了解发送连接器
适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上一次修改主题: 2015-03-09
发送连接器是在运行 Microsoft Exchange Server 2010 并且安装了集线器传输服务器角色或边缘传输服务器角色的计算机上配置的。发送连接器代表发送出站邮件时所经过的逻辑网关。本主题简要介绍发送连接器,并介绍发送连接器的配置对单个邮件处理的影响。
发送连接器概述
Exchange 2010 传输服务器向目标地址发送邮件的过程中,需要通过发送连接器将邮件传递到下一个跃点。发送连接器控制从发送服务器到接收服务器或目标电子邮件系统的出站连接。默认情况下,在安装集线器传输服务器角色或边缘传输服务器角色时,不创建任何显式发送连接器。但是,使用基于 Active Directory 站点拓扑自动计算的不可见隐式发送连接器在集线器传输服务器之间以内部方式路由邮件。只有当使用边缘订阅过程将边缘传输服务器订阅到 Active Directory 站点之后,才能建立端到端邮件流。其他方案(例如面向 Internet 的集线器传输服务器或未订阅的边缘传输服务器)必须手动配置连接器,才能建立端到端邮件流。有关详细信息,请参阅传输服务器部署后任务。
在集线器传输服务器上创建的发送连接器存储在 Active Directory 中,可供组织中的所有集线器传输服务器使用。如果将发送连接器配置为向某个外部域发送邮件,则组织中的任何集线器传输服务器会将该域的邮件路由到该连接器的源服务器,以便中继到目标域。
用于将邮件路由到收件人的发送连接器是在邮件分类的路由解析阶段选择的。有关详细信息,请参阅了解邮件路由。
选择发送连接器的使用类型
使用 Exchange 管理控制台 (EMC) 创建发送连接器时,“新建 SMTP 发送连接器向导”会提示您选择连接器的使用类型。使用类型可确定连接器分配的默认权限集,并将这些权限授予受信任的安全主体。安全主体包括用户、计算机和安全组。安全主体由安全标识符 (SID) 进行标识。
在 Exchange 命令行管理程序中使用 New-SendConnector cmdlet 创建发送连接器时,也可以指定使用类型。但是,不需要 Usage 参数。如果在运行 New-SendConnector cmdlet 时未指定使用类型,则默认的使用类型将设置为 Custom。下表描述了发送连接器的使用类型及其默认设置。
发送连接器使用类型
| 类型 | 默认权限 | 被授予默认权限的 SID | 默认智能主机身份验证机制 |
|---|---|---|---|
自定义 |
无 |
无 |
无 |
内部 |
|
|
Exchange Server 身份验证 |
Internet |
Ms-Exch-Send-Headers-Routing |
匿名用户帐户 |
无 |
合作伙伴 |
Ms-Exch-Send-Headers-Routing |
伙伴服务器 |
不适用。与远程域建立相互传输层安全性 (TLS) 身份验证时选择此使用类型。 |
.gif "注释") 注意: |
|---|
| 如果为发送连接器而非智能主机选择了域名系统 (DNS) 解析传递,则不会配置智能主机身份验证机制。 |
本主题稍后将详细讨论发送连接器权限和智能主机身份验证机制。
发送连接器的使用方案
每种使用类型适用于特定的连接方案。请选择默认设置最适合所需配置的使用类型。可以使用 Add-ADPermission 和 Remove-ADPermission cmdlet 修改权限。有关详细信息,请参阅下列主题:
下表列出了常见的连接方案以及适用于每种方案的使用类型。
连接器使用方案
| 连接器方案 | 使用类型 | 注释 |
|---|---|---|
向 Internet 发送电子邮件的边缘传输服务器 |
Internet |
为 Exchange 组织订阅边缘传输服务器时,会自动创建配置为向所有域发送电子邮件的发送连接器。 |
向 Internet 发送电子邮件的集线器传输服务器 |
Internet |
不建议使用此配置。 |
向集线器传输服务器发送电子邮件的已订阅边缘传输服务器 |
内部 |
此连接器由边缘订阅过程自动创建。 |
向 Exchange 2003 桥头服务器发送电子邮件的边缘传输服务器 |
内部 |
Exchange 2003 桥头服务器配置为发送连接器的智能主机。 |
向集线器传输服务器发送电子邮件的边缘传输服务器 |
自定义 |
如果未使用边缘订阅过程,则必须创建手动连接器。使用 Add-ADPermission cmdlet 设置扩展权限。将身份验证机制设置为基本身份验证或外部安全。 |
一个林中的集线器传输服务器的跨林发送连接器,该连接器可向另一个林中的 Exchange 2010 或 Exchange 2007 集线器传输服务器发送电子邮件 |
自定义 |
有关详细的配置步骤,请参阅配置跨林连接器。 |
一个林中的集线器传输服务器的跨林发送连接器,该连接器可向另一个林中的 Exchange 2003 桥头服务器发送电子邮件 |
自定义 |
有关详细的配置步骤,请参阅配置跨林连接器。 |
向第三方智能主机发送电子邮件的集线器传输服务器 |
自定义 |
使用 Add-ADPermission cmdlet 设置扩展权限。将所有邮件路由到智能主机,并将身份验证机制设置为基本身份验证或外部安全。 |
向第三方智能主机发送电子邮件的边缘传输服务器 |
自定义 |
使用 Add-ADPermission cmdlet 设置扩展权限。将所有邮件路由到智能主机,并将身份验证机制设置为基本身份验证或外部安全。 |
向外部中继域发送电子邮件的边缘传输服务器 |
自定义 |
边缘传输服务器可以接受发往外部中继域的电子邮件,然后将邮件中继到该域的权威电子邮件系统。将所有邮件路由到智能主机,设置适合的身份验证机制,以及使用 Add-ADPermission cmdlet 设置扩展权限。 |
向已建立相互 TLS 身份验证的域发送电子邮件的边缘传输服务器 |
合作伙伴 |
只有满足下列条件,才能正常进行相互 TLS 身份验证:
有关详细信息,请参阅 Set-SendConnector。 |
发送连接器权限
为安全主体分配发送连接器权限。安全主体与发送连接器建立会话时,发送连接器权限可以确定可随电子邮件一起发送的头信息类型。如果电子邮件包含发送连接器权限不允许的头信息,则发送邮件时将从邮件中剥离这些头。下表说明了可以分配给安全主体的发送连接器权限。不能使用 EMC 设置发送连接器权限。若要修改发送连接器的默认权限,必须在命令行管理程序中使用 Add-ADPermission cmdlet。
发送连接器权限
| 发送连接器权限 | 说明 |
|---|---|
ms-Exch-Send-Exch50 |
此权限允许会话发送包含 EXCH50 命令的邮件。如果未授予此权限,并且发送了包含 EXCH50 命令的邮件,则服务器将发送邮件,但不包含 EXCH50 命令。 |
Ms-Exch-Send-Headers-Routing |
此权限允许会话发送所有接收的头保持不变的邮件。如果未授予该权限,则服务器将删除所有接收的头。 |
Ms-Exch-Send-Headers-Organization |
此权限允许会话发送所有组织头保持不变的邮件。组织标头均以 X-MS-Exchange-Organization- 作为开头。如果未授予该权限,发送服务器将删除所有组织标头。 |
Ms-Exch-Send-Headers-Forest |
此权限允许会话发送所有林头保持不变的邮件。林头全部以 X-MS-Exchange-Forest- 作为开头。如果未授予该权限,发送服务器将删除所有林头。 |
地址空间和连接器作用域
发送连接器的地址空间可指定该发送连接器将电子邮件路由到的收件人域。在集线器传输服务器上配置的发送连接器上,可以指定 SMTP 地址空间或非 SMTP 地址空间。在边缘传输服务器上配置的发送连接器上,只能指定 SMTP 地址空间。如果使用的地址空间类型不是 SMTP,则必须使用智能主机路由电子邮件。
| 注意: |
|---|
| 尽管可以在集线器传输服务器上的发送连接器上配置非 SMTP 地址空间,但是,发送连接器将使用 SMTP 作为传输机制,将邮件发送到其他邮件服务器。集线器传输服务器上的传递代理连接器和外部连接器用于将邮件发送到非 SMTP 本地邮件服务器,如第三方传真网关服务器。有关详细信息,请参阅了解传递代理和了解外部连接器。 |
下表列出了发送连接器的 SMTP 地址空间的有效条目。
发送连接器的 SMTP 地址空间的有效条目
| 地址空间条目 | 发送连接器将邮件路由到: |
|---|---|
* |
在另一发送连接器条目中没有明确地址空间条目的所有域,或者不是另一发送连接器中某个地址空间包含的子域的所有域。 |
Contoso.com |
电子邮件地址在 Contoso.com 域中的所有收件人。 |
*.Contoso.com |
电子邮件地址在 Contoso.com 域或 Contoso.com 的任何子域中的所有收件人。在 EMC 中,选择“包括所有子域”可以设置此配置。 |
-- |
该地址空间仅在边缘传输服务器上配置的发送连接器上用作向集线器传输服务器发送邮件。使用这一地址空间时,所有发送给接受域的邮件将通过该连接器进行路由。 |
在解析路由期间将选择发送连接器,电子邮件将路由到该发送连接器以传递到目标地址空间。选择了其地址空间与收件人的电子邮件地址最匹配的发送连接器。例如,发送给 Recipient@marketing.contoso.com 的电子邮件将通过配置为使用 *.Contoso.com 地址空间的连接器进行路由。为特定地址空间配置了发送连接器之后,发送到该地址空间的电子邮件将始终通过该连接器进行路由。此外,该连接器的配置设置将始终应用于发送到该地址空间的电子邮件。
可以使用发送连接器的作用域控制该发送连接器在 Exchange 组织中是否可见。默认情况下,Exchange 组织中的所有集线器传输服务器可以使用您创建的所有发送连接器。但是,您可以限制任何发送连接器的作用域,使其只能由同一个 Active Directory 站点中的其他集线器传输服务器使用。
在 Exchange 2010 中,用于指定地址空间的完整语法如下:
<AddressSpaceType>:<AddressSpace>;<AddressSpaceCost>
可以使用下列方法指定发送连接器的作用域:
在 EMC 中,在新建 SMTP 发送连接器向导中的“地址空间”页上或现有发送连接器属性的“地址空间”选项卡中,使用“定域发送连接器”属性。
如果选择了“定域发送连接器”,只有同一个 Active Directory 站点中的集线器传输服务器可以使用该连接器。如果未选择“作用域发送连接器”,Exchange 组织中的所有集线器传输服务器均可以使用该连接器。
在命令行管理程序中,在 New-SendConnector cmdlet 或 Set-SendConnector cmdlet 中使用 IsScopedConnector 参数。
此参数的值为
$true时,只有同一个 Active Directory 站点中的集线器传输服务器可以使用该连接器。此参数的值为$false时,Exchange 组织中的所有集线器传输服务器均可以使用该连接器。
网络设置
可以设置发送连接器,使其通过使用 DNS 地址解析或通过将电子邮件路由到智能主机来传递电子邮件。
使用 DNS 路由电子邮件
发送连接器设置为使用 DNS MX 资源记录来自动路由邮件时,源服务器上的 DNS 客户端必须能够解析公用 DNS 记录。默认情况下,使用在源服务器的内置网络适配器上配置的 DNS 服务器进行名称解析。可使用 EMC 修改 Exchange 服务器属性上的 DNS 设置,以配置某台特定的 DNS 服务器来用于内外部 DNS 查找。还可使用命令行管理程序配置 Set-TransportServer cmdlet 中的参数。
如果在传输服务器上配置用于外部 DNS 查找的特定 DNS 服务器,则必须在新建 SMTP 发送连接器向导的“网络设置”页上选择“使用传输服务器上的外部 DNS 查找设置”,或在命令行管理程序中,在 Set-TransportServer cmdlet 上将 UseExternalDNSServersEnabled 参数设置为 $true。发送连接器的 DnsRoutingEnabled 参数必须也设置为 $true。
有关详细信息,请参阅下列主题:
使用智能主机路由电子邮件
如果为发送连接器选择 Internal 使用类型,则必须指定智能主机。通过智能主机路由邮件时,智能主机会将邮件传递到传递目标中的下一个跃点。可以使用智能主机的 IP 地址或完全限定的域名 (FQDN) 来指定智能主机标识。智能主机标识可以是智能主机服务器的 FQDN、MX 记录或 A(地址)资源记录。如果将 FQDN 配置为智能主机标识,发送连接器的源服务器必须能够使用 DNS 名称解析来定位智能主机服务器。
使用类型为 Internet 的发送连接器的智能主机可以是由 Internet 服务提供商托管的服务器。使用类型为 Custom 或 Internal 的发送连接器的智能主机可以是组织中的其他电子邮件服务器或远程域中的电子邮件服务器。
智能主机安全设置
通过智能主机路由邮件时,必须指定源服务器将如何在智能主机计算机上进行身份验证。除非指定了智能主机目标,否则,不能要求使用发送连接器的安全设置。例如,面向 Internet 的连接器不能设置为要求使用 TLS。
下表列出了可以为发送连接器配置的智能主机身份验证机制。
智能主机身份验证机制
| 安全设置 | 描述 |
|---|---|
无 |
允许匿名访问。 |
基本身份验证 |
基本身份验证要求提供用户名和密码。基本身份验证以明文形式发送凭据。对此发送连接器进行身份验证的所有智能主机必须接受相同的用户名和密码。 |
基于 TLS 的基本身份验证 |
选择 TLS 对凭据的传输进行加密。接收服务器必须拥有服务器证书。此外,服务器证书中还必须有为发送连接器定义作为智能主机标识的智能主机的确切 FQDN、MX 记录或记录。发送连接器将通过向目标服务器发送 STARTTLS 动词来尝试建立 TLS 会话,并仅在 TLS 会话建立后才会执行基本身份验证。若要支持相互 TLS 身份验证,还需要拥有客户端证书。 |
Exchange Server 身份验证 |
Exchange Server 身份验证(通用安全服务应用程序编程接口 (GSSAPI) 和相互 GSSAPI) |
外部保护(例如,使用 IPsec) |
使用 Exchange 服务器外部的方法保护网络连接。 |
源服务器
必须为发送连接器至少选择一台源服务器。源服务器是将邮件路由到的传输服务器,以便通过所选发送连接器进行传递。可以在为 Exchange 组织配置的发送连接器上设置多个源服务器。如果指定了多个源服务器,则某台服务器出现故障时,可以实现负载平衡和冗余。与为 Exchange 组织配置的发送连接器关联的源服务器可以是集线器传输服务器或订阅的边缘传输服务器。
FQDN
在 EMC 中,发送连接器属性的“常规”选项卡包含“指定此连接器为响应 HELO 或 EHLO 将提供的 FQDN”选项。在命令行管理程序中,在 Set-SendConnector cmdlet 中使用 Fqdn 参数可设置此属性。建立 SMTP 会话之后,发送电子邮件服务器与接收电子邮件服务器之间将开始 SMTP 协议转换。发送电子邮件服务器或客户端会将 EHLO 或 HELO SMTP 命令及其 FQDN 发送到接收服务器。随后,接收服务器会相应地发送成功代码并提供其自身的 FQDN。在 Exchange 2010 中,如果在发送连接器上配置发送服务器提供的 FQDN,则可自定义此属性。需要源服务器名称时,将向所连接的邮件服务器显示 Fqdn 参数的值,如以下示例所述:
邮件传出集线器传输服务器或边缘传输服务器之后,在下一个跃点的邮件服务器向邮件添加的最新的 Received: 邮件头字段中
在 TLS 身份验证期间
如果在同时安装了邮箱服务器角色的集线器传输服务器上配置发送连接器,则不使用为 Fqdn 参数指定的任何值。将始终使用通过 Get-ExchangeServer cmdlet 显示服务器的 FQDN。
对于同时安装了集线器传输服务器角色和邮箱服务器角色的服务器,从传出邮件的 Received: 头中删除服务器名称的唯一方法是,使用 Remove-ADPermission cmdlet 从使用连接器的安全主体中删除 Ms-Exch-Send-Headers-Routing 权限。此操作将在邮件传出集线器传输服务器时从邮件中删除所有的 Received: 头。建议不要删除内部邮件的 Received: 头,因为需要使用 Received: 头计算最大跃点计数。有关 Remove-ADPermission cmdlet 和 Get-ExchangeServer cmdlet 的详细信息,请参阅下列主题:
Exchange 2010 Service Pack 1 中的新增功能
Exchange Server 2010 Service Pack 1 (SP1) 向发送连接器添加了新功能。本节概述了这些新功能。
支持将连接失败降级
您可能具有专用的发送连接器负责通过定义明确、预计将始终可用的通信通道传输邮件,如专门向 Microsoft Office 365 或通过专用通道向某个合作伙伴发送邮件的发送连接器。在这种连接中,Internet 上的普通目标上可能存在许多典型错误,而且这些错误都是预测不到的。在这种情况下,您可能需要将任何通信错误视为暂时性错误,而不要发出未送达报告 (NDR)。使用 Exchange 2010 SP1,您可以配置一台发送连接器以将身份验证和名称解析错误降级为暂时性错误,这些错误通常会导致生成 NDR。在这种情况下,Exchange 将再次尝试传递,而不是发出 NDR。
通过将基于可靠连接的连接失败降级,可有机会在不影响用户的情况下解决问题。
.gif "重要") 重要说明: |
|---|
| 仅应对通过定义明确且可靠的网络传输邮件的发送连接器启用此功能。不应对向 Internet 进行发送的发送连接器启用此功能。 |
要配置此功能,请使用 Set-SendConnector cmdlet 的 ErrorPolicies 参数。可选择针对任何发送连接器将身份验证失败和/或 DNS 失败降级。有关配置此属性的详细信息,请参阅 Set-SendConnector。
支持 TLS 域验证
Exchange 2010 SP1 支持对出站 TLS 连接进行域验证。域验证是一项附加的安全功能,用于减少恶意用户模拟接收服务器的风险。在发送连接器上启用域验证时,传输服务器会对出站连接执行下列安全检查:
使用 TLS 加密通信通道。
验证接收服务器的证书,执行吊销列表检查。
传输服务器验证接收服务器证书上的 FQDN 是否与发送连接器属性中配置的域相匹配。
在发送连接器上启用域验证时,还必须指定要对照其进行验证的域名。这两个属性都可使用 Set-SendConnector cmdlet 的 TlsAuthLevel 和 TlsDomain 参数进行配置。有关配置此功能的详细信息,请参阅 Set-SendConnector。
© 2010 Microsoft Corporation。保留所有权利。