Share via

Concetti relativi al firewall dell'intestazione

  • Articolo

 

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2007-09-13

Microsoft Exchange Server 2007, il firewall dell'intestazione è un meccanismo che consente di rimuovere campi di intestazione specifici dai messaggi in arrivo e in uscita. I computer che eseguono Exchange 2007 e in cui è installato il ruolo del server Trasporto Hub o Trasporto Edge inseriscono i campi X-header personalizzati nell'intestazione del messaggio. Il campo X-header è un campo di intestazione non ufficiale, presente nell'intestazione del messaggio e definito dall'utente. I campi "X-Header" non vengono menzionati in modo specifico nell'RFC-2822, ma l'utilizzo di un campo di intestazione non definito che inizia con "X-" è divenuto un modo accettato per aggiungere campi di intestazione non ufficiali al messaggio. Le applicazioni di messaggistica, quali applicazioni di protezione posta indesiderata, antivirus e server di messaggistica, possono aggiungere "X-Header" propri al messaggio. I campi "X-Header" di norma vengono preservati ma ignorati da server e client di messaggistica che non li utilizzano.

I campi X-header contengono informazioni dettagliate relative alle azioni eseguite sul messaggio dal server di trasporto, ad esempio il livello di probabilità di posta indesiderata (SCL, Spam Confidence Level), i risultati del filtro contenuto e lo stato di elaborazione delle regole. Rendere queste informazioni note a fonti non autorizzate potrebbe rappresentare una minaccia per la protezione.

Il firewall dell'intestazione impedisce lo spoofing dei campi X-header rimuovendoli dai messaggi in ingresso nell'organizzazione di Exchange provenienti da origini non attendibili. Il firewall dell'intestazione impedisce la divulgazione dei campi X-header rimuovendoli dai messaggi in uscita che verranno tramessi a destinazioni non attendibili esterne all'organizzazione di Exchange. Il firewall dell'intestazione impedisce anche lo spoofing delle intestazioni di routing standard utilizzate per verificare la cronologia di routing di un messaggio.

Campi X-Header personalizzati dell'organizzazione e campi X-Header della foresta utilizzati in Exchange 2007

I campi X-header dell'organizzazione iniziano con "X-MS-Exchange-Organization-". I campi X-header della foresta iniziano tutti con "X-MS-Exchange-Forest-".

Nella tabella 1 sono descritti alcuni campi X-header dell'organizzazione e campi X-header della foresta utilizzati nei messaggi in un'organizzazione di Exchange 2007.

Tabella 1   Alcuni campi X-header dell'organizzazione e campi X-header della foresta utilizzati nei messaggi in un'organizzazione di Exchange 2007.

X-Header Descrizione

X-MS-Exchange-Forest-RulesExecuted

In questo campo X-header sono elencate le regole di trasporto eseguite sul messaggio.

X-MS-Exchange-Organization-Antispam-Report

Questo campo X-header è un rapporto riepilogativo dei risultati del filtro protezione da posta indesiderata applicato al messaggio dall'agente filtro contenuto.

X-MS-Exchange-Organization-AuthAs

Questo campo X-header è sempre presente quando si analizza la protezione di un messaggio. Questo campo X-header specifica l'origine dell'autenticazione. I valori possibili sono Anonymous, Internal, External o Partner.

X-MS-Exchange-Organization-AuthDomain

Questo campo X-header viene compilato durante l'autenticazione di tipo dominio protetto. Il valore è il nome di dominio completo (FQDN) del dominio remoto autenticato.

X-MS-Exchange-Organization-AuthMechanism

Questo campo X-header specifica il meccanismo di autenticazione per l'invio del messaggio. Il valore è un numero esadecimale a due cifre.

X-MS-Exchange-Organization-AuthSource

Questo campo X-header specifica il nome di dominio completo (FQDN) del server che ha valutato l'autenticazione del messaggio per conto dell'organizzazione.

X-MS-Exchange-Organization-Journal-Report

Questo campo X-header identifica i rapporti del journal in fase di trasporto. Appena il messaggio lascia il server di trasporto, l'intestazione diventa X-MS-Journal-Report.

X-MS-Exchange-Organization-OriginalArrivalTime

Questo campo X-header identifica l'ora in cui il messaggio è entrato per la prima volta nell'organizzazione di Exchange.

X-MS-Exchange-Organization-Original-Sender

Questo campo X-header identifica il mittente originale di un messaggio quando entra per la prima volta nell'organizzazione di Exchange.

X-MS-Exchange-Organization-OriginalSize

Questo campo X-header identifica la dimensione originale di un messaggio quando entra per la prima volta nell'organizzazione di Exchange.

X-MS-Exchange-Organization-Original-Scl

Questo campo X-header identifica il livello di probabilità di posta indesiderata (SCL, Spam Confidence Level) originale di un messaggio quando entra per la prima volta nell'organizzazione di Exchange.

X-MS-Exchange-Organization-PCL

Questo campo X-header identifica il livello di probabilità di phishing (PCL, Phishing Confidence Level). I valori PCL possibili sono compresi fra 1 e 8. Un valore superiore indica indica un messaggio sospetto. Per ulteriori informazioni, vedere Indicatori protezione posta indesiderata.

X-MS-Exchange-Organization-Quarantine

Questo campo X-header indica che il messaggio è stato messo in quarantena nella cassetta postale di quarantena della posta indesiderata e che è stata inviata una notifica sullo stato del recapito (DSN, Delivery Status Notification). Può anche indicare che il messaggio è stato messo in quarantena e rilasciato dall'amministratore. Questo campo X-header impedisce che il messaggio rilasciato venga inviato nuovamente alla cassetta postale di quarantena della posta indesiderata. Per ulteriori informazioni, vedere Recupero di messaggi in quarantena dalla cassetta postale di quarantena per la posta indesiderata.

X-MS-Exchange-Organization-SCL

Questo campo X-header identifica il livello di probabilità di posta indesiderata del messaggio. I valori SCL possibili sono compresi fra 0 e 9. Un valore superiore indica un messaggio sospetto. Con il valore speciale -1 il messaggio viene escluso dall'elaborazione da parte dell'agente filtro contenuto. Per ulteriori informazioni, vedere Configurazione del filtro contenuto.

X-MS-Exchange-Organization-SenderIdResult

Questo campo X-header contiene i risultati dell'agente ID mittente. L'agente ID mittente utilizza SPF (Sender Policy Framework) per confrontare l'indirizzo IP di origine del messaggio con il dominio utilizzato nell'indirizzo di posta elettronica del mittente. I risultati dell'ID mittente vengono utilizzati per calcolare il livello di probabilità di posta indesiderata di un messaggio. Per ulteriori informazioni, vedere ID mittente.

Firewall dell'intestazione per i campi X-Header dell'organizzazione e i campi X-Header della foresta

In Exchange 2007 il firewall dell'intestazione viene applicato ai campi X-header dell'organizzazione e X-header della foresta presenti nei messaggi nei seguenti modi:

  • Le autorizzazioni che possono essere utilizzate per mantenere o rimuovere campi X-header specifici nei messaggi vengono assegnate ai connettori di invio o di ricezione.

  • Il firewall dell'intestazione viene implementato automaticamente per i campi X-header nei messaggi durante altri tipi di invio del messaggio.

Applicazione del firewall dell'intestazione ai campi X-Header dell'organizzazione e X-header della foresta nei messaggi

Il firewall dell'intestazione per i campi X-header dell'organizzazione e i campi X-header della foresta presenti nei messaggi in ingresso è costituito da due autorizzazioni specifiche che vengono assegnate al connettore di ricezione configurato su un server Trasporto Hub o su un server Trasporto Edge:

  • Se le autorizzazioni sono assegnate al connettore di ricezione, il firewall dell'intestazione non viene applicato al messaggio. I campi X-header dell'organizzazione o X-header della foresta nel messaggio vengono mantenuti.

  • Se le autorizzazioni non sono applicate al connettore di ricezione, il firewall dell'intestazione viene applicato al messaggio. I campi X-header dell'organizzazione o X-header della foresta vengono rimossi dal messaggio.

Nella tabella 2 vengono descritte le autorizzazioni del firewall dell'intestazione per i campi X-header dell'organizzazione e X-header della foresta disponibili in un connettore di ricezione.

Tabella 2   Autorizzazioni del firewall dell'intestazione per i campi X-header dell'organizzazione e X-header della foresta disponibili in un connettore di ricezione per i messaggi in ingresso.

Autorizzazione Per impostazione predefinita, le identità di protezione a cui è stata assegnata l'autorizzazione Gruppo di autorizzazioni con identità di protezione come membri Per impostazione predefinita, il tipo di utilizzo che consente di assegnare i gruppi di autorizzazioni al connettore di ricezione Descrizione

Ms-Exch-Accept-Headers-Organization

  • Server Trasporto Hub

  • Server Trasporto Edge

  • Server Exchange (Nota: solo nei server Trasporto Hub)

ExchangeServers

Internal

Questa autorizzazione viene applicata ai campi X-header dell'organizzazione. I campi X-header dell'organizzazione iniziano con "X-MS-Exchange-Organization-". Se questa autorizzazione non viene concessa, il server di ricezione rimuove dal messaggio tutte le intestazioni dell'organizzazione.

Ms-Exch-Accept-Headers-Forest

  • Server Trasporto Hub

  • Server Trasporto Edge

  • Server Exchange (Nota: solo nei server Trasporto Hub)

ExchangeServers

Internal

Questa autorizzazione viene applicata ai campi X-header della foresta. I campi X-header della foresta iniziano tutti con "X-MS-Exchange-Forest-". Se questa autorizzazione non viene concessa, il server di ricezione rimuove dal messaggio tutte le intestazioni della foresta.

Per applicare il firewall dell'intestazione ai campi X-header dell'organizzazione e X-header della foresta in uno scenario del connettore di ricezione personalizzato, utilizzare uno dei seguenti metodi:

  • Creare un nuovo connettore di ricezione e selezionare un tipo di utilizzo diverso da Internal. Il tipo di utilizzo del connettore di ricezione può essere impostato solo quando si crea il connettore. Per ulteriori informazioni, vedere Come creare un nuovo connettore di ricezione.

  • Modificare un connettore di ricezione esistente e rimuovere il gruppo di autorizzazioni ExchangeServers. Per ulteriori informazioni, vedere Modifica della configurazione di un connettore di ricezione.

  • Il cmdlet Remove-ADPermission consente di rimuovere l'autorizzazione Ms-Exch-Accept-Headers-Organization e l'autorizzazione Ms-Exch-Accept-Headers-Forest da un'identità di protezione configurata sul connettore di ricezione. Questo metodo non funziona se l'autorizzazione è stata assegnata all'identità di protezione utilizzando un gruppo di autorizzazioni. Non è possibile modificare le autorizzazioni assegnate o l'appartenenza a un gruppo di autorizzazioni. Per ulteriori informazioni, vedere Remove-ADPermission.

  • Il cmdlet Add-ADPermission consente di negare l'autorizzazione Ms-Exch-Accept-Headers-Organization e l'autorizzazione Ms-Exch-Accept-Headers-Forest a un'identità di protezione configurata sul connettore di ricezione. Per ulteriori informazioni, vedere Add-ADPermission.

Applicazione del firewall dell'intestazione ai campi X-Header dell'organizzazione e X-header della foresta nei messaggi in uscita

Il firewall dell'intestazione per i campi X-header dell'organizzazione e i campi X-header della foresta presenti nei messaggi in uscita è costituito da due autorizzazioni specifiche che vengono assegnate al connettore di invio configurato su un server Trasporto Hub o su un server Trasporto Edge:

  • Se le autorizzazioni sono assegnate al connettore di invio, il firewall dell'intestazione non viene applicato al messaggio. I campi X-header dell'organizzazione o X-header della foresta nel messaggio vengono mantenuti.

  • Se le autorizzazioni non sono applicate al connettore di invio, il firewall dell'intestazione viene applicato al messaggio. I campi X-header dell'organizzazione e X-header della foresta vengono rimossi dal messaggio.

Nella tabella 3 vengono descritte le autorizzazioni del firewall dell'intestazione per i campi X-header dell'organizzazione e X-header della foresta disponibili in un connettore di invio.

Tabella 3   Autorizzazioni del firewall dell'intestazione per i campi X-header dell'organizzazione e X-header della foresta disponibili in un connettore di invio per i messaggi in uscita.

Autorizzazione Per impostazione predefinita, le identità di protezione a cui è stata assegnata l'autorizzazione Per impostazione predefinita, il tipo di utilizzo che consente di assegnare le identità di protezione al connettore di invio Descrizione

Ms-Exch-Send-Headers-Organization

  • Server Trasporto Hub

  • Server Trasporto Edge

  • Server Exchange (Nota: solo nei server Trasporto Hub)

  • Server protetti esternamente

  • Gruppo di protezione universale Exchange Legacy Interop

  • Server testa di ponte Exchange Server 2003 ed Exchange 2000 Server

Internal

Questa autorizzazione viene applicata ai campi X-header dell'organizzazione. I campi X-header dell'organizzazione iniziano con "X-MS-Exchange-Organization-". Se questa autorizzazione non viene concessa, il server di invio rimuove dal messaggio tutte le intestazioni dell'organizzazione.

Ms-Exch-Send-Headers-Forest

  • Server Trasporto Hub

  • Server Trasporto Edge

  • Server Exchange (Nota: solo nei server Trasporto Hub)

  • Server protetti esternamente

  • Gruppo di protezione universale Exchange Legacy Interop

  • Server testa di ponte Exchange 2003 ed Exchange 2000

Internal

Questa autorizzazione viene applicata ai campi X-header della foresta. I campi X-header della foresta iniziano tutti con "X-MS-Exchange-Forest-". Se questa autorizzazione non viene concessa, il server di invio rimuove dal messaggio tutte le intestazioni della foresta.

Per applicare il firewall dell'intestazione ai campi X-header dell'organizzazione o X-header della foresta in uno scenario del connettore di invio personalizzato, utilizzare uno dei seguenti metodi:

  • Creare un nuovo connettore di invio e selezionare un tipo di utilizzo diverso da Internal o Partner. Il tipo di utilizzo del connettore di invio può essere impostato solo quando si crea il connettore. Per ulteriori informazioni, vedere Come creare un nuovo connettore di invio.

  • Rimuovere un'identità di protezione che consente di assegnare l'autorizzazione Ms-Exch-Send-Headers-Organization e l'autorizzazione Ms-Exch-Send-Headers-Forest dal connettore. Per ulteriori informazioni, vedere Modifica della configurazione di un connettore di invio.

  • Il cmdlet Remove-ADPermission consente di rimuovere l'autorizzazione Ms-Exch-Send-Headers-Organization e l'autorizzazione Ms-Exch-Send-Headers-Forest da una delle identità di protezione configurate sul connettore di invio. Per ulteriori informazioni, vedere Remove-ADPermission.

  • Il cmdlet Add-ADPermission consente di negare l'autorizzazione Ms-Exch-Send-Headers-Organization e l'autorizzazione Ms-Exch-Send-Headers-Forest a una delle identità di protezione configurate sul connettore di invio. Per ulteriori informazioni, vedere Add-ADPermission.

Applicazione del firewall dell'intestazione ai campi X-Header dell'organizzazione e X-Header della foresta da altre origini dei messaggi

I messaggi possono entrare nella pipeline di trasporto di Exchange 2007 in un server Trasporto Hub o in un server Trasporto Edge senza utilizzare i connettori di invio o i connettori di ricezione. Il firewall dell'intestazione per i campi X-header dell'organizzazione e X-header della foresta vengono applicati ai messaggi provenienti da altre origini dei messaggi come descritto nell'elenco seguente:

  • Directory di prelievo   La directory di prelievo viene utilizzata dagli amministratori o dalle applicazioni per inviare i file dei messaggi. Il firewall dell'intestazione per i campi X-header dell'organizzazione e X-header della foresta vengono sempre applicati ai file dei messaggi nella directory di prelievo. Per ulteriori informazioni sulla directory di prelievo, vedere Gestione della directory di prelievo.

  • Directory di riesecuzione   La directory di riesecuzione viene utilizzata per inviare nuovamente i messaggi esportati dalle code dei messaggi di Exchange 2007. Applicazione del firewall dell'intestazione ai campi X-Header dell'organizzazione e X-header della foresta in questi messaggi controllati dal campo di intestazione X-CreatedBy: nel file di messaggio:

    • Se il valore di questo campo di intestazione è MSExchange12, il firewall dell'intestazione non viene applicato al messaggio.

    • Se il valore di X-CreatedBy: non è MSExchange12, il firewall dell'intestazione viene applicato.

    • Se il campo di intestazione X-CreatedBy: non esiste nel file di messaggio, il firewall dell'intestazione viene applicato.

    Per ulteriori informazioni sulla directory di riesecuzione, vedere Gestione della directory di riproduzione.

  • Directory di destinazione   La directory di destinazione viene utilizzata dai connettori esterni sui server Trasporto Hub per inviare i messaggi ai server di messaggistica che non utilizzano il protocollo SMTP (Simple Mail Transfer Protocol) per il trasferimento dei messaggi. Il firewall dell'intestazione per i campi X-header dell'organizzazione e X-header della foresta vengono sempre applicati ai file dei messaggi prima di essere inseriti nella directory di prelievo. Per ulteriori informazioni sui connettori esterni, vedere Connettori esterni.

  • Driver di archivio   Il driver di archivio è disponibile nei server Trasporto Hub per trasportare i messaggi da e verso le cassette postali dei server Cassette postali. Per i messaggi in uscita creati e inoltrati da cassette postali, il firewall dell'intestazione per i campi X-Header dell'organizzazione e i campi X-Header della foresta viene sempre applicato. Per i messaggi in arrivo, il firewall dell'intestazione per i campi X-Header dell'organizzazione e i campi X-Header della foresta viene applicato in modo selettivo. I campi X-header specificati nell'elenco seguente non vengono bloccati dal firewall dell'intestazione per i messaggi in ingresso nelle cassette postali dei destinatari:

    • X-MS-Exchange-Organization-SCL

    • X-MS-Exchange-Organization-AuthDomain

    • X-MS-Exchange-Organization-AuthMechanism

    • X-MS-Exchange-Organization-AuthSource

    • X-MS-Exchange-Organization-AuthAs

    • X-MS-Exchange-Organization-OriginalArrivalTime

    • X-MS-Exchange-Organization-OriginalSize

    Per ulteriori informazioni sul driver di archivio, vedere Architettura di trasporto.

  • Messaggi DSN   Il firewall dell'intestazione per i campi X-header dell'organizzazione e X-header della foresta viene sempre applicato al messaggio originale o all'intestazione del messaggio originale allegato al messaggio DSN. Per ulteriori informazioni sui messaggi DSN, vedere Gestione delle notifiche sullo stato del recapito.

  • Invio tramite agente   Il firewall dell'intestazione per i campi X-header dell'organizzazione e X-header della foresta non viene applicato ai messaggi inviati dagli agenti.

Firewall dell'intestazione per le intestazioni di routing

Le intestazioni di routing sono campi di intestazione SMTP standard definiti in RFC 2821 e RFC 2822. Le intestazioni di routing contrassegnano un messaggio utilizzando le informazioni sui diversi server di messaggistica utilizzati per recapitare il messaggio al destinatario. Le intestazioni di routing disponibili vengono descritte nell'elenco seguente:

  • Ricevuto:   Un'istanza diversa di questo campo di intestazione viene aggiunta all'intestazione del messaggio da ogni server di messaggistica che ha accettato e inoltrato il messaggio al destinatario. L'intestazione Received: in genere include il nome del server di messaggistica e il timestamp della data.

  • Inviato nuovamente-*:   I campi di intestazione Inviato nuovamente sono campi di intestazione informativi che possono essere utilizzati per determinare se un messaggio è stato inoltrato da un utente. Sono disponibili i seguenti campi di intestazione Inviato nuovamente: Resent-Date:, Resent-From:, Resent-Sender:, Resent-To:, Resent-Cc:, Resent-Bcc: e Resent-Message-ID:.

    I campi Inviato nuovamente vengono utilizzati allo scopo di visualizzare il messaggio al destinatario come se fosse stato inviato direttamente dal mittente originale. Il destinatario può visualizzare l'intestazione del messaggio per individuare chi ha inoltrato il messaggio.

Le intestazioni di routing che sono inserite nei messaggi possono essere utilizzate per rappresentare in modo erroneo il percorso di routing effettuato da un messaggio per raggiungere un destinatario. Exchange 2007 utilizza due modalità diverse per applicare il firewall dell'intestazione alle intestazioni di routing presenti nei messaggi:

  • Le autorizzazioni che possono essere utilizzate per mantenere o rimuovere le intestazioni di routing nei messaggi vengono assegnate ai connettori di invio o di ricezione.

  • Il firewall dell'intestazione viene implementato automaticamente per le intestazioni di routing nei messaggi durante altri tipi di invio del messaggio.

Applicazione del firewall dell'intestazione alle intestazioni di routing nei messaggi in ingresso

I connettori di ricezione dispongono dell'autorizzazione Ms-Exch-Accept-Headers-Routing che viene utilizzata per accettare o rifiutare tutte le intestazioni di routing presenti in un messaggio in ingresso:

  • Se questa autorizzazione viene concessa, tutte le intestazioni di routing vengono mantenute nel messaggio in ingresso.

  • Se questa autorizzazione non viene concessa, tutte le intestazioni di routing vengono rimosse dal messaggio in ingresso.

Nella tabella 4 viene descritta l'applicazione predefinita dell'autorizzazione Ms-Exch-Accept-Headers-Routing su un connettore di ricezione.

Tabella 4    Applicazione predefinita dell'autorizzazione Ms-Exch-Accept-Headers-Routing su un connettore di ricezione

Per impostazione predefinita, le identità di protezione a cui è stata assegnata l'autorizzazione Gruppo di autorizzazioni con identità di protezione come membri Per impostazione predefinita, il tipo di utilizzo che consente di assegnare i gruppi di autorizzazioni al connettore di ricezione

Account utente anonimi

Anonimo

Internet

Account utente autenticati

ExchangeUsers

Client (non disponibile nei server Trasporto Edge)

  • Server Trasporto Hub

  • Server Trasporto Edge

  • Server Exchange (solo server Trasporto Hub)

  • Server protetti esternamente

ExchangeServers

Internal

Gruppo di protezione Exchange Legacy Interop

ExchangeLegacyServers

Internal

Account server partner

Partner

  • Internet

  • Partner

L'autorizzazione Ms-Exch-Accept-Headers-Routing viene assegnata a tutti i tipi di utilizzo ad eccezione di Custom. Per applicare il firewall dell'intestazione alle intestazioni di routing in uno scenario del connettore di ricezione personalizzato, procedere come segue:

  1. Eseguire una delle azioni riportate di seguito:

    • Creare un nuovo connettore di ricezione e selezionare il tipo di utilizzo Custom. Non assegnare alcun gruppo di autorizzazioni al connettore di ricezione. Non è possibile modificare le autorizzazioni assegnate o l'appartenenza a un gruppo di autorizzazioni.

    • Modificare un connettore di ricezione esistente e impostare il parametro PermissionGroups sul valore None.

  2. Il cmdlet Add-ADPermission consente di aggiungere le identità di protezione appropriate necessarie per il connettore di ricezione. Assicurarsi che alle identità di protezione non sia stata assegnata l'autorizzazione Ms-Exch-Accept-Headers-Routing. Se necessario, utilizzare il cmdlet Add-ADPermission per negare l'autorizzazione Ms-Exch-Accept-Headers-Routing all'identità di protezione da configurare per utilizzare il connettore di ricezione.

Per ulteriori informazioni, vedere i seguenti argomenti:

Applicazione del firewall dell'intestazione alle intestazioni di routing nei messaggi in uscita

I connettori di ricezione dispongono dell'autorizzazione Ms-Exch-Send-Headers-Routing che viene utilizzata per consentire o rimuovere tutte le intestazioni di routing presenti in un messaggio in uscita:

  • Se questa autorizzazione viene concessa, tutte le intestazioni di routing vengono mantenute nel messaggio in uscita.

  • Se questa autorizzazione non viene concessa, tutte le intestazioni di routing vengono rimosse dal messaggio in uscita.

Nella tabella 5 viene descritta l'applicazione predefinita dell'autorizzazione Ms-Exch-Send-Headers-Routing su un connettore di invio.

Tabella 5    Applicazione predefinita dell'autorizzazione Ms-Exch-Send-Headers-Routing su un connettore di invio

Per impostazione predefinita, le identità di protezione a cui è stata assegnata l'autorizzazione Per impostazione predefinita, il tipo di utilizzo che consente di assegnare i gruppi di autorizzazioni al connettore di invio

  • Server Trasporto Hub

  • Server Trasporto Edge

  • Server Exchange (Nota: solo nei server Trasporto Hub)

  • Server protetti esternamente

  • Gruppo di protezione universale Exchange Legacy Interop

  • Server testa di ponte Exchange 2003 ed Exchange 2000

Internal

Account utente anonimo

Internet

Server partner

Partner

L'autorizzazione Ms-Exch-Send-Headers-Routing viene assegnata a tutti i tipi di utilizzo ad eccezione di Custom. Per applicare il firewall dell'intestazione alle intestazioni di routing in uno scenario del connettore di invio personalizzato, utilizzare uno dei seguenti metodi:

  • Creare un nuovo connettore di invio e selezionare il tipo di utilizzo Custom. Il tipo di utilizzo del connettore di invio può essere impostato solo quando si crea il connettore. Per ulteriori informazioni, vedere Come creare un nuovo connettore di invio.

  • Rimuovere un'identità di protezione che consente di assegnare l'autorizzazione Ms-Exch-Send-Headers-Routing dal connettore. Per ulteriori informazioni, vedere Modifica della configurazione di un connettore di invio.

  • Il cmdlet Remove-ADPermission consente di rimuovere l'autorizzazione Ms-Exch-Send-Headers-Routing da una delle identità di protezione configurate sul connettore di invio. Per ulteriori informazioni, vedere Remove-ADPermission.

  • Il cmdlet Add-ADPermission consente di negare l'autorizzazione Ms-Exch-Send-Headers-Routing a una delle identità di protezione configurate sul connettore di invio. Per ulteriori informazioni, vedere Add-ADPermission.

Applicazione del firewall dell'intestazione alle intestazioni di routing da altre origini dei messaggi

I messaggi possono entrare nella pipeline di trasporto di Exchange 2007 in un server Trasporto Hub o in un server Trasporto Edge senza utilizzare i connettori di invio o i connettori di ricezione. Il firewall dell'intestazione per le intestazioni di routing viene applicato alle altre origini dei messaggi descritte nell'elenco seguente:

  • Directory di prelievo   La directory di prelievo viene utilizzata dagli amministratori o dalle applicazioni per inviare i file dei messaggi. Il firewall dell'intestazione per le intestazioni di routing viene sempre applicato ai file dei messaggi nella directory di prelievo. Per ulteriori informazioni sulla directory di prelievo, vedere Gestione della directory di prelievo.

  • Driver di archivio   Il driver di archivio è disponibile nei server Trasporto Hub per trasportare i messaggi da e verso le cassette postali dei server Cassette postali. Il firewall dell'intestazione per le intestazioni di routing viene sempre applicato a tutti i messaggi inviati dalle cassette postali dei server Cassette postali. Il firewall dell'intestazione per le intestazioni di routing non viene applicato ai messaggi in arrivo per il recapito ai destinatari delle cassette postali. Per ulteriori informazioni sul driver di archivio, vedere Architettura di trasporto.

  • Messaggi DSN   Il firewall dell'intestazione per le intestazioni di routing viene sempre applicato al messaggio originale o all'intestazione del messaggio originale allegato al messaggio DSN. Per ulteriori informazioni sui messaggi DSN, vedere Gestione delle notifiche sullo stato del recapito.

  • Directory di riesecuzione, directory di destinazione e invio tramite agente   Il firewall dell'intestazione per le intestazioni di routing non viene applicato ai messaggi inoltrati dalla directory di riesecuzione, dalla directory di destinazione o da agenti.

Firewall dell'intestazione e versioni precedenti di Exchange Server

Exchange 2003 e le versioni precedenti di Exchange Server non utilizzano i campi X-header dell'organizzazione o X-header della foresta. Exchange 2007 considera le versioni precedenti di Exchange Server come origini dei messaggi non attendibili. Il firewall dell'intestazione viene applicato a tutti i campi X-header dell'organizzazione e X-header della foresta nei messaggi provenienti dai server che eseguono versioni precedenti di Exchange Server. Il firewall dell'intestazioni per i campi X-header dell'organizzazione e X-header della foresta viene applicato anche ai messaggi che vengono recapitati ai server che eseguono versioni precedenti di Exchange Server presenti nell'organizzazione di Exchange.

Nelle versioni precedenti di Exchange Server viene utilizzato il comando di proprietà X-EXCH50 per trasmettere informazioni relative ai messaggi e ai destinatari che non possono essere incluse nel messaggio di posta elettronica. Tali informazioni vengono trasmesse come l'oggetto binario di grandi dimensioni EXCH50, una raccolta di dati binari archiviati come un unico oggetto. Exch50 contiene dati quali livello di probabilità di posta indesiderata (SCL), informazioni sulla riscrittura degli indirizzi e altre proprietà MAPI che non dispongono della rappresentazione MIME. Poiché X-EXCH50 è un comando di proprietà Extended Simple Mail Transfer Protocol (ESMTP), i dati Exch50 non possono essere propagati da un server in cui non è installato Exchange Server. Per ulteriori informazioni, vedere Pianificazione della coesistenza.

I connettori del gruppo di routing tra i server in cui è installato Exchange Server 2007 o Exchange Server 2003 vengono automaticamente configurati per supportare l'invio e la ricezione dei dati Exch50. I connettori di invio e di ricezione dispongono delle autorizzazioni che consentono il comando Exch50.

Nella tabella 6 vengono descritte le autorizzazioni che consentono il comando Exch50 su un connettore di ricezione per i messaggi in ingresso. Se una delle autorizzazioni non viene concessa e viene inviato un messaggio contenente il comando EXCH50, il server accetta il messaggio senza includere il comando Exch50.

Tabella 6   Autorizzazioni che consentono il comando Exch50 su un connettore di ricezione per i messaggi in ingresso.

Autorizzazione Per impostazione predefinita, le identità di protezione a cui è stata assegnata l'autorizzazione Gruppo di autorizzazioni con identità di protezione come membri Per impostazione predefinita, il tipo di utilizzo che consente di assegnare i gruppi di autorizzazioni al connettore di ricezione

Ms-Exch-Accept-Exch50

  • Server Trasporto Hub

  • Server Trasporto Edge

  • Server Exchange (Nota: solo nei server Trasporto Hub)

  • Server protetti esternamente

ExchangeServers

Internal

Ms-Exch-Accept-Exch50

Gruppo di protezione Exchange Legacy Interop

ExchangeLegacyServers

Internal

Per bloccare il comando Exch50 in uno scenario del connettore di ricezione personalizzato, utilizzare uno dei seguenti metodi:

  • Creare un nuovo connettore di ricezione e selezionare un tipo di utilizzo diverso da Internal. Il tipo di utilizzo del connettore di ricezione può essere impostato solo quando si crea il connettore. Per ulteriori informazioni, vedere Come creare un nuovo connettore di ricezione.

  • Modificare un connettore di ricezione esistente e rimuovere il gruppo di autorizzazioni ExchangeServers. Per ulteriori informazioni, vedere Modifica della configurazione di un connettore di ricezione.

  • Il cmdlet Remove-ADPermission consente di rimuovere l'autorizzazione Ms-Exch-Accept-Exch50 da un'identità di protezione configurata sul connettore di ricezione. Questo metodo non funziona se l'autorizzazione è stata assegnata all'identità di protezione utilizzando un gruppo di autorizzazioni. Non è possibile modificare le autorizzazioni assegnate o l'appartenenza a un gruppo di autorizzazioni. Per ulteriori informazioni, vedere Remove-ADPermission.

  • Il cmdlet Add-ADPermission consente di negare l'autorizzazione Ms-Exch-Accept-Exch50 a un'identità di protezione configurata sul connettore di ricezione. Per ulteriori informazioni, vedere Add-ADPermission.

Nella tabella 7 viene descritta l'autorizzazione che consente il comando Exch50 su un connettore di invio per i messaggi in uscita. Se l'autorizzazione non viene concessa e viene inviato un messaggio contenente il comando Exch50, il server invia il messaggio senza includere il comando Exch50.

Tabella 7   Autorizzazione che consente il comando Exch50 su un connettore di invio per i messaggi in uscita.

Autorizzazione Per impostazione predefinita, le identità di protezione a cui è stata assegnata l'autorizzazione Per impostazione predefinita, il tipo di utilizzo che consente di assegnare i gruppi di autorizzazioni al connettore di invio

Ms-Exch-Send-Exch50

  • Server Trasporto Hub

  • Server Trasporto Edge

  • Server Exchange (Nota: solo nei server Trasporto Hub)

  • Server protetti esternamente

  • Gruppo di protezione universale Exchange Legacy Interop

  • Server testa di ponte Exchange 2003 ed Exchange 2000

Interno

Per bloccare il comando Exch50 in uno scenario del connettore di invio personalizzato, utilizzare uno dei seguenti metodi:

  • Creare un nuovo connettore di invio e selezionare un tipo di utilizzo diverso da Internal. Il tipo di utilizzo del connettore di invio può essere impostato solo quando si crea il connettore. Per ulteriori informazioni, vedere Come creare un nuovo connettore di invio.

  • Rimuovere un'identità di protezione che consente di assegnare l'autorizzazione Ms-Exch-Send-Exch50 dal connettore.

  • Il cmdlet Remove-ADPermission consente di rimuovere l'autorizzazione Ms-Exch-Send-Exch50 da una delle identità di protezione configurate sul connettore di invio. Per ulteriori informazioni, vedere Remove-ADPermission.

  • Il cmdlet Add-ADPermission consente di negare l'autorizzazione Ms-Exch-Send-Exch50 a una delle identità di protezione configurate sul connettore di invio. Per ulteriori informazioni, vedere Add-ADPermission.