設定 Exchange Server 2007 HUB Transport role 以接收網際網路郵件
上次修改主題的時間: 2011-06-16
在 Microsoft Exchange Server 2007 中,Edge Transport Server 與 Hub Transport Server 類似。不過,它們都是針對它們所扮演的特定角色來設計,預設設定並不相同。例如,Edge Transport role 是設定為接受網際網路郵件。Hub Transport role 的設定目標,是盡可能提高安全性,而不會接受來自未驗證 (不受信任) 來源的郵件。
因為 Hub Transport Server 設定的安全性目標比 Edge Transport Server 高,所以部分客戶無法執行 (或選擇不要執行) Edge Transport Server。但是,如果您要在 Hub Transport Server 上接收網際網路郵件時,該怎麼辦?本主題描述要如何設定接收連接器,才能在 Hub Transport Server 上接收網際網路郵件。
Exchange 伺服器和網際網路
因為 Microsoft Exchange 需要直接存取 Active Directory 目錄服務,所以 Microsoft Exchange 伺服器不應直接連線至網際網路。無論您選擇 Edge Transport role 或 Hub Transport role 來接收網際網路郵件,Exchange 伺服器都應位於防火牆的後方。您所使用的防火牆類型,取決於必須存取網際網路的通訊協定。若是 Client Access Server 通訊協定 (例如,HTTPS、IMAP 及 POP),Exchange 伺服器應位於反向 Proxy/連接埠轉送防火牆的後方 (例如 Internet Security and Acceleration (ISA) Server)。ISA 可以偵測並阻擋攻擊。若是簡易郵件傳送通訊協定 (SMTP),建議您安裝 Edge Transport role。與其他主動 SMTP 篩選解決方案不同,Edge Transport Server 包含 Exchange 2007 的所有功能,而且可以 (選擇) 完全退出其餘的樹系。
如果您只有一部伺服器,建議您考慮 Hygiene Service,例如 Exchange Hosted Services (EHS)。或者,您的網際網路服務提供者會提供類似的服務。一般來說,單一 Exchange 伺服器的一般組態,是直接將 Microsoft Exchange 放在 NAT 防火牆或反向 Proxy (例如,ISA) 的後方。很明顯地,這種方法會有某些額外的風險。但是對許多較小型的客戶而言,他們可以接受這些風險。
如需 Exchange Server 及網際網路連線可用選項的相關資訊,請檢視主題如何設定網際網路郵件流程的連接器。
使用 Hub Transport role 時無法使用的功能
當您使用 Hub Transport server role (而不是 Edge Transport server role) 來接收網際網路郵件時,主要伺服器功能就會出現下列情況:
Edge Transport Server 可以部署於周邊網路中。為了提供較高的安全性,此伺服器不需要加入網域。相較之下,Hub Transport Server 則必須連線至 Active Directory 目錄服務。
Hub Transport Server 不能被隔離。來自網際網路的 SMTP 資料流可能含有超過 70% 的垃圾郵件。您可以分隔來自內部流量的 SMTP 資料流,如此將有助於避免內部伺服器對垃圾郵件進行處理與篩選。接著,內部伺服器就有空閒,可以執行路由、符合性,以及其他信箱到信箱的作業。如果內部電子郵件是關鍵任務,這種做法就尤其重要。
邊際傳輸規則代理程式無法使用。相反地,集線傳輸規則代理程式可以使用,而且主要是用於符合性。相較之下,邊際傳輸規則主要是用於檢疫。如需本主題的相關資訊,請檢視主題了解傳輸規則 (英文)。
集線傳輸規則包含某些附件選項。不過,集線傳輸無法掃描惡意附件類型的內送 MIME 資料流,而且無法在通訊協定層拒絕郵件。若要解決此遺失功能,防毒產品 (例如 Microsoft Forefront) 可以用來提供此功能。
地址修正代理程式無法在 Hub Transport Server 上使用。一般來說,較大型的企業會使用此代理程式,而這些企業會使用 Edge Transport Server,或是可執行此功能的其他軟體。如需本功能的相關資訊,請檢視主題管理地址修正代理程式。
設定接收連接器
接收連接器代表接收所有輸入郵件所經過的邏輯閘道。有許多方式可以設定接收連接器。不過,下列指示描述使用 Exchange 管理主控台的方法,可讓您用最少的步驟,就完成接收連接器的設定。
在 Exchange 管理主控台中設定接收連接器
在 Exchange 管理主控台中,按一下 [伺服器組態] 節點下的 [集線傳輸]。
在結果窗格中,按一下已安裝 Hub Transport server role 的伺服器名稱。
在工作窗格中,按兩下 [接收連接器] 索引標籤上的 [預設 <Server_Name>]。
在 [權限群組] 索引標籤上,按一下以選取 [匿名使用者] 核取方塊,然後再按一下 [確定]。
.gif "note") 附註: |
|---|
| 如果您未完成此步驟,寄件者就會在郵件傳送至 Hub Transport Server 時,收到下列 NDR 錯誤訊息:「530 5.7.1 未驗證用戶端」。 |
如需接收連接器的相關資訊,請檢視下列主題:
公認的網域
依預設,只有在伺服器是 Windows 網域的成員時,Microsoft Exchange 伺服器才會接受導向至該網域的電子郵件。若要接受傳送至外部 SMTP 網域的電子郵件,您可能需要建立一個新的公認的網域。
如需如何建立新的公認的網域之相關資訊,請檢視主題如何建立公認的網域。
| 附註: |
|---|
| 如果您未完成此步驟,組織中的收件者就可能會在直接傳送郵件時,收到下列 NDR 錯誤訊息:「550 5.7.1 無法轉送」。 |
設定傳送連接器
若要傳送電子郵件,您必須設定傳送連接器。如果您已在包含 Microsoft Exchange Server 2003 的現有環境中安裝 Microsoft Exchange,您可能已擁有傳送連接器 (SMTP 連接器)。您可能需要確認設定。
如果該連接器位於您的 Exchange 2003 伺服器上,您就可以使用 Exchange 2007 管理主控台來檢視設定。不過,對傳送連接器組態進行的所有變更,都必須透過 Exchange 2003 系統管理員完成。例如,如果 Exchange 2003 伺服器上只有一個連接器,則所有輸出的電子郵件都會通過 Exchange 2003 伺服器。如果您在 Exchange 2003 伺服器和 Microsoft Exchange 伺服器上各有一個連接器,則所有輸出的電子郵件都會通過最近的連接器。如果您刪除 Exchange 2003 伺服器上的傳送連接器,而在 Microsoft Exchange 伺服器上有一個傳送連接器,則所有輸出的電子郵件都會通過 Microsoft Exchange 伺服器。
若要在 Microsoft Exchange 設定傳送連接器,請使用 Exchange 管理主控台。如需如何在 Exchange 2007 中建立傳送連接器的相關資訊,請檢視主題如何建立新的傳送連接器。
當您使用 [新增 SMTP 傳送連接器] 精靈建立傳送連接器時,請為 簡介 頁面上的使用類型選取 [網際網路]。為了要讓所有輸出的電子郵件通過連接器,請將 [位址空間] 頁面上連接器的位址空間設為 [*],然後將類型設為 [smtp]。關於所有其他的設定,請您遵循精靈的指示,然後選取要套用至環境的組態。
建議您也為您的網域設定寄件者原則架構 (SPF) 記錄。如需如何設定 SPF 的相關資訊,請檢視主題寄件者識別碼架構 SPF 記錄精靈 (英文)。
如需傳送連接器的相關資訊,請檢視主題了解傳送連接器 (英文)。
反垃圾郵件組態
當環境中未使用 Edge Transport Server 時,Hub Transport Server 就必須執行反垃圾郵件功能。透過 Exchange 管理命令介面,即可輕鬆將本功能新增至 Hub Transport Server。
將反垃圾郵件功能新增至 Hub Transport Server
在 Exchange 管理命令介面中,找出下列目錄:C:\Program Files\Microsoft\Exchange Server\Scripts
輸入下列命令,然後按 ENTER:Install-AntispamAgents.psi
重新啟動電腦。
在啟用反垃圾郵件之後,您將在 Exchange 管理主控台中看到 [反垃圾郵件] 索引標籤。
如需相關資訊,請檢視主題在 Hub Transport Server 上啟用反垃圾郵件功能。
| 附註: |
|---|
| 如果先前有任何反垃圾郵件的 Exchange 2003 設定,您必須將設定移轉至 Microsoft Exchange。如需相關資訊,請檢視主題管理共存環境中的 Exchange 2003 設定。 |
有用的自訂
為了讓 Exchange Server 更順利執行,請考慮執行下列建議:
因為 Exchange 2007 伺服器已直接連線到網際網路,您可能會想要變更在 SMTP 中以 HELO/EHLO 命令傳送的通告 FQDN。若要這樣做,請使用 Exchange 管理主控台,針對傳送及接收連接器進行這項設定。在傳送連接器和接收連接器的 [內容] 中,於 [一般] 索引標籤上指定連接器為了回應 HELO 或 EHLO 所將提供的 FQDN。
因為您不會用到 Edge Server,所以您不需要 Exchange 2007 EdgeSync 服務。在 [服務] 中,將 [Microsoft Exchange EdgeSync] 服務設為 [已停用],以防止該服務啟動並使用系統資源。
確認及疑難排解組態
若要完成設定,請遵循下列步驟:
確定您的 MX 記錄正確無誤
確認您防火牆的連接埠 25 會讓連線輸入通過。
若要在已具有郵件伺服器的情況下執行這項操作,您可以重複使用該伺服器 IP,或是更新防火牆規則以指向新的 Microsoft Exchange 伺服器內部 IP。
使用 Mail Flow Analyzer,可協助您疑難排解可能會發生的問題。此外,還有可協助您診斷 DNS 及 SMTP 接收問題的數個網站,包含下列網站:
相關資訊
如需 Edge Transport server role 的相關資訊,請檢視主題 Edge Transport server role 概觀。
如需 HUB Transport server role 的相關資訊,請檢視主題 Hub Transport server role 概觀。