接收连接器
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2009-09-02
在运行 Microsoft Exchange Server 2007 并且安装了集线器传输服务器角色和边缘传输服务器角色的计算机上配置接收连接器。接收连接器代表一个逻辑网关,通过该网关,可接收所有入站邮件。此主题提供了接收连接器的概述并说明了接收连接器的配置如何影响个别的邮件处理。
接收连接器的概述
Exchange 2007 传输服务器要求接收连接器从 Internet、电子邮件客户端和其他电子邮件服务器接收邮件。接收连接器控制与 Exchange 组织的入站连接。默认情况下,安装集线器传输服务器角色之后,将自动创建内部邮件流所需的接收服务器。安装边缘传输服务器角色之后,将自动创建能够接收来自 Internet 和集线器传输服务器的邮件的接收连接器。但是,只有当使用边缘订阅过程将边缘传输服务器订阅到 Active Directory 目录服务站点之后,才能建立端到端邮件流。其他方案,如面向 Internet 的集线器传输服务器或未订阅的边缘传输服务器,必须手动配置连接器,才能建立端到端邮件流。有关详细信息,请参阅下列主题:
在 Exchange 2007 中,接收连接器是一个“接收侦听器”。这意味着该连接器会侦听与接收连接器的设置相匹配的入站连接。接收连接器会侦听通过特定的本地 IP 地址和端口接收的、来自指定 IP 地址范围的连接。若要控制哪些服务器接收来自特定 IP 地址或 IP 地址范围的邮件,以及若要针对从特定 IP 地址接收的邮件来配置特殊的连接器属性(如更大的邮件大小、每个邮件的更多收件人或更多的入站连接),则可以创建接收连接器。
注意: |
---|
如果在运行 Windows Server 2008 的计算机上部署 Exchange 2007 Service Pack 1 (SP1),可以以 Internet 协议版本 4 (IPv4) 格式、Internet 协议版本 6 (IPv6) 格式或两种格式输入 IP 地址和 IP 地址范围。Windows Server 2008 的默认安装支持 IPv4 和 IPv6。有关 Exchange 2007 SP1 对 IPv6 地址支持的详细信息,请参阅 Exchange 2007 SP1 和 SP2 中的 IPv6 支持。 |
接收连接器的作用域限于单台服务器,可确定该特定服务器如何侦听连接。在集线器传输服务器上创建接收连接器时,该接收连接器会作为其所在服务器的子对象存储在 Active Directory 目录服务中。在边缘传输服务器上创建接收连接器时,该接收连接器会存储在 Active Directory 应用程序模式 (ADAM) 中。
如果特定方案需要使用其他的接收连接器,可以使用 Exchange 管理控制台或 Exchange 命令行管理程序创建所需的接收连接器。每个接收连接器必须使用绑定的 IP 地址、分配的端口号和远程 IP 地址范围(该连接器接受来自这些 IP 地址的邮件)的唯一组合。
接收连接器使用类型
使用类型决定连接器的默认安全设置。
接收连接器的安全设置可指定向连接到接收连接器的会话授予的权限以及支持的身份验证机制。
使用 Exchange 管理控制台配置接收连接器时,新建 SMTP 接收连接器向导会提示您选择连接器的使用类型。
在 Exchange 2007 的正式发布 (RTM) 版本中,在 Exchange 命令行管理程序中使用 New-ReceiveConnector cmdlet 创建接收连接器时,也可以指定 Usage 参数。但是,在 Exchange 2007 RTM 中,Usage 并非必需的参数。如果在运行 New-ReceiveConnector cmdlet 时没有指定使用类型,则默认的使用类型将设置为 Custom
。
在 Exchange 2007 Service Pack 1 (SP1) 中,在 Exchange 命令行管理程序中使用 New-ReceiveConnector cmdlet 创建接收连接器时,必须指定使用类型。在 Exchange 2007 SP1 中,可以使用两种不同的方法指定使用类型:
使用包含所需值的 Usage 参数,例如 Usage
Custom
。根据您所指定的使用类型,还有其他必需的参数。如果在 New-ReceiveConnector 命令中未指定必需的参数,该命令将失败。使用所需使用类型的开关参数,例如 Custom。根据您所指定的使用类型,还有其他必需的参数。如果在 New-ReceiveConnector 命令中未指定必需的参数,系统将提示您提供缺少的参数值,以便可以继续执行该命令。
权限组
权限组是预定义的权限集,将其授予常用的安全主体并分配给接收连接器。安全主体包括用户、计算机以及安全组。安全主体由安全标识符 (SID) 进行标识。权限组仅用于接收连接器。使用权限组可以简化接收连接器的权限配置操作。PermissionGroups 属性定义可将邮件提交给接收连接器的组或角色以及分配给这些组的权限。在 Exchange 2007 中已经预定义了权限组集,这意味着您无法创建其他权限组。此外,您也无法修改权限组成员或关联的权限。
表 1 列出了可用的权限组,并确定了安全主体以及为接收连接器配置该权限组时所授予的权限。
表 1 接收连接器权限组
权限组名称 | 关联的安全主体 (SID) | 授予的权限 |
---|---|---|
匿名 |
匿名用户帐户 |
|
ExchangeUsers |
通过身份验证的用户帐户 |
|
ExchangeServers |
|
|
ExchangeLegacyServers |
Exchange 旧版 Interop 安全组 |
|
合作伙伴 |
合作伙伴服务器帐户 |
|
注意: |
---|
我们强烈建议不要将接收连接器配置为接受来自未知 IPv6 地址的匿名连接。如果将接收连接器配置为接受来自未知 IPv6 地址的匿名连接,进入组织的垃圾邮件数很可能会增加。目前,还没有任何广泛接受的行业标准协议用于查找 IPv6 地址。大多数 IP 阻止列表提供程序不支持 IPv6 地址。因此,如果接收连接器允许来自未知 IPv6 地址的匿名连接,将增大垃圾邮件制造者绕过 IP 阻止列表提供程序并成功地将垃圾邮件传入您的组织的机率。 有关 Exchange 2007 SP1 对 IPv6 地址支持的详细信息,请参阅 Exchange 2007 SP1 和 SP2 中的 IPv6 支持。 |
接收连接器使用类型
使用类型可确定分配给接收连接器的默认权限组,以及可用于会话身份验证的默认身份验证机制。接收连接器会始终响应发件人的请求以使用传输层安全性 (TLS)。表 2 说明了可用的使用类型和默认设置。
表 2 接收连接器使用类型
使用类型 | 默认权限组 | 默认身份验证机制 |
---|---|---|
客户端(在边缘传输服务器上不可用) |
ExchangeUsers |
TLS 基本身份验证加上 TLS 集成的 Windows 身份验证 |
自定义 |
无 |
无 |
内部 |
ExchangeServers ExchangeLegacyServers(此权限组在边缘传输服务器上不可用。) |
Exchange Server 身份验证 |
Internet |
AnonymousUsers 合作伙伴 |
“无”或“外部安全” |
合作伙伴 |
合作伙伴 |
不适用。与远程域建立相互的 TLS 时,会选择该使用类型。 |
在此主题中,稍后会论述接收连接器权限和身份验证机制。
接收连接器使用方案
每种使用类型适用于特定的连接方案。请选择默认设置最适合所需配置的使用类型。可以使用 Add-ADPermission cmdlet 和 Remove-ADPermission cmdlet 修改权限。有关详细信息,请参阅下列主题:
表 3 列出了常见的连接方案以及适用于每种方案的使用类型。
表 3 接收连接器使用方案
连接器方案 | 使用类型 | 注释 |
---|---|---|
接收来自 Internet 的电子邮件的边缘传输服务器 |
Internet |
安装边缘传输服务器角色后,将自动创建一个配置为接受来自所有域的电子邮件的接收连接器。 |
接收来自 Internet 的电子邮件的集线器传输服务器 |
Internet |
建议不使用此配置。有关详细信息,请参阅如何为 Internet 邮件流配置连接器。 |
接收来自 Exchange Server 2003 或 Exchange 2000 Server 桥头服务器的电子邮件的边缘传输服务器 |
内部 |
在此方案中,将 Exchange 2003 或 Exchange 2000 桥头服务器配置为将边缘传输服务器用作发送连接器的智能主机。 |
接收使用邮局协议 3 (POP3) 或 IMAP4 的客户端应用程序所提交的电子邮件的集线器传输服务器 |
客户端 |
安装集线器传输服务器角色后,将在每台集线器传输服务器上自动创建该接收连接器。默认情况下,将该接收连接器配置为通过 TCP 端口 587 接收电子邮件。 |
接收来自集线器传输服务器的电子邮件的集线器传输服务器 |
内部 |
无须在同一组织内的集线器传输服务器之间配置接收连接器。此使用类型可用来配置跨林的接收连接器。 |
接收来自同一个林中 Exchange 2003 或 Exchange 2000 桥头服务器的电子邮件的集线器传输服务器 |
内部 |
这是一种可选的配置。Exchange 2007 与早期版本 Exchange Server 之间的邮件传输是通过双向路由组连接器来实现的。如果创建连接到 Exchange 2003 路由组或 Exchange 2000 路由组的简单邮件传输协议 (SMTP) 连接器,则必须还要存在一个路由组连接器。有关详细信息,请参阅如何创建从 Exchange 2007 至 Exchange Server 2003 的路由组连接器。 |
接收来自集线器传输服务器的电子邮件的边缘传输服务器 |
内部 |
安装边缘传输服务器角色后,将自动创建一个配置为接受来自所有域的电子邮件的接收连接器。您可以创建另一个连接器,并将其配置为仅接收来自 Exchange 组织的电子邮件。 |
适用于一个林内的集线器传输服务器的跨林接收连接器,它可接收来自另一个林内集线器传输服务器的电子邮件 |
自定义 |
有关详细的配置步骤,请参阅配置跨林连接器。 |
适用于一个林内的集线器传输服务器的跨林接收连接器,它可接收来自另一个林内的 Exchange 2003 或 Exchange 2000 桥头服务器的电子邮件 |
自定义 |
有关详细的配置步骤,请参阅配置跨林连接器。 |
接收来自第三方邮件传输代理的电子邮件的集线器传输服务器 |
内部 |
指定 IP 地址范围以接受来自这些地址的邮件,并将身份验证机制设置为“基本身份验证”或“外部安全”。有关详细信息,请参阅如何为 Internet 邮件流配置连接器。 |
接收来自第三方邮件传输代理的电子邮件的边缘传输服务器 |
自定义 |
使用 Add-AdPermission cmdlet 设置扩展权限。指定 IP 地址范围以接受来自这些地址的邮件,并将身份验证机制设置为“基本身份验证”。也可以选择“内部”使用类型并将“外部安全”设置为身份验证方法。如果选择此选项,则无须配置其他权限。 |
接收来自外部中继域的电子邮件的边缘传输服务器 |
自定义 |
边缘传输服务器可以接受来自外部中继域的电子邮件,然后将电子邮件中继到目标收件人域。指定 IP 地址范围以接受来自这些地址的邮件,设置适用的身份验证机制,然后使用 Add-AdPermission cmdlet 设置扩展的权限。 |
接收来自某个域(您已经与之建立了相互 TLS 身份验证)的电子邮件的边缘传输服务器 |
合作伙伴 |
只有满足下列条件,才能正常进行相互 TLS 身份验证:
有关详细信息,请参阅Set-ReceiveConnector和管理域安全性。 |
接收来自 Microsoft Exchange Hosted Services 服务器的连接的边缘传输服务器 |
自定义 |
Exchange 托管服务服务器可以充当外部权威服务器。若要使用“外部安全”身份验证机制,请使用 Set-ReceiveConnector cmdlet 将 PermissionGroup 参数设置为 |
接收来自 Exchange Hosted Services 服务器的连接的集线器传输服务器 |
自定义 |
Exchange 托管服务服务器可以充当外部权威服务器。若要使用“外部安全”身份验证机制,请使用 Set-ReceiveConnector cmdlet 将 PermissionGroup 参数设置为 |
接收连接器权限
为接收连接器指定权限组时,会将接收连接器权限分配给安全主体。某个安全主体与接收连接器建立会话时,接收连接器权限将决定是否接受该会话以及如何处理收到的邮件。表 4 说明了可以分配给安全主体的接收连接器权限。您可使用 Exchange 管理控制台或在 Exchange 命令行管理程序中结合使用 PermissionGroups 参数与 Set-ReceiveConnector cmdlet 来设置接收连接器的权限。若要修改接收连接器的默认权限,还可以使用 Add-AdPermission cmdlet。
表 4 接收连接器权限
接收连接器权限 | 说明 |
---|---|
ms-Exch-SMTP-Submit |
必须为会话授予此权限,否则会话无法将邮件提交给此接收连接器。如果会话不具备此权限,则 MAIL FROM 和 AUTH 命令将失败。 |
ms-Exch-SMTP-Accept-Any-Recipient |
此权限允许会话通过此连接器中继邮件。如果未授予此权限,则此连接器仅接受发送给所接受域中收件人的邮件。 |
ms-Exch-SMTP-Accept-Any-Sender |
此权限允许会话绕过发件人地址欺骗检查。 |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
此权限允许电子邮件地址位于权威域中的发件人与该接收连接器建立会话。 |
ms-Exch-SMTP-Accept-Authentication-Flag |
此权限允许 Exchange 2003 服务器提交来自内部发件人的邮件。Exchange 2007 会将这些邮件识别为内部邮件。发件人可以声明这些邮件为“受信任”的邮件。通过匿名提交而进入 Exchange 系统的邮件将通过 Exchange 组织进行中继,但此标志处于不受信任的状态。 |
ms-Exch-Accept-Headers-Routing |
此权限允许会话提交收到的所有标头均完整无缺的邮件。如果未授予此权限,则服务器将删除收到的所有标头。 |
ms-Exch-Accept-Headers-Organization |
此权限允许会话提交所有组织标头均完整无缺的邮件。组织标头均以“X-MS-Exchange-Organization-”作为开头。如果未授予此权限,则接收服务器将删除所有组织标头。 |
ms-Exch-Accept-Headers-Forest |
此权限允许会话提交所有林标头均完整无缺的邮件。林头全部以“X-MS-Exchange-Forest-”开头。如果未授予此权限,则接收服务器将删除所有林标头。 |
ms-Exch-Accept-Exch50 |
此权限允许会话提交含有 XEXCH50 命令的邮件。与 Exchange 2000 及 2003 互操作时,需要使用此命令。XEXCH50 命令提供诸如邮件的垃圾邮件可信度 (SCL) 等数据。 |
ms-Exch-Bypass-Message-Size-Limit |
此权限允许会话提交大小超过为连接器配置的邮件大小限制的邮件。 |
Ms-Exch-Bypass-Anti-Spam |
此权限允许会话绕过反垃圾邮件筛选。 |
本地网络设置
在 Exchange 管理控制台中,可以对接收连接器使用本地网络设置来指定 IP 地址和端口,以便传输服务器接受通过该 IP 地址和端口的连接。在 Exchange 命令行管理程序中,使用 Bindings 参数可以指定传输服务器的本地 IP 地址和端口,以便接收连接器接受通过该 IP 地址和端口的连接。这些设置可将接收连接器绑定到传输服务器上特定的网络适配器和 TCP 端口。
默认情况下,将接收连接器配置为使用所有可用的网络适配器和 TCP 端口 25。如果传输服务器具有多个网络适配器,您可能希望将接收连接器绑定到某个特定的网络适配器,或希望接收连接器接受通过备用端口的连接。例如,您可能希望将边缘传输服务器上的其中一个接收连接器配置为接受通过外部网络适配器的匿名连接。并将第二个接收连接器配置为仅接受来自集线器传输服务器且通过内部网络适配器的连接。
注意: |
---|
如果选择将接收连接器绑定到特定的本地 IP 地址,该 IP 地址对接收连接器所在的集线器传输服务器或边缘传输服务器必须有效。如果指定的本地 IP 地址无效,Microsoft Exchange 传输服务在重新启动时可能无法启动。可以将接收连接器绑定到集线器传输服务器或边缘传输服务器上所有可用的 IP 地址,而不是将接收连接器绑定到特定的 IP 地址。 |
配置接收连接器绑定时,请指定网络适配器的 IP 地址。如果将接收连接器配置为接受通过非默认端口的连接,则必须将发送客户端或服务器配置为发送到该端口,并且邮件发件人与接收服务器之间的所有防火墙都必须允许通过该端口的网络通信。
在 Exchange 管理控制台中,新建 SMTP 接收连接器向导的“本地网络设置”页面含有“指定此连接器为响应 HELO 或 EHLO 将提供的 FQDN”选项。在 Exchange 命令行管理程序中,结合使用 Fqdn 参数与 Set-ReceiveConnector cmdlet 可设置此属性。建立 SMTP 会话之后,发送电子邮件服务器与接收电子邮件服务器之间将开始 SMTP 协议转换。发送电子邮件服务器或客户端会将 EHLO 或 HELO SMTP 命令及其完全限定的域名 (FQDN) 发送到接收服务器。随后,接收服务器会相应地发送成功代码并提供其自身的 FQDN。在 Exchange 2007 中,如果在接收连接器上配置此属性,则可以自定义接收服务器所提供的 FQDN。只要要求提供目标服务器名称,就会向已连接的邮件服务器显示 FQDN 值,如以下示例所述:
在接收连接器的默认 SMTP 标题中
当邮件传入集线器传输服务器或边缘传输服务器时,在传入邮件最近的
Received:
头字段中在 TLS 身份验证期间
注意: |
---|
不要修改集线器传输服务器上自动创建的名为“默认 <服务器名称>”的默认接收连接器上的 FQDN 值。如果 Exchange 组织中有多台集线器传输服务器,并且在“Default <Server Name>”接收连接器上更改了 FQDN 值,集线器传输服务器之间的内部邮件流将失败。 |
远程网络设置
在 Exchange 管理控制台中,可以对接收连接器使用远程网络设置来指定 IP 地址范围,以便该接收连接器接受来自这些 IP 地址的连接。在 Exchange 命令行管理程序中,请使用 RemoteIPRanges 参数来指定该接收连接器将接受其连接的 IP 地址范围。默认情况下,在集线器传输服务器和边缘传输服务器上创建接收连接器,以允许来自 {0.0.0.0-255.255.255.255} 的连接或来自每个 IP 地址的连接。
注意: |
---|
在 Exchange 2007 Service Pack 1 (SP1) 中,集线器传输服务器上的默认接收连接器中还存在 IPv6 地址范围 0000:0000:0000:0000:0000:0000:0.0.0.0-ffff:ffff:ffff:ffff:ffff:ffff:255.255.255.255。 |
如果为特定的方案配置接收连接器,请仅将远程网络设置设置为该接收连接器的权限和配置设置所允许的服务器 IP 地址。只要一个范围与另一个范围完全重叠,多个接收连接器就会有重叠的远程 IP 地址范围。当远程 IP 地址范围重叠时,将使用与连接服务器的 IP 地址最匹配的远程 IP 地址范围。
请按照下列其中一种格式输入接收连接器将接受其入站连接的远程服务器 IP 地址或 IP 地址范围:
IP 地址 192.168.1.1
IP 地址范围 192.168.1.10-192.168.1.20
IP 地址以及子网掩码 192.168.1.0 (255.255.255.0)
使用无类别域际路由选择 (CIDR) 表示法的 IP 地址以及子网掩码 192.168.1.0/24
注意: |
---|
如果在运行 Windows Server 2008 的计算机上部署 Exchange Server 2007 SP1,可以以 IPv4 格式、IPv6 格式或两种格式输入 IP 地址和 IP 地址范围。Windows Server 2008 的默认安装支持 IPv4 和 IPv6。有关 Exchange 2007 SP1 对 IPv6 地址支持的详细信息,请参阅 Exchange 2007 SP1 和 SP2 中的 IPv6 支持。 |
接收连接器身份验证设置
在 Exchange 管理控制台中,可以对接收连接器使用身份验证设置,以指定 Exchange 2007 传输服务器所支持的身份验证机制。在 Exchange 命令行管理程序中,可以使用 AuthMechanisms 参数来指定所支持的身份验证机制。可以为一个接收连接器配置多种身份验证机制。请参阅此主题中前面说明的表 2,以了解为每种使用类型自动配置的身份验证机制。表 5 列出了接收连接器可用的身份验证机制。
表 5 接收连接器身份验证机制
身份验证机制 | 说明 |
---|---|
无 |
无需身份验证。 |
TLS |
公布 STARTTLS。要求提供服务器证书以提供 TLS。 |
集成 |
NTLM 和 Kerberos(集成的 Windows 身份验证) |
BasicAuth |
基本身份验证。需要在登录时进行身份验证。 |
BasicAuthRequireTLS |
基于 TLS 的基本身份验证。需要服务器证书。 |
ExchangeServer |
Exchange Server 身份验证(GSSAPI 及相互的 GSSAPI)。 |
ExternalAuthoritative |
该连接因使用 Exchange 外部安全机制而被视为外部安全连接。该连接可能是 Internet 协议安全性 (IPsec) 关联或虚拟专用网络 (VPN)。或者,服务器可能驻留在受信任的物理控制网络中。 |
注意: |
---|
我们强烈建议不要将接收连接器配置为接受来自未知 IPv6 地址的匿名连接。如果将接收连接器配置为接受来自未知 IPv6 地址的匿名连接,进入组织的垃圾邮件数很可能会增加。目前,还没有任何广泛接受的行业标准协议用于查找 IPv6 地址。大多数 IP 阻止列表提供程序不支持 IPv6 地址。因此,如果接收连接器允许来自未知 IPv6 地址的匿名连接,将增大垃圾邮件制造者绕过 IP 阻止列表提供程序并成功地将垃圾邮件传入您的组织的机率。 有关 Exchange 2007 SP1 对 IPv6 地址支持的详细信息,请参阅 Exchange 2007 SP1 和 SP2 中的 IPv6 支持。 |
其他接收连接器属性
接收连接器的属性配置可定义如何通过该连接器接收电子邮件。Exchange 管理控制台中并未提供所有属性。有关可以使用 Exchange 命令行管理程序配置的属性的详细信息,请参阅 Set-ReceiveConnector。
详细信息
有关详细信息,请参阅下列主题: