了解接收连接器
适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上一次修改主题: 2016-11-28
在运行 Microsoft Exchange Server 2010 且安装了集线器传输服务器角色或边缘传输服务器角色的计算机上配置接收连接器。接收连接器代表一个逻辑网关,通过该网关,可接收所有入站邮件。此主题提供了接收连接器的概述并说明了接收连接器的配置如何影响个别的邮件处理。
接收连接器的概述
Exchange 2010 传输服务器需要接收连接器从 Internet、电子邮件客户端和其他电子邮件服务器接收邮件。接收连接器控制与 Exchange 组织的入站连接。默认情况下,安装集线器传输服务器角色之后,将自动创建内部邮件流所需的接收服务器。安装边缘传输服务器角色之后,将自动创建能够从 Internet 和集线器传输服务器接收邮件的接收连接器。但是,只有当使用边缘订阅过程将边缘传输服务器订阅到 Active Directory 站点之后,才能建立端到端邮件流。其他方案,如面向 Internet 的集线器传输服务器或未订阅的边缘传输服务器,必须手动配置连接器,才能建立端到端邮件流。
在 Exchange 2010 中,接收连接器是一个接收侦听器。这意味着该连接器会侦听与接收连接器的设置相匹配的入站连接。接收连接器会侦听通过特定的本地 IP 地址和端口接收的、来自指定 IP 地址范围的连接。若要控制哪些服务器接收来自特定 IP 地址或 IP 地址范围的邮件,以及若要针对从特定 IP 地址接收的邮件来配置特殊的连接器属性(如更大的邮件大小、每个邮件的更多收件人或更多的入站连接),则可以创建接收连接器。
接收连接器的作用域限于单台服务器,可确定该特定服务器如何侦听连接。在集线器传输服务器上创建接收连接器时,该接收连接器会作为其所在服务器的子对象存储在 Active Directory 中。在边缘传输服务器上创建接收连接器时,该接收连接器将存储在 Active Directory 轻型目录服务 (AD LDS) 中。
如果特定方案需要使用其他的接收连接器,可以使用 Exchange 管理控制台 (EMC) 或 Exchange 命令行管理程序创建所需的接收连接器。每个接收连接器必须使用绑定的 IP 地址、分配的端口号和远程 IP 地址范围(该连接器接受来自这些 IP 地址的邮件)的唯一组合。
安装过程中创建的默认接收连接器
安装集线器传输服务器角色或边缘传输服务器角色时,默认情况下将创建某些接收连接器。
集线器传输服务器上创建的默认接收连接器
安装集线器传输服务器角色时,将创建两个接收连接器。典型操作中无需其他的接收连接器,且大多数情况下不必对默认的接收连接器进行配置更改。关于这些连接器的使用类型和配置,请参见下表。
集线器传输服务器上的默认接收连接器配置
连接器名称和使用类型 | 配置 |
---|---|
客户端 Servername:此接收连接器接受来自所有非 MAPI 客户端的 SMTP 连接,如 POP 和 IMAP。 |
|
默认 Servername 此接收连接器接受来自您所拥有的其他集线器传输服务器和任何边缘传输服务器的连接。 |
|
注意: |
---|
必须为负责接受来自边缘传输服务器或其他集线器传输服务器的连接的任何接收连接器分配 Exchange Server 身份验证方法。Exchange Server 身份验证方法是您创建具有“内部”使用类型的接收连接器时的默认身份验证方法。 |
边缘传输服务器上创建的默认接收服务器
在安装过程中,仅创建一个接收连接器。此接收连接器配置为接受来自所有 IP 地址范围的 SMTP 通信,并绑定到本地服务器的所有 IP 地址,并配置为具有 Internet 使用类型,从而该连接器将接受匿名连接。在典型安装中,不需要其他接收连接器。如果使用 EdgeSync,则无需进行任何配置更改,因为边缘订阅过程会自动配置权限和身份验证机制。将授予匿名会话和经过身份验证的会话不同权限集。
如果未使用 EdgeSync,建议您修改此接收连接器的设置并另外创建一个使用类型为“内部”的接收连接器。若要完成接收连接器配置,请按照以下步骤操作:
修改默认接收连接器的设置 将本地网络绑定设置为仅面向 Internet 的网络适配器的 IP 地址。
创建接收连接器 选择“内部”作为连接器使用类型。将本地网络绑定设置为仅面向组织的网络适配器的 IP 地址。将远程网络设置配置为接收来自分配给集线器传输服务器的远程 IP 地址的邮件。
注意: 必须为负责接受来自边缘传输服务器或其他集线器传输服务器的连接的任何接收连接器分配 Exchange Server 身份验证方法。Exchange Server 身份验证方法是您创建具有“内部”使用类型的接收连接器时的默认身份验证方法。 确定是否需要基本身份验证 如果您希望支持基本身份验证,请创建一个本地用户帐户并使用 Add-ADPermission cmdlet 为其授予必要的权限。
有关详细信息,请参阅在不使用 EdgeSync 的情况下配置边缘传输服务器和集线器传输服务器之间的邮件流。
接收连接器使用类型
使用类型决定连接器的默认安全设置。
接收连接器的安全设置可指定向连接到接收连接器的会话授予的权限以及支持的身份验证机制。
使用 EMC 配置接收连接器时,新建 SMTP 接收连接器向导会提示您选择连接器的使用类型。可以使用两种不同方法指定使用类型:
使用包含所需值的 Usage 参数,例如 Usage
Custom
。根据您所指定的使用类型,还有其他必需的参数。如果在 New-ReceiveConnector 命令中未指定必需的参数,该命令将失败。使用所需使用类型的开关参数,例如 Custom。根据您所指定的使用类型,还有其他必需的参数。如果在 New-ReceiveConnector 命令中未指定必需的参数,系统将提示您提供缺少的参数值,以便可以继续执行该命令。
权限组
权限组是预定义的权限集,将其授予常用的安全主体并分配给接收连接器。安全主体包括用户、计算机以及安全组。安全主体由安全标识符 (SID) 进行标识。权限组仅用于接收连接器。使用权限组可以简化接收连接器的权限配置操作。PermissionGroups 属性定义可将邮件提交给接收连接器的组或角色以及分配给这些组的权限。在 Exchange 2010 中已经预定义了权限组集。这意味着您无法创建其他权限组。此外,您也不能修改权限组成员或相关权限。
下表列出了可用的权限组,并标识了为接收连接器配置该权限组时授予的安全主体和权限。
接收连接器权限组
权限组名称 | 关联的安全主体 (SID) | 授予的权限 | ||||
---|---|---|---|---|---|---|
匿名 |
匿名用户帐户 |
|
||||
ExchangeUsers |
通过身份验证的用户帐户 |
|
||||
ExchangeServers |
|
|
||||
ExchangeLegacyServers |
Exchange 旧版 Interop 安全组 |
|
||||
合作伙伴 |
合作伙伴服务器帐户 |
|
接收连接器使用类型
使用类型可确定分配给接收连接器的默认权限组,以及可用于会话身份验证的默认身份验证机制。接收连接器会始终响应发件人的请求以使用 TLS。下表说明了可用的使用类型和默认设置。
接收连接器使用类型
使用类型 | 默认权限组 | 默认身份验证机制 |
---|---|---|
客户端(在边缘传输服务器上不可用) |
ExchangeUsers |
TLS 基本身份验证加上 TLS 集成 Windows 身份验证 |
自定义 |
无 |
无 |
内部 |
ExchangeServers ExchangeLegacyServers(此权限组在边缘传输服务器上不可用。) |
Exchange Server 身份验证 |
Internet |
AnonymousUsers 合作伙伴 |
“无”或“外部安全” |
合作伙伴 |
合作伙伴 |
不适用。与远程域建立相互的 TLS 时,会选择该使用类型。 |
在此主题中,稍后会论述接收连接器权限和身份验证机制。
接收连接器使用方案
每种使用类型适用于特定的连接方案。请选择默认设置最适合所需配置的使用类型。可以使用 Add-ADPermission cmdlet 和 Remove-ADPermission cmdlet 修改权限。有关详细信息,请参阅下列主题:
下表列出了常见的连接方案以及适用于每种方案的使用类型。
接收连接器使用方案
连接器方案 | 使用类型 | 注释 |
---|---|---|
接收来自 Internet 的电子邮件的边缘传输服务器 |
Internet |
安装边缘传输服务器角色后,将自动创建一个配置为接受来自所有域的电子邮件的接收连接器。 |
接收来自 Internet 的电子邮件的集线器传输服务器 |
Internet |
不建议使用此配置。有关详细信息,请参阅配置直接通过集线器传输服务器的 Internet 邮件流。 |
接收来自 Exchange Server 2003 桥头服务器的电子邮件的边缘传输服务器 |
内部 |
在此方案中,将 Exchange 2003 桥头服务器配置为将边缘传输服务器用作发送连接器的智能主机。 |
接收来自使用 POP3 或 IMAP4 的客户端应用程序所提交的电子邮件的集线器传输服务器 |
客户端 |
安装集线器传输服务器角色后,将在每台集线器传输服务器上自动创建该接收连接器。默认情况下,将该接收连接器配置为通过 TCP 端口 587 接收电子邮件。 |
接收来自集线器传输服务器的电子邮件的集线器传输服务器 |
内部 |
无须在同一组织内的集线器传输服务器之间配置接收连接器。此使用类型可用来配置跨林的接收连接器。 |
接收来自同一林中 Exchange 2003 桥头服务器的电子邮件的集线器传输服务器 |
内部 |
这是一种可选的配置。Exchange 2010 与早期版本 Exchange 之间的邮件传输是通过双向路由组连接器来实现的。如果创建到 Exchange 2003 路由组的 SMTP 连接器,则还必须要有路由组连接器。有关详细信息,请参阅创建从 Exchange 2010 到 Exchange 2003 的其他路由组连接器。 |
接收来自集线器传输服务器的电子邮件的边缘传输服务器 |
内部 |
安装边缘传输服务器角色后,将自动创建一个配置为接受来自所有域的电子邮件的接收连接器。您可以创建另一个连接器,并将其配置为仅接收来自 Exchange 组织的电子邮件。 |
适用于一个林内的集线器传输服务器的跨林接收连接器,它可接收来自另一个林内集线器传输服务器的电子邮件 |
自定义 |
有关详细的配置步骤,请参阅配置跨林连接器。 |
适用于一个林内的集线器传输服务器的跨林接收连接器,它可接收来自另一个林内 Exchange 2003 桥头服务器的电子邮件 |
自定义 |
有关详细的配置步骤,请参阅配置跨林连接器。 |
接收来自第三方邮件传输代理 (MTA) 的电子邮件的集线器传输服务器 |
内部 |
指定 IP 地址范围以接受来自这些地址的邮件,并将身份验证机制设置为“基本身份验证”或“外部安全”。 |
接收来自第三方 MTA 的电子邮件的边缘传输服务器 |
自定义 |
使用 Add-ADPermission cmdlet 设置扩展权限。指定 IP 地址范围以接受来自这些地址的邮件,并将身份验证机制设置为“基本身份验证”。也可以选择“内部”使用类型并将“外部安全”设置为身份验证方法。如果选择此选项,则无须配置其他权限。 |
接收来自外部中继域的电子邮件的边缘传输服务器 |
自定义 |
边缘传输服务器可以接受来自外部中继域的电子邮件,然后将电子邮件中继到目标收件人域。指定 IP 地址范围以接受来自这些地址的邮件,设置适用的身份验证机制,然后使用 Add-ADPermission cmdlet 设置扩展权限。 |
接收来自某个域(您已经与之建立了相互 TLS 身份验证)的电子邮件的边缘传输服务器 |
合作伙伴 |
只有满足下列条件,才能正常进行相互 TLS 身份验证:
有关详细信息,请参阅 Set-ReceiveConnector。 |
接收来自 Microsoft Exchange Hosted Services 服务器的连接的边缘传输服务器 |
自定义 |
Exchange Hosted Services 服务器可充当外部权威服务器。若要使用“外部安全”身份验证机制,请使用 Set-ReceiveConnector cmdlet 将 PermissionGroup 参数设置为 |
接收来自 Exchange Hosted Services 服务器的连接的集线器传输服务器 |
自定义 |
Exchange Hosted Services 服务器可充当外部权威服务器。若要使用“外部安全”身份验证机制,请使用 Set-ReceiveConnector cmdlet 将 PermissionGroup 参数设置为 |
接收连接器权限
为接收连接器指定权限组时,会将接收连接器权限分配给安全主体。某个安全主体与接收连接器建立会话时,接收连接器权限将决定是否接受该会话以及如何处理收到的邮件。下表说明了可以分配给安全主体的接收连接器权限。您可使用 EMC 或在命令行管理程序中结合使用 PermissionGroups 参数与 Set-ReceiveConnector cmdlet 来设置接收连接器的权限。若要修改接收连接器的默认权限,还可以使用 Add-ADPermission cmdlet。
接收连接器权限
接收连接器权限 | 说明 |
---|---|
ms-Exch-SMTP-Submit |
必须为会话授予此权限,否则会话无法将邮件提交给此接收连接器。如果会话不具备此权限,则 MAIL FROM 和 AUTH 命令将失败。 |
ms-Exch-SMTP-Accept-Any-Recipient |
此权限允许会话通过此连接器中继邮件。如果未授予此权限,则此连接器仅接受发送给所接受域中收件人的邮件。 |
ms-Exch-SMTP-Accept-Any-Sender |
此权限允许会话绕过发件人地址欺骗检查。 |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
此权限允许电子邮件地址位于权威域中的发件人与该接收连接器建立会话。 |
ms-Exch-SMTP-Accept-Authentication-Flag |
此权限允许 Exchange 2003 服务器提交来自内部发件人的邮件。Exchange 2010 将这些邮件视为内部邮件。发件人可以声明这些邮件为受信任的邮件。通过匿名提交而进入 Exchange 系统的邮件将通过 Exchange 组织进行中继,但此标志处于不受信任的状态。 |
ms-Exch-Accept-Headers-Routing |
此权限允许会话提交收到的所有标头均完整无缺的邮件。如果未授予该权限,则服务器将去除所有接收的标头。 |
ms-Exch-Accept-Headers-Organization |
此权限允许会话提交所有组织标头均完整无缺的邮件。组织标头均以 X-MS-Exchange-Organization- 作为开头。如果未授予该权限,则接收服务器将去除所有组织标头。 |
ms-Exch-Accept-Headers-Forest |
此权限允许会话提交所有林标头均完整无缺的邮件。林头全部以 X-MS-Exchange-Forest- 作为开头。如果未授予该权限,则接收服务器将去除所有林头。 |
ms-Exch-Accept-Exch50 |
此权限允许会话提交含有 XEXCH50 命令的邮件。与 Exchange 2003 互操作时,需要使用此命令。XEXCH50 命令可为邮件提供诸如垃圾邮件可信度 (SCL) 等数据。 |
ms-Exch-Bypass-Message-Size-Limit |
此权限允许会话提交大小超过为连接器配置的邮件大小限制的邮件。 |
Ms-Exch-Bypass-Anti-Spam |
此权限允许会话绕过反垃圾邮件筛选。 |
本地网络设置
在 EMC 中,可以对接收连接器使用本地网络设置来指定 IP 地址和端口,以便传输服务器通过该 IP 地址和端口接受连接。在命令行管理程序中,使用 Bindings 参数可以指定传输服务器的本地 IP 地址和端口,以便接收连接器通过该 IP 地址和端口接受连接。这些设置可将接收连接器绑定到传输服务器上特定的网络适配器和 TCP 端口。
默认情况下,将接收连接器配置为使用所有可用的网络适配器和 TCP 端口 25。如果传输服务器具有多个网络适配器,您可能希望将接收连接器绑定到某个特定的网络适配器,或希望接收连接器通过备用端口接受连接。例如,您可能希望将边缘传输服务器上的其中一个接收连接器配置为接受通过外部网络适配器的匿名连接。并将第二个接收连接器配置为仅接受来自集线器传输服务器且通过内部网络适配器的连接。
注意: |
---|
如果选择将接收连接器绑定到特定的本地 IP 地址,该 IP 地址对接收连接器所在的集线器传输服务器或边缘传输服务器必须有效。如果指定了无效的本地 IP 地址,Microsoft Exchange 传输服务在重新启动时可能会无法启动。可以将接收连接器绑定到集线器传输服务器或边缘传输服务器上所有可用的 IP 地址,而不是将接收连接器绑定到特定的 IP 地址。 |
配置接收连接器绑定时,请指定网络适配器的 IP 地址。如果将接收连接器配置为接受通过非默认端口的连接,则必须将发送客户端或服务器配置为发送到该端口,并且邮件发件人与接收服务器之间的所有防火墙都必须允许通过该端口的网络通信。
在 EMC 中,新建 SMTP 接收连接器向导的“本地网络设置”页面含有“指定此连接器为响应 HELO 或 EHLO 将提供的 FQDN”选项。在命令行管理程序中,结合使用 Fqdn 参数与 Set-ReceiveConnector cmdlet 可设置此属性。建立 SMTP 会话之后,发送电子邮件服务器与接收电子邮件服务器之间将开始 SMTP 协议转换。发送电子邮件服务器或客户端会将 EHLO 或 HELO SMTP 命令及其 FQDN 发送到接收服务器。随后,接收服务器会相应地发送成功代码并提供其自身的 FQDN。在 Exchange 2010 中,如果在接收连接器上配置此属性,则可以自定义接收服务器所提供的 FQDN。只要要求提供目标服务器名称,就会向已连接的邮件服务器显示 FQDN 值,如以下示例所述:
在接收连接器的默认 SMTP 标题中
当邮件传入集线器传输服务器或边缘传输服务器时,在传入邮件最近的
Received:
头字段中在 TLS 身份验证期间
注意: |
---|
不要修改在集线器传输服务器上自动创建的名为“默认 <服务器名称>”的默认接收连接器上的 FQDN 值。如果 Exchange 组织中有多个集线器传输服务器并且更改了“默认 <服务器名称>”接收连接器上的 FQDN 值,则集线器传输服务器之间的内部邮件流将失败。 |
远程网络设置
在 EMC 中,可以对接收连接器使用远程网络设置来指定 IP 地址范围,以便该接收连接器接受来自这些 IP 地址的连接。在命令行管理程序中,请使用 RemoteIPRanges 参数来指定该接收连接器将接受其连接的 IP 地址范围。默认情况下,在集线器传输服务器和边缘传输服务器上创建接收连接器,以允许来自 0.0.0.0-255,255,255,255 的连接或来自每个 IP 地址的连接。
注意: |
---|
在 Exchange 2010 中,集线器传输服务器上的默认接收连接器中还存在 IPv6 地址范围 0000:0000:0000:0000:0000:0000:0.0.0.0-ffff:ffff:ffff:ffff:ffff:ffff:255.255.255.255。 |
如果为特定的方案配置接收连接器,请仅将远程网络设置设置为该接收连接器的权限和配置设置所允许的服务器 IP 地址。只要一个范围与另一个范围完全重叠,多个接收连接器就会有重叠的远程 IP 地址范围。当远程 IP 地址范围重叠时,将使用与连接服务器的 IP 地址最匹配的远程 IP 地址范围。
请按照下列其中一种格式输入接收连接器将接受其入站连接的远程服务器 IP 地址或 IP 地址范围:
IP 地址 192.168.1.1
IP 地址范围 192.168.1.10-192.168.1.20
IP 地址以及子网掩码 192.168.1.0 (255.255.255.0)
使用无类别域际路由选择 (CIDR) 表示法的 IP 地址以及子网掩码 192.168.1.0/24
接收连接器身份验证设置
在 EMC 中,可以对接收连接器使用身份验证设置,以指定 Exchange 2010 传输服务器所支持的身份验证机制。在命令行管理程序中,可以使用 AuthMechanisms 参数来指定所支持的身份验证机制。可以为一个接收连接器配置多种身份验证机制。有关为每个使用类型自动配置的身份验证机制的信息,请参阅本主题前面标题为“接收连接器使用类型”的表格。下表列出了接收连接器可用的身份验证机制。
接收连接器身份验证机制
身份验证机制 | 描述 |
---|---|
无 |
无需身份验证。 |
TLS |
公布 STARTTLS。要求提供服务器证书以提供 TLS。 |
集成 |
NTLM 和 Kerberos(集成的 Windows 身份验证) |
BasicAuth |
基本身份验证。需要在登录时进行身份验证。 |
BasicAuthRequireTLS |
基于 TLS 的基本身份验证。需要服务器证书。 |
ExchangeServer |
Exchange Server 身份验证(通用安全服务应用程序编程接口 (GSSAPI) 和相互 GSSAPI)。 |
ExternalAuthoritative |
该连接因使用 Exchange 外部安全机制而被视为外部安全连接。该连接可能是 Internet 协议安全性 (IPsec) 关联或虚拟专用网络 (VPN)。或者,服务器可能驻留在受信任的物理控制网络中。 |
其他接收连接器属性
接收连接器的属性配置可定义如何通过该连接器接收电子邮件。EMC 中并未提供所有属性。有关可以使用命令行管理程序配置的属性的详细信息,请参阅 Set-ReceiveConnector。
使用接收连接器进行匿名中继
Internet SMTP 消息服务器上的“匿名中继”是严重的安全缺陷,它可能被商业垃圾邮件发送方或垃圾邮件制造者用来隐藏其邮件的源。因此,在面向 Internet 的消息服务器上施加了限制,以防止中继到未经授权的目标。
在 Exchange 2010 中,通常使用接受域来处理中继。接受域是在边缘传输服务器或集线器传输服务器上配置的。另外,还将接受域分类为内部中继域或外部中继域。有关接受域的详细信息,请参阅了解接受域。
您还可以基于传入邮件的源来限制匿名中继。当未验证的应用程序或消息服务器必须使用集线器传输服务器或边缘传输服务器作为中继服务器时,此方法很有用。
在创建被配置为允许进行匿名中继的接收连接器时,需要在接收连接器上施加以下限制:
本地网络设置 将接收连接器限制为只在集线器传输服务器或边缘传输服务器上的相应网络适配器上进行侦听。
远程网络设置 将接收连接器限制为仅接受来自指定的单个或多个服务器的连接。此限制是必要的,因为接收连接器被配置为接受来自匿名用户的中继。通过 IP 地址限制源服务器是此接收连接器上允许实行的唯一保护措施。
要向接收连接器上的匿名用户授予中继权限,可以使用本主题后面部分中描述的任一策略。每个策略都具有优缺点。有关这两种方法的分步说明,请参阅允许在接收连接器上进行匿名中继。
向匿名连接授予中继权限
此策略涉及以下任务:
创建将使用类型设置为
Custom
的接收连接器。向该接收连接器添加匿名权限组。
向该接收连接器上的匿名登录安全主体分配中继权限。
匿名权限组向该接收连接器上的匿名登录安全主体授予以下权限:
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
但是,要允许在此接收连接器上进行匿名中继,还必须向接收连接器上的匿名登录安全主体授予以下权限:
- Ms-Exch-SMTP-Accept-Any-Recipient
此策略的优点是它将中继所需的最少权限授予指定的远程 IP 地址。
此策略的缺点如下所示:
授予必要权限时需要执行其他配置步骤。
来自指定 IP 地址的邮件均视为匿名邮件。因此,邮件不会绕过反垃圾邮件检查,不会绕过邮件大小限制检查,也不能解析匿名发件人。解析匿名发件人的过程中,将强行尝试将匿名发件人的电子邮件地址与全局地址列表 (GAL) 中的相应显示名称进行匹配。
将接收连接器配置为“外部安全”
此策略涉及以下任务:
创建将使用类型设置为
Custom
的接收连接器。向该接收连接器添加 ExchangeServers 权限组。
将
ExternalAuthoritative
身份验证机制添加到该接收连接器。
选择 ExternalAuthoritative
身份验证机制时,需要 ExchangeServers 权限组。此身份验证方法和权限组的组合会向接收连接器上允许的所有传入连接授予以下权限:
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
Ms-Exch-Accept-Exch50
Ms-Exch-Bypass-Anti-Spam
Ms-Exch-Bypass-Message-Size-Limit
Ms-Exch-SMTP-Accept-Any-Recipient
Ms-Exch-SMTP-Accept-Authentication-Flag
此策略的优点如下所示:
配置简便
来自指定 IP 地址的邮件均视为已通过身份验证的邮件。该邮件会躲过反垃圾邮件检查,躲过邮件大小限制检查,并可以解析匿名发件人。
此策略的缺点是将远程 IP 地址视为完全可信的。授予远程 IP 地址的权限允许远程邮件服务器提交邮件,就像这些邮件来自 Exchange 组织内的内部发件人一样。
Exchange 2010 Service Pack 1 中的新增功能
Exchange Server 2010 Service Pack 1 (SP1) 向接收连接器加入了新功能。本节概述了这些新功能。
空换行符控制
邮件服务器建立 SMTP 会话时,将发出 SMTP 命令以发送邮件。指定发件人和收件人信息后,发送服务器使用 DATA 命令传输邮件的内容。发出 DATA 命令后传输的内容称为数据流。数据流以一串特殊字符终止:换行回车符 (CRLF),后接一个句点,再接另一个 CRLF。
空换行符是指前面不紧跟回车 (CR) 符的换行 (LF) 符。SMTP 通信中不允许使用空换行符。尽管可成功传输包含空换行符的邮件,但此类邮件不符合 SMTP 协议标准,可能导致邮件服务器出现问题。
在 Exchange 2010 SP1 中,可配置接收连接器,使其拒绝任何在其数据流中包含空换行符的邮件。此行为由 Set-ReceiveConnector cmdlet 的 BareLineFeedRejectionEnabled 参数控制。默认情况下禁用此设置以保持向后兼容性。有关配置此参数的详细信息,请参阅 Set-ReceiveConnector。
扩展保护功能
Windows 提供通道绑定以通过加密通道对 NTLM 身份验证进行保护,使其免受身份验证中继攻击。在 Exchange 2010 中,Exchange 提供的所有服务已经得到更新,支持身份验证的扩展保护。为了在传输中支持该功能,已经对接收连接器进行了更新。在接收连接器上,您可以进行允许、请求或禁用身份验证的扩展保护功能。
可使用 Set-ReceiveConnector cmdlet 的 ExtendedProtectionPolicy 和 ExtendedProtectionTlsTerminatedAtProxy 参数控制传输服务器处理扩展保护的方式。可配置接收连接器,使其允许或要求扩展保护。将接收连接器配置为要求扩展保护时,将拒绝任何来自不支持扩展保护的主机的传入连接。为了保持向后兼容性,默认情况下禁用扩展保护。有关在接收连接器上配置扩展保护的详细信息,请参阅 Set-ReceiveConnector。
要详细了解扩展保护,请参阅以下资源:
Microsoft 知识库文章 973811,Microsoft 安全公告:身份验证的扩展保护
MSDN 库主题具有扩展保护的集成 Windows 身份验证
© 2010 Microsoft Corporation。保留所有权利。