瞭解接收連接器
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2016-11-28
接收連接器是在執行 Microsoft Exchange Server 2010 且已安裝 Hub Transport Server role 或 Edge Transport Server role 的電腦上設定。接收連接器代表接收所有輸入郵件所經過的邏輯閘道。本主題提供接收連接器及接收連接器組態如何影響個別郵件處理的概觀。
接收連接器概觀
Exchange 2010 傳輸伺服器需要接收連接器來接收來自網際網路、電子郵件用戶端及其他電子郵件伺服器的郵件。接收連接器控制 Exchange 組織的輸入連線。內部郵件流程所需的接收連接器預設會在安裝 Hub Transport server role 時自動建立。能夠從網際網路以及從集線傳輸伺服器接收郵件的接收連接器,會在安裝 Edge Transport server role 時自動建立。但是僅在使用 Edge 訂閱處理程序,向 Active Directory 站台訂閱 Edge Transport Server 之後,才可使用端對端郵件流程。而另一個狀況是例如面向網際網路的 Hub Transport Server 或已取消訂閱的 Edge Transport Server,則必須以手動連接器組態來建立端對端郵件流程。
在 Exchange 2010 中,接收連接器稱為接收接聽程式。這表示連接器會接聽符合接收連接器設定的輸入連線。接收連接器會接聽透過特定本機 IP 位址與連接埠及從指定的 IP 位址範圍接收的連線。當您希望控制哪些伺服器接收來自特定 IP 位址或 IP 位址範圍的郵件,以及希望針對接收自特定 IP 位址的郵件設定特殊連接器內容 (例如較大的郵件大小、每封郵件更多收件者或更多輸入連線) 時,可建立接收連接器。
接收連接器會限定為單一伺服器的範圍,並決定該特定伺服器如何接聽連線。當您在集線傳輸伺服器上建立接收連接器時,接收連接器會儲存在 Active Directory 中,作為其建立所在之伺服器的子物件。當您在 Edge Transport Server 上建立接收連接器時,接收連接器會儲存在 Active Directory 輕量型目錄服務 (AD LDS) 中。
若需特定案例的額外接收連接器,可使用 Exchange 管理主控台 (EMC) 或 Exchange 管理命令介面來建立這些接收連接器。每個接收連接器都必須使用 IP 位址繫結、連接埠號碼指派及此連接器所接受郵件之來源遠端 IP 位址範圍的唯一組合。
安裝期間建立的預設接收連接器
當您安裝 Hub Transport 或 Edge Transport Server role 時,預設會建立某些接收連接器。
在 Hub Transport Server 上建立的預設接收連接器
安裝 Hub Transport Server role 時,會建立兩個接收連接器,一般作業不需要額外的接收連接器,在大多數的狀況下,預設的接收連接器不需要變更組態。下表描述這些連接器的用法類型及組態。
Hub Transport Server 上的預設接收連接器組態
| 連接器名稱及用法類型 | 設定 |
|---|---|
用戶端伺服器名稱 此接收連接器接受來自所有非 MAPI 用戶端 (例如 POP 及 IMAP) 的 SMTP 連接。 |
|
預設伺服器名稱 此接收連接器會接受從其他 Hub Transport Server 與任何您具備的 Edge Transport Server 的連線。 |
|
.gif "注意事項") 附註: |
|---|
| 任何負責接受來自 Edge Transport Server 或其他 Hub Transport Server 之連線的接收連接器必須已有 Exchange Server 驗證方法指定給它。當您建立具有 [內部] 使用類型的接收連接器時,Exchange Server 驗證方法是預設驗證方法。 |
在 Edge Transport Server 上建立的預設接收連接器
安裝期間會建立一個接收連接器。此接收連接器已設定為接受來自所有 IP 位址範圍的 SMTP 通訊,並已繫結至本機伺服器的所有 IP 位址。它已設定為具有網路際網路用法類型,因此連接器接受匿名連線。在一般安裝中,不需要額外的接收連接器。如果您使用 EdgeSync,則不需要變更任何組態,因為 Edge 訂閱程序會自動設定權限與驗證機制。匿名工作階段及經驗證的工作階段會被授與不同的權限組合。
如果您不使用 EdgeSync,建議您修改此接收連接器的設定,並建立用法類型為內部網路的其他接收連接器。若要完成接收連接器的設定,請遵循下列步驟:
修改預設接收連接器的設定 僅設定面向網際網路的網路介面卡的 IP 位址區域網域繫結。
建立接收連接器 選取 [內部] 作為連接器用法類型。將區域網路繫結設定為只有面向組織之網路介面卡的 IP 位址。設定遠端網路設定,以從指派給 Hub Transport Server 的遠端 IP 位址接收郵件。
附註:任何負責接受來自邊際傳輸伺服器或其他集線傳輸伺服器之連線的接收連接器必須已獲指定 Exchange Server 驗證方法。當您建立具有 [內部] 使用類型的接收連接器時,Exchange Server 驗證方法是預設驗證方法。 定義是否要使用基本驗證 如果您想支援基本驗證,請建立本機使用者帳戶,並使用 Add-ADPermission 指令程式來授與必要的權限。
如需相關資訊,請參閱不使用 EdgeSync 設定 Edge Transport Server 和 Hub Transport Server 之間的郵件流程。
接收連接器用法類型
用法類型決定連接器的預設安全性設定。
接收連接器的安全性設定指定授與連接至接收連接器及支援驗證機制之工作階段的權限。
使用 EMC 設定接收連接器時,「新增 SMTP 接收連接器」精靈會提示您選取連接器的用法類型。有兩個不同的方法可用來指定用法類型:
使用 Usage 參數及所要的值,例如 Usage
Custom。根據您指定的用法類型,還有其他必要參數。如果您未在 New-ReceiveConnector 命令中指定必要參數,該命令會失敗。請使用所要用法類型的切換參數,例如 Custom。根據您指定的用法類型,還有其他必要參數。如果您未在 New-ReceiveConnector 命令中指定必要參數,命令會提示您輸入遺漏的參數值,使該命令得以繼續。
權限群組
權限群組是授與已知安全性主體及指派給接收連接器的一組預先定義權限。安全性主體包括使用者、電腦和安全性群組。安全性主體是由安全性識別碼 (SID) 加以識別。權限群組只可供接收連接器使用。使用權限群組可簡化接收連接器上權限的組態。PermissionGroups 內容定義可提交郵件至接收連接器的群組或角色以及指派給這些群組的權限。Exchange 2010 中預先定義了一組權限群組。這表示您無法建立額外的權限群組。此外,也無法修改權限群組成員或關聯的權限。
下表列出可用的權限群組,並識別安全性主體以及在為接收連接器設定該權限群組時所授與的權限。
接收連接器權限群組
| 權限群組名稱 | 關聯的安全性主體 (SID) | 授與的權限 | ||||
|---|---|---|---|---|---|---|
Anonymous |
匿名使用者帳戶 |
|
||||
ExchangeUsers |
已驗證的使用者帳戶 |
|
||||
ExchangeServers |
|
|
||||
ExchangeLegacyServers |
Exchange 傳統 Interop 安全性群組 |
|
||||
協力程式 |
協力程式伺服器帳戶 |
|
接收連接器用法類型
用法類型決定指派給接收連接器的預設權限群組以及可供工作階段驗證使用的預設驗證機制。接收連接器永遠都會回應寄件者使用 TLS 的要求。下表描述可用的用法類型及預設設定。
接收連接器用法類型
| 用法類型 | 預設權限群組 | 預設驗證機制 |
|---|---|---|
用戶端 (Edge Transport Server 上無法使用) |
ExchangeUsers |
TLS 基本驗證加上 TLS 整合式 Windows 驗證 |
自訂 |
無 |
無 |
內部 |
ExchangeServers ExchangeLegacyServers (此權限群組在 Edge Transport Server 上無法使用)。 |
Exchange Server 驗證 |
網際網路 |
AnonymousUsers 協力程式 |
無或以外部方式保護安全 |
協力程式 |
協力程式 |
不適用。建立與遠端網域的相互 TLS 時會選取此用法類型。 |
本主題稍後會討論接收連接器權限及驗證機制。
接收連接器用法案例
每個用法類型分別適合特定的連線案例。選取預設設定最適合您想要之組態的用法類型。您可使用 Add-ADPermission 及 Remove-ADPermission 指令程式修改權限。如需詳細資訊,請參閱下列主題:
下表列出一般連線案例及各案例的使用類型。
接收連接器用法案例
| 連接器案例 | 用法類型 | 註解 |
|---|---|---|
接收來自網際網路之電子郵件的 Edge Transport Server |
網際網路 |
設為接受來自所有網域之電子郵件的接收連接器會在安裝 Edge Transport server role 時自動建立。 |
接收來自網際網路之電子郵件的 Hub Transport Server |
網際網路 |
這不是建議的組態。如需相關資訊,請參閱設定網際網路郵件流程直接通過集線傳輸伺服器。 |
接收來自 Exchange Server 2003 Bridgehead Server 之電子郵件的 Edge Transport Server |
內部 |
在此案例中,Exchange 2003 Bridgehead Server 設為使用 Edge Transport Server 作為傳送連接器的智慧主機。 |
Hub Transport Server 從使用 POP3 或 IMAP4 的用戶端應用程式接收電子郵件提交 |
用戶端 |
此接收連接器會在安裝角色時於每部 Hub Transport Server 上自動建立。此接收連接器預設設為透過 TCP 連接埠 587 接收電子郵件。 |
接收來自 Hub Transport Server 之電子郵件的 Hub Transport Server |
內部 |
您不需要在同一組織內的 Hub Transport Server 間設定接收連接器。此用法類型可以用來設定跨樹系接收連接器。 |
接收來自相同樹系中 Exchange 2003 Bridgehead Server 之電子郵件的 Hub Transport Server |
內部 |
這是選用的組態。Exchange 2010 與舊版 Exchange 間的傳輸是透過雙向路由群組連接器來完成。如果您建立 Exchange 2003 路由群組的 SMTP 連接器,則也必須具有路由群組連接器。如需相關資訊,請參閱建立從 Exchange 2010 到 Exchange 2003 的其他路由群組連接器。 |
接收來自 Hub Transport Server 之電子郵件的 Edge Transport Server |
內部 |
設為接受來自所有網域之電子郵件的接收連接器會在安裝 Edge Transport Server role 時自動建立。您可以建立另一個連接器,將之設為只接收來自 Exchange 組織的電子郵件。 |
接收來自一個樹系中之 Hub Transport Server 的電子郵件而位於另一樹系中之 Hub Transport Server 的跨樹系接收連接器 |
自訂 |
如需詳細組態步驟,請參閱設定跨樹系連接器。 |
接收來自一個樹系中之 Exchange 2003 Bridgehead Server 的電子郵件而位於另一樹系中之 Hub Transport Server 的跨樹系接收連接器 |
自訂 |
如需詳細組態步驟,請參閱設定跨樹系連接器。 |
接收來自協力廠商郵件傳輸代理程式 (MTA) 之電子郵件的 Hub Transport Server |
內部 |
指定將接受之郵件的來源 IP 位址範圍並將驗證機制設為基本驗證或以外部方式保護安全。 |
接收來自協力廠商 MTA 之電子郵件的 Edge Transport Server |
自訂 |
使用 Add-ADPermission 指令程式設定延伸權利。指定將接受之郵件的來源 IP 位址範圍並將驗證機制設為基本驗證。您也可選取內部用法類型並設定以外部方式保護安全作為驗證方法。若選取此選項則不需要額外的權限組態。 |
接收來自外部轉送網域之電子郵件的 Edge Transport Server |
自訂 |
Edge Transport Server 可接受來自外部轉送網域的電子郵件,然後轉送至目的收件者網域。指定將接受之郵件的來源 IP 位址範圍,設定適當的驗證機制,並使用 Add-ADPermission 指令程式設定延伸權利。 |
接收來自已建立相互 TLS 驗證之網域的電子郵件的 Edge Transport Server |
協力程式 |
僅當下列條件為真時,相互 TLS 驗證才能正確運作:
如需相關資訊,請參閱Set-ReceiveConnector。 |
接收來自 Microsoft Exchange Hosted Services 伺服器之連線的邊際傳輸伺服器 |
自訂 |
Exchange Hosted Services 伺服器可作為外部授權伺服器。若要使用以外部方式保護安全的驗證機制,請使用 Set-ReceiveConnector 指令程式將 PermissionGroup 參數設為 |
接收來自 Exchange Hosted Services 伺服器之連線的集線傳輸伺服器 |
自訂 |
Exchange Hosted Services 伺服器可作為外部授權伺服器。若要使用以外部方式保護安全的驗證機制,請使用 Set-ReceiveConnector 指令程式將 PermissionGroup 參數設為 |
接收連接器權限
接收連接器權限會在為連接器指定權限群組時指派給安全性主體。安全性主體建立與接收連接器的工作階段時,接收連接器權限會決定是否接受工作階段及如何處理收到的郵件。下表描述可在接收連接器上指派給安全性主體的權限。您可以使用 EMC 或在命令介面中配合 Set-ReceiveConnector 指令程式使用 PermissionGroups 參數來設定接收連接器權限。若要修改接收連接器的預設權限,也可以使用 Add-ADPermission 指令程式。
接收連接器權限
| 接收連接器權限 | 描述 |
|---|---|
ms-Exch-SMTP-Submit |
您必須授與此權限給工作階段,否則工作階段將無法提交郵件至此接收連接器。若工作階段沒有此權限,MAIL FROM 及 AUTH 命令會失敗。 |
ms-Exch-SMTP-Accept-Any-Recipient |
此權限允許工作階段透過此連接器轉送郵件。若未授與此權限,則此連接器只會接受收件者位於公認的網域中的郵件。 |
ms-Exch-SMTP-Accept-Any-Sender |
此權限允許工作階段略過寄件者地址詐騙檢查。 |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
此權限允許電子郵件地址位於授權網域的寄件者建立到此接收連接器的工作階段。 |
ms-Exch-SMTP-Accept-Authentication-Flag |
此權限允許 Exchange 2003 伺服器提交來自內部寄件者的郵件。Exchange 2010 會將這些郵件辨識為內部郵件。寄件者可將郵件宣告為信任郵件。透過匿名提交進入 Exchange 系統的郵件在透過 Exchange 組織轉送時,此標幟會處於不受信任狀態。 |
ms-Exch-Accept-Headers-Routing |
此權限允許工作階段提交所有收到的標頭均未改變的郵件。如果未授與此權限,則伺服器會刪除所有收到的標頭。 |
ms-Exch-Accept-Headers-Organization |
此權限允許工作階段提交所有組織標頭均未改變的郵件。組織標頭的開頭都是 X-MS-Exchange-Organization-。如果未授與此權限,則接收伺服器會刪除所有組織標頭。 |
ms-Exch-Accept-Headers-Forest |
此權限允許工作階段提交所有樹系標頭均未改變的郵件。樹系標頭的開頭都是 X-MS-Exchange-Forest-。如果未授與此權限,則接收伺服器會刪除所有樹系標頭。 |
ms-Exch-Accept-Exch50 |
此權限允許工作階段提交包含 XEXCH50 命令的郵件。需要此命令才能與 Exchange 2003 交互操作。XEXCH50 命令提供郵件的垃圾郵件信賴等級 (SCL) 等資料。 |
ms-Exch-Bypass-Message-Size-Limit |
此權限允許工作階段提交超過為連接器設定之郵件大小限制的郵件。 |
Ms-Exch-Bypass-Anti-Spam |
此權限允許工作階段略過反垃圾郵件篩選。 |
區域網路設定
在 EMC 中,接收連接器的區域網路設定可以用來指定 IP 位址與連接埠,傳輸伺服器會接受透過此 IP 位址與連接埠的連線。在命令介面中,使用 Bindings 參數可指定傳輸伺服器的本機 IP 位址與連接埠,接收連接器會接受透過此 IP 位址與連接埠的連線。這些設定會將接收連接器繫結到傳輸伺服器上的特定網路介面卡及 TCP 連接埠。
依預設,接收連接器是設定為使用所有可用的網路介面卡和 TCP 連接埠 25。如果傳輸伺服器有多個網路介面卡,您可能會希望接收連接器繫結特定網路介面卡,或接受透過其他連接埠的連線。例如,您可能會想要在 Edge Transport Server 上設定一個接收連接器來接受透過外部網路介面卡的匿名連線。第二個接收連接器可設為只接受透過內部網路介面卡且來自 Hub Transport Server 的連線。
| 附註: |
|---|
| 如果您選擇將接收連接器繫結到特定本機 IP 位址,則該位址對於接收連接器所在之 Hub Transport Server 或 Edge Transport Server 必須是有效的。如果指定無效的本機 IP 位址,則在重新啟動服務時,Microsoft Exchange Transport 服務可能無法啟動。您可以將接收連接器繫結到 Hub Transport Server 或 Edge Transport Server 上所有可用的 IP 位址,而不要將接收連接器繫結到特定 IP 位址。 |
請在設定接收連接器繫結時指定網路介面卡的 IP 位址。若接收連接器設為接受透過非預設之連接埠的連線,傳送端用戶端或伺服器就必須設為傳送至該連接埠,且郵件寄件者及接收伺服器間的任何防火牆都必須允許透過該連接埠的網路流量。
EMC 中「新增 SMTP 接收連接器」精靈的 [區域網路設定] 頁面包含 [指定此連接器為了回應 HELO 或 EHLO 所將提供的 FQDN] 的選項。在命令介面中,此內容是配合 Set-ReceiveConnector 指令程式使用 Fqdn 參數來加以設定。建立 SMTP 工作階段後,傳送電子郵件伺服器及接收電子郵件伺服器會開始 SMTP 通訊協定交談。傳送電子郵件伺服器或用戶端,會傳送 EHLO 或 HELO SMTP 命令及其 FQDN 到接收伺服器。接收伺服器會傳送成功代碼並提供其本身的 FQDN 來回應。在 Exchange 2010 中,如果您在接收連接器上設定此內容,則可以自訂接收伺服器提供的 FQDN。每當需要目的伺服器名稱時,FQDN 值會顯示給連接的郵件伺服器,如下列範例所示:
在接收連接器的預設 SMTP 橫幅中
在郵件進入 Hub Transport Server 或 Edge Transport Server 時之內送郵件的最新
Received:標頭欄位在 TLS 驗證期間
| 附註: |
|---|
| 請勿修改自動建立於 Hub Transport Server 上名為「Default <Server Name>」之預設接收連接器的 FQDN 值。如果 Exchange 組織中有多個 Hub Transport Server,而且變更了「Default <Server Name>」之接收連接器的 FQDN 值,則 Hub Transport Server 之間的內部郵件流程會失敗。 |
遠端網路設定
在 EMC 中,接收連接器的遠端網路設定可以用來指定 IP 位址範圍,此接收連接器會接受來自此 IP 位址範圍的連線。在命令介面中,RemoteIPRanges 參數可以用來指定 IP 位址範圍,此接收連接器會接受來自此 IP 位址範圍的連線。依預設,會在允許從 0.0.0.0–255.255.255.255 或從每一個 IP 位址連線的 Hub Transport Server 與 Edge Transport Server 上建立接收連接器。
| 附註: |
|---|
| 在 Exchange 2010 中,IPv6 位址範圍 0000:0000:0000:0000:0000:0000:0.0.0.0–ffff:ffff:ffff:ffff:ffff:ffff:255.255.255.255 亦存在於 Hub Transport Server 上的預設接收連接器中。 |
若要為特定案例設定接收連接器,請將遠端網路設定設為應給予接收連接器權限和組態設定之伺服器的 IP 位址。只要一個範圍完全與另一個範圍重疊,多個接收連接器便可以使用重疊的遠端 IP 位址範圍。遠端 IP 位址範圍重疊時,會使用具有與連線伺服器的 IP 位址最相符的遠端 IP 位址範圍。
接收連接器接受之輸入連線的來源遠端伺服器 IP 位址 或 IP 位址範圍是以下列其中一個格式輸入:
IP 位址 192.168.1.1
IP 位址範圍 192.168.1.10-192.168.1.20
IP 位址及子網路遮罩 192.168.1.0(255.255.255.0)
使用無類別網域間路由選擇 (CIDR) 表示法的 IP 位址與子網路遮罩 192.168.1.0/24
接收連接器驗證設定
在 EMC 中,接收連接器的驗證設定可以用來指定 Exchange 2010 傳輸伺服器支援的驗證機制。在命令介面中,AuthMechanisms 參數可以用來指定支援的驗證機制。您可為接收連接器設定多個驗證機制。如需為每個用法類型自動設定的驗證機制,請參閱本主題稍早名為「接收連接器用法類型」的表格。下表列出接收連接器的可用驗證機制。
接收連接器驗證機制
| 驗證機制 | 描述 |
|---|---|
無 |
不使用驗證。 |
TLS |
通告 STARTTLS。需要伺服器憑證的可用性以提供 TLS。 |
整合式 |
NTLM 及 Kerberos (整合式 Windows 驗證)。 |
BasicAuth |
基本驗證。需要已驗證的登入。 |
BasicAuthRequireTLS |
透過 TLS 的基本驗證。需要伺服器憑證。 |
ExchangeServer |
Exchange 伺服器驗證 (一般安全性服務應用程式設計介面 (GSSAPI) 和相互 GSSAPI)。 |
ExternalAuthoritative |
連線若使用 Exchange 外部的安全性機制,則會視為以外部方式保護安全。連線可能是網際網路通訊協定安全性 (IPsec) 關聯或虛擬私人網路 (VPN)。或者,這些伺服器亦可位於實際受控制的信任網路中。 |
其他接收連接器內容
接收連接器的內容組態定義如何透過該連接器接收電子郵件。並非所有內容均可在 EMC 中使用。如需可使用命令介面設定之內容的詳細資訊,請參閱 Set-ReceiveConnector。
使用接收連接器進行匿名轉送
網際網路 SMTP 訊息伺服器上的匿名轉送 會是嚴重的安全性弱點,也就是未經同意的廣告郵件寄件者或濫發垃圾郵件者可利用該弱點來隱藏其郵件的來源。因此,會在網際網路面對的訊息伺服器上設下限制,防止轉送到未授權的目的地。
在 Exchange 2010 中,通常是使用公認的網域來處理轉送。公認的網域是在 Edge Transport Server 或 Hub Transport Server 上設定。公認的網域會另外分類為內部轉送網域或外部轉送網域。如需公認的網域的相關資訊,請參閱瞭解公認的網域。
您也可以依據內送郵件的來源來限制匿名轉送。當未經驗證的應用程式或訊息伺服器必須將 Hub Transport Server 或 Edge Transport Server 當成轉送伺服器時,這個方法很有用。
當您建立設定為允許匿名轉送的接收連接器時,應該在接收連接器上設定下列限制:
區域網路設定 限制接收連接器僅接聽 Hub Transport Server 或 Edge Transport Server 上的適當網路介面卡。
遠端網路設定 限制接收連接器僅接受來自指定伺服器的連線。這是必要的限制,因為接收連接器將設定為可接受來自匿名使用者的轉送。依 IP 位址限制來源伺服器是此接收連接器唯一允許的防護措施。
若要在接收連接器上授與匿名使用者轉送權限,您可以使用本題稍後說明的任一策略。每種策略都有其優缺點。如需這兩個方法的逐步指示,請參閱允許接收連接器上的匿名轉送。
授與匿名連線轉送權限
此策略包含下列工作:
建立用法類型設為
Custom的接收連接器。將匿名權限群組新增到接收連接器。
將轉送權限指派給接收連接器上的匿名登入安全性主體。
匿名權限群組會將下列權限授與接收連接器上的匿名登入安全性主體。
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
但為了允許此接收連接器上的匿名轉送,您也必須將下列權限授與接收連接器上的匿名登入安全性主體。
- Ms-Exch-SMTP-Accept-Any-Recipient
此策略的優點是它會授與轉送到指定之遠端 IP 位址所需的最小權限。
此策略的缺點如下:
授與必要權限需要額外的設定步驟。
來自指定 IP 位址的郵件就會視為匿名郵件。因此,郵件不會略過反垃圾郵件檢查、不會略過郵件大小限制檢查,也不會解析匿名寄件者。解析匿名寄件者的程序,可強制在匿名寄件者的電子郵件地址與全域通訊清單 (GAL) 中的對應顯示名稱之間進行比對。
將接收連接器設定為以外部方式保護
此策略包含下列工作:
建立用法類型設為
Custom的接收連接器。將 ExchangeServers 權限群組新增到接收連接器。
在接收連接器中新增
ExternalAuthoritative驗證機制。
選取 ExternalAuthoritative 驗證機制時,需要 ExchangeServers 權限群組。此驗證方法和權限群組組合可將下列權限授與接收連接器所允許的任何傳入連線:
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
Ms-Exch-Accept-Exch50
Ms-Exch-Bypass-Anti-Spam
Ms-Exch-Bypass-Message-Size-Limit
Ms-Exch-SMTP-Accept-Any-Recipient
Ms-Exch-SMTP-Accept-Authentication-Flag
此策略的優點如下:
容易設定
來自指定 IP 位址的郵件就會視為驗證過的郵件。郵件會略過反垃圾郵件檢查、略過郵件大小限制檢查,也可以解析匿名寄件者。
此策略的缺點是會將遠端 IP 位址視為完全可信任。授與遠端 IP 位址的權限可允許遠端訊息伺服器提交郵件,就像它們來自您 Exchange 組織的內部寄件者一樣。
Exchange 2010 Service Pack 1 中的新功能
在 Exchange Server 2010 的 Service Pack 1 (SP1) 中,新功能會新增至接收連接器。本節提供這些新功能的概觀。
換行控制
當郵件伺服器建立 SMTP 工作階段時,它會發出 SMTP 命令以傳送郵件。在指定寄件者與收件者資訊之後,傳送伺服器會使用 DATA 命令傳輸郵件內容。在發出 DATA 命令之後傳輸的內容稱為資料流。資料流會以特殊的字元順序結尾:歸位換行 (CRLF) 後面接著一個句號,然後再接著另一個 CRLF。
不直接接在歸位 (CR) 字元之後的換行 (LF) 字元稱為換行。在 SMTP 通訊中不得換行。雖然傳遞包含換行的郵件有可能會成功,但此類郵件並不支援 SMTP 通訊協定標準,且透過通訊伺服器可能會發生一些問題。
在 Exchange 2010 SP 1 中,您可以設定接收連接器以拒絕資料流中包含換行的任何郵件。此行為是由 Set-ReceiveConnector 指令程式的 BareLineFeedRejectionEnabled 參數所控制。依預設,會停用此設定以維持舊版相容性。如需設定此參數的相關資訊,請參閱 Set-ReceiveConnector。
擴充保護功能
Windows 提供了通道繫結以保護透過加密通道的 NTLM 驗證,使其抵禦驗證轉送攻擊。在 Exchange 2010 中,已更新 Exchange 提供的所有服務,以支援驗證擴充保護。為了在傳輸中支援此功能,已更新接收連接器。您可以在接收連接器上允許、要求或停用驗證擴充保護。
您可以使用 Set-ReceiveConnector 指令程式的 ExtendedProtectionPolicy 和 ExtendedProtectionTlsTerminatedAtProxy 參數來控制傳輸伺服器處理擴充保護的方法。您可以設定接收連接器來允許或需要擴充保護。當您設定接收連接器需要擴充保護時,任何從主機傳入的連線若不支援擴充保護都會遭到拒絕。若要維持舊版相容性,則依預設會停用擴充保護。如需在接收連接器上設定擴充保護的相關資訊,請參閱Set-ReceiveConnector。
若要進一步了解擴充保護,請參閱下列資源:
Microsoft 知識庫文章 973811,Microsoft 資訊安全諮詢:驗證擴充保護
MSDN Library 主題含擴充保護的整合式 Windows 驗證
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。