瞭解傳送連接器
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2015-03-09
傳送連接器是在執行 Microsoft Exchange Server 2010 且已安裝 Hub Transport server role 或 Edge Transport server role 的電腦上設定。傳送連接器代表一個邏輯閘道,輸出郵件就是透過這個閘道傳送出去。本主題除了概述傳送連接器之外,並說明傳送連接器的組態如何影響個別郵件的處理。
傳送連接器的概觀
Exchange 2010 傳輸伺服器需要傳送連接器,將郵件傳遞至通往其目的地的下一個躍點。傳送連接器會控制由傳送伺服器到接收伺服器或目的地電子郵件系統的輸出連線。安裝 Hub Transport server role 或 Edge Transport server role 時,預設不會建立明確的傳送連接器。不過,會使用根據 Active Directory 站台拓撲自動運算的隱含及隱藏的傳送連接器,在 Hub Transport Server 之間內部路由傳送郵件。只有在使用 Edge 訂閱處理程序,向 Active Directory 站台訂閱 Edge Transport Server 之後,才可使用端對端郵件流程。而另一個狀況是例如面向網際網路的 Hub Transport Server 或已取消訂閱的 Edge Transport Server,則必須以手動設定連接器來建立端對端郵件流程。如需相關資訊,請參閱 傳輸伺服器部署後工作。
在 Hub Transport Server 上建立的傳送連接器會儲存在 Active Directory 中,並可供組織中的所有 Hub Transport Server 使用。如果傳送連接器是設定為將郵件傳送至外部網域,則組織中的任何 Hub Transport Server 會將該網域的郵件路由至該連接器的來源伺服器,以轉送至目的地網域。
在郵件分類的路由解析階段,會選取用來路由傳送郵件至收件者的傳送連接器。如需詳細資訊,請參閱瞭解訊息路由。
選取傳送連接器的用法類型
當您使用 Exchange 管理主控台(EMC) 建立傳送連接器時,[新增 SMTP 傳送連接器] 精靈會提示您選取連接器的使用類型。使用類型會決定對連接器指派的預設權限集,並將那些權限授與給信任的安全性主體。安全性主體包括使用者、電腦和安全性群組。安全性主體是由安全性識別碼 (SID) 加以識別。
當您在 Exchange 管理命令介面中使用 New-SendConnector 指令程式建立傳送連接器時,也可以指定使用類型。但是此 Usage 參數並不是必要的。如果您在執行 New-SendConnector 指令程式時未指定使用類型,則預設的使用類型會設為 [自訂]。下表說明傳送連接器使用類型及其預設設定。
傳送連接器使用類型
| 類型 | 預設權限 | 被授與預設權限的 SID | 預設智慧主機驗證機制 |
|---|---|---|---|
自訂 |
無 |
無 |
無 |
內部 |
|
|
Exchange Server 驗證 |
網際網路 |
Ms-Exch-Send-Headers-Routing |
匿名使用者帳戶 |
無 |
協力程式 |
Ms-Exch-Send-Headers-Routing |
協力程式伺服器 |
不適用。當您與遠端網域之間建立交互「傳輸層安全性」(TLS) 驗證時,會選取此用法類型。 |
.gif "注意事項") 附註: |
|---|
| 如果為傳送連接器 (而不是智慧主機) 選取網域名稱系統 (DNS) 解析傳遞,則不會設定智慧主機驗證機制。 |
本主題稍後將詳細討論傳送連接器權限和智慧主機驗證機制。
傳送連接器使用案例
每個用法類型分別適合特定的連線案例。選取預設設定最適合您想要之組態的用法類型。您可使用 Add-ADPermission 及 Remove-ADPermission 指令程式修改權限。如需詳細資訊,請參閱下列主題:
下表列出一般連線案例及各案例的使用類型。
連接器使用案例
| 連接器案例 | 用法類型 | 註解 |
|---|---|---|
傳送電子郵件至網際網路的 Edge Transport Server |
網際網路 |
當 Edge Transport Server 訂閱到 Exchange 組織時,會自動建立設定為將電子郵件傳送至所有網域的傳送連接器。 |
傳送電子郵件至網際網路的 Hub Transport Server |
網際網路 |
這不是建議的組態。 |
傳送電子郵件至 Hub Transport Server 的已訂閱 Edge Transport Server |
內部 |
Edge 訂閱程序會自動建立此連接器。 |
傳送電子郵件至 Exchange 2003 Bridgehead 伺服器的 Edge Transport Server |
內部 |
Exchange 2003 Bridgehead 伺服器是設定為傳送連接器的智慧主機。 |
傳送電子郵件至 Hub Transport Server 的 Edge Transport Server |
自訂 |
若未使用 Edge 訂閱處理程序,則必須建立手動連接器。使用 Add-ADPermission 指令程式設定延伸權利。將驗證機制設定為基本驗證或以外部方式保護安全。 |
一個樹系中的 Hub Transport Server 的跨樹系傳送連接器,用以將電子郵件傳送至第二個樹系中的 Exchange 2010 或 Exchange 2007 Hub Transport Server |
自訂 |
如需詳細組態步驟,請參閱設定跨樹系連接器。 |
一個樹系中的 Hub Transport Server 的跨樹系傳送連接器,用以將電子郵件傳送至第二個樹系中的 Exchange 2003 Bridgehead 伺服器 |
自訂 |
如需詳細組態步驟,請參閱設定跨樹系連接器。 |
傳送電子郵件至協力廠商智慧主機的 Hub Transport Server |
自訂 |
使用 Add-ADPermission 指令程式設定延伸權利。路由傳送所有郵件至智慧主機,並將驗證機制設定為基本驗證或以外部方式保護安全。 |
傳送電子郵件至協力廠商智慧主機的 Edge Transport Server |
自訂 |
使用 Add-ADPermission 指令程式設定延伸權利。路由傳送所有郵件至智慧主機,並將驗證機制設定為基本驗證或以外部方式保護安全。 |
傳送電子郵件至外部轉送網域的 Edge Transport Server |
自訂 |
Edge Transport Server 可接受外部轉送網域的電子郵件,然後轉送郵件至該網域的已授權電子郵件系統。路由傳送所有郵件至智慧主機,設定適當的驗證機制,以及使用 Add-ADPermission 指令程式設定延伸權利。 |
傳送電子郵件至您已建立交互 TLS 驗證的網域的 Edge Transport Server |
協力程式 |
僅當下列條件為真時,相互 TLS 驗證才能正確運作:
如需詳細資訊,請參閱 Set-SendConnector。 |
傳送連接器權限
您可以指派傳送連接器權限給安全性主體。當安全性主體與傳送連接器之間建立工作階段時,傳送連接器權限將決定可隨電子郵件一起傳送的標頭資訊類型。如果電子郵件包含傳送連接器權限不允許的標頭資訊,在傳送郵件時會從郵件中移除那些標頭。下表說明可在傳送連接器上指派給安全性主體的權限。您不能使用 EMC 設定傳送連接器權限。若要修改傳送連接器的預設權限,您必須在命令介面中使用 Add-ADPermission 指令程式。
傳送連接器權限
| 傳送連接器權限 | 描述 |
|---|---|
ms-Exch-Send-Exch50 |
此權限允許工作階段傳送包含 EXCH50 命令的郵件。如果未授與此權限,且傳送了包含 EXCH50 命令的郵件,則伺服器會傳送該郵件,但不包括 EXCH50 命令。 |
Ms-Exch-Send-Headers-Routing |
此權限允許工作階段傳送所有收到的標頭都原封不動的郵件。如果未授與此權限,則伺服器會移除所有收到的標頭。 |
Ms-Exch-Send-Headers-Organization |
此權限允許工作階段傳送所有組織標頭都原封不動的郵件。組織標頭的開頭都是 X-MS-Exchange-Organization-。如果未授與此權限,則傳送伺服器會移除所有組織標頭。 |
Ms-Exch-Send-Headers-Forest |
此權限允許工作階段傳送所有樹系標頭都原封不動的郵件。樹系標頭的開頭都是 X-MS-Exchange-Forest-。如果未授與此權限,則傳送伺服器會移除所有樹系標頭。 |
位址空間和連接器範圍
傳送連接器的位址空間可指定收件者網域,供傳送連接器將電子郵件路由傳送到此網域。您可以在 Hub Transport Server 設定的傳送連接器上,指定 SMTP 位址空間或非 SMTP 位址空間。在 Edge Transport Server 設定的傳送連接器上,則只能指定 SMTP 位址空間。如果您使用非 SMTP 位址空間類型,則必須使用智慧主機來路由傳送電子郵件。
| 附註: |
|---|
| 雖然可以在 Hub Transport Server 的傳送連接器上設定非 SMTP 位址空間,但是傳送連接器會使用 SMTP 作為傳輸機制,以將郵件傳送給其他郵件伺服器。Hub Transport Server 上的傳遞代理程式連接器和外部連接器,是用來將郵件傳送至非 SMTP 本機通訊伺服器,例如協力廠商傳真閘道伺服器。如需詳細資訊,請參閱瞭解傳遞代理程式及瞭解外部連接器。 |
下表列出適用於傳送連接器之 SMTP 位址空間的有效項目。
傳送連接器之 SMTP 位址空間的有效項目
| 位址空間項目 | 傳送連接器會將郵件路由傳送至: |
|---|---|
* |
所有網域,只要該網域在其他傳送連接器項目上沒有明確的位址空間項目,或該網域不在其他傳送連接器的位址空間子網域內。 |
Contoso.com |
具有 Contoso.com 網域內電子郵件地址的所有收件者。 |
*.Contoso.com |
具有 Contoso.com 網域或任何 Contoso.com 子網域內電子郵件地址的所有收件者。在 EMC 中選取 [包括所有子網域],即可設定此組態。 |
-- |
此位址空間僅用於在 Edge Transport Server 上設定的傳送連接器,將郵件傳送到 Hub Transport Server。當您使用此位址空間時,所有寄至公認的網域的郵件,都會透過此連接器進行路由傳送。 |
在路由傳送解析期間,會選取傳送連接器,電子郵件即路由傳送至此,以傳遞至目的地位址空間。會選取其位址空間最符合收件者電子郵件地址的傳送連接器。例如,要傳送至 Recipient@marketing.contoso.com 的電子郵件可透過已設為使用 *.Contoso.com 位址空間的連接器路由傳送。當您為特定位址空間設定傳送連接器時,傳送至該位址空間的電子郵件一律會透過該連接器路由傳送。此外,該連接器的組態設定也一定會套用至傳送至該位址空間的電子郵件。
您可以使用傳送連接器範圍來控制傳送連接器在 Exchange 組織內的可見性。根據預設,Exchange 組織內的所有 Hub Transport Server 都可以使用您建立的所有傳送連接器。不過,您可以限制任何傳送連接器的範圍,使得只有相同 Active Directory 站台內的其他 Hub Transport Server 才可以使用傳送連接器。
在 Exchange 2010 中,指定位址空間的完整語法如下:
<AddressSpaceType>:<AddressSpace>;<AddressSpaceCost>
您可以使用下列方法來指定傳送連接器的範圍:
在 EMC 中,使用 [新增 SMTP 傳送連接器] 精靈中 [位址空間] 頁面上的 [範圍傳送連接器] 內容,或現有傳送連接器內容中的 [位址空間] 索引標籤。
選取 [範圍傳送連接器] 時,只有相同 Active Directory 站台中的 Hub Transport Server 可以使用連接器。若未選取 [範圍傳送連接器],則 Exchange 組織中的所有 Hub Transport Server 均可使用連接器。
在命令介面中,使用 New-SendConnector 指令程式或 Set-SendConnector 指令程式的 IsScopedConnector 參數。
此參數的值是
$true時,只有同一個 Active Directory 站台中的 Hub Transport Server 可以使用連接器。此參數的值是$false時,Exchange 組織中所有 Hub Transport Server 都可以使用連接器。
網路設定
您可以設定傳送連接器,讓它們藉由使用 DNS 位址解析或藉由路由傳送電子郵件至智慧主機來傳遞電子郵件。
使用 DNS 路由傳送電子郵件
當傳送連接器設定為使用 DNS MX 資源記錄來自動路由傳送郵件時,來源伺服器上的 DNS 用戶端必須能夠解析公用 DNS 記錄。根據預設,會使用在來源伺服器的內部網路介面卡上設定的 DNS 伺服器進行名稱解析。您可以使用 EMC 來修改 Exchange 伺服器內容上的 DNS 設定,以設定使用特定 DNS 伺服器進行內部和外部 DNS 查閱。您也可以使用命令介面,在 Set-TransportServer 指令程式中設定參數。
如果要在傳輸伺服器上設定使用特定 DNS 伺服器進行外部 DNS 查閱,您必須選取 [新增 SMTP 傳送連接器] 精靈之 [網路設定] 頁面上的 [使用傳輸伺服器上的外部 DNS 查閱設定],或在命令介面的 Set-TransportServer 指令程式中,將 UseExternalDNSServersEnabled 參數設為 $true。傳送連接器上的 DnsRoutingEnabled 參數也必須設為 $true。
如需詳細資訊,請參閱下列主題:
使用智慧主機路由傳送電子郵件
如果您為傳送連接器選取 [內部] 用法類型,則必須指定智慧主機。當您透過智慧主機路由傳送郵件時,智慧主機會負責傳遞至該傳遞目的地的下一個躍點。您可以使用智慧主機的 IP 位址或網域全名 (FQDN) 來指定智慧主機身分。智慧主機身分可以是智慧主機伺服器的 FQDN、MX 記錄或 A (位址) 資源記錄。如果將 FQDN 設定為智慧主機身分,則傳送連接器的來源伺服器必須能夠使用 DNS 名稱解析來尋找智慧主機伺服器。
具有 [網際網路] 使用類型的傳送連接器的智慧主機,可能會是由網際網路服務提供者主控的一部伺服器。具有 [自訂] 或 [內部] 使用類型的傳送連接器的智慧主機,則可能是組織中的另一部電子郵件伺服器或是遠端網域中的電子郵件伺服器。
智慧主機安全性設定
當您透過智慧主機路由傳送郵件時,必須指定來源伺服器如何驗證智慧主機電腦。除非有指定智慧主機目的地,否則您不能要求傳送連接器的安全性設定。例如,網際網路對向的連接器無法設定為要求 TLS。
下表列出您可為傳送連接器設定的智慧主機驗證機制。
智慧主機驗證機制
| 安全性設定 | 描述 |
|---|---|
無 |
允許匿名存取。 |
基本驗證 |
基本驗證會要求您提供使用者名稱和密碼。基本驗證會以純文字傳送認證。所有與傳送連接器驗證的智慧主機,都必須接受相同的使用者名稱和密碼。 |
透過 TLS 的基本驗證 |
選取 TLS,為認證的傳輸加密。接收伺服器必須具有伺服器憑證。傳送連接器上定義為智慧主機身分的智慧主機、MX 記錄或 A 記錄的確切 FQDN,也必須存在於伺服器憑證中。傳送連接器會嘗試建立 TLS 工作階段,方法是將 STARTTLS 命令動詞傳送到目的伺服器,並在建立 TLS 工作階段之後才執行基本驗證。如果要支援交互 TLS 驗證,也需要用戶端憑證。 |
Exchange Server 驗證 |
Exchange Server 驗證 (一般安全性服務應用程式設計介面 (GSSAPI) 和相互 GSSAPI) |
外部保護 (例如透過 IPsec) |
保護網路連線的方法是使用 Exchange 伺服器的外部方法。 |
來源伺服器
您必須為傳送連接器選取至少一個來源伺服器。來源伺服器就是傳輸伺服器,郵件會路由傳送至此,以透過選取的傳送連接器進行傳遞。您可以對已經為 Exchange 組織設定的傳送連接器,設定一個以上的來源伺服器。當您指定多個來源伺服器時,可以在伺服器失敗時提供負載平衡及備援。與對 Exchange 組織設定之傳送連接器關聯的來源伺服器,可以是 Hub Transport Server 或已訂閱的 Edge Transport Server。
FQDN
在 EMC 中,傳送連接器內容的 [一般] 索引標籤包含 [指定此連接器為了回應 HELO 或 EHLO 將提供的 FQDN] 選項。在命令介面中,此內容是將 Set-SendConnector 指令程式搭配 Fqdn 參數使用來設定。建立 SMTP 工作階段後,傳送電子郵件伺服器及接收電子郵件伺服器會開始 SMTP 通訊協定交談。傳送電子郵件伺服器或用戶端,會傳送 EHLO 或 HELO SMTP 命令及其 FQDN 到接收伺服器。接收伺服器會傳送成功代碼並提供其本身的 FQDN 來回應。在 Exchange 2010 中,如果您在傳送連接器上設定此內容,則可以自訂傳送伺服器所提供的 FQDN。每當需要來源伺服器名稱時,Fqdn 參數的值會顯示給連接的郵件伺服器,如下列範例所示:
在郵件離開 Hub Transport Server 或 Edge Transport Server 之後,由下一個躍點通訊伺服器新增至郵件的郵件最近的「已接收:」標頭欄位中
在 TLS 驗證期間
如果在同時安裝 Mailbox server role 的 Hub Transport Server 上設定傳送連接器,則不會使用您為 Fqdn 參數指定的任何值。而是一律使用利用 Get-ExchangeServer 指令程式所顯示的伺服器 FQDN。
針對同時安裝 Hub Transport server role 及 Mailbox server role 的伺服器,從外寄郵件的「已接收:」標頭移除伺服器名稱的唯一方法是使用 Remove-ADPermission 指令程式,從使用連接器的安全性主體移除 Ms-Exch-Send-Headers-Routing 權限。這個動作會在郵件離開 Hub Transport Server 時,從郵件移除所有的「已接收:」標頭。建議您不要移除內部郵件的「已接收:」標頭,因為「已接收:」標頭用於進行最大躍點計數計算。如需 Remove-ADPermission 指令程式及 Get-ExchangeServer 指令程式的詳細資訊,請參閱下列主題:
Exchange 2010 Service Pack 1 中的新功能
在 Exchange Server 2010 的 Service Pack 1 (SP1) 中,新功能會新增至 [傳送] 連接器。本節提供這些新功能的概觀。
支援降級連線失敗
您可以使用專用的傳送連接器 (例如專用於傳送郵件至 Microsoft Office 365,或經由私人通道傳送至您其中一位夥伴),該連接器負責藉由定義完善且始終可用的通訊通道傳輸郵件。藉由此類連線,在網際網路的一般目的地上可能出現的許多一般錯誤就不會出現。在此情況下,您可能希望將所有通訊錯誤視為暫時錯誤,而不是發出未傳遞報告 (NDR)。藉由 Exchange 2010 SP1,您可以設定傳送連接器將驗證錯誤和名稱解析錯誤 (通常會導致發出 NDR) 降級為暫時錯誤。在這些情況下,Exchange 將嘗試再次傳遞,而不是發出 NDR。
在可靠連線上發生降級連線失敗,則讓您有機會在不影響使用者的狀況下,進行問題的疑難排解,並解決問題。
.gif "重要事項") 重要事項: |
|---|
| 應僅對於經由定義完善且可靠的網路傳輸郵件的傳送連接器啟用此功能,不應對於連線至網際網路的傳送接收器啟用此功能。 |
若要設定此功能,您要使用 Set-SendConnector 指令程式的 ErrorPolicies 參數。您可以為任何傳送接收器選擇降級驗證失敗、DNS 失敗,或兩者都選擇。如需設定此內容的相關資訊,請參閱 Set-SendConnector。
支援 TLS 網域驗證
Exchange 2010 SP1 為輸出 TLS 連線提供網域驗證支援。網域驗證是額外的安全性功能,可降低惡意使用者模擬接收伺服器的風險。在傳送連接器上啟用網路驗證時,傳輸伺服器會在輸出連線上執行下列安全性檢查:
通訊通道使用 TLS 加密。
會驗證接收伺服器憑證,並執行撤銷清單檢查。
傳輸伺服器會驗證接收伺服器憑證上的 FQDN,是否符合在傳送連接器內容中設定的網域。
在傳送連接器上啟用網域驗證時,同時也必須指定要驗證的網域名稱。這些內容都能經由使用 Set-SendConnector 指令程式的 TlsAuthLevel 與 TlsDomain 參數來進行設定。如需設定此功能的相關資訊,請參閱 Set-SendConnector。
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。