在 Exchange Server 中傳送連接器
Exchange 使用傳送連接器從來源 Exchange 伺服器到目的地電子郵件伺服器的輸出 SMTP 連線。 在郵件分類的路由解析階段,會選取用來將郵件路由傳送至收件者的傳送連接器。 如需詳細資訊,請參閱 郵件路由。
您可以在信箱伺服器和Edge Transport Server 上的傳輸服務中建立傳送連接器。 傳送連接器會儲存在Active Directory 中,而且預設 () 組織中的所有信箱伺服器都可以看到。
重要事項
根據預設,當您安裝 Exchange 時,外部郵件流程沒有傳送連接器存在。 若要啟用輸出因特網郵件流程,您必須建立傳送連接器,或將Edge Transport Server 訂閱到您的 Exchange 組織。 如需詳細資訊,請 參閱建立傳送連接器以將郵件傳送至因特網 和 Edge Transport Server。
您不需要設定傳送連接器,即可在相同 Active Directory 樹系中的 Exchange 伺服器之間傳送郵件。 完全瞭解 Exchange 伺服器拓撲的隱含和不可見的傳送連接器可用於將郵件傳送至內部 Exchange 伺服器。 這些連接器會在 隱含傳送連接器 一節中說明。
以下是傳送連接器上的重要設定:
使用類型
網路設定:設定傳送連接器路由傳送郵件的方式:使用 DNS 或自動將所有郵件轉寄至智慧型手機。
位址空間:設定傳送連接器負責的目的地網域。
範圍:設定將連接器傳送至組織中其他 Exchange 伺服器的可見度。
來源伺服器:設定裝載傳送連接器的 Exchange 伺服器。 需要使用傳送連接器傳遞的郵件會路由傳送至其中一部來源伺服器。
在信箱伺服器上,您可以在 Exchange 系統管理中心或 Exchange 管理命令介面中建立和管理傳送連接器。 在 Edge Transport Server 上,則只能使用 Exchange 管理命令介面。
在 Exchange Server 中傳送連接器變更
相較於 Exchange 2010,以下是 Exchange 2016 或 Exchange 2019 中傳送連接器的顯著變更:
您可以設定傳送連接器,以透過前端傳輸服務重新導向或 Proxy 輸出郵件。 如需詳細資訊,請參閱 Configure Send connectors to proxy outbound mail。
IsCoexistenceConnector 參數已無法再使用。
LinkedReceiveConnector 參數已無法再使用。
由於Base64編碼) ,預設訊息大小上限會增加到35 MB (約25 MB。 如需詳細資訊,請參閱 Exchange Server 中的郵件大小和收件者限制。
TlsCertificateName 參數可讓您指定憑證簽發者和憑證主體。 這有助於將詐騙憑證的風險降到最低。
隱含傳送連接器
雖然在安裝 Exchange 伺服器期間不會建立傳送連接器,但會出現名為組織內部傳 送連接器的特殊隱含傳送連接 器。 這個隱含的傳送連接器會自動可用、不可見,而且不需要管理。 組織內傳送連接器存在於傳輸服務中,可在內部傳送郵件給本機 Exchange 伺服器上的服務,或傳送至組織中遠端 Exchange 伺服器上的服務。 例如:
前端傳輸服務至傳輸服務。
將服務傳輸至其他伺服器上的傳輸服務。
已訂閱Edge Transport Server 的傳輸服務。
將服務傳輸至信箱傳輸傳遞服務。
信箱傳輸提交服務至傳輸服務。
如需詳細資訊,請參閱 郵件流程和傳輸管線。
傳送連接器使用類型
針對傳送連接器,使用類型基本上是描述性標籤,可識別傳送連接器的用途。 所有使用類型值都會收到相同的許可權。
您只能在建立傳送連接器時指定連接器使用類型。 當您使用 EAC 時,必須選取 [類型 ] 值。 但是,當您在 Exchange 管理命令介面中使用 New-SendConnector Cmdlet 時,不需使用 -Usage <UsageType>
-<UsageType>
或) (使用類型。
指定使用類型會設定預設的訊息大小上限,您可以在建立連接器之後變更。
下表說明可用的使用類型值。
使用類型 | 訊息大小上限 | Comments |
---|---|---|
自訂 | 35 MB | 無 |
內部 | 無限制 | 當您在 EAC 中建立此使用類型的傳送連接器時,您無法選取 與收件者網域相關聯的 MX 記錄。 建立連接器之後,您可以移至 [傳送連接器] 屬性中的 [ 傳遞 ] 索引標籤,然後選取 與收件者網域相關聯的 MX 記錄。 此相同的限制不存在於 Exchange 管理命令介面中。 您可以使用 Internal 參數,並在 New-SendConnector Cmdlet 上將 DNSRoutingEnabled 設定為 $true 。 |
網際網路 | 35 MB | 無 |
Partner | 35 MB | 當您在 EAC 中建立此使用類型的傳送連接器時,您無法選取 [ 透過智慧主機路由傳送郵件 ] 或智慧型手機驗證機制。 建立連接器之後,您可以移至 [傳送連接器] 屬性中的 [ 傳遞 ] 索引標籤,然後選取 [ 透過智慧型主機路由傳送郵件 ] 和智慧主機驗證機制。 此相同的限制不存在於 Exchange 管理命令介面中。 您可以使用 Partner 參數,並將 DNSRoutingEnabled 設定為 $false ,並在 New-SendConnector Cmdlet 上使用 SmartHosts 和 SmartHostAuthMechanism 參數。 |
傳送連接器網路設定
每個傳送連接器都必須使用下列其中一個選項進行設定:
使用 DNS 路由傳送郵件。
使用一或多個智慧型手機來路由傳送郵件。
使用 DNS 路由傳送郵件
當您選取 DNS 解析來傳遞郵件時,傳送連接器的來源 Exchange 伺服器必須能夠解析連接器上所設定位址空間的 MX 記錄。 根據連接器的本質,以及伺服器中有多少個網路適配器,傳送連接器可能需要存取內部 DNS 伺服器或外部 (公用) DNS 伺服器。 您可以將伺服器設定為針對內部和外部 DNS 查閱使用特定 DNS 伺服器:
在 [伺服器伺服器] 的 EAC 中>>選取伺服器,然後按兩下 [編輯編輯>[DNS 查閱] 索引標籤。
在 Exchange 管理命令介面中,您可以在 Set-TransportService Cmdlet 上使用 ExternalDNS* 和 InternalDNS* 參數。
如果您已經使用個別的 DNS 設定來設定 Exchange 伺服器以用於內部和外部 DNS 查閱,而且傳送連接器會將郵件路由傳送至外部地址空間,則必須設定傳送連接器以使用外部 DNS 伺服器:
在 EAC 中,選取 [在新的傳送連接器精靈] 中 (傳輸 角色的伺服器上使用外部 DNS 查閱設定 ,或在現有連接器屬性的 [ 傳遞 ] 索引卷標上) 。
在 Exchange 管理命令介面中,使用 New-SendConnector 和 Set-SendConnector Cmdlet 上的 UseExternalDNSServersEnabled 參數。
使用智慧型手機路由傳送郵件
當您透過智慧主機路由傳送郵件時,「傳送」連接器會將郵件轉寄至智慧型手機,而智慧型手機則負責將郵件路由傳送至下一個躍點,以前往最終目的地。 智慧主機路由的常見用途是透過反垃圾郵件服務或裝置傳送外寄郵件。
您可以識別一或多個智慧型手機,以個別IP位址 (傳送連接器,例如10.1.1.1.1) 、完整功能變數名稱 (FQDN) (例如 spamservice.contoso.com) ,或兩種類型的值組合。 如果您使用 FQDN,傳送連接器的來源 Exchange 伺服器必須能夠解析 FQDN (可能是 MX 記錄或 A 記錄) 使用 DNS。
智慧主機路由的一個重要部分是智慧型手機所使用的驗證機制。 下表說明可用的驗證機制。
驗證機制 | 描述 |
---|---|
無 (None ) |
不使用驗證。 例如,當來源IP位址限制智慧主機的存取權時。 |
基本身份驗證 (BasicAuth ) |
基本身份驗證。 需要使用者名稱和密碼。 使用者名稱和密碼會以純文字傳送。 |
只有在啟動 TLS () BasicAuthRequireTLS 之後才提供基本身份驗證 |
以 TLS 加密的基本驗證。 這需要智慧型手機上的伺服器證書,其中包含在傳送連接器上定義之智慧型手機的確切 FQDN。 傳送連接器會嘗試藉由將 STARTTLS 命令傳送至智慧主機來建立 TLS 會話,而且只會在建立 TLS 會話之後執行基本身份驗證。 也需要客戶端憑證才能支援相互 TLS 驗證。 |
Exchange Server 驗證 (ExchangeServer ) |
一般安全性服務應用程式設計介面 (GSSAPI) 和相互 GSSAPI 驗證。 |
外部安全 (ExternalAuthoritative ) |
連線應該會使用 Exchange 外部的安全性機制還獲得保護。 連線可能是網際網路通訊協定安全性 (IPsec) 關聯或虛擬私人網路 (VPN)。 或者,伺服器也可能位於實際受控制的信任網路中。 |
傳送連接器位址空間
位址空間會指定傳送連接器所服務的目的地網域。 郵件會根據收件者電子郵件地址的網域,透過傳送連接器路由傳送。
下表說明可用的 SMTP 位址空間值。
地址空間 | 說明 |
---|---|
* |
傳送連接器會將郵件路由傳送至所有網路變數中的收件者。 |
例如,網域 (, contoso.com ) |
傳送連接器會將郵件路由傳送至指定網路變數中的收件者,但不在任何子域中。 |
網域和子域 (例如, *.contoso.com ) |
傳送連接器會將郵件路由傳送至指定網路變數中的收件者,以及所有子域中的收件者。 |
-- |
傳送連接器會將郵件路由傳送至 Exchange 組織中所有已接受網路變數中的收件者。 此值僅適用於將郵件傳送至內部 Exchange 組織之 Edge Transport Server 上的傳送連接器。 |
地址空間也有您可以設定的 類型 和 成本 值。
在Edge Transport Server 上, Type 值必須是 SMTP
。 在信箱伺服器上,您也可以使用非 SMTP 位址空間類型,例如 X400
或任何其他文字字串。 X.400 位址必須符合 RFC 1685 標準 (例如, o=MySite;p=MyOrg;a=adatum;c=us
) ,但其他 Type 值 會接受地址空間的任何文字值。 如果您指定非 SMTP 位址空間類型,傳送連接器必須使用智慧主機路由,且 SMTP 會用來將訊息傳送至智慧主機。 傳遞代理程式連接器和外部連接器會在不使用 SMTP 的情況下,將非 SMTP 訊息傳送至非 SMTP 伺服器。 如需詳細資訊,請參閱 傳遞代理程式和傳遞代理程式連接器 和 外部連接器。
當您在不同來源伺服器上的多個傳送連接器上設定相同的位址空間時,位址空間上 的成本 值會用於郵件流程優化和容錯。 較低的優先順序值表示慣用的傳送連接器。
在郵件分類的路由解析階段,會選取用來將郵件路由傳送至收件者的傳送連接器。 已選取位址空間最符合收件者電子郵件位址且優先順序值最低的傳送連接器。
例如,假設收件者是 julia@marketing.contoso.com。 如果已針對 *.contoso.com 設定傳送連接器,則會透過該連接器路由傳送訊息。 如果未針對 *.contoso.com 設定傳送連接器,則會透過針對 *設定的連接器路由傳送訊息。 如果針對 *.contoso.com 設定相同 Active Directory 網站中的多個 Send 連接器,則會選取優先順序較低的連接器。
傳送連接器範圍
傳送連接器的來源伺服器會決定需要透過傳送連接器路由傳送之郵件的目的地 Exchange 伺服器。 傳送連接器範圍會控制 Exchange 組織內連接器的可見度。
根據預設,傳送連接器會顯示給整個 Active Directory 樹系中的所有 Exchange 伺服器,並用於路由決策。 不過,您可以限制傳送連接器的範圍,使其只能讓相同 Active Directory 站台中的其他 Exchange 伺服器看見。 其他 Active Directory 網站中的 Exchange 伺服器看不到傳送連接器,而且不會用於其路由決策。 以這種方式限制的傳送連接器稱為 限定範圍。
若要在 EAC 中設定限域傳送連接器,您可以在新的 [傳送連接器精靈] 的 [位址空間] 區段中,或在現有 [傳送連接器] 屬性的 [範圍] 索引卷標上,選取 [限域傳送連接器]。 在 Exchange 管理命令介面中,您可以在 New-SendConnector 和 Set-SendConnector Cmdlet 上使用 IsScopedConnector 參數。
傳送連接器許可權
當傳送連接器與目的地電子郵件伺服器建立連線時,傳送連接器許可權會決定可在訊息中傳送的標頭類型。 如果訊息包含許可權不允許的標頭,則會從訊息中移除這些標頭。
許可權會由已知的安全性主體指派給傳送連接器。 安全性主體包含使用者帳戶、電腦帳戶和安全性群組 (可藉由安全性識別碼 (SID) 來加以識別、並可獲派權限的物件)。 根據預設,所有傳送連接器上都會指派具有相同許可權的相同安全性主體,無論您在建立連接器時選取的使用類型為何。 若要修改 Send 連接器的默認許可權,您必須在 Exchange 管理命令介面中使用 Add-ADPermission 和 Remove-ADPermission Cmdlet。
下表說明可用的傳送連接器許可權。
權限 | 指派給 | 描述 |
---|---|---|
ms-Exch-Send-Headers-Forest |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers |
控制是否要在訊息中保留 Exchange 樹系標頭。 樹系標頭名稱的開頭為 X-MS-Exchange-Forest- 。 若未授與此權限,系統會移除訊息中的所有樹系標頭。 |
ms-Exch-Send-Headers-Organization |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers |
控制是否要在訊息中保留 Exchange 組織標頭。 組織標頭名稱的開頭為 X-MS-Exchange-Organization- 。 若未授與此權限,系統會移除訊息中的所有組織標頭。 |
ms-Exch-Send-Headers-Routing |
NT AUTHORITY\ANONYMOUS LOGON <Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Externally Secured Servers MS Exchange\Hub Transport Servers MS Exchange\Legacy Exchange Servers MS Exchange\Partner Servers |
控制在訊息中保留 RECEIVED 標頭。 如果未授與此許可權,所有接收的標頭都會從訊息中移除。 |
ms-Exch-SMTP-Send-Exch50 |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Externally Secured Servers MS Exchange\Hub Transport Servers MS Exchange\Legacy Exchange Servers |
允許來源 Exchange 伺服器在傳送連接器上提交 XEXCH50 命令。 舊版 Exchange (Exchange 2003 或更早版本) 會使用 X-EXCH50 二進位大型物件 (BLOB) 在訊息中儲存 Exchange 資料 (例如,垃圾郵件信賴等級 (SCL))。 如果未授與此許可權,且訊息包含 X-EXCH50 BLOB,Exchange 伺服器會在沒有 X-EXCH50 BLOB 的情況下傳送訊息。 |
ms-Exch-SMTP-Send-XShadow |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers |
此許可權保留供內部Microsoft使用,且僅供參考之用。 |
注意:包含 ms-Exch-Send-Headers-
的許可權名稱是 標頭防火牆 功能的一部分。 如需詳細資訊,請參閱< 標頭防火牆>。
傳送連接器許可權程式
若要查看指派給 Send 連接器上安全性主體的許可權,請在 Exchange 管理命令介面中使用下列語法:
Get-ADPermission -Identity <SendConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
例如,若要查看指派給名為 To Fabrikam.com 之傳送連接器上所有安全性主體的許可權,請執行下列命令:
Get-ADPermission -Identity "To Fabrikam.com" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
若要查看僅指派給名為 To Fabrikam 之傳送連接器上安全性主體 NT AUTHORITY\ANONYMOUS LOGON
的許可權,請執行下列命令:
Get-ADPermission -Identity "To Fabrikam.com" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
若要將許可權新增至傳送連接器上的安全性主體,請使用下列語法:
Add-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...
若要移除傳送連接器上安全性主體的許可權,請使用下列語法:
Remove-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...