然后单击“确定”。。单击“确定”保存更改并退出“属性”****页。
- 对于刚修改的接收连接器,请按照以下步骤向匿名登录安全主体授予中继权限:
打开命令行管理程序。
使用在步骤 2 中创建并在步骤 3 中修改的接收连接器的名称运行以下命令。
Get-ReceiveConnector "Receive Connector Name" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
有关语法和参数的详细信息,请参阅 Get-ReceiveConnector 和 Add-ADPermission 主题。
使用命令行管理程序通过匿名中继在集线器传输服务器与外部 SMTP 网关之间建立 Internet 邮件流
此示例创建由集线器传输服务器 HubA 使用的发送连接器 ToInternetGateway,该服务器配置为使用匿名中继通过外部 SMTP 网关 smtpgateway1.contoso.com 发送传出电子邮件。
New-SendConnector -Name "ToInternetGateway" -Usage Internet -AddressSpaces "*" -SmartHosts "smtpgateway1.contoso.com" -SmartHostAuthMechanism None -SourceTransportServers "HubA" -DNSRoutingEnabled $false
此示例在集线器传输服务器 HubA 上创建接收连接器 FromInternetGateway,该服务器在本地 IP 地址 10.2.3.4 的端口 25 上侦听来自 IP 地址为 192.168.5.77 的 SMTP 网关服务器的匿名连接。
New-ReceiveConnector -Name "FromInternetGateway" -Server HubA -Usage Custom -PermissionGroups AnonymousUsers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77
此示例在步骤 2 中创建的接收连接器上向匿名登录安全主体授予中继权限。
Get-ReceiveConnector "FromInternetGateway" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
有关语法和参数的详细信息,请参阅 New-SendConnector、New-ReceiveConnector、Get-ReceiveConnector 和 Add-ADPermission。