Получение соединителей в Exchange Server

Статья
04/04/2023

Серверы Exchange используют соединители получения для управления входящими SMTP-подключениями из:

от серверов обмена сообщениями, не входящих в организацию Exchange;
служб в транспортном конвейере на локальном сервере Exchange Server или удаленных серверах Exchange Server;
почтовых клиентов, которым необходимо использовать для отправки сообщений протокол SMTP с проверкой подлинности.

Соединители получения можно создавать в службе транспорта на серверах почтовых ящиков, во внешней службе транспорта на серверах почтовых ящиков, а также на пограничных транспортных серверах. По умолчанию соединители получения, необходимые для входящего потока почты, создаются автоматически при установке сервера почтовых ящиков Exchange и при подписке на пограничный транспортный сервер в организации Exchange.

Соединитель получения связан с сервером почтовых ящиков или пограничным транспортным сервером, на котором он создан, и определяет, как этот сервер прослушивает SMTP-подключения. На серверах почтовых ящиков соединитель получения хранится в Active Directory как дочерний объект сервера. На пограничных транспортных серверах соединитель получения хранится в службах Active Directory облегченного доступа к каталогу (AD LDS).

Ниже перечислены важные параметры соединителей получения.

Привязки локальных адаптеров. Настройте сочетание локальных IP-адресов и TCP-портов, которые соединитель получения использует для приема подключений.
Параметры удаленной сети. Настройте исходные IP-адреса, которые соединитель получения прослушивает для подключений.
Тип использования. Настройте группы разрешений по умолчанию и механизмы проверки подлинности интеллектуальных узлов для соединителя получения.
Группы разрешений. Настройте, кому разрешено использовать соединитель получения, и разрешения, которые они получают.

Каждый соединитель получения ищет входящие подключения, соответствующие параметрам конфигурации этого соединителя. Каждый соединитель получения на сервере Exchange Server использует уникальное сочетание привязок локальных IP-адресов, TCP-портов и диапазонов удаленных IP-адресов, определяющих, будут ли приниматься подключения от клиентов и серверов SMTP и каким образом это будет происходить.

В большинстве случаев достаточно заданных по умолчанию соединителей получения, но вы можете создавать собственные соединители получения для определенных сценариев. Например, вы можете:

применять специальные свойства к источнику электронной почты, например увеличивать максимальный размер сообщения, количество получателей на сообщение или количество одновременных входящих подключений;
принимать зашифрованные сообщения с помощью определенного сертификата TLS.

На серверах почтовых ящиков вы можете создавать соединители получения и управлять ими с помощью Центра администрирования Exchange (EAC) или командной консоли Exchange. На пограничных транспортных серверах доступна только командная консоль Exchange.

Получение изменений соединителя в Exchange Server

Ниже приведены важные изменения в соединителях получения в Exchange 2016 и Exchange 2019 по сравнению с Exchange 2010:

Параметр TlsCertificateName позволяет указать издателя сертификата и субъекта сертификата. Это помогает защититься от поддельных сертификатов.
Параметр TransportRole позволяет различать внешние (клиентский доступ) и внутренние соединители на серверах почтовых ящиков.

Соединители приема по умолчанию, созданные во время установки

По умолчанию при установке Exchange создается несколько разных соединителей получения. По умолчанию эти соединители включены, а ведение журнала протоколов для большинства из них отключено. Дополнительные сведения о ведении журнала протокола в соединителях получения см. в разделе Ведение журнала протоколов.

Соединители получения по умолчанию во внешней службе транспорта на серверах почтовых ящиков

Основная функция соединителей получения во внешней службе транспорта принимать анонимные и проверенные SMTP-подключения в организацию Exchange. Значение свойства TransportRole для этих соединителей — FrontendTransport. Служба внешнего транспорта ретранслирует или прокси-серверы этих подключений к транспортной службе для классификации и маршрутизации в конечное место назначения.

В приведенной ниже таблице представлены соединители получения по умолчанию, создаваемые во внешней службе транспорта на серверах почтовых ящиков.

Имя	Описание	Ведение журнала протокола	TCP-порт	Привязки к локальным IP-адресам	Диапазоны удаленных IP-адресов	Механизмы проверки подлинности	Группы разрешений
Имя внешнего <сервера> клиента	Принимает подключения от клиентов SMTP, прошедших проверку подлинности.	Нет	587	Все доступные адреса IPv4 и IPv6 (`0.0.0.0` и `[::]:`)	`{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}` (все IPv4- и IPv6-адреса)	`TLS` `BasicAuth` `BasicAuthRequireTLS` `Integrated`	`ExchangeUsers`
Имя внешнего <сервера> по умолчанию	Принимает анонимные подключения от внешних серверов SMTP. Это распространенная точка входа сообщений в организацию Exchange.	Подробное	25	Все доступные адреса IPv4 и IPv6 (`0.0.0.0` и `[::]:`)	`{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}` (все IPv4- и IPv6-адреса)	`TLS` `BasicAuth` `BasicAuthRequireTLS` `ExchangeServer` `Integrated`	`AnonymousUsers` `ExchangeLegacyServers` `ExchangeServers`
Исходящий прокси-сервер внешнего сервера<>	Принимает проверенные подключения от службы транспорта на серверах почтовых ящиков. Для шифрования подключений используется самозаверяющий сертификат сервера Exchange Server. Этот соединитель используется только в том случае, если соединитель отправки настроен для использования исходящего прокси-сервера. Дополнительные сведения см. в статье Configure Send connectors to proxy outbound mail.	Нет	717	Все доступные адреса IPv4 и IPv6 (`0.0.0.0` и `[::]:`)	`{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}` (все IPv4- и IPv6-адреса)	`TLS` `BasicAuth` `BasicAuthRequireTLS` `ExchangeServer` `Integrated`	`ExchangeServers`

Соединители получения по умолчанию в службе транспорта на серверах почтовых ящиков

Основная функция соединителей получения в службе транспорта принимать проверенные и зашифрованные SMTP-подключения от других служб транспорта на локальном сервере почтовых ящиков или удаленных серверах почтовых ящиков в организации. Значение свойства TransportRole в этих соединителях равно HubTransport. Клиенты не подключаются к таким соединителям напрямую.

В приведенной ниже таблице представлены соединители получения по умолчанию, создаваемые в службе транспорта на серверах почтовых ящиков.

Имя Описание Ведение журнала протокола TCP-порт Привязки к локальным IP-адресам Диапазоны удаленных IP-адресов Механизмы проверки подлинности Группы разрешений

Имя прокси-сервера<> клиента Принимает проверенные клиентские подключения, переданные через прокси-сервер из внешней службы транспорта. Нет 465 Все доступные адреса IPv4 и IPv6 (0.0.0.0 и [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (все IPv4- и IPv6-адреса) TLS
BasicAuth
BasicAuthRequireTLS
ExchangeServer
Integrated ExchangeServers
ExchangeUsers

Имя	Описание	Ведение журнала протокола	TCP-порт	Привязки к локальным IP-адресам	Диапазоны удаленных IP-адресов	Механизмы проверки подлинности	Группы разрешений
Имя прокси-сервера<> клиента	Принимает проверенные клиентские подключения, переданные через прокси-сервер из внешней службы транспорта.	Нет	465	Все доступные адреса IPv4 и IPv6 (`0.0.0.0` и `[::]:`)	`{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}` (все IPv4- и IPv6-адреса)	`TLS` `BasicAuth` `BasicAuthRequireTLS` `ExchangeServer` `Integrated`	`ExchangeServers` `ExchangeUsers`
Имя сервера> по умолчанию<	Принимает проверенные подключения: от внешней службы транспорта на локальных или удаленных серверах почтовых ящиков; службы транспорта на удаленных серверах почтовых ящиков; службы транспорта почтовых ящиков на локальных или удаленных серверах почтовых ящиков. Пограничные транспортные серверы Для шифрования подключений используется самозаверяющий сертификат сервера Exchange Server.	Нет	2525	Все доступные адреса IPv4 и IPv6 (`0.0.0.0` и `[::]:`)	`{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}` (все IPv4- и IPv6-адреса)	`TLS` `BasicAuth` `ExchangeServer` `Integrated`	`ExchangeLegacyServers` `ExchangeServers` `ExchangeUsers`

Имя сервера> по умолчанию<

Принимает проверенные подключения:

от внешней службы транспорта на локальных или удаленных серверах почтовых ящиков;
службы транспорта на удаленных серверах почтовых ящиков;
службы транспорта почтовых ящиков на локальных или удаленных серверах почтовых ящиков.
Пограничные транспортные серверы

Для шифрования подключений используется самозаверяющий сертификат сервера Exchange Server.

Нет

2525

Все доступные адреса IPv4 и IPv6 (0.0.0.0 и [::]:)

{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (все IPv4- и IPv6-адреса)

TLS
BasicAuth
ExchangeServer
Integrated

ExchangeLegacyServers
ExchangeServers
ExchangeUsers

Соединители получения по умолчанию в службе транспорта на пограничных транспортных серверах

Основная функция соединителя получения на пограничных транспортных серверах — принимать почту из Интернета. При подписке на пограничный транспортный сервер в организацию Exchange автоматически настраиваются разрешения соединителя и механизмы проверки подлинности, необходимые для передачи почты через Интернет в вашу организацию и из нее. Дополнительные сведения см. в разделе Пограничные транспортные серверы.

В приведенной ниже таблице представлен соединитель получения по умолчанию, создаваемый в службе транспорта на пограничных транспортных серверах.

Имя	Описание	Ведение журнала протокола	TCP-порт	Привязки к локальным IP-адресам	Диапазоны удаленных IP-адресов	Механизмы проверки подлинности	Группы разрешений
Имя сервера> внутреннего соединителя< получения по умолчанию	Принимает анонимные подключения от внешних серверов SMTP.	Нет	25	Все доступные IPv4-адреса (`0.0.0.0`)	`{0.0.0.0-255.255.255.255}` (все IPv4-адреса)	`TLS` `ExchangeServer`	`AnonymousUsers` `ExchangeServers` `Partners`

Скрытые соединители получения в службе доставки транспорта почтовых ящиков на серверах почтовых ящиков

Помимо соединителей получения, создаваемых во время установки серверов Exchange, в службе доставки транспорта почтовых ящиков на серверах почтовых ящиков есть специальный неявный соединитель получения . Этот скрытый соединитель получения автоматически доступен, не виден и не требует управления. Основная функция этого соединителя принимать почту из службы транспорта на локальном сервере почтовых ящиков или удаленных серверах почтовых ящиков в организации.

В приведенной ниже таблице описывается скрытый соединитель получения, который находится в службе доставки транспорта почтовых ящиков на серверах почтовых ящиков.

Имя	Описание	Ведение журнала протокола	TCP-порт	Привязки к локальным IP-адресам	Диапазоны удаленных IP-адресов	Механизмы проверки подлинности	Группы разрешений
Соединитель получения для доставки почты в почтовые ящики	Принимает проверенные подключения от службы транспорта на локальных или удаленных серверах почтовых ящиков.	Нет	475	Все доступные адреса IPv4 и IPv6 (`0.0.0.0` и `[::]:`)	`{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}` (все IPv4- и IPv6-адреса)	`ExchangeServer`	`ExchangeServers`

Привязки локальных адресов для соединителей получения

Привязки локальных адресов ограничивают соединитель получения для прослушивания SMTP-подключений по определенному локальному IP-адресу (сетевому адаптеру) и TCP-порту. Как правило, сочетание локального IP-адреса и TCP-порта является уникальным для каждого соединителя получения на сервере. Однако несколько соединителей получения на сервере могут иметь одни и те же локальные IP-адреса и TCP-порты, если диапазоны удаленных IP-адресов отличаются. Дополнительные сведения см. в разделе Удаленные адреса соединителя получения .

По умолчанию соединитель получения прослушивает подключения по всем доступным локальным адресам IPv4 и IPv6 (0.0.0.0 и [::]:). Если на сервере несколько сетевых адаптеров, вы можете настроить соединители получения так, чтобы они принимали подключения только с тех IP-адресов, которые указаны для определенного сетевого адаптера. Например, на сервере Exchange Server с доступом к Интернету можно настроить соединитель получения, привязанный к IP-адресу внешнего сетевого адаптера, для прослушивания анонимных подключений к Интернету. У вас может быть отдельный соединитель получения, привязанный к IP-адресу внутреннего сетевого адаптера, для прослушивания проверенных подключений со внутренних серверов Exchange Server.

Примечание.

Привязывая соединитель получения к определенному IP-адресу, убедитесь, что этот адрес настроен на локальном сетевом адаптере. Если указать недействительный локальный IP-адрес, служба транспорта Microsoft Exchange может не запуститься при перезагрузке сервера или перезапуске службы.

В Центре администрирования Exchange вы можете настроить привязки локальных адресов в поле Привязки сетевого адаптера мастера создания соединителей получения или на вкладке Определение области в свойствах имеющихся соединителей получения. В командной консоли Exchange параметр Bindings используется в командлетах New-ReceiveConnector и Set-ReceiveConnector . В зависимости от выбранного типа использования, у вас может отсутствовать возможность настраивать привязки локальных адресов при создании соединителя получения, но вы можете изменить эти привязки после его создания. Соответствующие типы использования определены в разделе Типы использования соединителей получения.

Удаленные адреса соединителей получения

Удаленные адреса определяют, откуда соединитель получения принимает SMTP-подключения. По умолчанию соединители получения прослушивают подключения со всех IPv4- и IPv6-адресов (0.0.0.0-255.255.255.255 и ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff). Создавая пользовательский соединитель получения, чтобы принимать почту из определенного источника, настройте его на прослушивание подключений только от определенного IP-адреса или диапазона адресов.

Допустимо пересечение диапазонов удаленных IP-адресов для нескольких соединителей получения на сервере при условии, что такое пересечение является полным. Когда диапазоны удаленных IP-адресов пересекаются, используется тот диапазон, который содержит наиболее точное совпадение с IP-адресом подключающегося сервера.

Например, рассмотрим следующие соединители получения во внешней службе транспорта на сервере Exchange01:

Имя соединителя: клиентский интерфейс Exchange01
- Привязки сетевых адаптеров: все доступные IPv4 через порт 25.
- Параметры удаленной сети: 0.0.0.0-255.255.255.255.255
Имя соединителя: Настраиваемый соединитель A
- Привязки сетевых адаптеров: все доступные IPv4 через порт 25.
- Параметры удаленной сети: 192.168.1.0-192.168.1.255
Имя соединителя: Пользовательский соединитель B
- Привязки сетевых адаптеров: все доступные IPv4 через порт 25.
- Параметры удаленной сети: 192.168.1.75

SMTP-подключения с адреса 192.168.1.75 принимает "Пользовательский соединитель Б", так как его совпадение с IP-адресом наиболее точное.

SMTP-подключения с адреса 192.168.1.100 принимает "Пользовательский соединитель А", так как его совпадение с IP-адресом наиболее точное.

В Центре администрирования Exchange вы можете настроить удаленные IP-адреса в поле Настройки удаленной сети мастера создания соединителя получения или на вкладке Определение области в свойствах имеющихся соединителей получения. В командной консоли Exchange параметр RemoteIPRanges используется в командлетах New-ReceiveConnector и Set-ReceiveConnector .

Типы использования соединителей получения

Тип использования определяет параметры безопасности по умолчанию для этого соединителя получения. Тип использования указывает, кому разрешено использовать соединитель, какие разрешения получают эти пользователи и какие способы проверки подлинности поддерживаются.

При создании соединителей получения в Центре администрирования Exchange мастер предлагает выбрать значение Тип для соединителя. При использовании командлета New-ReceiveConnector в командной консоли Exchange используется параметр Usage с одним из доступных значений (например, -Usage Custom), или назначенный параметр для типа использования (например, -Custom).

Тип использования можно указать только при создании соединителей получения. Создав соединитель, вы можете изменить доступные механизмы проверки подлинности и группы разрешений в Центре администрирования Exchange или с помощью командлета Set-ReceiveConnector в командной консоли Exchange.

Доступные типы использования представлены в приведенной ниже таблице.

Тип использования	Назначенные группы разрешений	Доступные механизмы проверки подлинности	Comments
Client	Пользователи Exchange (`ExchangeUsers`)	Безопасность транспортного уровня (`TLS`) Обычная проверка подлинности (`BasicAuth`) Предлагать обычную проверку подлинности только после запуска TLS (`BasicAuthRequireTLS`) Интегрированные проверка подлинности Windows (`Integrated`)	Используется клиентами POP3 и IMAP4, которым требуется отправлять электронные сообщения по протоколу SMTP с проверкой подлинности. При создании соединителя получения с этим типом использования в Центре администрирования Exchange или командной консоли Exchange невозможно выбрать привязки локальных IP-адресов и TCP-порт. По умолчанию этот тип использования привязан ко всем локальным IPv4- и IPv6-адресам для TCP-порта 587. Вы можете изменить эти привязки после создания соединителя. Этот тип использования недоступен на пограничных транспортных серверах.
Пользовательские	Не выбрано (`None`)	Безопасность транспортного уровня (`TLS`)	Используется в сценариях с несколькими лесами для получения почты от сторонних серверов обмена сообщениями, а также для внешней ретрансляции. Создав соединитель получения с этим типом использования, необходимо добавить группы разрешений в Центре администрирования Exchange или командной консоли Exchange.
Внутренний	Устаревшие серверы Exchange (`ExchangeLegacyServers`) Серверы Exchange (`ExchangeServers`)	Безопасность транспортного уровня (`TLS`) проверка подлинности Exchange Server (`ExchangeServers`)	Используется в сценариях с несколькими лесами для получения почты от предыдущих версий Exchange или от сторонних серверов обмена сообщениями либо на пограничных транспортных серверах для получения исходящей почты из внутренней организации Exchange. При создании соединителя получения с этим типом использования в Центре администрирования Exchange или командной консоли Exchange невозможно выбрать привязки локальных IP-адресов и TCP-порт. По умолчанию соединитель привязан ко всем локальным IPv4- и IPv6-адресам для TCP-порта 25. Вы можете изменить эти привязки после создания соединителя. Группа `ExchangeLegacyServers` разрешений недоступна на пограничных транспортных серверах.
Интернет	Анонимные пользователи (`AnonymousUsers`)	Безопасность транспортного уровня (`TLS`)	Используется для получения почты из Интернета. При создании соединителя получения с этим типом использования в Центре администрирования Exchange или командной консоли Exchange невозможно выбрать удаленные IP-адреса. По умолчанию соединитель принимает удаленные подключения со всех IPv4-адресов (0.0.0.0-255.255.255.255). Вы можете изменить эти привязки после создания соединителя.
Партнер	Партнеры (`Partners`)	Безопасность транспортного уровня (`TLS`)	Используется для настройки защищенного соединения с внешним партнером (взаимная проверка подлинности TLS, также называемая защитой на уровне домена).

Механизмы проверки подлинности соединителя получения

Механизмы проверки подлинности задают параметры входа и шифрования, используемые для входящих SMTP-подключений. Для соединителя получения можно настроить несколько механизмов проверки подлинности. В Центре администрирования Exchange механизмы проверки подлинности доступны на вкладке Безопасность в окне свойств соединителя получения. В командной консоли Exchange группы разрешений доступны в параметре AuthMechanisms командлетовNew-ReceiveConnector и Set-ReceiveConnector .

Доступные механизмы проверки подлинности описаны в таблице ниже.

Механизм проверки подлинности	Описание
Не выбрано (`None`)	Проверка подлинности не выполняется.
Безопасность на уровне транспорта (TLS) (`TLS`)	Объявление STARTTLS в ответе EHLO. Для зашифрованных подключений TLS требуется сертификат сервера, содержащий имя, которое соединитель получения объявляет в ответе EHLO. Дополнительные сведения см. в разделе Изменение баннера SMTP на соединителях получения. Другие серверы Exchange в вашей организации доверяют самозаверяющий сертификат сервера, но клиенты и внешние серверы обычно используют доверенный сторонний сертификат.
Обычная проверка подлинности (`BasicAuth`)	Обычная проверка подлинности (открытый текст).
Предлагать обычную проверку подлинности только после запуска TLS (`BasicAuthRequireTLS`)	Обычная проверка подлинности с шифрованием TLS.
Интегрированные проверка подлинности Windows (`Integrated`)	Проверка подлинности NTLM и Kerberos.
проверка подлинности Exchange Server (`ExchangeServer`)	Программный интерфейс универсальных служб защиты (GSSAPI) и взаимная проверка подлинности GSSAPI.
Внешняя защита (`ExternalAuthoritative`)	Предполагается, что используется внешний механизм защиты соединения, не входящий в состав Exchange. Подключение может быть связью IPsec или виртуальной частной сетью. Кроме того, серверы могут находиться в доверенной, физически контролируемой сети. Для этого механизма проверки подлинности требуется `ExchangeServers` группа разрешений. Такое сочетание механизма проверки подлинности и группы безопасности обеспечивает поддержку разрешения электронных адресов анонимных отправителей для сообщений, получаемых через соединитель.

Группы разрешений соединителя получения

Группа разрешений — это предопределенный набор разрешений, который предоставляется известным субъектам безопасности и назначается соединителю получения. Субъекты безопасности включают учетные записи пользователей, учетные записи компьютеров и группы безопасности (объекты, идентифицируемые идентификатором безопасности или идентификатором безопасности, которым могут быть назначены разрешения). Группы разрешений определяют, кто может использовать соединитель получения, и разрешения, которые они получают. Вы не можете создавать группы разрешений, а также изменять членов группы разрешений или разрешения по умолчанию группы разрешений.

В Центре администрирования Exchange группы разрешений доступны на вкладке Безопасность в свойствах соединителя получения. В командной консоли Exchange группы разрешений доступны в параметре PermissionGroups командлетовNew-ReceiveConnector и Set-ReceiveConnector .

Доступные группы разрешений представлены в приведенной ниже таблице.

Группа разрешений	Связанные субъекты безопасности	Предоставляемые разрешения
Анонимные пользователи (`Anonymous`)	`NT AUTHORITY\ANONYMOUS LOGON`	`ms-Exch-Accept-Headers-Routing` `ms-Exch-SMTP-Accept-Any-Sender` `ms-Exch-SMTP-Accept-Authoritative-Domain-Sender` `ms-Exch-SMTP-Submit`
Пользователи Exchange (`ExchangeUsers`)	`NT AUTHORITY\Authenticated Users`	`ms-Exch-Accept-Headers-Routing` `ms-Exch-Bypass-Anti-Spam` `ms-Exch-SMTP-Accept-Any-Recipient` `ms-Exch-SMTP-Submit`
Серверы Exchange (`ExchangeServers`)	`<Domain>\Exchange Servers` `MS Exchange\Edge Transport Servers` `MS Exchange\Hub Transport Servers` Примечание: Этим субъектам безопасности также назначены другие внутренние разрешения. Дополнительные сведения см. в конце раздела Получение разрешений соединителя .	`ms-Exch-Accept-Headers-Forest` `ms-Exch-Accept-Headers-Organization` `ms-Exch-Accept-Headers-Routing` `ms-Exch-Bypass-Anti-Spam` `ms-Exch-Bypass-Message-Size-Limit` `ms-Exch-SMTP-Accept-Any-Recipient` `ms-Exch-SMTP-Accept-Any-Sender` `ms-Exch-SMTP-Accept-Authentication-Flag` `ms-Exch-SMTP-Accept-Authoritative-Domain-Sender` `ms-Exch-SMTP-Accept-Exch50` `ms-Exch-SMTP-Submit`
Серверы Exchange (`ExchangeServers`)	`MS Exchange\Externally Secured Servers`	`ms-Exch-Accept-Headers-Routing` `ms-Exch-Bypass-Anti-Spam` `ms-Exch-Bypass-Message-Size-Limit` `s-Exch-SMTP-Accept-Any-Recipient` `ms-Exch-SMTP-Accept-Any-Sender` `ms-Exch-SMTP-Accept-Authentication-Flag` `ms-Exch-SMTP-Accept-Authoritative-Domain-Sender` `ms-Exch-SMTP-Accept-Exch50` `ms-Exch-SMTP-Submit`
Устаревшие серверы Exchange (`ExchangeLegacyServers`)	`<Domain>\ExchangeLegacyInterop`	`ms-Exch-Accept-Headers-Routing` `ms-Exch-Bypass-Anti-Spam` `ms-Exch-Bypass-Message-Size-Limit` `ms-Exch-SMTP-Accept-Any-Recipient` `ms-Exch-SMTP-Accept-Any-Sender` `ms-Exch-SMTP-Accept-Authentication-Flag` `ms-Exch-SMTP-Accept-Authoritative-Domain-Sender` `ms-Exch-SMTP-Accept-Exch50` `ms-Exch-SMTP-Submit`
Партнеры (`Partner`)	`MS Exchange\Partner Servers`	`ms-Exch-Accept-Headers-Routing` `ms-Exch-SMTP-Submit`

Разрешения описаны в разделе Разрешения соединителя получения далее в этой статье.

Разрешения соединителя получения

Как правило, разрешения применяются к соединителям получения с помощью групп разрешений. Однако вы можете настраивать детализированные разрешения для соединителя получения с помощью командлетов Add-ADPermission и Remove-ADPermission.

Разрешения соединителя получения назначаются субъектам безопасности с помощью групп разрешений для соединителя. Когда клиент или сервер SMTP создает подключение к соединителю получения, разрешения этого соединителя определяют, принимается ли соединение и как оно обрабатывается.

Доступные разрешения соединителя получения представлены в приведенной ниже таблице.

Разрешение соединителя получения	Описание
`ms-Exch-Accept-Headers-Forest`	Управляет хранением заголовков лесов Exchange в сообщениях. Имена заголовков лесов начинаются с X-MS-Exchange-Forest-. Если разрешение не предоставлено, все заголовки лесов удаляются из сообщений.
`ms-Exch-Accept-Headers-Organization`	Управляет сохранением заголовков организаций Exchange в сообщениях. Имена заголовков организаций начинаются с X-MS-Exchange-Organization-. Если это разрешение не предоставлено, все заголовки организаций удаляются из сообщений.
`ms-Exch-Accept-Headers-Routing`	Управляет сохранением заголовков Received и Resent-* в сообщениях. Если разрешение не предоставлено, все эти заголовки удаляются из сообщений.
`ms-Exch-Bypass-Anti-Spam`	Позволяет клиентам и серверам SMTP обходить фильтрацию спама.
`ms-Exch-Bypass-Message-Size-Limit`	Позволяет клиентам и серверам SMTP отправлять сообщения больше максимального размера, настроенного для соединителя получения.
`ms-Exch-SMTP-Accept-Any-Recipient`	Позволяет клиентам и серверам SMTP ретранслировать сообщения через соединитель получения. Если это разрешение не предоставлено, соединитель получения принимает только те сообщения, которые отправлены получателям в обслуживаемых доменах, настроенных для организации Exchange.
`ms-Exch-SMTP-Accept-Any-Sender`	Позволяет клиентам и серверам SMTP обходить проверку адреса отправителя на спуфинг, для которой обычно требуется, чтобы электронный адрес отправителя находился на обслуживаемом домене, настроенном для организации Exchange.
`ms-Exch-SMTP-Accept-Authentication-Flag`	Указывает, будут ли сообщения от клиентов и серверов SMTP рассматриваться как прошедшие проверку подлинности. Если это разрешение не предоставлено, то сообщения из этих источников определяются как внешние (непроверенные). Этот параметр важен для групп рассылки, настроенных для приема почты только от внутренних получателей (например, параметр RequireSenderAuthenticationEnabled для группы имеет `$true`значение ).
`ms-Exch-SMTP-Accept-Authoritative-Domain-Sender`	Разрешает доступ к соединителю получения для отправителей, электронные адреса которых находятся на уполномоченных доменах, настроенных для организации Exchange.
`ms-Exch-SMTP-Accept-Exch50`	Позволяет клиентам и серверам SMTP отправлять команды XEXCH50 соединителю отправки. Большой двоичный объект X-EXCH50 использовался старыми версиями Exchange (Exchange 2003 и более ранними) для хранения данных Exchange в сообщениях (например, о вероятности нежелательной почты).
`ms-Exch-SMTP-Submit`	Это разрешение необходимо для отправки сообщений соединителям получения. Если это разрешение не предоставлено, команды MAIL FROM и AUTH не будут выполняться.

Примечания.

Помимо задокументированных разрешений, существуют разрешения, которые назначаются всем субъектам безопасности в группе разрешений серверов Exchange (ExchangeServers), кроме MS Exchange\Externally Secured Servers. Эти разрешения зарезервированы для внутреннего использования в корпорации Майкрософт и представлены здесь исключительно в справочных целях.
- ms-Exch-SMTP-Accept-Xattr
- ms-Exch-SMTP-Accept-XProxyFrom
- ms-Exch-SMTP-Accept-XSessionParams
- ms-Exch-SMTP-Accept-XShadow
- ms-Exch-SMTP-Accept-XSysProbe
- ms-Exch-SMTP-Send-XMessageContext-ADRecipientCache
- ms-Exch-SMTP-Send-XMessageContext-ExtendedProperties
- ms-Exch-SMTP-Send-XMessageContext-FastIndex
Имена разрешений, содержащиеся ms-Exch-Accept-Headers- в составе функции брандмауэра заголовков . Дополнительные сведения см. в разделе Брандмауэр заголовков.

Действия с разрешениями соединителей получения

Чтобы просмотреть разрешения, назначенные субъектам безопасности соединителя получения, используйте следующий синтаксис в командной консоли Exchange:

Get-ADPermission -Identity <ReceiveConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Например, чтобы просмотреть разрешения, назначенные всем субъектам безопасности соединителя получения Client Frontend Mailbox01, выполните следующую команду:

Get-ADPermission -Identity "Client Frontend Mailbox01" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Чтобы просмотреть разрешения, назначенные только субъекту NT AUTHORITY\Authenticated Users безопасности в соединителе получения с именем Default Mailbox01, выполните следующую команду:

Get-ADPermission -Identity "Default Mailbox01" -User "NT AUTHORITY\Authenticated Users" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Чтобы добавить разрешения для субъекта безопасности, используйте следующий синтаксис:

Add-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Чтобы удалить разрешения субъекта безопасности, используйте следующий синтаксис:

Remove-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...