Informazioni sui connettori di ricezione
Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Ultima modifica dell'argomento: 2016-11-28
I connettori di ricezione sono configurati su computer con Microsoft Exchange Server 2010 e sui quali è installato il ruolo del server Trasporto Hub o Trasporto Edge. I connettori di ricezione rappresentano un gateway logico tramite il quale vengono ricevuti i messaggi in ingresso. In questo argomento viene fornita una panoramica dei connettori di ricezione e sull'effetto dei connettori di ricezione sull'elaborazione del singolo messaggio.
Panoramica sui connettori di ricezione
I server di trasporto di Exchange 2010 hanno bisogno dei connettori di ricezione per poter ricevere messaggi da Internet, da client di posta elettronica e da altri server di posta elettronica. Un connettore di ricezione controlla le connessioni in ingresso nell'organizzazione Exchange. Per impostazione predefinita, i connettori di ricezione necessari per il flusso di posta interno vengono creati automaticamente quando si installa il ruolo del server Trasporto Hub. Il connettore di ricezione in grado di ricevere la posta da Internet e dai server Trasporto Hub viene creato automaticamente quando si installa il ruolo del server Trasporto Edge. Tuttavia, il flusso di posta end-to-end è possibile solo dopo che il server Trasporto Edge è stato sottoscritto al sito di Active Directory utilizzando il processo di sottoscrizione Edge. Altri scenari, ad esempio un server Trasporto Hub con accesso a Internet o un server Trasporto Edge non sottoscritto, richiedono la configurazione manuale del connettore per stabilire il flusso di posta end-to-end.
In Exchange 2010, il connettore di ricezione è un ricevitore in ascolto. Ciò significa che il connettore è in ascolto per le connessioni in ingresso che corrispondono alle impostazioni del connettore stesso. Un connettore di ricezione è in ascolto per le connessioni ricevute tramite un determinato indirizzo IP locale, una porta e da un intervallo di indirizzi IP specificato. Generalmente, i connettori di ricezione vengono creati quando si desidera controllare quali server ricevono messaggi da un determinato indirizzo IP o intervallo di indirizzi IP, nonché quando si desidera configurare speciali proprietà dei connettori per i messaggi ricevuti da un determinato indirizzo IP, ad esempio una dimensione maggiore dei messaggi, più destinatari per ogni messaggio o più connessioni in ingresso.
I connettori di ricezione vengono applicati a un solo server e determinano come il server specifico è in ascolto per le connessioni. Quando si crea un connettore di ricezione su un server Trasporto Hub, tale connettore viene archiviato in Active Directory come oggetto figlio del server su cui è stato creato. Quando si crea un connettore di ricezione su un server Trasporto Edge, tale connettore viene archiviato in Active Directory Lightweight Directory Services (AD LDS).
Se sono necessari ulteriori connettori di ricezione per scenari specifici, è possibile crearli utilizzando Exchange Management Console (EMC) o Exchange Management Shell. Ciascun connettore di ricezione deve utilizzare una combinazione univoca di binding di indirizzi IP, assegnazioni di numero di porta e intervalli di indirizzi IP remoti dai quali accettare la posta.
Connettori di ricezione predefiniti creati durante l'installazione
Alcuni connettori di ricezione vengono creati per impostazione predefinita quando si installa un ruolo del server Trasporto Hub o Trasporto Edge.
Connettori di ricezione predefiniti creati su un server Trasporto Hub
Quando si installa il ruolo del server Trasporto Hub, vengono creati due connettori di ricezione. Non è necessario alcun connettore di ricezione aggiuntivo per normali operazioni e nella maggior parte dei casi non è necessario modificare la configurazione dei connettori di ricezione predefiniti. Il tipo di utilizzo e configurazione di questi connettori è descritto nella tabella seguente.
Configurazione del connettore di ricezione predefinito sui server Trasporto Hub
| Nome connettore e tipo di utilizzo | Configurazione |
|---|---|
NomeServer client Questo connettore di ricezione accetta le connessioni SMTP da tutti i client non MAPI, ad esempio POP e IMAP. |
|
Nomeserver predefinito Questo connettore di ricezione accetta le connessioni da altri server Trasporto Hub e da qualsiasi server Trasporto Edge disponibile. |
|
Nota
A qualsiasi connettore di ricezione responsabile di accettare le connessioni dai server Trasporto Edge o Trasporto Hub occorre assegnare il metodo di autenticazione di Exchange Server. Il metodo di autenticazione di Exchange Server è il metodo di autenticazione predefinito quando si crea un connettore di ricezione con tipo di utilizzo interno.
Connettore di ricezione predefinito creato su un server Trasporto Edge
Durante l'installazione, viene creato un connettore di ricezione. Questo connettore di ricezione è configurato per accettare comunicazioni SMTP da tutti gli intervalli di indirizzi IP ed è collegato a tutti gli indirizzi IP del server locale. Viene configurato con il tipo di utilizzo per Internet, quindi accetta le connessioni anonime. In un'installazione tipica, non sono necessari ulteriori connettori di ricezione. Se si utilizza EdgeSync, non è necessario apportare modifiche alla configurazione perché il processo di sottoscrizione Edge configura automaticamente le autorizzazioni e i meccanismi di autenticazione. Alle sessioni anonime e autenticate sono assegnati gruppi di autorizzazioni diversi.
Se non si utilizza EdgeSync, si consiglia di modificare le impostazioni di questo connettore di ricezione e creare un connettore di ricezione aggiuntivo con tipo di utilizzo interno. Per completare la configurazione del connettore di ricezione, fare quanto segue:
Modificare le impostazioni del connettore di ricezione predefinito Impostare i binding della rete locale sull'indirizzo IP solo della scheda di rete con accesso a Internet.
Creare un connettore di ricezione Selezionare Interno come tipo di utilizzo del connettore. Impostare i binding della rete locale sull'indirizzo IP solo della scheda di rete per l'accesso all'organizzazione. Configurare le impostazioni della rete remota per ricevere posta dagli indirizzi IP remoti assegnati ai server Trasporto Hub.
Nota
A qualsiasi connettore di ricezione responsabile di accettare le connessioni dai server Trasporto Edge o Trasporto Hub occorre assegnare il metodo di autenticazione di Exchange Server. Il metodo di autenticazione di Exchange Server è il metodo di autenticazione predefinito quando si crea un connettore di ricezione con tipo di utilizzo interno.
Determinare se l'autenticazione di base è desiderata Se si desidera supportare l'autenticazione di base, creare un account utente locale e concedere le autorizzazioni necessarie utilizzando il cmdlet Add-ADPermission.
Per ulteriori informazioni, vedere Configurazione del flusso di posta tra un server Trasporto Edge e i server Trasporto Hub senza l'utilizzo di EdgeSync.
Tipi di utilizzo del connettore di ricezione
Il tipo di utilizzo determina le impostazioni di protezione predefinite per il connettore.
Le impostazioni di protezione per un connettore di ricezione specificano le autorizzazioni concesse alle sessioni che si connettono al connettore di ricezione e i meccanismi di autenticazione supportati.
Quando si utilizza EMC per configurare un connettore di ricezione, la procedura guidata Nuovo connettore di ricezione SMTP richiede all'utente di selezionare il tipo di utilizzo per il connettore. È possibile utilizzare due metodi diversi per specificare il tipo di utilizzo:
Utilizzare il parametro Usage con il valore desiderato, ad esempio Usage
Custom. Sono presenti altri parametri obbligatori basati sul tipo di utilizzo specificato. Se non si specificano i parametri obbligatori nel comando New-ReceiveConnector, il comando non verrà eseguito.Utilizzare il parametro opzionale per il tipo di utilizzo desiderato, ad esempio Custom. Sono presenti altri parametri obbligatori basati sul tipo di utilizzo specificato. Se non si specificano i parametri obbligatori nel comando New-ReceiveConnector, verranno richiesti i valori dei parametri mancanti per consentire al comando di continuare l'operazione.
Gruppi di autorizzazioni
Un gruppo di autorizzazioni è un insieme predefinito di autorizzazioni concesso a identità di sicurezza conosciute e assegnato a un connettore di ricezione. Tra le identità di sicurezza sono compresi utenti, computer e gruppi di protezione. Un'identità di sicurezza viene identificata da un ID di sicurezza (SID, Security Identifier). I gruppi di autorizzazioni sono disponibili solo per i connettori di ricezione. L'utilizzo di gruppi di autorizzazioni semplifica la configurazione delle autorizzazioni sui connettori di ricezione. La proprietà PermissionGroups definisce i gruppi o i ruoli che possono inviare messaggi al connettore di ricezione e le autorizzazioni assegnate a tali gruppi. L'insieme di gruppi di autorizzazioni è predefinito in Exchange 2010. Ciò significa che non è possibile creare gruppi di autorizzazioni aggiuntivi. Inoltre, non è possibile modificare i membri dei gruppi di autorizzazioni o le autorizzazioni associate.
Nella seguente tabella vengono riportati i gruppi di autorizzazioni disponibili e vengono identificate le entità di sicurezza e le autorizzazioni concesse quando il gruppo di autorizzazioni viene configurato per un connettore di ricezione.
Gruppi di autorizzazioni per il connettore di ricezione
| Nome gruppo di autorizzazioni | Identità di sicurezza associate (SID, Security Identifier) | Autorizzazioni concesse |
|---|---|---|
Anonimo |
Account utente anonimo |
|
ExchangeUsers |
Account utente autenticati |
|
ExchangeServers |
|
|
ExchangeLegacyServers |
Gruppo di protezione Exchange Legacy Interop |
|
Partner |
Account server partner |
|
Tipi di utilizzo del connettore di ricezione
Il tipo di utilizzo determina i gruppi di autorizzazioni predefiniti assegnati al connettore di ricezione e i meccanismi di autenticazione predefiniti disponibili per l'autenticazione della sessione. Un connettore di ricezione risponde sempre alla richiesta di un mittente di utilizzare TLS. Nella tabella seguente sono descritti i tipi di utilizzo disponibili e le impostazioni predefinite.
Tipi di utilizzo del connettore di ricezione
| Tipo di utilizzo | Gruppi di autorizzazioni predefiniti | Meccanismo di autenticazione predefinito |
|---|---|---|
Client (non disponibile in server Trasporto Edge) |
ExchangeUsers |
TLS Autenticazione di base e TLS Autenticazione Windows integrata |
Personalizzato |
Nessuno |
Nessuna |
Interno |
ExchangeServers ExchangeLegacyServers (gruppo di autenticazioni non disponibile su server Trasporto Edge) |
Autenticazione di Exchange Server |
Internet |
AnonymousUsers Partner |
Nessuno o Protetto esternamente |
Partner |
Partner |
Non applicabile. Il tipo di utilizzo viene selezionato quando si stabilisce un TLS reciproco con un dominio remoto. |
Le autorizzazioni e i meccanismi di autenticazione del connettore di ricezione verranno approfonditi più avanti in questo argomento.
Scenari di utilizzo del connettore di ricezione
Ciascun tipo di utilizzo è appropriato a uno scenario di connessione specifico. Selezionare il tipo di utilizzo che dispone delle impostazioni predefinite più adatte alla configurazione desiderata. È possibile modificare le autorizzazioni utilizzando i cmdlet Add-ADPermission e Remove-ADPermission. Per ulteriori informazioni, vedere i seguenti argomenti:
Nella seguente tabella sono elencati gli scenari di connessione più comuni e il tipo di utilizzo per ciascuno scenario.
Scenari di utilizzo del connettore di ricezione
| Scenario di connessione | Tipo di utilizzo | Commento |
|---|---|---|
Server Trasporto Edge che riceve posta elettronica da Internet |
Internet |
Al momento dell'installazione del ruolo del server Trasporto Edge, viene creato automaticamente un connettore di ricezione configurato per accettare posta elettronica da tutti i domini. |
Server Trasporto Hub che riceve posta elettronica da Internet |
Internet |
Questa configurazione non è consigliata. Per ulteriori informazioni, vedere Configurazione del flusso di posta Internet direttamente tramite un server Trasporto Hub. |
Server Trasporto Edge che riceve posta elettronica da un server testa di ponte Exchange Server 2003 |
Livello interno |
In questo scenario il server testa di ponte Exchange 2003 è configurato per l'utilizzo del server Trasporto Edge come smart host per un connettore di invio. |
Server Trasporto Hub che riceve inoltri di posta elettronica da un'applicazione client che utilizza POP3 o IMAP4 |
Client |
Questo connettore di ricezione viene creato automaticamente su ciascun server Trasporto Hub al momento dell'installazione del ruolo. Per impostazione predefinita, questo connettore di ricezione è configurato per ricevere posta elettronica tramite la porta TCP 587. |
Server Trasporto Hub che riceve posta elettronica da un server Trasporto Hub |
Livello interno |
Non è necessario configurare i connettori di ricezione tra i server Trasporto Hub all'interno della stessa organizzazione. Questo tipo di utilizzo può essere adottato per configurare un connettore di ricezione tra foreste. |
Server Trasporto Hub che riceve posta elettronica da un server testa di ponte Exchange 2003 |
Livello interno |
Questa opzione è facoltativa. Il trasporto tra Exchange 2010 e le versioni precedenti di Exchange avviene tramite connettori bidirezionali del gruppo di routing. Se si creano connettori SMTP su gruppi di routing di Exchange 2003, è necessario che sia disponibile anche un connettore del gruppo di routing. Per ulteriori informazioni, vedere Creazione dei connettori di un gruppo di routing aggiuntivi da Exchange 2010 a Exchange 2003. |
Server Trasporto Edge che riceve posta elettronica da un server Trasporto Hub |
Livello interno |
Al momento dell'installazione del ruolo del server Trasporto Edge, viene creato automaticamente un connettore di ricezione configurato per accettare posta elettronica da tutti i domini. È possibile creare un altro connettore e configurarlo per la ricezione della posta elettronica solo dall'organizzazione Exchange. |
Connettore di ricezione tra foreste per un server Trasporto Hub in una foresta che riceve posta elettronica da un server Trasporto Hub in un'altra foresta |
Personalizzato |
Per la procedura di configurazione dettagliata, vedere Configurazione di connettori tra più foreste. |
Connettore di ricezione tra foreste per un server Trasporto Hub in una foresta che riceve posta elettronica da un server testa di ponte Exchange 2003 in un'altra foresta |
Personalizzato |
Per la procedura di configurazione dettagliata, vedere Configurazione di connettori tra più foreste. |
Server Trasporto Hub che riceve posta elettronica da un agente di trasferimento messaggi (MTA) di terze parti |
Livello interno |
Specificare l'intervallo di indirizzi IP da cui verranno accettati messaggi e impostare il meccanismo di autenticazione su Autenticazione di base oppure Protetto esternamente. |
Server Trasporto Edge che riceve posta elettronica da un agente di trasferimento messaggi di terze parti |
Personalizzato |
Utilizzare il cmdlet Add-ADPermission per impostare le autorizzazioni estese. Specificare l'intervallo di indirizzi IP da cui verranno accettati messaggi e impostare il meccanismo di autenticazione su Autenticazione di base. È possibile anche selezionare il tipo di utilizzo Interno e impostare Protetto esternamente come metodo di autenticazione. Se si seleziona questa opzione, non è necessario configurare alcuna autorizzazione aggiuntiva. |
Server Trasporto Edge che riceve posta elettronica da un dominio di inoltro esterno |
Personalizzato |
Il server Trasporto Edge può accettare posta elettronica da un dominio di inoltro esterno e quindi eseguire nuovamente l'inoltro al dominio di destinazione. Specificare l'intervallo di indirizzi IP da cui verranno accettati i messaggi, impostare il meccanismo di autenticazione appropriato e utilizzare il cmdlet Add-ADPermission per impostare le autorizzazioni estese. |
Server Trasporto Edge che riceve posta elettronica da un dominio in cui è stata stabilita l'autenticazione TLS reciproca |
Partner |
L'autenticazione TLS reciproca funziona correttamente solo se si verificano le condizioni riportate di seguito:
Per ulteriori informazioni, vedere Set-ReceiveConnector. |
Server Trasporto Edge che riceve connessioni dal server Microsoft Exchange Hosted Services |
Personalizzato |
Il server Exchange Hosted Services può assumere il ruolo di server autorevole esterno. Per utilizzare il meccanismo di autenticazione Protetto esternamente, utilizzare il cmdlet Set-ReceiveConnector per impostare il parametro PermissionGroup su |
Server Trasporto Hub che riceve connessioni da un server Exchange Hosted Services |
Personalizzato |
Il server Exchange Hosted Services può assumere il ruolo di server autorevole esterno. Per utilizzare il meccanismo di autenticazione Protetto esternamente, utilizzare il cmdlet Set-ReceiveConnector per impostare il parametro PermissionGroup su |
Autorizzazioni del connettore di ricezione
Le autorizzazioni del connettore di ricezione vengono assegnate a identità di sicurezza quando si specificano i gruppi di autorizzazioni per il connettore. Quando un'identità di sicurezza stabilisce una sessione con un connettore di ricezione, le autorizzazioni del connettore di ricezione determinano se accettare la sessione e come elaborare i messaggi ricevuti. Nella seguente tabella vengono descritte le autorizzazioni che è possibile assegnare alle entità di sicurezza in un connettore di ricezione. È possibile impostare le autorizzazioni del connettore di ricezione utilizzando EMC o il parametro PermissionGroups con il cmdlet Set-ReceiveConnector in Shell. Per modificare le autorizzazioni predefinite per un connettore di ricezione, è possibile utilizzare anche il cmdlet Add-ADPermission.
Autorizzazioni del connettore di ricezione
| Autorizzazione del connettore di ricezione | Descrizione |
|---|---|
ms-Exch-SMTP-Submit |
La sessione deve disporre di questa autorizzazione altrimenti non potrà inviare messaggi a questo connettore di ricezione. Se una sessione non dispone di questa autorizzazione, i comandi MAIL FROM e AUTH non verranno eseguiti. |
ms-Exch-SMTP-Accept-Any-Recipient |
Questa autorizzazione consente alla sessione di inviare messaggi tramite questo connettore. Se l'autorizzazione non viene concessa, questo connettore accetterà solo i messaggi indirizzati a destinatari in domini accettati. |
ms-Exch-SMTP-Accept-Any-Sender |
Questa autorizzazione consente alla sessione di ignorare il controllo della contraffazione dell'indirizzo del mittente. |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
Questa autorizzazione consente ai mittenti con indirizzi di posta elettronica in domini autorevoli di stabilire una sessione in questo connettore di ricezione. |
ms-Exch-SMTP-Accept-Authentication-Flag |
Questa autorizzazione consente ai server Exchange 2003 di inviare i messaggi provenienti da mittenti interni. Exchange 2010 riconoscerà i messaggi come interni. Il messaggio può essere dichiarato attendibile dal mittente. I messaggi che entrano nel sistema Exchange tramite invii anonimi verranno inoltrati nuovamente tramite l'organizzazione Exchange con il flag di stato non attendibile. |
ms-Exch-Accept-Headers-Routing |
Questa autorizzazione consente alla sessione di inviare un messaggio con tutte le intestazioni Ricevuto intatte. Se questa autorizzazione non viene concessa, il server rimuoverà tutte le intestazioni ricevute. |
ms-Exch-Accept-Headers-Organization |
Questa autorizzazione consente alla sessione di inviare un messaggio con tutte le intestazioni dell'organizzazione intatte. Tutte le intestazioni dell'organizzazione iniziano con X-MS-Exchange-Organization-. Se questa autorizzazione non viene concessa, il server destinatario rimuoverà tutte le intestazioni dell'organizzazione. |
ms-Exch-Accept-Headers-Forest |
Questa autorizzazione consente alla sessione di inviare un messaggio con tutte le intestazioni della foresta intatte. Tutte le intestazioni della foresta iniziano con X-MS-Exchange-Forest-. Se questa autorizzazione non viene concessa, il server destinatario rimuoverà tutte le intestazioni della foresta. |
ms-Exch-Accept-Exch50 |
Questa autorizzazione consente alla sessione di inviare un messaggio contenente il comando XEXCH50, Questo comando è necessario per l'interoperabilità con Exchange 2003. Il comando XEXCH50 fornisce dei dati, quali il livello di probabilità di posta indesiderata (SCL) per il messaggio. |
ms-Exch-Bypass-Message-Size-Limit |
Questa autorizzazione consente alla sessione di inviare un messaggio di dimensioni superiori alla restrizione configurata per il connettore. |
Ms-Exch-Bypass-Anti-Spam |
Questa autorizzazione consente alla sessione di ignorare il filtro di protezione da posta indesiderata. |
Impostazioni della rete locale
In EMC le impostazioni della rete locale per un connettore di ricezione vengono utilizzate per specificare l'indirizzo IP e la porta tramite i quali il server di trasporto accetta le connessioni. In Shell utilizzare il parametro Bindings per specificare l'indirizzo IP locale e la porta del server di trasporto tramite i quali il connettore di ricezione accetta le connessioni. Queste impostazioni effettuano il binding del connettore di ricezione a una determinata scheda di rete e porta TCP sul server di trasporto.
Per impostazione predefinita, un connettore di ricezione è configurato per utilizzare tutte le schede di rete disponibili e la porta TCP 25. Se un server di trasporto dispone di più schede di rete, è possibile associare il connettore di ricezione a una determinata scheda di rete oppure fare in modo che accetti connessioni tramite una porta alternativa. Ad esempio è possibile configurare un solo connettore di ricezione sul server Trasporto Edge che accetti le connessioni anonime tramite la scheda di rete esterna. Un secondo connettore di ricezione può essere configurato per accettare connessioni solo da server Trasporto Hub tramite la scheda di rete interna.
Nota
Se si decide di associare un connettore di ricezione a un indirizzo IP locale specifico, tale indirizzo IP deve essere valido per il server Trasporto Hub o per il server Trasporto Edge sul quale si trova il connettore di ricezione. Se si specifica un indirizzo IP locale non valido, potrebbe essere impossibile avviare il servizio di trasporto di Microsoft Exchange quando viene riavviato il servizio. Invece di associare il connettore di ricezione a un indirizzo IP specifico, è possibile associarlo a tutti gli indirizzi IP disponibili sul server Trasporto Hub o sul server Trasporto Edge.
Specificare l'indirizzo IP della scheda di rete al momento della configurazione dei binding del connettore di ricezione. Se il connettore di ricezione è configurato per accettare connessioni tramite una porta diversa da quella predefinita, è necessario configurare il server o il client mittente in modo che la porta e tutti i firewall tra il mittente del messaggio e il server ricevente consentano il traffico di rete tramite tale porta.
Nella pagina Impostazioni della rete locale della procedura guidata Nuovo connettore di ricezione SMTP in EMC è inclusa l'opzione Specifica nome di dominio completo (FQDN) che questo connettore fornirà in risposta a HELO o EHLO. In Shell, questa proprietà viene impostata utilizzando il parametro Fqdn con il cmdlet Set-ReceiveConnector. Dopo aver stabilito una sessione SMTP, viene avviata una conversazione del protocollo SMTP tra i server di posta elettronica mittente e ricevente. Il client o il server di posta elettronica mittente invia il comando EHLO o HELO SMTP e il proprio nome di dominio completo (FQDN) al server destinatario. In risposta, il server ricevente invia un codice di riuscita e fornisce il proprio nome di dominio completo. In Exchange 2010 è possibile personalizzare il nome di dominio completo fornito dal server destinatario se si configura questa proprietà su un connettore di ricezione. Il valore del nome di dominio completo viene visualizzato sui server di messaggistica connessi ogni volta che è richiesto un nome server di destinazione, come illustrato nell'esempio seguente:
Nel banner SMTP predefinito del connettore di ricezione
Nel campo di intestazione
Received:più recente nel messaggio in arrivo quando il messaggio entra nel server Trasporto Hub o nel server Trasporto EdgeDurante l'autenticazione TLS
Nota
Non modificare il valore del nome di dominio completo sul connettore di ricezione denominato <Nome server> predefinito creato automaticamente sui server Trasporto Hub. Se si dispone di più server Trasporto Hub nell'organizzazione Exchange e si modifica il valore del nome di dominio completo nel connettore di ricezione <Nome server> predefinito, il flusso di posta interno tra i server Trasporto Hub verrà compromesso.
Impostazioni della rete remota
In EMC le impostazioni della rete remota per un connettore di ricezione vengono utilizzate per specificare gli intervalli di indirizzi IP da cui il connettore di ricezione accetta le connessioni. In Shell, utilizzare il parametro RemoteIPRanges per specificare gli intervalli di indirizzi IP da cui il connettore di ricezione accetta le connessioni. Per impostazione predefinita, i connettori di ricezione vengono creati sui server Trasporto Hub e sui server Trasporto Edge che consentono connessioni da 0.0.0.0–255.255.255.255 o da ogni indirizzo IP.
Nota
In Exchange 2010, l'intervallo di indirizzi IPv6 0000:0000:0000:0000:0000:0000:0.0.0.0–ffff:ffff:ffff:ffff:ffff:ffff:255.255.255.255 esiste anche nei connettori di ricezione predefiniti su un server Trasporto Hub.
Se si sta configurando un connettore di ricezione per uno scenario specifico, configurare le impostazioni della rete remota solo sugli indirizzi IP dei server ai quali verranno concesse le autorizzazioni e le impostazioni di configurazione per il connettore di ricezione. Più connettori di ricezione possono avere intervalli di indirizzi IP remoti che si sovrappongono se un intervallo è completamente sovrapposto da un altro. Quando gli intervalli di indirizzi IP remoti si sovrappongono, viene utilizzato l'intervallo di indirizzi IP remoti con la corrispondenza più completa all'indirizzo IP del server connesso.
L'indirizzo IP o l'intervallo di indirizzi IP per i server remoti da cui il connettore di ricezione accetterà connessioni in ingresso è in uno dei formati riportati di seguito:
Indirizzo IP 192.168.1.1
Intervallo di indirizzi IP 192.168.1.10-192.168.1.20
Indirizzo IP insieme a subnet mask 192.168.1.0(255.255.255.0)
Indirizzo IP insieme a subnet mask utilizzando la notazione Classless Interdomain Routing (CIDR) 192.168.1.0/24
Impostazioni di autenticazione del connettore di ricezione
In EMC le impostazioni di autenticazione per un connettore di ricezione vengono utilizzate per specificare i meccanismi di autenticazione supportati dal server di trasporto Exchange 2010. In Shell, utilizzare il parametro AuthMechanisms per specificare i meccanismi di autenticazione supportati. Per un connettore di ricezione è possibile specificare più meccanismi di autenticazione. Per i meccanismi di autenticazione configurati automaticamente per ogni tipo di utilizzo, vedere la tabella "Tipi di utilizzo del connettore di ricezione" descritta in precedenza. Nella tabella seguente vengono elencati i meccanismi di autenticazione disponibili per un connettore di ricezione.
Meccanismi di autenticazione del connettore di ricezione
| Meccanismo di autenticazione | Descrizione |
|---|---|
Nessuna |
Nessuna autenticazione. |
TLS |
Indica STARTTLS. Per ottenere l'autenticazione TLS è necessario un certificato server. |
Integrato |
NTLM e Kerberos (autenticazione di Windows integrata). |
BasicAuth |
Autenticazione di base. È necessario un accesso autenticato. |
BasicAuthRequireTLS |
Autenticazione di base su TLS. È necessario un certificato server. |
ExchangeServer |
Autenticazione di Exchange Server (Generic Security Services Application Programming Interface (GSSAPI) e GSSAPI reciproca) |
ExternalAuthoritative |
La connessione è considerata protetta esternamente se si utilizza un meccanismo di protezione esterno a Exchange. La connessione può essere un'associazione IPsec (Internet Protocol security) o una connessione VPN (Virtual Private Network). In alternativa i server possono risiedere in una rete di tipo trusted controllata fisicamente. Per il metodo di autenticazione |
Proprietà aggiuntive del connettore di ricezione
La configurazione delle proprietà per un connettore di ricezione definisce come la posta elettronica viene ricevuta tramite tale connettore. Non tutte le proprietà sono disponibili in EMC. Per ulteriori informazioni sulle proprietà che è possibile configurare utilizzando Shell, vedere Set-ReceiveConnector.
Utilizzo di un connettore di ricezione per l'inoltro anonimo
L'inoltro anonimo sui server di messaggistica SMTP in Internet è una seria vulnerabilità di protezione, che può essere sfruttata da mittenti di messaggi commerciali indesiderati o spammer, per nascondere l'origine dei messaggi. Quindi, sui server di messaggistica con accesso a Internet vengono impostate restrizioni per impedire l'inoltro a destinazioni non autorizzate.
In Exchange 2010, l'inoltro viene in genere gestito utilizzando domini accettati. I domini accettati vengono configurati sul server Trasporto Edge o Trasporto Hub. I domini accettati vengono inoltre classificati come domini di inoltro interni o domini di inoltro esterni. Per ulteriori informazioni sui domini accettati, vedere Informazioni sui domini accettati.
È inoltre possibile limitare l'inoltro anonimo in base all'origine dei messaggi in arrivo. Questo metodo è utile quando un'applicazione o un server di messaggistica non autenticato deve utilizzare un server Trasporto Hub o Trasporto Edge come server di inoltro.
Quando si crea un connettore di ricezione configurato per consentire l'inoltro anonimo, si consiglia di applicargli le seguenti restrizioni:
Impostazioni della rete locale Vincolare il connettore di ricezione all'ascolto sulla sola scheda di rete appropriata sul server Trasporto Hub o Trasporto Edge.
Impostazioni della rete remota Vincolare il connettore di ricezione ad accettare connessioni solo da determinati server. Questa restrizione è necessaria poiché il connettore di ricezione è configurato per accettare l'inoltro da utenti anonimi. La limitazione dei server di origine in base all'indirizzo IP è l'unica misura di protezione consentita su questo connettore di ricezione.
Per concedere l'autorizzazione di inoltro a utenti anonimi sul connettore di ricezione, è possibile utilizzare una delle strategie descritte nelle sezioni seguenti. Ogni strategia ha i suoi vantaggi e svantaggi. Per istruzioni dettagliate su entrambi gli approcci, vedere Autorizzazione per l'inoltro anonimo su un connettore di ricezione.
Concessione dell'autorizzazione di inoltro a connessioni anonime
Questa strategia implica le attività seguenti:
Creazione di un nuovo connettore di ricezione con il tipo di utilizzo impostato su
Custom.Aggiunta del gruppo di autorizzazioni Anonimo al connettore di ricezione.
Assegnazione dell'autorizzazione di inoltro all'entità di sicurezza Accesso anonimo sul connettore di ricezione.
Il gruppo di autorizzazioni Anonimo concede le seguenti autorizzazioni all'entità di sicurezza Accesso anonimo sul connettore di ricezione:
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
Tuttavia, per consentire l'inoltro anonimo su questo connettore di ricezione, è necessario concedere anche la seguente autorizzazione all'entità di sicurezza Accesso anonimo sul connettore di ricezione:
- Ms-Exch-SMTP-Accept-Any-Recipient
Il vantaggio di questa strategia sta nel fatto di concedere le autorizzazioni minime necessarie per l'inoltro agli indirizzi IP remoti specificati.
Gli svantaggi della strategia sono i seguenti:
Sono necessari ulteriori passi di configurazione per concedere le autorizzazioni necessarie.
I messaggi che hanno origine dagli indirizzi IP specificati vengono considerati messaggi anonimi. Quindi non eludono i controlli di protezione da posta indesiderata né i controlli dei limiti alle dimensioni dei messaggi e non è possibile risolvere i mittenti anonimi. La risoluzione dei mittenti anonimi impone una corrispondenza forzata tra l'indirizzo di posta elettronica del mittente anonimo e il corrispondente nome visualizzato nell'elenco indirizzi globale.
Configurazione del connettore di ricezione su Protetto esternamente
Questa strategia implica le attività seguenti:
Creazione di un nuovo connettore di ricezione con il tipo di utilizzo impostato su
Custom.Aggiunta del gruppo di autorizzazioni ExchangeServers al connettore di ricezione.
Aggiunta del meccanismo di autenticazione
ExternalAuthoritativeal connettore di ricezione.
Il gruppo di autorizzazioni ExchangeServers è necessario quando si seleziona il meccanismo di autenticazione ExternalAuthoritative. Questa combinazione del metodo di autenticazione e del gruppo di autorizzazioni concede le seguenti autorizzazioni a qualsiasi connessione in ingresso consentita sul connettore di ricezione:
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
Ms-Exch-Accept-Exch50
Ms-Exch-Bypass-Anti-Spam
Ms-Exch-Bypass-Message-Size-Limit
Ms-Exch-SMTP-Accept-Any-Recipient
Ms-Exch-SMTP-Accept-Authentication-Flag
I vantaggi della strategia sono i seguenti:
Semplicità di configurazione
I messaggi che hanno origine dagli indirizzi IP specificati vengono considerati messaggi autenticati. I messaggi eludono i controlli di protezione da posta indesiderata e i controlli dei limiti alle dimensioni dei messaggi e consentono la risoluzione dei mittenti anonimi.
Lo svantaggio della strategia sta nel fatto che gli indirizzi IP remoti vengono considerati completamente attendibili. Le autorizzazioni che vengono concesse agli indirizzi IP remoti consentono al server di messaggistica remoto di inoltrare messaggi come se avessero origine da mittenti interni all'organizzazione Exchange.
Nuove funzionalità in Exchange 2010 Service Pack 1
In Exchange Server 2010 Service Pack 1 (SP1), è stata aggiunta una nuova funzionalità ai connettori di ricezione. In questa sezione viene fornita una panoramica su queste nuove funzionalità.
Controllo avanzamento su riga vuota
Quando un server di posta stabilisce una sessione SMTP, invia comandi SMTP per inviare i messaggi. Dopo aver specificato le informazioni per il mittente e il destinatario, il server di invio trasmette il contenuto del messaggio tramite il comando DATA. Il contenuto trasmesso dopo l'invio del comando DATA è detto "flusso di dati". Il flusso di dati si chiude con una sequenza speciale di caratteri: ritorno a capo e avanzamento riga, seguito da un punto, seguito da un altro ritorno a capo e avanzamento riga.
I caratteri di avanzamento riga che non sono immediatamente preceduti dai caratteri di ritorno a capo sono detti anche "avanzamento su riga vuota". Le comunicazioni SMTP non supportano l'avanzamento su riga vuota. È possibile che i messaggi contenenti un avanzamento su riga vuota vengano recapitati correttamente, ma non risulteranno conformi agli standard del protocollo SMTP e potrebbero provocare dei problemi sui server di messaggistica.
In Exchange 2010 SP1, è possibile configurare i connettori di ricezione in modo che rifiutino i messaggi nel cui flusso di dati sono presenti avanzamenti su riga vuota. Questo comportamento è controllato dal parametro BareLineFeedRejectionEnabled del cmdlet Set-ReceiveConnector. Per impostazione predefinita, questa funzionalità è disabilitata per garantire la compatibilità con le versioni precedenti. Per ulteriori informazioni sulla configurazione di questo parametro, vedere Set-ReceiveConnector.
Funzionalità di protezione estesa
Windows offre il binding del canale per proteggere l'autenticazione NTLM sui canali crittografati da attacchi di tipo relay per autenticazione. In Exchange 2010, tutti i servizi forniti da Exchange sono stati aggiornati in modo da supportare la protezione estesa per l'autenticazione. Per supportare questa funzionalità di trasporto, sono stati aggiornati i connettori di ricezione. È possibile consentire, richiedere o disabilitare la protezione estesa per l'autenticazione sui connettori di ricezione.
È possibile utilizzare il parametri ExtendedProtectionPolicy e ExtendedProtectionTlsTerminatedAtProxy del cmdlet Set-ReceiveConnector per controllare la gestione della protezione estesa da parte dei server di trasporto. È possibile configurare un connettore di ricezione in modo che consenta o richieda la protezione estesa. Quando si configura un connettore di ricezione in modo che richieda la protezione estesa, verranno rifiutate tutte le connessioni in ingresso provenienti da host che non supportano la protezione estesa. Per garantire la compatibilità con le versioni precedenti, la protezione estesa è disabilitata per impostazione predefinita. Per ulteriori informazioni sulla configurazione della protezione estesa sui connettori di ricezione, vedere Set-ReceiveConnector.
Per ulteriori informazioni sulla protezione estesa, vedere le seguenti risorse:
Articolo 973811 della Microsoft Knowledge Base, Avviso sicurezza Microsoft: Protezione estesa per l'autenticazione
Argomento della libreria MSDN, Autenticazione integrata di Windows con protezione estesa
©2010 Microsoft Corporation. Tutti i diritti riservati.