Отправка соединителей в Exchange Server

Exchange использует соединители отправки для исходящих SMTP-подключений с исходных серверов Exchange на конечные почтовые серверы. Соединитель, используемый для отправки сообщений получателю, выбирается на этапе сопоставления маршрутизации. Дополнительные сведения см. в разделе Маршрутизация почты.

Соединители отправки можно создать в транспортной службе на серверах почтовых ящиков и на пограничных транспортных серверах. Соединители отправки хранятся в Active Directory и (по умолчанию) видны всем серверам почтовых ящиков в организации.

Важно!

По умолчанию соединители отправки для внешнего потока обработки почты при установке Exchange не существуют. Чтобы включить исходящий поток обработки почты в Интернете, необходимо создать соединитель отправки или подписать пограничный транспортный сервер в организации Exchange. Дополнительные сведения см. в статье Создание соединителя отправки для отправки почты на интернет-серверы и пограничные транспортные серверы.

Вам не нужно настраивать соединители отправки для обмена почтой между серверами Exchange в одном лесу Active Directory. Для отправки почты на внешние серверы Exchange доступны неявные и невидимые соединители отправки, которые полностью совместимы с топологией сервера Exchange. Эти соединители описаны в разделе Неявные соединители отправки.

Основные параметры соединителей отправки:

  • Тип использования

  • Параметры сети. Настройте способ отправки соединителя почты: с помощью DNS или автоматической пересылки всей почты на смарт-узел.

  • Адресные пространства. Настройте конечные домены, за которые отвечает соединитель отправки.

  • Область. Настраивает видимость соединителя отправки на другие серверы Exchange в организации.

  • Исходные серверы. Настройте серверы Exchange, на которых размещен соединитель отправки. Почта, которая должна быть доставлена соединителем отправки, направляется на один из исходных серверов.

На серверах почтовых ящиков для создания соединителей отправки и управления ими можно использовать Центр администрирования Exchange или командную консоль Exchange. На пограничных транспортных серверах можно использовать только командную консоль Exchange.

Отправка изменений соединителя в Exchange Server

Ниже приведены важные изменения отправки соединителей в Exchange 2016 или Exchange 2019 по сравнению с Exchange 2010:

  • Вы можете настроить соединители отправки, чтобы перенаправлять исходящую почту через внешнюю службу транспорта. Дополнительные сведения см. в статье Configure Send connectors to proxy outbound mail.

  • Параметр IsCoexistenceConnector больше недоступен.

  • Параметр LinkedReceiveConnector больше недоступен.

  • Максимальный размер сообщения по умолчанию увеличен до 35 МБ (приблизительно 25 МБ из-за кодировки Base64). Дополнительные сведения см. в статье Размер сообщений и ограничения получателей в Exchange Server.

  • Параметр TlsCertificateName позволяет указать издателя сертификата и субъекта сертификата. Это помогает защититься от поддельных сертификатов.

Неявные соединители отправки

Хотя соединители отправки не создаются во время установки серверов Exchange, существует специальный неявный соединитель отправки с именем соединитель отправки внутри организации. Этот неявный соединитель отправки автоматически доступен, не виден и не требует управления. Соединитель отправки Intra-Organization существует в службах транспорта для отправки почты между службами на локальном сервере Exchange или в службы на отдаленных серверах Exchange в организации. Например:

  • Из внешней службы транспорта в службу транспорта.

  • Из службы транспорта в службу транспорта на других серверах.

  • Из службы транспорта на включенные пограничные транспортные серверы.

  • Из службы транспорта в службу транспортной доставки почтовых ящиков.

  • Из службы транспортной отправки почтовых ящиков к службе передачи.

Дополнительные сведения см. в статье Mail flow and the transport pipeline.

Типы использования соединителей отправки

Тип использования указывает, для чего используется соединитель отправки. Все типы использования получают одинаковые разрешения.

Тип использования можно указать только при создании соединителя отправки. При использовании Центра администрирования Exchange необходимо выбрать значение Тип. Но при использовании командлета New-SendConnector в командной консоли Exchange тип использования не требуется (с помощью -Usage <UsageType> или -<UsageType>).

Тип использования определяет максимальный размер сообщения по умолчанию, который вы можете изменить после создания соединителя.

Доступные типы использования описаны в таблице ниже.

Тип использования Максимальный размер сообщения Comments
Пользовательские 35 МБ Нет
Internal; неограниченно When you create a Send connector of this usage type in the EAC, you can't select MX record associated with recipient domain. After you create the connector, you can go to the Delivery tab in the properties of the Send connector and select MX record associated with recipient domain.

Это ограничение отсутствует в командной консоли Exchange. Можно использовать внутренний коммутатор и задать для DNSRoutingEnabled значение в $true командлете New-SendConnector .
Интернет 35 МБ Нет
Партнер 35 МБ When you create a Send connector of this usage type in the EAC, you can't select Route mail through smart hosts or a smart host authentication mechanism. After you create the connector, you can go to the Delivery tab in the properties of the Send connector and select Route mail through smart hosts and the smart host authentication mechanism.

Это ограничение отсутствует в командной консоли Exchange. Вы можете использовать параметр Partner и задать для DNSRoutingEnabled$false значение и использовать параметры SmartHosts и SmartHostAuthMechanism в командлете New-SendConnector .

Сетевые параметры соединителей отправки

Для каждого соединителя отправки необходимо выбрать один из этих параметров:

  • Использовать DNS для маршрутизации почты.

  • Использовать один или несколько промежуточных узлов для маршрутизации почты.

Использование DNS для маршрутизации почты.

Если для доставки почты выбрано сопоставление DNS, исходный сервер Exchange соединителя отправки должен сопоставлять записи МХ для адресных пространств, настроенных в соединителе. В зависимости от характера соединителя и количества сетевых адаптеров на сервере, соединителю отправки может требоваться доступ к внутреннему или внешнему (общедоступному) DNS-серверу. Вы можете настроить сервер для использования отдельных DNS-серверов для внутренних и внешних DNS-запросов.

  • В центре администрирования Exchange в разделе Серверы>> выберите сервер и нажмите кнопку Изменитьзначок редактирования.>Вкладка подстановки DNS.

  • В командной консоли Exchange используйте параметры ExternalDNS* и InternalDNS* в командлете Set-TransportService .

Если вы уже настроили отдельные DNS-серверы для внутренних и внешних DNS-запросов, а соединитель отправки направляет почту во внешнее адресное пространство, вам нужно настроить соединитель отправки для использования внешнего DNS-сервера:

  • В Центре администрирования Exchange выберите Использовать параметры внешних DNS-запросов на серверах с ролью транспорта (в мастере создания соединителя отправки или на вкладке Доставка в свойствах существующих соединителей).

  • В командной консоли Exchange используйте параметр UseExternalDNSServersEnabled в командлетах New-SendConnector и Set-SendConnector .

Использование промежуточных узлов для маршрутизации почты

При маршрутизации почты через промежуточный узел соединитель отправки пересылает почту на промежуточный узел, который в свою очередь направляет ее на следующий транзитный участок. Маршрутизация через промежуточный узел позволяет отправлять исходящую почту через службу или устройство защиты от спама.

Чтобы добавить один или несколько промежуточных узлов, нужно указать IP-адрес (например, 10.1.1.1), полное доменное имя (FQDN) (например, spamservice.contoso.com) или оба типа значений. Если вы укажете FQDN, исходный сервер Exchange соединителя отправки должен сопоставлять полные доменные имена (записи МХ или записи А), используя DNS.

Важной составляющей маршрутизации через промежуточные узлы является используемый ими механизм проверки подлинности. Доступные механизмы проверки подлинности описаны в таблице ниже.

Механизм проверки подлинности Описание
Нет (None) Проверка подлинности не выполняется. Например, доступ к промежуточному узлу ограничен исходным IP-адресом.
Обычная проверка подлинности (BasicAuth) Обычная проверка подлинности. Требуется имя пользователя и пароль. Имя пользователя и пароль отправляются в виде ясного текста.
Предлагать обычную проверку подлинности только после запуска TLS (BasicAuthRequireTLS) Обычная проверка подлинности с шифрованием TLS. Сертификат сервера на промежуточном узле должен содержать полное доменное имя промежуточного узла, указанное в соединителе отправки.

Соединитель отправки устанавливает сеанс TLS, отправляя команду STARTTLS на промежуточный узел, и только после этого выполняет обычную проверку подлинности.

Для взаимной проверки подлинности TLS также необходим сертификат клиента.
проверка подлинности Exchange Server (ExchangeServer) Программный интерфейс универсальных служб защиты (GSSAPI) и взаимная проверка подлинности GSSAPI.
Внешняя защита (ExternalAuthoritative) Предполагается, что используется внешний механизм защиты соединения, не входящий в состав Exchange. Подключение может быть связью IPsec или виртуальной частной сетью. Кроме того, серверы могут находиться в доверенной, физически контролируемой сети.

Адресные пространства соединителей отправки

Адресное пространство определяет конечные домены, которые обслуживает соединитель отправки. Только в эти домены почта направляется через соединитель отправки.

Доступные адресные пространства SMTP описаны в таблице ниже.

Адресное пространство Объяснение
* Почта направляется через соединитель отправки во все домены.
Домен (например, contoso.com) Почта направляется через соединитель отправки в указанный домен, но не в дочерние домены.
Домен и поддомены (например, *.contoso.com) Почта направляется через соединитель отправки в указанный и все дочерние домены.
-- Почта направляется через соединитель отправки во все обслуживаемые домены в организации Exchange. Это значение доступно только для соединителей отправки на пограничных транспортных серверах, которые отправляют почту во внутреннюю организацию Exchange.

Вы также можете настроить значения Тип и Стоимость адресного пространства.

На пограничных транспортных серверах значение Type должно иметь значение SMTP. На серверах почтовых ящиков можно также использовать типы пространства адресов, отличные от SMTP, например X400 или любую другую текстовую строку. Адреса X.400 должны быть совместимыми с RFC 1685 (например, o=MySite;p=MyOrg;a=adatum;c=us), но другие значения type принимают любое текстовое значение для адресного пространства. If you specify a non-SMTP address space type, the Send connector must use smart host routing, and SMTP is used to send messages to the smart host. Delivery Agent connectors and Foreign connectors send non-SMTP messages to non-SMTP servers without using SMTP. Дополнительные сведения см. в разделе Агенты доставки и соединители агента доставки и внешние соединители.

Значение Стоимость адресного пространства используется для оптимизации потока обработки почты и отказоустойчивости, когда одинаковые адресные пространства настроены для нескольких соединителей отправки на разных исходных серверах. Чем ниже значение приоритета, тем предпочтительнее соединитель отправки.

Соединитель, используемый для отправки сообщений получателю, выбирается на этапе сопоставления маршрутизации. Выбирается соединитель отправки, адресное пространство которого максимально соответствует адресу электронной почты получателя и значение приоритета которого наиболее низкое.

Например, предположим, что получатель имеет значение julia@marketing.contoso.com. Если для домена *.contoso.com настроен соединитель отправки, сообщение направляется через этот соединитель. В противном случае сообщение направляется через соединитель, настроенный для *. Если несколько соединителей отправки на одном сайте Active Directory настроены для *.contoso.com, выбран соединитель со значением более низкого приоритета.

Область действия соединителя отправки

Исходные серверы для соединителя отправки определяют конечный сервер Exchange для почты, которая должна быть направлена через соединитель отправки. Область действия определяет видимость соединителя в организации Exchange.

По умолчанию соединители отправки видны всем серверам Exchange во всем лесу Active Directory и используются при принятии решений о маршрутизации. Однако можно ограничить область соединителя отправки, чтобы он был виден только для других серверов Exchange на том же сайте Active Directory. Соединитель отправки невидим для серверов Exchange на других сайтах Active Directory и не используется в их решениях о маршрутизации. Соединитель отправки, ограниченный таким образом, называется областью действия.

Чтобы настроить область действия соединителя отправки в Центре администрирования Exchange, выберите Соединитель отправки с заданной областью в разделе Адресное пространство мастера создания соединителя отправки или на вкладке Определение области в свойствах существующих соединителей отправки. В командной консоли Exchange параметр IsScopedConnector используется в командлетах New-SendConnector и Set-SendConnector .

Разрешения соединителя отправки

Когда соединитель отправки устанавливает соединение с целевым почтовым сервером, разрешения на отправку соединителя определяют типы заголовков, которые можно отправлять в сообщениях. Недопустимые заголовки удаляются из сообщений.

Разрешения на отправку соединителей назначаются известными субъектами безопасности. Субъекты безопасности включают учетные записи пользователей, учетные записи компьютеров и группы безопасности (объекты, идентифицируемые идентификатором безопасности или идентификатором безопасности, которым могут быть назначены разрешения). По умолчанию одни и те же субъекты безопасности с одинаковыми разрешениями назначаются всем соединителям отправки независимо от типа использования, выбранного при создании соединителя. Чтобы изменить разрешения по умолчанию для соединителя отправки, необходимо использовать командлеты Add-ADPermission и Remove-ADPermission в командной консоли Exchange.

Доступные разрешения соединителей отправки описаны в таблице ниже.

Разрешение Кому назначено Описание
ms-Exch-Send-Headers-Forest <Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers
Управляет хранением заголовков лесов Exchange в сообщениях. Имена заголовков лесов начинаются с X-MS-Exchange-Forest-. Если разрешение не предоставлено, все заголовки лесов удаляются из сообщений.
ms-Exch-Send-Headers-Organization <Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers
Управляет сохранением заголовков организаций Exchange в сообщениях. Имена заголовков организаций начинаются с X-MS-Exchange-Organization-. Если разрешение не предоставлено, все заголовки организации удаляются из сообщений.
ms-Exch-Send-Headers-Routing NT AUTHORITY\ANONYMOUS LOGON

<Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Externally Secured Servers

MS Exchange\Hub Transport Servers

MS Exchange\Legacy Exchange Servers

MS Exchange\Partner Servers
Управляет сохранением заголовков RECEIVED в сообщениях. Если разрешение не предоставлено, все полученные заголовки удаляются из сообщений.
ms-Exch-SMTP-Send-Exch50 <Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Externally Secured Servers

MS Exchange\Hub Transport Servers

MS Exchange\Legacy Exchange Servers
Позволяет исходному серверу Exchange отправлять команды XEXCH50 через соединитель отправки. Большой двоичный объект X-EXCH50 использовался старыми версиями Exchange (Exchange 2003 и более ранними) для хранения данных Exchange в сообщениях (например, вероятности нежелательной почты).

If this permission isn't granted, and messages contain the X-EXCH50 BLOB, the Exchange server sends the message without the X-EXCH50 BLOB.
ms-Exch-SMTP-Send-XShadow <Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers
Это разрешение зарезервировано для внутреннего использования в корпорации Майкрософт.

Примечание. Имена разрешений, содержащиеся ms-Exch-Send-Headers- в составе функции брандмауэра заголовков . Дополнительные сведения см. в разделе Брандмауэр заголовков.

Действия с разрешениями соединителя отправки

Чтобы просмотреть разрешения, назначенные субъектам безопасности соединителя отправки, используйте следующий синтаксис в командной консоли Exchange:

Get-ADPermission -Identity <SendConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Например, чтобы просмотреть разрешения, назначенные всем субъектам безопасности соединителя отправки To Fabrikam.com, выполните следующую команду:

Get-ADPermission -Identity "To Fabrikam.com" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Чтобы просмотреть разрешения, назначенные только субъекту NT AUTHORITY\ANONYMOUS LOGON безопасности в соединителе Отправки с именем Fabrikam, выполните следующую команду:

Get-ADPermission -Identity "To Fabrikam.com" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Чтобы добавить разрешения для субъекта безопасности, используйте следующий синтаксис:

Add-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Чтобы удалить разрешения субъекта безопасности, используйте следующий синтаксис:

Remove-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...