Настройка серверов приложений для ретрансляции сообщений через сервер Exchange Server 2007

 

Применимо к: Exchange Server 2007 SP3

Последнее изменение раздела: 2009-08-14

В некоторых средах необходимо разрешить серверу приложений ретранслировать сообщения электронной почты через сервер Microsoft Exchange. Это может потребоваться, если в организации используется сервер SharePoint, приложение для управления отношениями с клиентами, например Dynamics, или веб-сайт, отправляющий сообщения электронной почты сотрудникам организации или ее клиентам.

Настройка приложений для ретрансляции сообщений через сервер Exchange предотвращает ошибки «550 5.7.1 Не удается выполнить ретрансляцию».

Чтобы разрешить серверу приложений ретранслировать сообщения через сервер Exchange 2007, воспользуйтесь одним из указанных ниже способов.

• Разрешите ретрансляцию сообщений для всех компьютеров, которые могут проверять подлинность пользователей сервера Exchange 2007.

• Создайте соединитель получения для компьютеров, которые не могут проверять подлинность пользователей Exchange 2007.

Включение ретрансляции сообщений на компьютерах, которые могут автоматически проверять подлинность пользователей Exchange

По умолчанию сервер Exchange 2007 настроен для приема и ретрансляции сообщений электронной почты только от тех узлов, которые могут проверять подлинность пользователей Exchange. Так настроены соединители получения «По умолчанию» и «Клиент». Проверка подлинности — простейший способ разрешить пользователям отправку сообщений, который во многих случаях является предпочтительным.

Группа ExchangeUsers позволяет пользователям, которые прошли проверку подлинности, отправлять и ретранслировать сообщения. Группе ExchangeUsers предоставлены следующие разрешения:

• NT AUTHORITY\Прошедшие проверку {ms-Exch-SMTP-Submit}

• NT AUTHORITY\Прошедшие проверку {ms-Exch-Accept-Headers-Routing}

• NT AUTHORITY\Прошедшие проверку {ms-Exch-Bypass-Anti-Spam}

• NT AUTHORITY\Прошедшие проверку {ms-Exch-SMTP-Accept-Any-Recipient}

Ретрансляцией управляет системный список управления доступом ms-Exch-SMTP-Accept-Any-Recipient.

Создание настраиваемого соединителя получения для компьютеров, которые не могут проверять подлинность пользователей Exchange

Для компьютеров, которые не могут проверять подлинность пользователей Exchange 2007, необходимо создать настраиваемый соединитель получения. Настраиваемый соединитель получения похож на прослушиватель протокола и используется для проверки подлинности пользователей с помощью Exchange. В качестве типичного примера можно привести сервер приложений, который должен ретранслировать сообщения через сервер Exchange. Новый соединитель получения необходимо создать для того, чтобы включить в него удаленные IP-адреса, которые требуется разрешить.

Создание настраиваемого соединителя получения

1. Откройте консоль управления Exchange. Выполните одно из указанных ниже действий.

   • На компьютере с установленной ролью пограничного транспортного сервера выберите пункт Пограничный транспортный сервер и откройте вкладку Соединители получения.

   • Чтобы создать соединитель получения на транспортном сервере-концентраторе, в дереве консоли разверните узел Конфигурация сервера и выберите пункт Транспортный сервер-концентратор. В области результатов выберите сервер, на котором требуется создать соединитель, и откройте вкладку Соединители получения.

2. В области действий щелкните элемент Создать соединитель получения. Откроется окно мастера создания соединителей получения SMTP.

3. На странице «Введение» введите в поле Имя осмысленное имя соединителя. Это имя будет использоваться в качестве идентификатора соединителя.

4. В поле Выберите назначение данного соединителя выберите пункт Другое, чтобы создать настраиваемый соединитель, который будет использоваться для подключения к компьютерам, на которых не установлен сервер Exchange.

5. Нажмите кнопку Далее.

6. На странице Настройки удаленной сети введите IP-адрес или диапазон IP-адресов удаленных серверов, с которых соединитель будет принимать входящие подключения. Чтобы добавить IP-адрес или диапазон IP-адресов удаленных систем, воспользуйтесь одним из указанных ниже способов.

   • Чтобы ввести IP-адрес или подсеть без маски подсети либо указать маску подсети с использованием нотации CIDR, нажмите кнопку Добавить или щелкните стрелку раскрывающегося списка, расположенную рядом с кнопкой Добавить, и выберите пункт IP-адрес.

   • В диалоговом окне Добавить IP-адреса удаленных серверов введите IP-адрес одним из указанных ниже способов.

     Введите IP-адрес без маски подсети. Например, введите 192.168.1.0. Если маска подсети в нотации CIDR не указана, будет использоваться маска подсети по умолчанию с учетом класса сети.

     Введите IP-адрес в нотации CIDR. Например, введите 192.168.1.0/24.

   • Чтобы указать IP-адрес или подсеть вместе с маской подсети в виде чисел, разделенных точками, щелкните стрелку раскрывающегося списка, расположенную рядом с кнопкой Добавить, и выберите пункт IP-адрес и маска. В диалоговом окне Добавить удаленные серверы — IP-адрес и маска введите IP-адрес и маску подсети, используя указанный ниже синтаксис.

     IP-адрес. Например, введите 192.168.1.0.

     Маска подсети. Например, введите 255.255.255.0.

   • Чтобы указать диапазон IP-адресов, задав первый и последний IP-адрес диапазона, щелкните стрелку раскрывающегося списка, расположенную рядом с кнопкой Добавить, и выберите пункт Диапазон IP-адресов. В диалоговом окне Добавить удаленные серверы — диапазон IP-адресов введите IP-адрес и маску подсети, используя указанный ниже синтаксис.

     Начальный адрес. Например, введите 192.168.1.1.

     Конечный адрес. Например, введите 192.168.255.255.

     Поскольку маску подсети указать нельзя, будет использоваться маска подсети по умолчанию с учетом класса сети.

7. Завершив настройку, нажмите по очереди кнопки ОК и Далее.

8. На странице Создание соединителя просмотрите сводные сведения о конфигурации соединителя. Если необходимо изменить параметры, нажмите кнопку Назад. Чтобы создать соединитель получения с настройками, указанными в сводке конфигурации, нажмите кнопку Создать.

9. На странице Завершение нажмите кнопку Готово.

Создание соединителя с внешней защитой для настраиваемого соединителя получения

Создавать соединитель с внешней защитой для соединителя получения рекомендуется в большинстве случаев, если приложение будет отправлять сообщения электронной почты внутренним пользователям и ретранслировать их в Интернет.

Перед созданием такого соединителя необходимо включить группу разрешений Exchange Servers.

Примечание.
Указанные ниже действия необходимо выполнить в том порядке, в каком они приведены.

Создание соединителя с внешней защитой для настраиваемого соединителя получения

1. Щелкните новый соединитель правой кнопкой мыши, выберите в контекстном меню пункт Свойства, откройте вкладку Группы разрешений и установите флажок Серверы Exchange.

2. Откройте вкладку Проверка подлинности и установите флажок Внешняя защита.

При настройке этого параметра пользователю предоставляется ряд прав, в том числе право «отправлять сообщения от имени пользователей» в организации, право ResolveP2 (при этом сообщения отображаются как отправленные внутри организации, а не анонимно). Этот параметр также позволяет обходить фильтры защиты от нежелательной почты и ограничения на размер сообщений. По умолчанию разрешения Внешняя защита настроены следующим образом:

• MS Exchange\Серверы с внешней защитой {ms-Exch-SMTP-Accept-Authoritative-Domain}

• MS Exchange\Серверы с внешней защитой {ms-Exch-Bypass-Anti-Spam}

• MS Exchange\Серверы с внешней защитой {ms-Exch-Bypass-Message-Size-Limit}

• MS Exchange\Серверы с внешней защитой {ms-Exch-SMTP-Accept-Exch50}

• MS Exchange\Серверы с внешней защитой {ms-Exch-Accept-Headers-Routing}

• MS Exchange\Серверы с внешней защитой {ms-Exch-SMTP-Submit}

• MS Exchange\Серверы с внешней защитой {ms-Exch-SMTP-Accept-Any-Recipient}

• MS Exchange\Серверы с внешней защитой {ms-Exch-SMTP-Accept-Authentication-Flag}

• MS Exchange\Серверы с внешней защитой {ms-Exch-SMTP-Accept-Any-Sender}

Предоставление анонимных разрешений настраиваемому соединителю получения

Этот параметр предоставляет приложению, отправляющему сообщения, минимальный набор необходимых разрешений. С помощью созданного ранее настраиваемого соединителя получения анонимной учетной записи можно предоставить разрешение ms-Exch-SMTP-Accept-Any-Recipient.

Предоставление анонимных разрешений соединителю получения

1. Щелкните новый соединитель правой кнопкой мыши, выберите в контекстном меню пункт Свойства, откройте вкладку Группы разрешений и установите флажок Анонимные пользователи.

   При этом анонимной учетной записи будут предоставлены наиболее общие разрешения. Тем не менее, разрешение на ретрансляцию предоставлено не будет. Это действие необходимо выполнить в командной консоли Exchange.

2. Нажмите кнопку Пуск и выберите по очереди пункты Программы, Microsoft Exchange Server 2007 и Командная консоль Exchange.

3. В командной строке введите следующую команду и нажмите клавишу ВВОД:

   Get-ReceiveConnector "CRM Application" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "ms-Exch-SMTP-Accept-Any-Recipient"