Настройка потока почты Интернета через службы Exchange Hosted Services или внешний шлюз SMTP

Применимо к: Exchange Server 2010

Последнее изменение раздела: 2009-10-15

Для настройки потока почты Интернета через службы Microsoft Exchange Hosted Services или внешний SMTP-шлюз можно использовать консоль управления или командную консоль Exchange.

В состав группы Exchange Hosted Services входят четыре различные службы:

• служба Hosted Filtering, помогающая организациям защититься от вредоносного программного обеспечения, содержащегося в электронной почте;
• служба Hosted Archive, помогающая соблюдать требования по хранению данных;
• служба Hosted Encryption, помогающая шифровать данные для обеспечения конфиденциальности;
• служба Hosted Continuity, помогающая сохранять доступ к электронной почте во время и после аварийных ситуаций.

Эти службы интегрируются с любыми локальными серверами Exchange, которые управляются внутренними или размещенными службами электронной почты Exchange, предлагаемыми поставщиками служб. Дополнительные сведения о службах Exchange Hosted Services см. в разделе Microsoft Exchange Hosted Services.

В Exchange Server 2010для создания потока почты Интернета через службы Exchange Hosted Services или через внешний SMTP-шлюз следует создать соединитель отправки и соединитель приема между транспортными серверами-концентраторами в организации Exchange и внешними SMTP-серверами, обрабатывающими и маршрутизирующими почту Интернета.

В данном сценарии можно использовать перечисленные ниже методы проверки подлинности:

• Обычная проверка подлинности. Транспортные серверы-концентраторы Exchange 2010 и внешние SMTP-серверы выполняют проверку подлинности, используя обычную процедуру проверки. Необходимы имя пользователя и пароль. Данный метод проверки подлинности недоступен для служб Exchange Hosted Services.

• Внешняя защита. Сетевое соединение между транспортными серверами-концентраторами и внешними SMTP-серверами защищается с использованием метода, внешнего по отношению к Exchange 2010.

  Примечание.

  Настройка соединителя приема как внешне защищаемого без использования метода проверки подлинности «Внешняя защита» функционально эквивалентна настройке соединителя приема как открытого ретранслятора для внешнего SMTP-сервера. Сообщения, исходящие с внешнего SMTP-сервера, считаются прошедшими проверку подлинности. Сообщения обходят проверку защиты от нежелательной почты и проверку на соответствие предельному размеру сообщения. Внешнему SMTP-серверу разрешается отправлять сообщения, как если бы он был одним из отправителей внутри данной организации Exchange. Дополнительные сведения см. в разделе Включение анонимной ретрансляции на соединителе получения.

• Анонимная ретрансляция. Этот метод следует использовать лишь в крайнем случае. Если внешнему SMTP-серверу разрешается анонимно ретранслировать сообщения, используя соответствующий соединитель приема на транспортном сервере-концентраторе, к соединителю приема необходимо применить приведенные ниже ограничения.

  • Параметры локальной сети. Если у транспортного сервера-концентратора есть несколько сетевых адаптеров, ограничьте прослушивание для соединителя приема только соответствующим сетевым адаптером.
  • Настройки удаленной сети. Позволяет разрешить соединителю приема принимать подключения только с определенных серверов. Это ограничение является обязательным, поскольку соединитель приема настроен на прием ретрансляции от анонимных пользователей. Ограничение исходных серверов по IP-адресу является единственной мерой защиты, которая разрешена для данного соединителя приема.
    Дополнительные сведения см. в разделе Включение анонимной ретрансляции на соединителе получения.

Необходимы сведения о других задачах управления, связанных с управлением маршрутизацией сообщений? См. раздел Управление маршрутизацией сообщений.

Предварительные условия

• При использовании обычной проверки подлинности в лесу Active Directory должна существовать учетная запись домена. Например, можно создать учетную запись пользователя домена с именем участника-пользователя smtpgateway@fabrikam.com, которая должна использоваться в качестве учетных данных для проверки подлинности SMTP-шлюзом при доставке почты на серверы Exchange в домене Fabrikam.
• При использовании обычной проверки подлинности с применением протокола TLS на конечном сервере следует настроить использование сертификата X.509, содержащего полное доменное имя, идентичное полному доменному имени соединителя приема.
• При использовании внешней проверки подлинности между транспортным сервером-концентратором и сервером SMTP-шлюза должно существовать доверенное сетевое подключение. Это подключение должно быть соединением IPsec или виртуальной частной сетью. Также серверы могут располагаться в доверенной физически управляемой сети.

Создание потока почты Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом с использованием обычной проверки подлинности

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Соединители отправки» в разделе Разрешения транспорта.

Примечание.
Так как соединитель приема по умолчанию будет принимать сообщения электронной почты от SMTP-шлюза, прошедшего проверку подлинности, при использовании обычной проверки подлинности новый соединитель приема не понадобится.

Использование консоли управления Exchange для создания потока почты Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом с использованием обычной проверки подлинности

1. Откройте консоль управления Exchange на транспортном сервере-концентраторе. Разверните узел Конфигурация организации, щелкните пункт Транспортный концентратор и выберите в области действий команду Создать соединитель отправки.
2. В мастере создания соединителя отправки на странице Введение в поле Имя введите уникальное имя соединителя.
3. В раскрывающемся списке Выберите назначение для этого соединителя отправки выберите Настраиваемое, а затем нажмите кнопку Далее.
4. На странице Адресное пространство нажмите кнопку Добавить. В диалоговом окне Адресное пространство SMTP в поле Адрес введите "*" и нажмите кнопку ОК. Нажмите кнопку Далее.
5. На странице Параметры сети можно выбрать только параметр Выполнять маршрутизацию почты через следующие промежуточные узлы. Выберите этот параметр и нажмите кнопку Добавить.
6. В поле IP-адрес или Полное доменное имя диалогового окна Добавить промежуточный узел введите IP-адрес или полное доменное имя внешнего сервера SMTP-шлюза и нажмите кнопку ОК. Чтобы задать в качестве промежуточного узла несколько SMTP-шлюзов, нажмите кнопку Добавить и введите дополнительные IP-адреса или полные доменные имена, а затем нажмите кнопку Далее.
7. На странице Настройка параметров проверки подлинности промежуточных узлов выберите параметр Обычная проверка подлинности или Обычная проверка подлинности с использованием TLS, введите имя пользователя и пароль, которые будут использоваться для проверки подлинности подключения, а затем нажмите кнопку Далее.
8. На странице Исходный сервер нажмите кнопку Добавить. В диалоговом окне Выбор транспортного сервера-концентратора и подписанных пограничных транспортных серверов выберите один или несколько транспортных серверов-концентраторов в организации, нажмите кнопку ОК, а затем нажмите кнопку Далее.
9. На странице Создать соединитель нажмите кнопку Создать, а затем на странице Завершение нажмите кнопку Готово.

Использование командной консоли для создания потока почты Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом с использованием обычной проверки подлинности

1. Выполните следующую команду.

   $mycred = Get-Credential
   

2. В появившемся диалоговом окне введите учетные данные для учетной записи пользователя на внешнем сервере SMTP-шлюза. Введите имя и пароль пользователя. Нажмите кнопку ОК.

3. В этом примере создается соединитель отправки ToInternetGateway, используемый транспортным сервером-концентратором HubA, подключающимся к внешнему SMTP-шлюзу smtpgateway1.contoso.com с использованием обычной проверки подлинности.

   New-SendConnector -Name "ToInternetGateway" -AddressSpaces "*" -SmartHosts "smtpgateway1.contoso.com" -SmartHostAuthMechanism BasicAuth,BasicAuthRequireTLS -AuthenticationCredential $mycred -SourceTransportServers "HubA" -DNSRoutingEnabled $false
   

Подробные сведения о синтаксисе и параметрах см. в разделе New-SendConnector.

Создание потока почты Интернета между транспортным сервером-концентратором и службами Exchange Hosted Services или внешним SMTP-шлюзом при помощи проверки подлинности «Внешняя защита»

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Записи «Соединители отправки» и «Соединители получения» в разделе Разрешения транспорта.

Использование консоли управления Exchange для создания потока почты Интернета между транспортным сервером-концентратором и службами Exchange Hosted Services или внешним SMTP-шлюзом при помощи проверки подлинности «Внешняя защита»

1. Создайте соединитель отправки к внешнему шлюзу SMTP на транспортном сервере-концентраторе. Для этого выполните следующие шаги.
   1. Разверните узел Конфигурация организации, щелкните пункт Транспортный сервер-концентратор, а затем в области действий выберите команду Создание соединителя отправки.
   2. В мастере создания соединителя отправки на странице Введение в поле Имя введите уникальное имя соединителя. В раскрывающемся списке Выберите назначение для этого соединителя выберите значение Внутренний, а затем нажмите кнопку Далее.
   3. На странице Адресное пространство нажмите кнопку Добавить. В диалоговом окне Добавить адресное пространство выберите параметр "*" в поле Адрес, а затем нажмите кнопку ОК. Нажмите кнопку Далее.
   4. На странице Параметры сети доступен только параметр Выполнять маршрутизацию почты через следующие промежуточные узлы. Нажмите кнопку Добавить.
   5. В диалоговом окне Добавить промежуточный узел в поле IP-адрес или Полное доменное имя введите IP-адрес или полное доменное имя сервера шлюза SMTP и нажмите кнопку ОК. Чтобы задать в качестве промежуточного узла несколько SMTP-шлюзов, нажмите кнопку Добавить и введите дополнительные IP-адреса или полные доменные имена, а затем нажмите кнопку Далее.
   6. На странице Настройка параметров проверки подлинности промежуточных узлов выберите параметр Внешняя защита (например, с помощью IPsec), а затем нажмите кнопку Далее.
   7. На странице Исходный сервер нажмите кнопку Добавить. В диалоговом окне Выбор транспортного сервера-концентратора и подписанных пограничных транспортных серверов выберите один или несколько транспортных серверов-концентраторов в организации, нажмите кнопку ОК, а затем нажмите кнопку Далее.
   8. На странице Создать соединитель нажмите кнопку Создать, а затем на странице Завершение нажмите кнопку Готово.
2. Создайте соединитель получения на транспортном сервере-концентраторе для получения почты от внешнего шлюза SMTP. Для этого выполните следующие шаги.
   1. Разверните узел Конфигурация организации, щелкните пункт Транспортный концентратор, а затем а области действий выберите команду Создать соединитель приема.
   2. В мастере создания соединителя получения на странице Введение в поле Имя введите уникальное имя соединителя.
   3. В раскрывающемся списке Выберите назначение для этого соединителя выберите значение Внутренний, а затем нажмите кнопку Далее.
   4. На странице Настройки удаленной сети удалите все записи сетевых диапазонов, а затем нажмите кнопку Добавить.
   5. В диалоговом окне Добавить IP-адреса удаленных серверов введите IP-адрес внешнего сервера SMTP-шлюза, а затем нажмите кнопку ОК и кнопку Далее.
   6. На странице Создать соединитель нажмите кнопку Создать, а затем на странице Завершение нажмите кнопку Готово.
3. Измените метод проверки подлинности для только что созданного соединителя получения на «Внешняя защита», выполнив приведенные ниже шаги:
   1. В области задач выберите соединитель приема, созданный в шаге 2, а затем на панели действий выберите пункт Свойства.
   2. Откройте вкладку Проверка подлинности. Снимите флажки Обычная проверка подлинности и Сервер Exchange, выберите пункт Внешняя защита (например, с помощью IPsec), а затем нажмите кнопку ОК

Использование командной консоли для создания потока почты Интернета между транспортным сервером-концентратором и службами Exchange Hosted Services или внешним SMTP-шлюзом при помощи проверки подлинности «Внешняя защита»

1. В этом примере создается соединитель отправки ToInternetGateway, используемый транспортным сервером-концентратором HubA, настроенным для отправки исходящей электронной почты через внешний SMTP-шлюз smtpgateway1.contoso.com с использованием проверки подлинности «Внешняя защита».

   New-SendConnector -Name "ToInternetGateway" -Usage Internal -AddressSpaces "*" -SmartHosts "smtpgateway1.contoso.com" -SmartHostAuthMechanism ExternalAuthoritative -SourceTransportServers "HubA" -DNSRoutingEnabled $false
   

2. В этом примере создается соединитель получения FromInternetGateway на транспортном сервере-концентраторе HubA, который использует проверку подлинности «Внешняя защита» для получения почты от внешнего SMTP-шлюза с IP-адресом 192.168.1.10.

   New-ReceiveConnector -Name "FromInternetGateway" -Server HubA -Usage Internal -RemoteIPRanges 192.168.1.10 -AuthMechanism ExternalAuthoritative
   

Дополнительные сведения о синтаксисе и параметрах см. в разделах New-SendConnector и New-ReceiveConnector.

Создание потока почты Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом с использованием анонимной ретрансляции

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Записи «Соединители отправки» и «Соединители получения» в разделе Разрешения транспорта.

Использование консоли управления Exchange и командной консоли для установки потока почты Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом с использованием анонимной ретрансляции

Примечание.
В этой процедуре для шагов 1-4 используется консоль управления Exchange. Последний шаг этой процедуры (предоставление разрешения на ретрансляцию при анонимном доступе к соединителю приема) нельзя выполнить с помощью консоли управления Exchange. Для этого шага необходимо использовать командную консоль.

1. Создайте соединитель отправки к внешнему шлюзу SMTP на транспортном сервере-концентраторе. Для этого выполните следующие шаги.
   1. Разверните узел Конфигурация организации, щелкните пункт Транспортный сервер-концентратор, а затем в области действий выберите команду Создание соединителя отправки.
   2. В мастере создания соединителя отправки на странице Введение в поле Имя введите уникальное имя соединителя. В раскрывающемся списке Выберите назначение для этого соединителя отправки укажите Интернет и затем нажмите кнопку Далее.
   3. На странице Адресное пространство нажмите кнопку Добавить. В диалоговом окне Адресное пространство SMTP в поле Адрес введите "*" и нажмите кнопку ОК. Нажмите кнопку Далее.
   4. На странице Параметры сети можно выбрать только параметр Выполнять маршрутизацию почты через следующие промежуточные узлы. Нажмите кнопку Добавить.
   5. В диалоговом окне Добавить промежуточный узел в поле IP-адрес или Полное доменное имя введите IP-адрес или полное доменное имя сервера шлюза SMTP и нажмите кнопку ОК. Чтобы задать в качестве промежуточного узла несколько SMTP-шлюзов, нажмите кнопку Добавить и введите дополнительные IP-адреса или полные доменные имена, а затем нажмите кнопку Далее.
   6. На странице Настройка параметров проверки подлинности промежуточных узлов выберите параметр Отсутствует, а затем нажмите кнопку Далее.
   7. На странице Исходный сервер нажмите кнопку Добавить. В диалоговом окне Выбор транспортного сервера-концентратора и подписанных пограничных транспортных серверов выберите один или несколько транспортных серверов-концентраторов в организации, нажмите кнопку ОК, а затем нажмите кнопку Далее.
   8. На странице Создать соединитель нажмите кнопку Создать, а затем на странице Завершение нажмите кнопку Готово.
2. Создайте соединитель получения на транспортном сервере-концентраторе для получения почты от внешнего шлюза SMTP. Для этого выполните следующие шаги.
   1. Разверните узел Конфигурация организации, щелкните пункт Транспортный концентратор, а затем а области действий выберите команду Создать соединитель приема.
   2. В мастере создания соединителя получения на странице Введение в поле Имя введите уникальное имя соединителя.
   3. В раскрывающемся списке Выберите назначение для этого соединителя выберите Другое и затем нажмите кнопку Далее.
   4. На странице Параметры локальной сети удалите существующую запись Все доступные IPv4, а затем нажмите кнопку Добавить.
   5. В диалоговом окне Добавить привязку получающего соединителя выберите пункт Укажите IP-адрес. Введите IP-адрес, назначенный сетевому адаптеру на локальном сервере, который наилучшим образом подходит для связи с внешним SMTP-сервером. Удостоверьтесь, что в поле Порт указано значение 25, и нажмите кнопку ОК. Оставьте пустым поле Укажите полное доменное имя, которое этот соединитель будет предоставлять в ответ на запрос HELO или EHLO и нажмите кнопку Далее.
   6. На странице Настройки удаленной сети удалите все записи сетевых диапазонов, а затем нажмите кнопку Добавить.
   7. В диалоговом окне Добавить IP-адреса удаленных серверов введите IP-адрес внешнего сервера SMTP-шлюза, а затем нажмите кнопку ОК и кнопку Далее.
   8. На странице Создать соединитель просмотрите раздел Сводка конфигурации. Если все в порядке, нажмите кнопку Создать. Если нужно внести изменения, нажмите кнопку Назад.
   9. На странице Завершение просмотрите следующие сведения и нажмите кнопку Готово, чтобы закрыть мастер.
      • Состояние Завершено означает, что мастер успешно выполнил задачу.
      • Состояние Сбой означает, что не удалось выполнить задачу. Если задача не выполнена, просмотрите сводные данные, чтобы выяснить, почему это произошло, а затем нажмите кнопку Назад, чтобы внести изменения в конфигурацию.
3. Добавьте группу разрешений «Анонимные» для только созданного соединителя приема, выполнив приведенные ниже шаги:
   1. В области задач выберите соединитель приема, созданный в шаге 2, а затем на панели действий выберите пункт Свойства.
   2. Откройте вкладку Группы разрешений. Выберите параметр Анонимные пользователи и нажмите кнопку ОК. Нажмите кнопку ОК, чтобы сохранить изменения и закрыть страницу Свойства.
4. Предоставьте разрешение на ретрансляцию для только что измененного соединителя приема участнику безопасности «Анонимный вход», выполнив следующие шаги:

   1. Откройте командную консоль.

   2. Выполните следующую команду, используя имя соединителя приема, созданного в шаге 2 и измененного в шаге 3:

      Get-ReceiveConnector "Receive Connector Name" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
      

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-ReceiveConnector и Add-ADPermission.

Использование командной консоли для создания потока почты Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом с использованием анонимной ретрансляции

1. В этом примере создается соединитель отправки ToInternetGateway, используемый транспортным сервером-концентратором HubA, настроенным для отправки исходящей электронной почты через внешний SMTP-шлюз smtpgateway1.contoso.com с использованием анонимной ретрансляции.

   New-SendConnector -Name "ToInternetGateway" -Usage Internet -AddressSpaces "*" -SmartHosts "smtpgateway1.contoso.com" -SmartHostAuthMechanism None -SourceTransportServers "HubA" -DNSRoutingEnabled $false
   

2. В этом примере создается соединитель получения FromInternetGateway для транспортного сервера-концентратора HubA, который прослушивает локальный IP-адрес 10.2.3.4 на порте 25 в ожидании анонимных подключений с сервера SMTP-шлюза с IP-адресом 192.168.5.77.

   New-ReceiveConnector -Name "FromInternetGateway" -Server HubA -Usage Custom -PermissionGroups AnonymousUsers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77
   

3. В этом примере участнику безопасности «Анонимный вход» предоставляется разрешение на ретрансляцию для соединителя приема, созданного в шаге 2.

   Get-ReceiveConnector "FromInternetGateway" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
   

Подробное описание синтаксиса и параметров команд см. в разделах New-SendConnector, New-ReceiveConnector, Get-ReceiveConnector и Add-ADPermission.