Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2011-01-11
Соединители получения настраиваются на компьютерах под управлением Microsoft Exchange Server 2010 с установленными ролями транспортного сервера-концентратора или пограничного транспортного сервера. Получающие соединители представляют собой логический шлюз, через который приходят все входящие сообщения. В данном разделе содержится обзор получающих соединителей и рассказывается, как их настройка влияет на обработку отдельных сообщений.
Обзор получающих соединителей
Транспортные серверы Exchange 2010 используют соединители получения для приема сообщений из Интернета, от почтовых клиентов и других почтовых серверов. Соединитель получения управляет входящими в организацию Exchange подключениями. По умолчанию соединители приема, которые необходимы для внутренней передачи почты, автоматически создаются при установке роли транспортного сервера-концентратора. Соединитель получения, который может получать почту из Интернета и от транспортных серверов-концентраторов, автоматически создается при установке роли пограничного транспортного сервера. Тем не менее, сквозной поток почты возможен только после подписки пограничного транспортного сервера на сайт Служба каталогов Active Directory с помощью процесса пограничной подписки. В других сценариях, например при наличии транспортного сервера-концентратора с выходом в Интернет или пограничного транспортного сервера без подписки, для сквозной передачи почты требуется настройка соединителя вручную.
В Exchange 2010 соединитель получения является прослушивателем получения. Это значит, что получающий соединитель прослушивает входящие подключения, удовлетворяющие его параметрам. Получающий соединитель прослушивает подключения, полученные через определенный локальный IP-адрес и порт или из определенного диапазона IP-адресов. Соединители получения создаются, когда необходимо управлять серверами, получающими сообщения с определенного IP-адреса или диапазона IP-адресов, и когда необходимо настроить специальные свойства соединителя для сообщений, отправляемых с определенных IP-адресов, например больший размер сообщения, большее число получателей для одного сообщения или большее количество входящих подключений.
Получающие соединители группируются на одном сервере и определяют, как этот сервер будет прослушивать подключения. При создании соединителя получения на транспортном сервере-концентраторе он сохраняется в службе каталогов Служба каталогов Active Directory как дочерний объект сервера, на котором он создается. При создании соединителя получения на пограничном транспортном сервере он сохраняется в службах Active Directory облегченного доступа к каталогам (AD LDS).
Если требуются дополнительные соединители получения для определенных сценариев, их можно создать с помощью консоли управления Exchange или командной консоли Exchange. Каждый получающий соединитель должен использовать уникальную комбинацию привязки к IP-адресу, назначения номера порта и диапазонов удаленных IP-адресов, с которых сообщения будут приниматься этим соединителем.
Соединители получения, создаваемые по умолчанию во время установки
Некоторые соединители получения создаются по умолчанию при установке роли транспортного сервера-концентратора или роли пограничного транспортного сервера.
Соединители получения по умолчанию, создаваемые на транспортном сервере-концентраторе
При установке роли транспортного сервера-концентратора создаются два соединителя получения. В обычном режиме эксплуатации не требуются дополнительные соединители получения, и в большинстве случаев не требуется изменять конфигурацию соединителей получения по умолчанию. В следующей таблице описывается тип использования и конфигурация этих соединителей.
Конфигурация соединителя получения по умолчанию на транспортном сервере-концентраторе
Имя соединителя и тип использования | Конфигурация |
---|---|
Имя сервера клиента Этот соединитель получения принимает SMTP-подключения от всех клиентов, не являющихся клиентами MAPI, таких как POP и IMAP. |
|
Имя сервера по умолчанию Этот соединитель получения принимает подключения с других существующих транспортных серверов-концентраторов и всех пограничных транспортных серверов. |
|
Примечание. |
---|
Для любого соединителя получения, отвечающего за прием подключений с пограничных транспортных серверов или других транспортных серверов-концентраторов, необходимо назначить способ проверки подлинности Exchange Server. Способ проверки подлинности Exchange Server назначается по умолчанию при создании соединителя получения с типом использования «Внутренний». |
Соединитель получения по умолчанию, создаваемый на пограничном транспортном сервере
В процессе установки создается один соединитель получения. Этот соединитель получения настраивается для приема SMTP-подключений со всех диапазонов IP-адресов и привязан ко всем IP-адресам локального сервера. Для него настроен тип использования «Внутренний», поэтому этот соединитель принимает анонимные подключения. При обычной установке дополнительные соединители получения не требуются. При использовании службы EdgeSync не требуется изменять конфигурацию, так как процесс пограничной подписки автоматически настраивает разрешения и механизмы проверки подлинности. Для анонимных сеансов и для сеансов с проверкой подлинности предоставляются различные наборы разрешений.
Если служба EdgeSync не используется, рекомендуется изменить настройки этого соединителя получения и создать дополнительный соединитель получения с типом использования «Интернет». Чтобы настроить соединитель получения, выполните следующие шаги.
- Изменение параметров соединителя получения по
умолчанию Настройте привязки локальной сети на
IP-адрес сетевого адаптера, подключающего сервер к Интернету.
- Создание соединителя получения Выберите
для соединителя тип использования «Внутренний». Настройте привязки
локальной сети на IP-адрес сетевого адаптера, подключающего сервер
к организации. Настройте параметры удаленной сети на получение
почты от удаленных IP-адресов, назначенных транспортным
серверам-концентраторам.
Примечание. Для любого соединителя получения, отвечающего за прием подключений с пограничных транспортных серверов или других транспортных серверов-концентраторов, необходимо назначить способ проверки подлинности Exchange Server. Способ проверки подлинности Exchange Server назначается по умолчанию при создании соединителя получения с типом использования «Внутренний». - Определение необходимости обычной проверки
подлинности При необходимости поддержки
обычной проверки подлинности создайте локальную учетную запись
пользователя и предоставьте необходимые разрешения с помощью
командлета Add-ADPermission.
Дополнительные сведения см. в разделе Настройка потока почты между пограничным транспортным сервером и транспортными серверами-концентраторами без использования EdgeSync.
Типы использования получающего соединителя
Тип использования определяет параметры безопасности по умолчанию для этого соединителя.
Настройки безопасности для получающего соединителя определяют разрешения для сеансов, подключающихся к получающему соединителю, и поддерживаемые механизмы проверки подлинности.
При использовании командной консоли Exchange для настройки соединителя получения мастер создания соединителя получения SMTP предлагает выбрать тип использования соединителя. Можно использовать один из двух следующих способов.
- Используйте параметр Usage с необходимым значением,
например Usage
Custom
. В зависимости от указанного типа использования существуют другие обязательные параметры. Если не указать обязательные параметры для команды New-ReceiveConnector, ее выполнение завершится неудачей.
- Используйте параметр для необходимого типа использования,
например Custom. В зависимости от указанного типа
использования существуют другие обязательные параметры. Если
обязательные параметры в команде New-ReceiveConnector не
указаны, отобразится запрос на ввод пропущенных значений для
продолжения выполнения команды.
Группы разрешений
Группа разрешений — это предопределенный набор разрешений для известных участников безопасности, назначаемый соединителю получения. Участники безопасности — это пользователи, компьютеры и группы безопасности. Участники безопасности идентифицируются по идентификатору безопасности (SID). Группы безопасности доступны только для получающих соединителей. Использование групп безопасности упрощает настройку разрешений для получающих соединителей. Свойство PermissionGroups определяет группы или роли, которые могут отправлять сообщения соединителю получения, и разрешения, назначенные этим группам. Набор групп разрешений предопределен в Exchange 2010. Это значит, что невозможно создать дополнительные группы разрешений. Также невозможно изменять участников групп разрешений и назначенные разрешения.
В следующей таблице перечислены доступные группы разрешений, а также названы участники безопасности и разрешения, которые предоставляются этой группой разрешений, если она настроена для работы с соединителем получения.
Группы разрешений соединителя получения
Имя группы разрешения | Связанные участники безопасности (SID) | Предоставленные разрешения | ||||
---|---|---|---|---|---|---|
Anonymous |
Учетная запись анонимного пользователя |
|
||||
ExchangeUsers |
Учетные записи пользователей, прошедших проверку |
|
||||
ExchangeServers |
|
|
||||
ExchangeLegacyServers |
Группа безопасности Exchange Legacy Interop |
|
||||
Партнер |
Учетная запись Partner Server |
|
Типы использования соединителя получения
Тип использования определяет группы разрешений по умолчанию, присвоенные получающему соединителю, и механизмы проверки подлинности по умолчанию, доступные для сеанса. Соединитель получения всегда отвечает на запрос отправителя об использовании протокола TLS. В следующей таблице описаны доступные типы использования и параметры по умолчанию.
Типы использования соединителя получения
Тип использования | Группы разрешений по умолчанию | Механизм проверки подлинности по умолчанию |
---|---|---|
Клиент (недоступно для пограничных транспортных серверов) |
ExchangeUsers |
TLS Обычная проверка подлинности плюс TLS Встроенная проверка подлинности Windows |
Настраиваемый |
Отсутствует |
Отсутствует |
Встроенный |
ExchangeServers ExchangeLegacyServers (Эта группа разрешений недоступна для пограничных транспортных серверов.) |
Проверка подлинности сервера Exchange |
Интернет |
AnonymousUsers Партнер |
Отсутствует или внешняя проверка |
Партнер |
Партнер |
Неприменимо. Тип использования выбирается при установке взаимного TLS с удаленным доменом. |
Разрешения и механизмы проверки подлинности получающего соединителя обсуждаются в этом разделе ниже.
Ситуации использования получающего соединителя
Каждый тип использования соответствует определенной ситуации с подключением. Выберите тип использования, параметры по умолчанию которого наиболее соответствуют желаемой конфигурации. Можно менять разрешения с помощью командлетов Add-ADPermission и Remove-ADPermission. Для получения дополнительных сведений см. следующие разделы:
В следующей таблице перечислены обычные сценарии подключения и типы использования для каждого сценария.
Сценарии использования соединителя получения
Ситуация соединителя | Тип использования | Комментарий |
---|---|---|
Пограничный транспортный сервер, получающий электронную почту из Интернета |
Интернет |
Соединитель получения, настроенный на прием электронной почты от всех доменов, автоматически создается при установке роли пограничного транспортного сервера. |
Транспортный сервер-концентратор, получающий электронную почту из Интернета |
Интернет |
Такая конфигурация не рекомендуется. Дополнительные сведения см. в разделе Настройка потока почты Интернета непосредственно через транспортный сервер-концентратор. |
Пограничный транспортный сервер, получающий сообщения электронной почты с сервера-плацдарма Exchange Server 2003 |
Внутренний |
В этом сценарии сервер-плацдарм Exchange 2003 настраивается на использование пограничного транспортного сервера в качестве промежуточного узла для соединителя отправки. |
Транспортный сервер-концентратор, получающий сообщения электронной почты от клиентских приложений, использующих протоколы POP3 или IMAP4 |
Клиент |
Этот получающий соединитель автоматически создается на каждом транспортном сервере-концентраторе при установке роли. По умолчанию этот соединитель получения настроен на получение электронной почты через порт TCP 587. |
Транспортный сервер-концентратор, получающий сообщения от транспортного сервера-концентратора |
Внутренний |
Не требуется настраивать соединители получения между транспортными серверами-концентраторами в одной организации. Этот тип использования может применяться для настройки получающего соединителя для связи между лесами. |
Транспортный сервер-концентратор, получающий сообщения электронной почты с сервера-плацдарма Exchange 2003 в одном лесу |
Внутренний |
Это конфигурация является необязательной. Транспорт между сервером Exchange 2010 и более ранними версиями Exchange осуществляется через двусторонние соединители групп маршрутизации. Если создаются SMTP-соединители для групп маршрутизации Exchange 2003, должен также существовать соединитель групп маршрутизации. Дополнительные сведения см. в разделе Создание дополнительных соединителей групп маршрутизации из Exchange 2010 в Exchange 2003. |
Пограничный транспортный сервер, получающий сообщения от транспортного сервера-концентратора |
Внутренний |
Соединитель получения, настроенный на прием электронной почты от всех доменов, автоматически создается при установке роли пограничного транспортного сервера. Можно создать другой соединитель и настроить его для получения электронной почты только от организаций Exchange. |
Получающий соединитель связи между лесами для транспортного сервера-концентратора в одном лесу, получающего сообщения от транспортного сервера-концентратора другого леса. |
Настраиваемый |
Для получения подробного описания выполняемых действий см. раздел Настройка соединителей между лесами. |
Соединитель получения между лесами для транспортного сервера-концентратора в одном лесу, получающий сообщения электронной почты с сервера-плацдарма Exchange 2003 другого леса. |
Настраиваемый |
Подробное описание выполняемых действий см. в разделе Настройка соединителей между лесами. |
Транспортный сервер-концентратор, получающий сообщения электронной почты от стороннего агента передачи сообщений |
Внутренний |
Укажите диапазон IP-адресов, от которых будут приниматься сообщения, и установите механизм проверки подлинности — обычная или внешняя проверка подлинности. |
Пограничный транспортный сервер, получающий сообщения электронной почты от стороннего агента передачи сообщений |
Настраиваемый |
Используйте командлет Add-ADPermission для установки расширенных прав. Укажите диапазон IP-адресов, от которых будут приниматься сообщения, и установите механизм проверки подлинности «обычная проверка подлинности». Также можно выбрать внутренний тип использования и установить в качестве механизма проверки подлинности внешнюю проверку. При выборе этого варианта дополнительная настройка разрешений не требуется. |
Пограничный транспортный сервер, получающий электронную почту от домена внешней ретрансляции |
Настраиваемый |
Пограничный транспортный сервер может принимать почту от домена внешней ретрансляции и перенаправлять ее домену получателя. Установите диапазон IP-адресов, с которых разрешен прием сообщений, механизм проверки подлинности и с помощью командлета Add-ADPermission установите расширенные права. |
Пограничный транспортный сервер, получающий сообщения от домена, с которым установлена взаимная проверка подлинности TLS |
Партнерский |
Взаимная проверка подлинности TLS правильно работает только при соблюдений следующих условий:
Дополнительные сведения см. в разделе Set-ReceiveConnector. |
Пограничный транспортный сервер, принимающий подключения от сервера Microsoft Exchange Hosted Services |
Настраиваемый |
Сервер Exchange Hosted Services может действовать как внешний
уполномоченный сервер. Чтобы использовать проверку подлинности с
внешней защитой, с помощью командлета Set-ReceiveConnector
установите для параметра PermissionGroup значение
|
Транспортный сервер-концентратор, принимающий подключения от сервера Exchange Hosted Services |
Настраиваемый |
Сервер Exchange Hosted Services может действовать как внешний
уполномоченный сервер. Чтобы использовать проверку подлинности с
внешней защитой, с помощью командлета Set-ReceiveConnector
установите для параметра PermissionGroup значение
|
Разрешения получающего соединителя
Разрешения получающего соединителя назначаются участникам безопасности при указании групп разрешений для соединителя. Когда участник безопасности устанавливает сеанс с получающим соединителем, получающий соединитель определяет, будет ли сеанс установлен и как будут обработаны принятые сообщения. В следующей таблице описываются разрешения, которые можно назначать на соединителе получения участникам безопасности. Можно установить разрешения соединителя получения с помощью консоли управления Exchange или с помощью параметра PermissionGroups с командлетом Set-ReceiveConnector в командной консоли Exchange. Чтобы изменить для соединителя получения разрешения по умолчанию, также можно использовать командлет Add-ADPermission.
Разрешения соединителя получения
Разрешение соединителя получения | Описание |
---|---|
ms-Exch-SMTP-Submit |
Это разрешение должно быть предоставлено сеансу, иначе он не сможет передавать сообщения данному получающему соединителю. Если сеанс не имеет этого разрешения, команды MAIL FROM и AUTH завершатся сбоем. |
ms-Exch-SMTP-Accept-Any-Recipient |
Это разрешение позволяет сеансу ретранслировать сообщения через соединитель. Если это разрешение отсутствует, соединитель будет принимать только сообщения, адресованные получателям в обслуживаемых доменах. |
ms-Exch-SMTP-Accept-Any-Sender |
Это разрешение позволяет сеансу обходить проверку на подмену адреса отправителя. |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
Это разрешение позволяет отправителям с адресами электронной почты в удостоверяющих доменах устанавливать сеанс с получающим соединителем. |
ms-Exch-SMTP-Accept-Authentication-Flag |
Это разрешение позволяет серверам Exchange 2003 отправлять сообщения от внутренних отправителей. При этом Exchange 2010 распознает эти сообщения как внутренние. Отправитель может объявить сообщение «доверенным». Сообщения, входящие в систему Exchange через анонимную доставку, будут ретранслироваться в организации Exchange с этим флагом как ненадежные. |
ms-Exch-Accept-Headers-Routing |
Это разрешение позволяет сеансу передавать сообщение со всеми неизмененными заголовками. Если это разрешение отсутствует, сервер удалит все полученные заголовки. |
ms-Exch-Accept-Headers-Organization |
Это разрешение позволяет сеансу передавать сообщение с неизмененными заголовками организаций. Все заголовки организации начинаются с фразы X-MS-Exchange-Organization-. Если это разрешение отсутствует, получающий сервер удалит все заголовки организации. |
ms-Exch-Accept-Headers-Forest |
Это разрешение позволяет сеансу передавать сообщение со всеми неизмененными заголовками леса. Все заголовки леса начинаются с фразы X-MS-Exchange-Forest-. Если это разрешение отсутствует, получающий сервер удалит все заголовки леса. |
ms-Exch-Accept-Exch50 |
Это разрешение позволяет сеансу передавать сообщения, содержащие команды XEXCH50. Эта команда необходима для взаимодействия с Exchange 2003. Команда XEXCH50 предоставляет такие данные о сообщении, как уровень вероятности нежелательной почты (SCL). |
ms-Exch-Bypass-Message-Size-Limit |
Это разрешение позволяет сеансу передавать сообщения, выходящие за ограничение размера сообщения, настроенного для соединителя. |
Ms-Exch-Bypass-Anti-Spam |
Это разрешение позволяет сеансу обходить фильтр нежелательной почты. |
Параметры локальной сети
В консоли управления Exchange параметры локальной сети для соединителя получения позволяют указать IP-адрес и порт, через который транспортный сервер принимает подключения. В командной консоли Exchange параметр Bindings позволяет указать локальный IP-адрес и порт транспортного сервера, через который соединитель получения принимает подключения. Этот параметр привязывает получающий соединитель к выбранному сетевому адаптеру и порту TCP транспортного сервера.
По умолчанию соединитель получения настроен на использование всех доступных сетевых адаптеров и порта TCP 25. Если транспортный сервер имеет несколько сетевых адаптеров, может потребоваться привязать соединитель получения к определенному сетевому адаптеру или принимать подключения через другой порт. Например, может потребоваться настроить получающий соединитель пограничного транспортного сервера принимать анонимные подключения через внешний сетевой адаптер. Второй получающий соединитель можно настроить принимать подключения только от транспортных серверов-концентраторов через внутренний сетевой адаптер.
Примечание. |
---|
Чтобы привязать соединитель приема к конкретному локальному IP-адресу, IP-адрес должен быть допустим для транспортного сервера-концентратора или пограничного транспортного сервера, на котором расположен соединитель приема. Если указать недопустимый локальный IP-адрес, перезапуск службы транспорта Microsoft Exchange может оказаться невозможным. Вместо привязки соединителя приема к конкретному IP-адресу можно привязать его ко всем доступным IP-адресам на транспортном сервере-концентраторе или пограничном транспортном сервере. |
Укажите IP адрес сетевого адаптера при настройке привязки получающего соединителя. Если получающий соединитель настроен на прием подключений через нестандартный порт, отправляющий клиент или сервер должны быть настроены на отправку на этот порт, а все брандмауэры между отправителем сообщения и получающим соединителем должны пропускать сетевой трафик через этот порт.
Страница Параметры локальной сети мастера создания соединителя получения SMTP в консоли управления Exchange содержит параметр Указать имя FQDN, которое этот соединитель будет предоставлять в ответ на запрос HELO или EHLO. В командной консоли Exchange это свойство можно настроить с помощью параметра Fqdn с командлетом Set-ReceiveConnector. После установки сеанса SMTP начинается диалог SMTP между серверами — отправителем и получателем электронной почты. Отправляющий сервер или клиент отправляет команды SMTP EHLO или HELO и свое имя FQDN получающему серверу. В ответ принимающий сервер передает код успеха и свое полное доменное имя. В Exchange 2010 можно настроить имя FQDN, предоставляемое получающим сервером, при настройке этого свойства на соединителе получения. Значение полного доменного имени отображается для подключенных серверов обмена сообщениями, когда требуется имя конечного сервера, например:
- в заголовке SMTP по умолчанию соединителя приема;
- в поле последнего заголовка
Received:
входящего сообщения, когда оно поступает на транспортный сервер-концентратор или пограничный транспортный сервер;
- в ходе проверки подлинности с использованием протокола TLS.
Примечание. |
---|
Не изменяйте имя FQDN соединителя получения по умолчанию с именем «<Имя_сервера> по умолчанию», который автоматически создается на транспортных серверах-концентраторах. Если в организации Exchange с несколькими транспортными серверами-концентраторами изменить имя FQDN соединителя получения «<Имя_сервера> по умолчанию», это приведет к ошибке внутреннего потока почты между транспортными серверами-концентраторами. |
Параметры удаленной сети
В консоли управления Exchange параметры удаленной сети позволяют указать для соединителя получения диапазон IP-адресов, с которых этот соединитель принимает подключения. В командной консоли Exchange для определения диапазона IP-адресов, с которых соединитель получения принимает подключения, используется параметр RemoteIPRanges. По умолчанию соединители получения создаются на транспортных серверах-концентраторах и пограничных транспортных серверах, которые принимают подключения с диапазона адресов 0.0.0.0–255.255.255.255 (или с любого IP-адреса).
Примечание. |
---|
В системе Exchange 2010 для соединителей получения по умолчанию на транспортном сервере-концентраторе также используется диапазон адресов IP версии 6 0000:0000:0000:0000:0000:0000:0.0.0.0–ffff:ffff:ffff:ffff:ffff:ffff:255.255.255.255. |
При настройке соединителя получения для определенного сценария установите параметры удаленной сети только для тех IP-адресов серверов, которым необходимо предоставить разрешения и параметры конфигурации этого соединителя получения. Диапазоны удаленных IP адресов нескольких получающих соединителей могут перекрываться, а один диапазон может полностью перекрывать другой. При наложении диапазонов удаленных IP-адресов используется тот диапазон, который точнее соответствует IP-адресу сервера, устанавливающему подключение.
IP-адрес или диапазон IP-адресов удаленного сервера, от которого получающий соединитель будет принимать входящие подключения, вводится в одном из следующих форматов:
- IP-адрес: 192.168.1.1
- Диапазон
IP-адресов: 192.168.1.10-192.168.1.20
- IP-адрес с маской подсети: 192.168.1.0
(255.255.255.0)
- IP-адрес с маской подсети, с использованием нотации
CIDR: 192.168.1.0/24
Параметры проверки подлинности получающего соединителя
В консоли управления Exchange используются параметры проверки подлинности для соединителя получения, чтобы установить механизм проверки подлинности, который поддерживается транспортным сервером Exchange 2010. В командной консоли Exchange для указания поддерживаемых механизмов проверки подлинности используется параметр AuthMechanisms. Для получающего соединителя можно настроить более одного механизма проверки подлинности. Механизмы проверки подлинности, которые автоматически настраиваются для каждого типа использования, см. в подразделе «Типы использования соединителя получения» выше в этом разделе. В следующей таблице перечислены механизмы проверки подлинности, доступные для соединителя получения.
Механизмы проверки подлинности соединителя получения
Механизм проверки подлинности | Описание |
---|---|
Нет |
Нет проверки подлинности |
TLS |
Advertise STARTTLS. Требует наличия на сервере сертификата для предложения TLS. |
Встроенный |
NTLM и Kerberos (встроенная проверка подлинности Windows) |
BasicAuth |
Обычная проверка подлинности Требует проверки подлинности при входе. |
BasicAuthRequireTLS |
Обычная проверка подлинности поверх TLS. Требуется сертификат сервера |
ExchangeServer |
Проверка подлинности Exchange Server (программный интерфейс GSSAPI и взаимный GSSAPI). |
ExternalAuthoritative |
Подключение считается имеющим внешнюю защиту при использовании
механизма безопасности, внешнего по отношению к Exchange.
Подключение может быть связано с протоколом IPsec или виртуальной
частной сетью VPN. Вместо этого серверы могут находиться в
доверительной физически контролируемой сети. Для способа проверки
подлинности |
Дополнительные свойства получающих соединителей
Настройка свойств получающего соединителя определяет, сколько через него проходит сообщений. Не все свойства доступны в консоли управления Exchange. Дополнительные сведения о свойствах, которые можно настроить с помощью командной консоли Exchange, см. в разделе Set-ReceiveConnector.
Использование соединителя получения для анонимной ретрансляции
Анонимная ретрансляция на SMTP-серверах обмена сообщениями является очень уязвимым с точки зрения безопасности процессом, который могут использовать лица, рассылающие нежелательную почту, чтобы скрыть источник своих сообщений. Поэтому на серверы обмена сообщениями, подключенные к Интернету, накладываются ограничения, которые запрещают выполнять ретрансляцию на неавторизованные места назначения.
В Exchange 2010 ретрансляция обычно выполняется с помощью обслуживаемых доменов. Обслуживаемые домены настраиваются на пограничном транспортном сервере или транспортном сервере-концентраторе. Обслуживаемые домены подразделяются на домены внутренней ретрансляции или домены внешней ретрансляции. Дополнительные сведения об обслуживаемых доменах см. в разделе Общие сведения об обслуживаемых доменах.
Анонимную ретрансляцию также можно ограничить на основе источника входящих сообщений. Этот способ полезен, если неавторизованному приложению или серверу обмена сообщениями необходимо использовать транспортный сервер-концентратор или пограничный транспортный сервер в качестве сервера ретрансляции.
При создании соединителя получения, разрешающего анонимную ретрансляцию, для него необходимо установить следующие ограничения.
- Параметры локальной сети Разрешить
соединителю получения выполнять прослушивание только для
определенного сетевого адаптера на транспортном
сервере-концентраторе или пограничном транспортном сервере.
- Параметры удаленной сети Разрешить
соединителю получения принимать подключения только с определенных
серверов. Это ограничение является обязательным, так как
соединитель получения настроен на прием ретрансляции от анонимных
пользователей. Ограничение исходных серверов по IP-адресу является
единственной мерой защиты, разрешенной для этого соединителя
получения.
Чтобы предоставить анонимным пользователям разрешение на ретрансляцию через соединитель получения, можно использовать одну из стратегий, описанных далее в этом разделе. Каждая стратегия имеет свои преимущества и недостатки. Пошаговые инструкции для этих стратегий см. в разделе Включение анонимной ретрансляции на соединителе получения.
Предоставление разрешения на ретрансляцию анонимным подключениям
Эта стратегия включает в себя следующие задачи:
- создание соединителя получения с типом использования
Custom
;
- добавление группы разрешений «Анонимные» для соединителя
получения;
- назначение разрешения на ретрансляцию участнику безопасности
«Анонимный вход» для соединителя получения.
Группа разрешений «Анонимные» предоставляет участнику безопасности «Анонимный вход» для соединителя получения следующие разрешения:
- Ms-Exch-Accept-Headers-Routing
- Ms-Exch-SMTP-Accept-Any-Sender
- Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
- Ms-Exch-SMTP-Submit
Тем не менее, чтобы разрешить анонимную ретрансляцию через этот соединитель получения, участнику безопасности «Анонимный вход» на соединителе получения необходимо также предоставить следующее разрешение:
- Ms-Exch-SMTP-Accept-Any-Recipient
Преимущество этой стратегии заключается в том, что она предоставляет указанным удаленным IP-адресам минимально необходимые для ретрансляции разрешения.
Недостатки этой стратегии заключаются в следующем.
- Требуется выполнение дополнительных шагов по настройке для
предоставления необходимых разрешений.
- Сообщения, отправленные с указанных IP-адресов, считаются
анонимными. Поэтому эти сообщения не обходят проверку на
нежелательную почту и на ограничения размера сообщения, а анонимные
отправители запрещаются. Процесс разрешения анонимных отправителей
приводит к принудительному сопоставлению адреса электронной почты
отправителя и соответствующего краткого имени в глобальном списке
адресов.
Настройка соединителя получения с внешней защитой
Эта процедура включает в себя следующие задачи:
- создание соединителя получения с типом использования
Custom
;
- добавление группы разрешений ExchangeServers для соединителя
получения;
- добавление способа проверки подлинности
ExternalAuthoritative
для соединителя получения.
Группа разрешений ExchangeServers необходима при выборе
способа проверки подлинности ExternalAuthoritative
.
При таком сочетании способа проверки подлинности и группы
разрешений каждому входящему подключению, разрешенному на
соединителе получения, предоставляются следующие разрешения:
- Ms-Exch-Accept-Headers-Routing
- Ms-Exch-SMTP-Accept-Any-Sender
- Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
- Ms-Exch-SMTP-Submit
- Ms-Exch-Accept-Exch50
- Ms-Exch-Bypass-Anti-Spam
- Ms-Exch-Bypass-Message-Size-Limit
- Ms-Exch-SMTP-Accept-Any-Recipient
- Ms-Exch-SMTP-Accept-Authentication-Flag
Преимущества этой стратегии заключаются в следующем:
- простота настройки;
- сообщения, отправленные с указанных IP-адресов, считаются
прошедшими проверку подлинности. Сообщения обходят проверку на
нежелательную почту и на ограничения размера сообщения, а анонимные
отправители разрешаются.
Недостаток этой стратегии заключается в том, что удаленные IP-адреса считаются полностью заслуживающими доверия. Разрешения, предоставленные удаленным IP-адресам, позволяют удаленному серверу обмена сообщениями отправлять сообщения таким образом, как будто они отправляются внутренними отправителями в организации Exchange.
Новые возможности Exchange Server 2010 с пакетом обновления 1 (SP1)
В системе Exchange Server 2010 с пакетом обновления 1 (SP1) представлены новые функции для соединителей получения. В данном разделе приведен обзор этих функций.
Управление чистыми переводами строки
При установлении сеанса SMTP почтовый сервер выпускает команды SMTP для отправки сообщений. После указании информации об отправителе и получателе отправляющий сервер передает содержимое сообщения с помощью команды DATA. Содержимое, передаваемое после выпуска команды DATA, называется потоком данных. Поток данных завершается специальной последовательностью символов: возврат каретки и перевод строки (CRLF), точка и еще одно сочетание CRLF.
Символы перевода строки (LF), перед которыми не стоят символы возврата каретки (CR), называются чистым переводом строки. Чистые переводы строк нельзя использовать в SMTP-подключениях. Хотя сообщение, содержащее чистый перевод строки, может быть успешно доставлено, такие сообщения не отвечают стандартам протокола SMTP и могут вызывать проблемы на серверах обмена сообщениями.
В системе Exchange 2010 с пакетом обновления 1 (SP1) соединители получения можно настроить для отклонения всех сообщений, содержащих чистые переводы строк в потоке данных. Такое поведение контролируется параметром BareLineFeedRejectionEnabled командлета Set-ReceiveConnector. По умолчанию этот параметр отключен для поддержания обратной совместимости. Дополнительные сведения о настройке этого параметра см. в разделе Set-ReceiveConnector.
Возможности расширенной защиты
В системе Windows используется привязка канала для защиты проверки подлинности NTLM через зашифрованные каналы от атак, применяющих ретрансляторы. В системе Exchange 2010 все службы Exchange были обновлены для поддержки расширенной защиты проверки подлинности. Для поддержки этой функции в службе транспорта были обновлены соединители получения. Это дает возможность разрешать, требовать или отключать расширенную защиту для проверки подлинности на соединителях получения.
Для контроля обеспечения расширенной защиты транспортными серверами используются параметры ExtendedProtectionPolicy и ExtendedProtectionTlsTerminatedAtProxy командлета Set-ReceiveConnector. Соединители получения можно настроить для разрешения или требования расширенной защиты. Если соединитель получения настроен для требования расширенной защиты, все входящие подключения от узлов, не поддерживающих расширенную защиту, отклоняются. По умолчанию расширенная защита отключена для поддержания обратной совместимости. Дополнительные сведения о настройке расширенной защиты на соединителях получения см. в разделе Set-ReceiveConnector.
Дополнительные сведения о расширенной защите см. в следующих источниках:
- Статья 973811 базы знаний Майкрософт Советы по безопасности Майкрософт: расширенная
защита для проверки подлинности
- Раздел библиотеки MSDN Встроенная проверка подлинности Windows с расширенной
защитой (страница может быть на английском языке)