規劃 SharePoint Server 伺服器陣列的外寄電子郵件
適用於:2013 Subscription Edition SharePoint in Microsoft 365
外寄電子郵件是月臺管理員可以實作數個電子郵件通知功能的基礎。 這些功能有助於使用者追蹤個別網站集合的變更與更新,以及允許網站管理員傳送狀態訊息。
關於外寄電子郵件
正確設定外寄電子郵件是實作電子郵件警示和通知的需求。 外寄電子郵件功能會使用輸出的簡易郵件傳輸通訊協定 (SMTP) 服務來轉送電子郵件警示和通知。 這些電子郵件功能包括:
提醒
在大型且不斷成長的網站集合中,使用者需要一種方式來跟上清單、文檔庫和討論的更新。 警示有助於讓使用者知道變更。 例如,若有許多使用者在同一份文件上工作,文件的擁有人可以設定提醒,當本文件有變更時,就發出通知。 使用者可以指定要追蹤網站集合的哪些區域或哪份文件,並決定接收通知的頻率。
注意事項
使用者至少必須具有 [ 檢視] 許可權,才能設定警示。
管理訊息
網站管理員可能會想在使用者要求存取網站,或是網站擁有者超出其指定儲存空間時,收到通知。 設定外寄電子郵件可讓網站管理員接收網站管理問題的自動通知。
您可以在 SharePoint 管理中心網站的 [ 系統 設定] 區段中提供的伺服器陣列層級 (以及管理中心) 的 [應用程式 管理 ] 區段中提供的 Web 應用層級 (啟用外寄電子郵件支援。 Web 應用層級的外寄電子郵件設置會覆寫在伺服器數位級設定的設定。 您也可以為特定 Web 應用程式指定不同的設定。
外寄電子郵件的重要規劃階段
規劃外寄電子郵件設置時,您必須考慮下列元件:
用來轉送電子郵件警示和通知的 SMTP 服務。 您將需要使用 SMTP 郵件伺服器之 DNS 名稱或 IP 位址。
識別訊息寄件者的提醒訊息標頭所使用之地址。
當使用者回復警示或通知時,顯示在訊息之 [ 至 ] 欄位中的回覆位址。
提醒訊息主文中所使用的字元集。
外送 SMTP 伺服器
SMTP 服務是網際網路資訊服務 (IIS) 的元件,但是 IIS 預設不會啟用此元件。 您可以在伺服器管理員中使用 [新增角色和功能 精靈] 來啟用此功能。
決定要使用哪個 SMTP 伺服器之後,SMTP 伺服器必須設定為允許匿名存取,並允許轉送電子郵件訊息。 此外,如果您想要能夠將訊息傳送至外部電子郵件位址,SMTP 伺服器必須具有因特網存取權。
如需安裝、設定及管理 SMTP 服務的詳細資訊,請參閱 外寄電子郵件組態 。
注意事項
只有伺服器陣列管理員群組的成員可以設定 SMTP 伺服器。 使用者也必須是伺服器上本機管理員群組的成員。
寄件者與回覆地址
設定外寄電子郵件時,您可以設定下列兩個位址:
寄件者地址
提醒和通知是由伺服器陣列上的管理帳戶所傳送。 此帳戶可能不是您想要在電子郵件訊息的 [ 寄 件者] 字段中顯示的帳戶。 您使用的位址不需要對應至實際的電子郵件帳戶;它可以是使用者可辨識的簡單易記位址。 例如,「網站管理員」可能就是很適當的 [寄件者] 地址。
回覆地址
這是當使用者回復警示或通知時,顯示在訊息 [ 至 ] 欄位中的位址。 [回覆地址] 也應該是受監視的帳號,以確保使用者能針對提出的問題收到快速的回應。 例如,「服務台」別名可能就是很適當的 [回覆地址]。
字元集
當您設定外寄電子郵件時,您必須指定要在電子郵件訊息本文中使用的字元集。 字元集是其可識別代碼值的字元對應。 外寄電子郵件的預設字元集是 Unicode UTF-8,可讓大部分的字元組合 (包括雙向文字) 在單一檔中共存。 大多數的情況下,預設的 UTF-8 設定運作相當良好,然而東亞語言最好還是用其本身的字元集轉譯為佳。
請注意,若您選取了特定的語言代碼,但郵件讀取程式設定了其他語言,則文字有可能無法正確顯示。
SMTP 伺服器驗證
SMTP 伺服器驗證功能僅適用於 SharePoint Server 2019。
SharePoint Server 2019 支援以匿名方式或透過驗證連線到 SMTP 伺服器。 如果您的 SMTP 伺服器需要驗證,您必須提供 SharePoint 將用來向 SMTP 伺服器進行驗證的認證。 建議使用符合 From 位址的帳戶認證。 如果您想要針對不同的帳戶使用認證,請確定帳戶具有模擬發件者位址的「傳送身分」許可權。
注意事項
如果您使用 Windows 帳戶向 SMTP 伺服器進行驗證,您可以使用通用主體名稱 (UPN) 格式來指定使用者名稱 () user@domain.com 或 NT4 登入格式 (DOMAIN\user) 。 如果您使用非 Windows 帳戶向 SMTP 伺服器進行驗證,請連絡電子郵件管理員以判斷正確的使用者名稱格式。
您必須先在伺服器陣列中的每個伺服器上設定應用程式認證金鑰,才能提供認證。 應用程式認證金鑰是用來加密和解密 SMTP 密碼的個別密碼。 伺服器陣列中所有伺服器上的應用程式認證金鑰必須相同。 Microsoft建議針對應用程式認證密鑰使用強密碼,並避免重複使用與伺服器陣列複雜密碼、伺服器數位服務帳戶等相同的密碼。
SharePoint 支援下列簡單驗證和安全性層 (SASL) 機制來向 SMTP 伺服器進行驗證:
GSSAPI (Kerberos、NTLM)
NTLM
登錄
注意事項
SharePoint 會使用下列服務主體名稱 (SPN) ,在 Kerberos 和 NTLM 驗證期間向 SMTP 伺服器進行驗證,其中 <host> 是您提供的 SMTP 伺服器名稱:
SMTPSVC/<host>
使用 TLS 連線加密
將 [使用 TLS 連線加密 ] 設定為 [是],要求 SharePoint 在傳送電子郵件之前,先建立 SMTP 伺服器的加密連線。 SMTP 伺服器上必須安裝有效的伺服器證書,才能建立加密的連線。 如果此設定為 [是],且無法建立加密連線,則不會傳送任何電子郵件。
注意事項
SharePoint 支援 STARTTLS 來建立對 SMTP 伺服器的 TLS 連線加密。 它不支援 SMTPS 建立對 SMTP 伺服器的 SSL 連線加密。
注意事項
雖然 SharePoint 在將電子郵件傳送至 SMTP 伺服器時可能需要 TLS 連線加密,但無法控制當該 SMTP 伺服器將電子郵件傳送至其他 SMTP 伺服器時,是否會使用聯機加密。 請與電子郵件管理員合作,設定 SMTP 伺服器以支援連線加密。
搭配 SMTP 伺服器使用用戶端憑證驗證
注意事項
此使用客戶端憑證驗證搭配 SMTP 伺服器功能僅適用於 SharePoint Server 訂閱版本。
透過 SMTP 的用戶端憑證驗證是選擇性的進階驗證組態,可讓「用戶端」在此案例中 (,SharePoint) 使用用戶端呈現給伺服器的 X.509 憑證向 SMTP 伺服器進行驗證。 此驗證是「而非」或「除了」用戶名稱/密碼認證。 此設定並不常見,但可用於標準使用者名稱/密碼驗證不足的高安全性環境中。
注意事項
您不需要使用用戶端憑證驗證來使用對 SMTP 伺服器的 TLS 連線加密。
以下是 SharePoint 對 SMTP 伺服器使用用戶端憑證驗證的需求:
- SMTP 伺服器必須設定為支援 TLS 連線加密的 STARTTLS。
- 使用 STARTTLS 建立 TLS 連線時,SMTP 伺服器必須設定為接受或要求客戶端憑證。
- SharePoint 必須設定為使用對 SMTP 伺服器的 TLS 連線加密。
- 連線到 SMTP 伺服器時,SharePoint 必須設定為使用用戶端憑證。
- 傳送電子郵件 (的 SharePoint 處理帳戶,其中可能包含 SharePoint 伺服器陣列服務帳戶和 Web 應用程式服務帳戶) 必須具有讀取 X.509 憑證私鑰的許可權。
- X.509 憑證必須符合下列需求:
- X.509 憑證必須位於 SharePoint 的「結束實體」證書存儲中。
- X.509 憑證必須使用 RSA 或 ECC (ECDSA) 金鑰。 不支援 DSA 金鑰。
- X.509 憑證必須有私鑰。
- 如果 X.509 憑證具有金鑰使用方式延伸模組,則延伸模組必須包含「數位簽名」使用方式。
- 如果 X.509 憑證具有擴充密鑰使用方式延伸模組,則延伸模組必須包含 「客戶端驗證」 (OID:1.3.6.1.5.5.5.7.3.2) 使用方式。
在管理中心中如何設定此專案的範例螢幕快照:
電子郵件模擬
某些 SharePoint 功能可能會在傳送電子郵件以個人化郵件時模擬終端使用者。 例如,當使用者要求存取網站時,SharePoint 會將電子郵件通知的「寄件者」位址設定為提出要求的使用者。
某些 SMTP 伺服器可能會封鎖模擬,以保護使用者免於未經授權嘗試詐騙其身分識別。 如果您的 SMTP 伺服器封鎖模擬,有數個選項可允許傳送 SharePoint 電子郵件:
授與 SharePoint 已驗證電子郵件帳戶的許可權,以模擬使用者
Microsoft Exchange Server 可讓您在透過接收連接器傳送電子郵件時,授與用戶模擬其他用戶的許可權。 這些權限包括:
接收連接器權限 | 描述 |
---|---|
ms-Exch-SMTP-Submit |
必須授與會話此許可權,否則將無法將訊息提交至此接收連接器。 如果會話沒有此許可權,則MAIL FROM和AUTH命令將會失敗。 |
ms-Exch-SMTP-Accept-Any-Recipient |
此許可權可讓會話透過此連接器轉送訊息。 如果未授與此許可權,此連接器只會接受尋址給已接受網域中收件者的訊息。 |
ms-Exch-SMTP-Accept-Any-Sender |
此權限允許工作階段略過寄件者地址詐騙檢查。 注意: 只有當 SharePoint 模擬電子郵件帳戶不受貴組織管理的使用者時,才需要此許可權。 |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
此許可權可讓在授權網域中具有電子郵件地址的寄件者,建立此接收連接器的會話。 |
ms-Exch-Accept-Headers-Routing |
此許可權可讓會話提交訊息,其中所有接收的標頭都保持不變。 如果未授與此許可權,伺服器將會刪除所有接收的標頭。 |
在您的 Microsoft Exchange Server 上執行此命令,以授與 SharePoint 驗證電子郵件帳戶的許可權,以透過接收連接器模擬其他使用者:
Get-ReceiveConnector "<Receive Connector Name>" | Add-ADPermission -User <DOMAIN\AuthenticatedEmailAccount> -ExtendedRights ms-Exch-SMTP-Submit, ms-Exch-SMTP-Accept-Any-Recipient, ms-Exch-SMTP-Accept-Any-Sender, ms-Exch-SMTP-Accept-Authoritative-Domain-Sender, ms-Exch-Accept-Headers-Routing
注意事項
使用 Microsoft Exchange Server 2013 或更新版本時,此許可權應套用至用戶端 Proxy 接收連接器。 使用 Microsoft Exchange Server 2010 或更早版本時,此許可權應套用至用戶端前端接收連接器。
停用 SharePoint 電子郵件模擬
您可以設定每個 SharePoint Web 應用程式來停用電子郵件模擬。 這可確保 SharePoint 一律使用在 Web 應用層級指定的 From 和 Reply-To 位址。 執行下列命令以停用 SharePoint 電子郵件模擬:
啟動 SharePoint 2019 管理命令介面。
執行下列命令:
$webapp = Get-SPWebApplication <web application URL> $webapp.OutboundMailOverrideEnvelopeSender = $true $webapp.Update()
使用外部保護的接收連接器
Microsoft Exchange Server 接收連接器可以設定為自動信任所有已驗證的電子郵件,即使未執行驗證也一樣。 SharePoint 接著會匿名傳送電子郵件給此接收連接器。 請遵循下列步驟來建立外部保護的接收連接器:
- 為 SharePoint 伺服器陣列建立專用的「自定義」接收連接器。
- 將接收連接器的許可權群組設定為 「Exchange Servers」。。
- 將接收連接器的驗證類型設定為「外部保護」。
由於此設定中有詐騙的風險,建議您限制此接收連接器會接受來自 SharePoint 伺服器數位中伺服器的電子郵件訊息的 IP 位址。