与 Exchange 2010 相比,Exchange 2016 中接收连接器存在显著变化:
-
TlsCertificateName 参数允许指定证书颁发者和证书使用者。这有助于将欺诈证书的风险降到最低。
-
TransportRole 参数使你可以区分邮箱服务器上的前端(客户端访问)和后端连接器。
安装 Exchange 时,默认情况下将创建多个不同的接收连接器。默认情况下将启用这些连接器,其中大多数连接器会禁用协议日志记录。有关接收连接器协议日志记录的详细信息,请参阅协议日志记录。
前端传输服务中接收连接器的主要功能是接受匿名和经身份验证的 SMTP 连接到你的 Exchange 组织。这些连接器的 TransportRole 属性值为 FrontendTransport。前端传输服务将这些连接中继或代理到用于分类和路由至最终目的地的传输服务。
下表介绍了在邮箱服务器上的前端传输服务中创建的默认接收连接器。
| 名称 | 说明 | 协议日志记录 | TCP 端口 | 本地 IP 地址绑定 | 远程 IP 地址范围 | 身份验证机制 | 权限组 |
|---|---|---|---|---|---|---|---|
|
客户端前端 <ServerName> |
接受来自经身份验证的 SMTP 客户端的连接。 |
无 |
587 |
所有可用的 IPv4 和 IPv6 地址( |
|
|
|
|
默认前端 <ServerName> |
接受来自外部 SMTP 服务器的匿名连接。这是进入 Exchange 组织的公共消息入口点。 |
Verbose |
25 |
所有可用的 IPv4 和 IPv6 地址( |
|
|
|
|
出站代理前端 <ServerName> |
接受来自邮箱服务器上传输服务的经身份验证的连接。连接使用 Exchange 服务器的自签名证书进行加密。 仅在配置发送连接器以使用出站代理时使用此连接器。有关详细信息,请参阅配置发送连接器以代理出站邮件。 |
无 |
717 |
所有可用的 IPv4 和 IPv6 地址( |
|
|
|
传输服务中接收连接器的主要功能是接受来自组织中本地邮箱服务器或远程邮箱服务器上其他传输服务的经身份验证和加密的 SMTP 连接。这些连接器上的 TransportRole 属性值为 HubTransport。客户端不直接连接到这些连接器。
下表介绍了在邮箱服务器上的传输服务中创建的默认接收连接器。
| 名称 | 说明 | 协议日志记录 | TCP 端口 | 本地 IP 地址绑定 | 远程 IP 地址范围 | 身份验证机制 | 权限组 |
|---|---|---|---|---|---|---|---|
|
客户端代理 <ServerName> |
接受从前端传输服务代理的经身份验证的客户端连接。 |
无 |
465 |
所有可用的 IPv4 和 IPv6 地址( |
|
|
|
|
默认 <ServerName> |
接受来自以下服务的经身份验证的连接:
连接使用 Exchange 服务器的自签名证书进行加密。 |
无 |
2525 |
所有可用的 IPv4 和 IPv6 地址( |
|
|
|
边缘传输服务器上接收连接器的主要功能是接受来自 Internet 的邮件。为 Exchange 组织订阅边缘传输服务器将自动配置 Internet 邮件流入和流出组织所需的连接器权限和身份验证机制。有关详细信息,请参阅边缘传输服务器。
下表介绍了在边缘传输服务器上的传输服务中创建的默认接收连接器。
| 名称 | 说明 | 协议日志记录 | TCP 端口 | 本地 IP 地址绑定 | 远程 IP 地址范围 | 身份验证机制 | 权限组 |
|---|---|---|---|---|---|---|---|
|
默认内部接收连接器 <ServerName> |
接受来自外部 SMTP 服务器的匿名连接。 |
无 |
25 |
所有可用的 IPv4 地址 ( |
|
|
|
除了在安装 Exchange 2016 服务器过程中创建的接收连接器之外,邮箱服务器上的邮箱传输传递服务中还有一个特殊的隐式接收连接器。此隐式接收连接器是自动提供的,它不可见且无需管理。此连接器的主要功能是接受来自组织中本地邮箱服务器或远程邮箱服务器上的传输服务的邮件。
下表介绍了邮箱服务器上邮箱传输传递服务中存在的隐式接收连接器。
| 名称 | 说明 | 协议日志记录 | TCP 端口 | 本地 IP 地址绑定 | 远程 IP 地址范围 | 身份验证机制 | 权限组 |
|---|---|---|---|---|---|---|---|
|
邮箱传递接收连接器 |
接受来自本地或远程邮箱服务器上传输服务的经身份验证的连接。 |
无 |
475 |
所有可用的 IPv4 和 IPv6 地址( |
|
|
|
本地地址绑定将接收连接器限制为侦听特定本地 IP 地址(网络适配器)和 TCP 端口上的 SMTP 连接。通常情况下,本地 IP 地址和 TCP 端口组合对于服务器上的每个接收连接器具备唯一性。但是,如果远程 IP 地址范围不同,服务器上的多个接收连接器可以有相同的本地 IP 地址和 TCP 端口。有关详细信息,请参阅接收连接器远程地址部分。
默认情况下,接收连接器侦听所有可用本地的 IPv4 和 IPv6 地址(0.0.0.0 和 [::]:)上的连接。如果服务器具有多个网络适配器,可以将接收配置为仅接受为特定网络适配器配置的 IP 地址中的连接。例如,在面向 Internet 的 Exchange 服务器上,可以使绑定到外部网络适配器 IP 地址的接收连接器侦听匿名 Internet 连接。可以使绑定到内部网络适配器的 IP 地址的单独接收连接器侦听来自内部 Exchange 服务器的经身份验证的连接。
 注意: |
|---|
| 如果将接收连接器绑定到特定 IP 地址,请务必在本地网络适配器上配置该地址。如果指定了无效的本地 IP 地址,Microsoft Exchange 传输服务在服务器或服务重启时可能无法启动。 |
在 EAC 中,使用“网络适配器绑定”字段在新的接收连接器向导中,或在现有接收连接器属性中的“作用域”选项卡上配置本地地址绑定。在 Exchange 命令行管理程序中,使用 New-ReceiveConnector 和 Set-ReceiveConnector cmdlet 上的 Bindings 参数。根据选择的使用类型,你可能无法在创建接收连接器时配置本地地址绑定,但可以在创建接收连接器后对其进行修改。在接收连接器使用类型部分中标识受影响的使用类型。
通过接收连接器接收 SMTP 连接的位置定义远程地址。默认情况下,接收连接器侦听来自所有 IPv4 和 IPv6 地址的连接(0.0.0.0-255.255.255.255 和 ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff)。如果创建一个自定义接收连接器以接收来自特定源的邮件,则将连接器配置为仅侦听来自特定 IP 地址或地址范围的连接。
只要一个 IP 地址范围与另一个范围完全重叠,服务器上的多个接收连接器就会有重叠的远程 IP 地址范围。当远程 IP 地址范围重叠时,将使用与连接服务器的 IP 地址最匹配的远程 IP 地址范围。
例如,请考虑以下名为 Exchange01 服务器上前端传输服务中的接收连接器:
-
连接器名称 客户端前端 Exchange01
-
网络适配器绑定 端口 25 上的所有可用 IPv4。
-
远程网络设置 0.0.0.0-255.255.255.255
-
-
连接器或名称 自定义连接器 A
-
网络适配器绑定 端口 25 上的所有可用 IPv4。
-
远程网络设置 192.168.1.0-192.168.1.255
-
-
连接器或名称 自定义连接器 B
-
网络适配器绑定 端口 25 上的所有可用 IPv4。
-
远程网络设置 192.168.1.75
-
自定义连接器 B 接受来自 192.168.1.75 的 SMTP 连接,因为该连接器具有最匹配的 IP 地址。
自定义连接器 A 接受来自 192.168.1.100 的 SMTP 连接,因为该连接器具有最匹配的 IP 地址。
在 EAC 中,使用远程网络设置字段在新的接收连接器向导中,或在现有接收连接器属性中的“作用域”选项卡上配置远程 IP 地址。在 Exchange 命令行管理程序中,使用 New-ReceiveConnector 和 Set-ReceiveConnector cmdlet 上的 RemoteIPRanges 参数。
使用类型决定接收连接器的默认安全设置。使用类型指定谁有权使用连接器、他们所获取的权限以及受支持的身份验证方法。
在使用 EAC 创建接收连接器时,向导会提示你选择连接器的 Type 值。在 Exchange 命令行管理程序 中使用 New-ReceiveConnector cmdlet 时,将 Usage 参数与其中一个可用值配合使用(例如,-Usage Custom),或将指定开关用于使用类型(例如,-Custom)。
连接器使用类型只能在创建接收连接器时指定。创建连接器后,可以在 EAC 中或通过使用 Exchange 命令行管理程序 中的 Set-ReceiveConnector cmdlet 修改可用的身份验证机制和权限组。
下表介绍了可用的使用类型。
| 使用类型 | 已分配的权限组 | 可用的身份验证机制 | 说明 |
|---|---|---|---|
|
客户端 |
Exchange 用户 ( |
传输层安全性 (
基本身份验证 (
仅在启动 TLS 之后提供基本身份验证 (
集成 Windows 身份验证 ( |
由需要通过经身份验证的 SMTP 提交电子邮件的 POP3 和 IMAP4 客户端使用。 在 EAC 或 Exchange 命令行管理程序中创建此使用类型的接收连接器时,不能选择本地 IP 地址绑定或 TCP 端口。默认情况下,此使用类型绑定到 TCP 端口 587 上的所有本地 IPv4 和 IPv6 地址。创建连接器后可以更改这些绑定。 此使用类型在边缘传输服务器上不可用。 |
|
自定义 |
未选择 ( |
传输层安全性 ( |
在跨林方案中使用,用于从第三方邮件服务器接收邮件和执行外部中继。 在创建此使用类型的接收连接器后,需要在 EAC 或 Exchange 命令行管理程序中添加权限组。 |
|
内部 |
旧版 Exchange 服务器 (
Exchange 服务器 ( |
传输层安全性 (
Exchange Server 身份验证 ( |
用于跨林方案,以便从早期版本的 Exchange 中接收邮件,从第三方邮件服务器接收邮件,或在边缘传输服务器上接收来自内部 Exchange 组织的出站邮件。 在 EAC 或 Exchange 命令行管理程序中创建此使用类型的接收连接器时,不能选择本地 IP 地址绑定或 TCP 端口。默认情况下,此连接器绑定到 TCP 端口 25 上的所有本地 IPv4 和 IPv6 地址。创建连接器后可以更改这些绑定。
|
|
Internet |
匿名用户 ( |
传输层安全性 ( |
用于从 Internet 接收邮件。 在 EAC 或 Exchange 命令行管理程序中创建此使用类型的接收连接器时,不能选择远程 IP 地址。默认情况下,连接器接受来自所有 IPv4 地址 (0.0.0.0-255.255.255.255) 的远程连接。创建连接器后可以更改这些绑定。 |
|
合作伙伴 |
合作伙伴 ( |
传输层安全性 ( |
用于配置与外部合作伙伴的安全通信(相互 TLS 身份验证,也称为域安全)。 |
身份验证机制指定用于传入 SMTP 连接的登录和加密设置。可以为一个接收连接器配置多种身份验证机制。在 EAC 中,接收连接器属性的“安全”选项卡中提供身份验证机制。在 Exchange 命令行管理程序中,New-ReceiveConnector 和 Set-ReceiveConnector cmdlet 上的 AuthMechanisms 参数提供权限组。
下表介绍了可用的身份验证机制。
| 身份验证机制 | 说明 |
|---|---|
|
未选择 ( |
无需身份验证。 |
|
传输层安全性 (TLS) ( |
在 EHLO 响应中播发 STARTTLS。TLS 加密连接要求包含 EHLO 响应中播发的名称的服务器证书。有关详细信息,请参阅修改 SMTP 标语上接收连接器。组织中的其他 Exchange 服务器信任服务器的自签名证书,但客户端与外部服务器通常使用受信任的第三方证书。 |
|
基本身份验证 ( |
基本身份验证(明文)。 |
|
仅在启动 TLS 之后提供基本身份验证 ( |
使用 TLS 加密的基本身份验证。 |
|
集成 Windows 身份验证 ( |
NTLM 和 Kerberos 身份验证。 |
|
Exchange Server 身份验证 ( |
通用安全服务应用程序编程接口 (GSSAPI) 和相互 GSSAPI 身份验证。 |
|
外部安全 ( |
通过使用 Exchange 外部的安全机制假定连接是安全连接。该连接可能是 Internet 协议安全性 (IPsec) 关联或虚拟专用网 (VPN)。或者,服务器可能驻留在受信任的物理控制网络中。
此身份验证机制需要 |
权限组是预定义的权限集,将其授予常用的安全主体并分配给接收连接器。安全主体包括用户帐户、计算机帐户和安全组(可通过安全标识符或具有向其分配权限的 SID 来标识的对象)。权限组定义谁可以使用接收连接器以及他们获得的权限。不能创建权限组,也不能修改权限组成员或权限组的默认权限。
在 EAC 中,接收连接器属性中的“安全”选项卡中提供有权限组。在 Exchange 命令行管理程序中,New-ReceiveConnector 和 Set-ReceiveConnector cmdlet 中的 PermissionGroups 参数提供有权限组。
下表介绍了可用的权限组。
| 权限组 | 关联的安全主体 | 授予的权限 | ||
|---|---|---|---|---|
|
匿名用户 ( |
|
|
||
|
Exchange 用户 ( |
|
|
||
|
Exchange 服务器 ( |
|
|
||
|
Exchange 服务器 ( |
|
|
||
|
旧版 Exchange 服务器 ( |
|
|
||
|
合作伙伴 ( |
|
|
稍后将在本主题的接收连接器权限部分介绍权限。
通常情况下会通过使用权限组将权限应用到接收连接器。然而,可以通过使用 Add-ADPermission 和 Remove-ADPermission cmdlet 在接收连接器上配置具体权限。
接收连接器权限按照连接器的权限组分配给安全主体。某个 SMTP 服务器或客户端与接收连接器建立连接时,接收连接器权限将决定是否接受该连接以及如何处理邮件。
可用的接收连接器权限如下表所述。
| 接收连接器权限 | 说明 |
|---|---|
|
|
控件邮件中 Exchange 林邮件头的保留情况。林邮件头名称以 X-MS-Exchange-Forest- 开头。如果没有授予此权限,则所有林邮件头都会从邮件中删除。 |
|
|
控件邮件中 Exchange 组织邮件头的保留情况。组织邮件头名称以 X-MS-Exchange-Organization- 开头。如果没有授予此权限,则所有组织邮件头都会从邮件中删除。 |
|
|
控件邮件中 Received 和 Resent-* 邮件头的保留情况。如果没有授予此权限,则所有这些邮件头都会从邮件中删除。 |
|
|
允许 SMTP 客户端或服务器绕过反垃圾邮件筛选。 |
|
|
允许 SMTP 客户端或服务器提交为接收连接器配置的超过最大邮件大小的邮件。 |
|
|
允许 SMTP 客户端或服务器通过接收连接器中继邮件。如果未授予此权限,则接收连接器仅接受发送给为 Exchange 组织配置的接受域中收件人的邮件。 |
|
|
允许 SMTP 客户端或服务器绕过发件人地址欺骗检查,该检查通常要求发件人电子邮件地址在为 Exchange 组织配置的接受域中。 |
|
|
控制来自 SMTP 客户端或服务器的邮件是否被视为已经过身份验证。如果没有授予此权限,来自这些源的邮件将被标识为外部(未经身份验证)。务必对配置为接受仅来自内部收件人的邮件的通讯组进行此设置(例如,组的 RequireSenderAuthenticationEnabled 参数值为 |
|
|
允许具有为 Exchange 组织配置的权威域中的电子邮件地址的发件人访问接收连接器。 |
|
|
允许 SMTP 客户端或服务器在接收连接器上提交 XEXCH50 命令。较旧版本的 Exchange(Exchange 2003 以及更早版本)使用 X-EXCH50 二进制大型对象 (BLOB) 将 Exchange 数据存储在邮件中(例如,垃圾邮件可信度或 SCL)。 |
|
|
需要此权限将邮件提交到接收连接器。如果未授予此权限,则 MAIL FROM 和 AUTH 命令将失败。 |
注意:
-
除了记录的权限之外,还有分配给除
MS Exchange\Externally Secured Servers之外的 Exchange 服务器 (ExchangeServers) 权限组中所有安全主体的权限。这些权限仅供内部 Microsoft 使用,在此处仅供参考。-
ms-Exch-SMTP-Accept-Xattr -
ms-Exch-SMTP-Accept-XProxyFrom -
ms-Exch-SMTP-Accept-XSessionParams -
ms-Exch-SMTP-Accept-XShadow -
ms-Exch-SMTP-Accept-XSysProbe -
ms-Exch-SMTP-Send-XMessageContext-ADRecipientCache -
ms-Exch-SMTP-Send-XMessageContext-ExtendedProperties -
ms-Exch-SMTP-Send-XMessageContext-FastIndex
-
-
包含
ms-Exch-Accept-Headers-的权限名称属于邮件头防火墙功能的一部分。有关详细信息,请参阅邮件头防火墙。
若要查看分配给接收连接器中的安全主体的权限,请使用 Exchange 命令行管理程序 中的以下语法:
Get-ADPermission -Identity <ReceiveConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
例如,若要查看分配给名为客户端前端 Mailbox01 的接收连接器上的所有安全主体的权限,请运行以下命令:
Get-ADPermission -Identity "Client Frontend Mailbox01" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
若要查看仅分配给名为默认 Mailbox01 的接收连接器上的安全主体 NT AUTHORITY\Authenticated Users 的权限,请运行以下命令:
Get-ADPermission -Identity "Default Mailbox01" -User "NT AUTHORITY\Authenticated Users" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
若要将权限添加到接收连接器上的安全主体,请使用以下语法:
Add-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...
若要从接收连接器上的安全主体中删除权限,请使用以下语法:
Remove-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...