Соединители получения в Exchange Server

ПРИМЕНЯЕТСЯ К:2016 2019 по подписке

С помощью соединителей получения серверы Exchange управляют входящими SMTP-подключениями:

• от серверов обмена сообщениями, не входящих в организацию Exchange;

• служб в транспортном конвейере на локальном сервере Exchange Server или удаленных серверах Exchange Server;

• почтовых клиентов, которым необходимо использовать для отправки сообщений протокол SMTP с проверкой подлинности.

Соединители получения можно создавать в службе транспорта на серверах почтовых ящиков, во внешней службе транспорта на серверах почтовых ящиков, а также на пограничных транспортных серверах. По умолчанию соединители получения, необходимые для потока обработки входящей почты, создаются автоматически при установке сервера почтовых ящиков Exchange, а также при подписке пограничного транспортного сервера на организацию Exchange.

Соединитель получения связан с сервером почтовых ящиков или пограничным транспортным сервером, на котором он создан, и определяет, как этот сервер прослушивает SMTP-подключения. На серверах почтовых ящиков соединитель получения хранится в Active Directory как дочерний объект сервера. На пограничных транспортных серверах соединитель получения хранится в службах Active Directory облегченного доступа к каталогам (AD LDS).

Ниже перечислены важные параметры соединителей получения.

• Привязки локальных адаптеров. Настройте сочетание локальных IP-адресов и TCP-портов, используемых соединителем получения, чтобы принимать подключения.

• Параметры удаленной сети. Настройте исходные IP-адреса, которые соединитель получения прослушивает на предмет подключений.

• Тип использования. Настройте группы разрешений по умолчанию и механизмы проверки подлинности промежуточных узлов для соединителя получения.

• Группы разрешений. Укажите, кому разрешено использовать соединитель получения и какие разрешения получают эти пользователи.

Каждый соединитель получения ищет входящие подключения, соответствующие параметрам конфигурации этого соединителя. Каждый соединитель получения на сервере Exchange Server использует уникальное сочетание привязок локальных IP-адресов, TCP-портов и диапазонов удаленных IP-адресов, определяющих, будут ли приниматься подключения от клиентов и серверов SMTP и каким образом это будет происходить.

В большинстве случаев достаточно заданных по умолчанию соединителей получения, но вы можете создавать собственные соединители получения для определенных сценариев. Например, вы можете:

• применять специальные свойства к источнику электронной почты, например увеличивать максимальный размер сообщения, количество получателей на сообщение или количество одновременных входящих подключений;

• принимать зашифрованные сообщения с помощью определенного сертификата TLS.

На серверах почтовых ящиков вы можете создавать соединители получения и управлять ими с помощью Центра администрирования Exchange (EAC) или командной консоли Exchange. На пограничных транспортных серверах доступна только командная консоль Exchange.

Изменения соединителей получения в Exchange Server

Ниже показаны важные особенности, отличающие соединители получения в Exchange 2016 и Exchange 2019 от таковых в Exchange 2010.

• С помощью параметра TlsCertificateName можно указать издателя и субъект сертификата. Это помогает защититься от поддельных сертификатов.

• С помощью параметра TransportRole можно различать внешние (клиентский доступ) и внутренние соединители на серверах почтовых ящиков.

Соединители приема по умолчанию, созданные во время установки

Когда вы устанавливаете Exchange, по умолчанию создается несколько разных соединителей получения. Эти соединители включены по умолчанию, а для большинства из них отключено ведение журнала подключений, выполняющихся согласно протоколу. Дополнительные сведения о ведении журнала подключений по протоколу для соединителей получения см. в статье Ведение журнала подключений по протоколу.

Соединители получения по умолчанию во внешней службе транспорта на серверах почтовых ящиков

Основная функция соединителей получения во внешней службе транспорта — принимать анонимные и проверенные SMTP-подключения в организацию Exchange. Для свойства TransportRole таких соединителей задано значение FrontendTransport. Внешняя служба транспорта ретранслирует или проксирует эти подключения в службу транспорта для классификации и отправки в точку назначения.

В приведенной ниже таблице представлены соединители получения по умолчанию, создаваемые во внешней службе транспорта на серверах почтовых ящиков.

Соединители получения по умолчанию в службе транспорта на серверах почтовых ящиков

Основная функция соединителей получения в службе транспорта — принимать проверенные и зашифрованные SMTP-подключения от других служб транспорта на локальном сервере почтовых ящиков или удаленных серверах почтовых ящиков в организации. Для свойства TransportRole таких соединителей задано значение HubTransport. Клиенты не подключаются к таким соединителям напрямую.

В приведенной ниже таблице представлены соединители получения по умолчанию, создаваемые в службе транспорта на серверах почтовых ящиков.

Соединители получения по умолчанию в службе транспорта на пограничных транспортных серверах

Основная функция соединителя получения на пограничных транспортных серверах — принимать почту из Интернета. При подписке пограничного транспортного сервера на организацию Exchange автоматически настраиваются разрешения соединителя и механизмы проверки подлинности, необходимые для потока обработки почты в организацию и из нее. Дополнительные сведения см. в разделе Пограничные транспортные серверы.

В приведенной ниже таблице представлен соединитель получения по умолчанию, создаваемый в службе транспорта на пограничных транспортных серверах.

Скрытые соединители получения в службе доставки транспорта почтовых ящиков на серверах почтовых ящиков

Помимо соединителей получения, создаваемых во время установки серверов Exchange, существует специальный скрытый соединитель получения в службе доставки транспорта почтовых ящиков на серверах почтовых ящиков. Этот скрытый соединитель получения автоматически доступен, не виден и не требует управления. Основная функция этого соединителя — принимать почту из службы транспорта на локальном сервере почтовых ящиков или удаленных серверах почтовых ящиков в организации.

В приведенной ниже таблице описывается скрытый соединитель получения, который находится в службе доставки транспорта почтовых ящиков на серверах почтовых ящиков.

Привязки локальных адресов для соединителей получения

Привязки локальных адресов сужают область прослушивания для соединителя получения до определенных SMTP-подключений с определенным локальным IP-адресом (сетевым адаптером) и TCP-портом. Как правило, сочетание локального IP-адреса и TCP-порта уникально для каждого соединителя получения на сервере. Однако у нескольких соединителей получения на сервере могут быть одинаковые IP-адреса и TCP-порты, если их диапазоны удаленных IP-адресов отличаются. Дополнительные сведения см. в разделе Удаленные адреса соединителей получения.

По умолчанию соединитель получения ищет подключения по всем доступным локальным IPv4- и IPv6-адресам (0.0.0.0 и [::]:). Если на сервере несколько сетевых адаптеров, вы можете настроить соединители получения так, чтобы они принимали подключения только с тех IP-адресов, которые указаны для определенного сетевого адаптера. Например, на сервере Exchange Server с доступом к Интернету можно настроить соединитель получения, привязанный к IP-адресу внешнего сетевого адаптера, для прослушивания анонимных подключений к Интернету. У вас может быть отдельный соединитель получения, привязанный к IP-адресу внутреннего сетевого адаптера, для прослушивания проверенных подключений со внутренних серверов Exchange Server.

В Центре администрирования Exchange вы можете настроить привязки локальных адресов в поле Привязки сетевого адаптера мастера создания соединителей получения или на вкладке Определение области в свойствах имеющихся соединителей получения. В командной консоли Exchange используйте параметр Bindings командлетов New-ReceiveConnector и Set-ReceiveConnector. В зависимости от выбранного типа использования, у вас может отсутствовать возможность настраивать привязки локальных адресов при создании соединителя получения, но вы можете изменить эти привязки после его создания. Соответствующие типы использования определены в разделе Типы использования соединителей получения.

Удаленные адреса соединителей получения

Удаленные адреса определяют, откуда соединитель получения принимает SMTP-подключения. По умолчанию соединители получения прослушивают подключения со всех IPv4- и IPv6-адресов (0.0.0.0-255.255.255.255 и ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff). Создавая пользовательский соединитель получения, чтобы принимать почту из определенного источника, настройте его на прослушивание подключений только от определенного IP-адреса или диапазона адресов.

Допустимо пересечение диапазонов удаленных IP-адресов для нескольких соединителей получения на сервере при условии, что такое пересечение является полным. Когда диапазоны удаленных IP-адресов пересекаются, используется тот диапазон, который содержит наиболее точное совпадение с IP-адресом подключающегося сервера.

Например, рассмотрим следующие соединители получения во внешней службе транспорта на сервере Exchange01:

• Название соединителя: Клиентский интерфейсный сервер Exchange01

  • Привязки сетевого адаптера: все доступные IPv4-адреса для порта 25.

  • Параметры удаленной сети: 0.0.0.0-255.255.255.255

• Название соединителя: Пользовательский соединитель А

  • Привязки сетевого адаптера: все доступные IPv4-адреса для порта 25.

  • Параметры удаленной сети: 192.168.1.0-192.168.1.255

• Название соединителя: Пользовательский соединитель Б

  • Привязки сетевого адаптера: все доступные IPv4-адреса для порта 25.

  • Параметры удаленной сети: 192.168.1.75

SMTP-подключения с адреса 192.168.1.75 принимает "Пользовательский соединитель Б", так как его совпадение с IP-адресом наиболее точное.

SMTP-подключения с адреса 192.168.1.100 принимает "Пользовательский соединитель А", так как его совпадение с IP-адресом наиболее точное.

В Центре администрирования Exchange вы можете настроить удаленные IP-адреса в поле Настройки удаленной сети мастера создания соединителя получения или на вкладке Определение области в свойствах имеющихся соединителей получения. В командной консоли Exchange используйте параметр RemoteIPRanges командлетов New-ReceiveConnector и Set-ReceiveConnector.

Типы использования соединителей получения

Тип использования определяет параметры безопасности по умолчанию для этого соединителя получения. Тип использования указывает, кому разрешено использовать соединитель, какие разрешения получают эти пользователи и какие способы проверки подлинности поддерживаются.

При создании соединителей получения в Центре администрирования Exchange мастер предлагает выбрать значение Тип для соединителя. При использовании командлета New-ReceiveConnector в командной консоли Exchange вы указываете параметр Usage с одним из доступных значений (например, -Usage Custom) или специальным параметром для типа использования (например, -Custom).

Тип использования можно указать только при создании соединителей получения. Создав соединитель, вы можете изменить доступные механизмы проверки подлинности и группы разрешений в Центре администрирования Exchange или с помощью командлета Set-ReceiveConnector в командной консоли Exchange.

Доступные типы использования представлены в приведенной ниже таблице.

Механизмы проверки подлинности соединителя получения

Механизмы проверки подлинности задают параметры входа и шифрования, используемые для входящих SMTP-подключений. Для соединителя получения можно настроить несколько механизмов проверки подлинности. В Центре администрирования Exchange механизмы проверки подлинности доступны на вкладке Безопасность в окне свойств соединителя получения. В командной консоли Exchange группы разрешений доступны в параметре AuthMechanisms командлетов New-ReceiveConnector и Set-ReceiveConnector.

Доступные механизмы проверки подлинности описаны в таблице ниже.

Группы разрешений соединителя получения

Группа разрешений — это предопределенный набор разрешений для известных субъектов безопасности, назначаемый соединителю получения. К субъектам безопасности относятся учетные записи пользователей, учетные записи компьютеров и группы безопасности (объекты с идентификатором безопасности, которым могут быть назначены разрешения). Группы разрешений указывают, кто может использовать соединитель получения и какие разрешения получают эти пользователи. Группы безопасности невозможно создавать. Кроме того, невозможно менять участников этих групп и разрешения по умолчанию.

В Центре администрирования Exchange группы разрешений доступны на вкладке Безопасность в свойствах соединителя получения. В командной консоли Exchange группы разрешений доступны в параметре PermissionGroups командлетов New-ReceiveConnector и Set-ReceiveConnector.

Доступные группы разрешений представлены в приведенной ниже таблице.

Разрешения описаны в разделе Разрешения соединителя получения далее в этой статье.

Разрешения соединителя получения

Как правило, разрешения применяются к соединителям получения с помощью групп разрешений. Однако вы можете настраивать детализированные разрешения для соединителя получения с помощью командлетов Add-ADPermission и Remove-ADPermission.

Разрешения соединителя получения назначаются субъектам безопасности с помощью групп разрешений для соединителя. Когда клиент или сервер SMTP создает подключение к соединителю получения, разрешения этого соединителя определяют, принимается ли соединение и как оно обрабатывается.

Доступные разрешения соединителя получения представлены в приведенной ниже таблице.

Примечания.

• Помимо задокументированных разрешений, существуют разрешения, назначаемые всем субъектам безопасности в группе разрешений Серверы Exchange Server (ExchangeServers), кроме MS Exchange\Externally Secured Servers. Эти разрешения зарезервированы для внутреннего использования в корпорации Майкрософт и представлены здесь исключительно в справочных целях.

  • ms-Exch-SMTP-Accept-Xattr

  • ms-Exch-SMTP-Accept-XProxyFrom

  • ms-Exch-SMTP-Accept-XSessionParams

  • ms-Exch-SMTP-Accept-XShadow

  • ms-Exch-SMTP-Accept-XSysProbe

  • ms-Exch-SMTP-Send-XMessageContext-ADRecipientCache

  • ms-Exch-SMTP-Send-XMessageContext-ExtendedProperties

  • ms-Exch-SMTP-Send-XMessageContext-FastIndex

• Имена разрешений, которые содержат ms-Exch-Accept-Headers-, относятся к функции Брандмауэр заголовков. Дополнительные сведения см. в статье Брандмауэр заголовков.

Действия с разрешениями соединителей получения

Чтобы просмотреть разрешения, назначенные субъектам безопасности соединителя получения, используйте следующий синтаксис в командной консоли Exchange:

Get-ADPermission -Identity <ReceiveConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Например, чтобы просмотреть разрешения, назначенные всем субъектам безопасности соединителя получения Client Frontend Mailbox01, выполните следующую команду:

Get-ADPermission -Identity "Client Frontend Mailbox01" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Чтобы просмотреть разрешения, назначенные только субъекту безопасности NT AUTHORITY\Authenticated Users соединителя получения Default Mailbox01, выполните следующую команду:

Get-ADPermission -Identity "Default Mailbox01" -User "NT AUTHORITY\Authenticated Users" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Чтобы добавить разрешения для субъекта безопасности, используйте следующий синтаксис:

Add-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Чтобы удалить разрешения субъекта безопасности, используйте следующий синтаксис:

Remove-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...