发送连接器
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2007-07-10
在运行 Microsoft Exchange Server 2007 并且安装了集线器传输服务器角色和边缘传输服务器角色的计算机上,可配置发送连接器。发送连接器代表发送出站邮件时所经过的逻辑网关。本主题简要介绍发送连接器,并介绍发送连接器的配置对单个邮件处理的影响。
发送连接器概述
Exchange 2007 传输服务器向目标地址发送邮件的过程中,需要通过发送连接器将邮件传递到下一个跃点。发送连接器控制从发送服务器到接收服务器或目标电子邮件系统的出站连接。默认情况下,在安装集线器传输服务器角色或边缘传输服务器角色时,不创建任何显式发送连接器。但是,使用基于 Active Directory 目录服务站点拓扑自动计算的不可见隐式发送连接器在集线器传输服务器之间以内部方式路由邮件。只有当使用边缘订阅过程将边缘传输服务器订阅到 Active Directory 站点之后,才能建立端到端邮件流。其他方案(例如面向 Internet 的集线器传输服务器或未订阅的边缘传输服务器)必须手动配置连接器,才能建立端到端邮件流。有关详细信息,请参阅下列主题:
在集线器传输服务器上创建的发送连接器存储在 Active Directory 中,可供组织中的所有集线器传输服务器使用。在 Active Directory 中,发送连接器作为连接器容器中的对象创建。如果将发送连接器配置为向某个外部域发送邮件,则组织中的任何集线器传输服务器将邮件路由到该域时,会将邮件传递到该连接器的源服务器,以便中继到目标域。
用于将邮件路由到收件人的发送连接器是在邮件分类的路由解析阶段选择的。有关详细信息,请参阅了解基于 Active Directory 站点的路由。
选择发送连接器的使用类型
使用 Exchange 管理控制台创建发送连接器时,“新建 SMTP 发送连接器向导”会提示您选择连接器的使用类型。使用类型可确定连接器分配的默认权限集,并将这些权限授予受信任的安全主体。安全主体包括用户、计算机和安全组。安全主体由安全标识符 (SID) 进行标识。在 Exchange 命令行管理程序中使用 New-SendConnector cmdlet 创建发送连接器时,也可以指定使用类型。但是,Usage 参数不是必需的参数。如果在运行 New-SendConnector cmdlet 时未指定使用类型,则默认的使用类型将设置为 Custom。表 1 描述了发送连接器的使用类型及其默认设置。
表 1 发送连接器的使用类型
| 类型 | 默认权限 | 被授予默认权限的 SID | 默认智能主机身份验证机制 |
|---|---|---|---|
Custom |
无 |
无 |
无 |
Internal |
|
|
Exchange Server 身份验证 |
Internet |
Ms-Exch-Send-Headers-Routing |
匿名用户帐户 |
无 |
Partner |
Ms-Exch-Send-Headers-Routing |
伙伴服务器 |
不适用。与远程域建立相互传输层安全性 (TLS) 身份验证时选择此使用类型。 |
.gif "note") 注意: |
|---|
| 有些情况下,使用域名系统 (DNS) MX 记录解析来路由邮件,而不通过智能主机中继邮件。如果为发送连接器选择 DNS 解析,则不配置任何身份验证机制。 |
本主题稍后将讨论发送连接器权限和智能主机身份验证机制。
发送连接器的使用方案
每种使用类型适用于特定的连接方案。请选择默认设置最适合所需配置的使用类型。可以使用 Add-ADPermission 和 Remove-ADPermission cmdlet 修改权限。有关详细信息,请参阅下列主题:
表 2 列出了常见的连接方案以及适用于每种方案的使用类型。
表 2 连接器的使用方案
| 连接器方案 | 使用类型 | 注释 |
|---|---|---|
向 Internet 发送电子邮件的边缘传输服务器 |
Internet |
为 Exchange 组织订阅边缘传输服务器时,会自动创建配置为向所有域发送电子邮件的发送连接器。 |
向 Internet 发送电子邮件的集线器传输服务器 |
Internet |
建议不使用此配置。有关详细信息,请参阅如何为 Internet 邮件流配置连接器。 |
向集线器传输服务器发送电子邮件的已订阅边缘传输服务器 |
内部 |
此连接器由边缘订阅过程自动创建。 |
向 Exchange Server 2003 或 Exchange 2000 Server 桥头服务器发送电子邮件的边缘传输服务器 |
内部 |
将 Exchange 2003 或 Exchange 2000 桥头服务器配置为发送连接器的智能主机。 |
向集线器传输服务器发送电子邮件的集线器传输服务器 |
内部 |
不必在同一组织的集线器传输服务器之间配置发送连接器。此使用类型可用于配置跨林的发送连接器。 |
向同一个林中的 Exchange 2003 或 Exchange 2000 桥头服务器发送电子邮件的集线器传输服务器 |
内部 |
此配置是可选配置。Exchange 2007 与以前版本的 Exchange Server 之间的传输是通过双向路由组连接器完成的。如果创建到 Exchange 2003 或 Exchange 2000 路由组的 SMTP 连接器,则还必须要有路由组连接器。有关详细信息,请参阅如何创建从 Exchange 2007 至 Exchange Server 2003 的路由组连接器。 |
向集线器传输服务器发送电子邮件的边缘传输服务器 |
自定义 |
如果未使用边缘订阅过程,则必须创建手动连接器。使用 Add-AdPermission cmdlet 设置扩展权限。将身份验证机制设置为基本身份验证或外部安全。 |
一个林中的集线器传输服务器的跨林发送连接器,该连接器可向另一个林中的集线器传输服务器发送电子邮件 |
自定义 |
有关详细的配置步骤,请参阅配置跨林连接器。 |
一个林中的集线器传输服务器的跨林发送连接器,该连接器可向另一个林中的 Exchange 2003 或 Exchange 2000 桥头服务器发送电子邮件 |
自定义 |
有关详细的配置步骤,请参阅配置跨林连接器。 |
向第三方邮件传输代理发送电子邮件的集线器传输服务器 |
自定义 |
使用 Add-AdPermission cmdlet 可设置扩展的权限。将所有邮件路由到智能主机,并将身份验证机制设置为基本身份验证或外部安全。 |
向第三方邮件传输代理发送电子邮件的边缘传输服务器 |
自定义 |
使用 Add-AdPermission cmdlet 可设置扩展的权限。将所有邮件路由到智能主机,并将身份验证机制设置为基本身份验证或外部安全。 |
向外部中继域发送电子邮件的边缘传输服务器 |
自定义 |
边缘传输服务器可以接受发往外部中继域的电子邮件,然后将邮件中继到该域的权威电子邮件系统。将所有邮件路由到智能主机,设置适合的身份验证机制,以及使用 Add-AdPermission cmdlet 设置扩展权限。 |
向已建立相互 TLS 身份验证的域发送电子邮件的边缘传输服务器 |
合作伙伴 |
只有满足下列条件,才能正常进行相互 TLS 身份验证:
有关详细信息,请参阅 Set-SendConnector。 |
发送连接器权限
为安全主体分配发送连接器权限。安全主体与发送连接器建立会话时,发送连接器权限可以确定可随电子邮件一起发送的头信息类型。如果电子邮件包含发送连接器权限不允许的头信息,则发送邮件时将从邮件中剥离这些头。表 3 描述了可以为安全主体分配的发送连接器权限。不能使用 Exchange 管理控制台设置发送连接器权限。若要修改发送连接器的默认权限,必须在 Exchange 命令行管理程序中使用 Add-AdPermission cmdlet。
表 3 发送连接器权限
| 发送连接器权限 | 说明 |
|---|---|
ms-Exch-Send-Exch50 |
此权限允许会话发送包含 EXCH50 命令的邮件。如果未授予此权限,并且发送了包含 EXCH50 命令的邮件,则服务器将发送邮件,但不包含 EXCH50 命令。 |
Ms-Exch-Send-Headers-Routing |
此权限允许会话发送所有接收的头保持不变的邮件。如果未授予此权限,则服务器将删除所有接收的头。 |
Ms-Exch-Send-Headers-Organization |
此权限允许会话发送所有组织头保持不变的邮件。组织头全部以“X-MS-Exchange-Organization-”开头。如果未授予此权限,发送服务器将删除所有组织头。 |
Ms-Exch-Send-Headers-Forest |
此权限允许会话发送所有林头保持不变的邮件。林头全部以“X-MS-Exchange-Forest-”开头。如果未授予此权限,发送服务器将删除所有林头。 |
地址空间和连接器作用域
发送连接器的地址空间可指定该发送连接器将电子邮件路由到的收件人域。在集线器传输服务器上配置的发送连接器上,可以指定 SMTP 地址空间或非 SMTP 地址空间。在边缘传输服务器上配置的发送连接器上,只能指定 SMTP 地址空间。如果使用的地址空间类型不是 SMTP,则必须使用智能主机路由电子邮件。
| 注意: |
|---|
| 尽管可以在集线器传输服务器上的发送连接器上配置非 SMTP 地址空间,但是,发送连接器将使用 SMTP 作为传输机制,将邮件发送到其他邮件服务器。使用集线器传输服务器上的外部连接器将邮件发送到不使用 SMTP 作为其主要传输机制的本地邮件服务器,例如第三方传真网关服务器。有关详细信息,请参阅外部连接器。 |
表 4 列出了发送连接器的 SMTP 地址空间的有效条目。
表 4 发送连接器的 SMTP 地址空间的有效条目
| 地址空间条目 | 发送连接器将邮件路由到: |
|---|---|
* |
在另一个发送连接器条目上没有显式地址空间条目的所有域,或者不是另一个发送连接器的地址空间包含的子域的所有域。 |
Contoso.com |
电子邮件地址在 Contoso.com 域中的所有收件人。 |
*.Contoso.com |
电子邮件地址在 Contoso.com 域或 Contoso.com 的任何子域中的所有收件人。在 Exchange 管理控制台中,选择“包括所有子域”可以设置此配置。 |
在解析路由期间将选择发送连接器,电子邮件将路由到该发送连接器以传递到目标地址空间。选择了其地址空间与收件人的电子邮件地址最匹配的发送连接器。例如,发送给 Recipient@marketing.contoso.com 的电子邮件将通过配置为使用 *.Contoso.com 地址空间的连接器进行路由。为特定地址空间配置了发送连接器之后,发送到该地址空间的电子邮件将始终通过该连接器进行路由。此外,该连接器的配置设置将始终应用于发送到该地址空间的电子邮件。
可以使用发送连接器的作用域来控制该发送连接器在 Exchange 组织中是否可见。默认情况下,Exchange 组织中的所有集线器传输服务器可以使用您创建的所有发送连接器。但是,可以限制任何发送连接器的作用域,以便只有同一个 Active Directory 站点中存在的其他集线器传输服务器可以使用该发送连接器。
Exchange 2007 RTM 中的地址空间和连接器作用域
在 Exchange 2007 的正式发布 (RTM) 版本中,用于指定地址空间的完整语法如下:
<ConnectorScope>:<AddressSpaceType>:<AddressSpace>;<AddressSpaceCost>
下表中说明了地址空间的元素:
ConnectorScope 如果指定值
Local,只有同一个 Active Directory 站点中的其他集线器传输服务器可以使用该连接器。如果省略 ConnectorScope 限定符,则 Exchange 2007 组织中的所有集线器传输服务器都可以使用该连接器。AddressSpaceType 地址空间类型可以是
SMTP、X400或任何其他文本字符串。如果省略地址空间类型,则假定是 SMTP 地址空间类型。AddressSpace 对于 SMTP 地址空间类型,您输入的地址空间必须符合 RFC 1035 标准。例如,允许输入
*、*.com和*.contoso.com,但是不允许输入*contoso.com。对于 X.400 地址空间类型,您输入的地址空间必须符合 RFC 1685 标准,例如 o=MySite;p=MyOrg;a=adatum;c=us。对于地址类型的所有其他值,可以为地址空间输入任何文本。**AddressSpaceCost ** 开销的有效输入范围是 1 到 100。开销越低表示路由越好。如果省略地址空间开销,则假设开销是 1。如果输入包含分号字符 ( ; ) 的非 SMTP 地址空间,则必须指定地址空间开销。
如果指定连接器作用域、地址空间类型或地址空间开销,必须为地址空间加上双引号 ( " )。例如,下列地址空间条目是等效的:
"SMTP:contoso.com;1""contoso.com;1""SMTP:contoso.com"contoso.com
可以指定多个地址空间,使用逗号分隔地址空间,例如:contoso.com,fabrikam.com。如果指定连接器作用域、地址空间类型或地址空间开销,必须为地址空间加上双引号 ( " ),例如:"contoso.com;2","Local:fabrikam.com;3"。
Exchange 2007 SP1 中的地址空间和连接器作用域
在 Microsoft Exchange Server 2007 Service Pack 1 (SP1) 中,地址空间语法与 Exchange 2007 RTM 的地址空间语法略有不同。在 Exchange 2007 SP1 中,用于指定地址空间的完整语法如下:
<AddressSpaceType>:<AddressSpace>;<AddressSpaceCost>
可以使用下列方法之一指定发送连接器的作用域:
在 Exchange 管理控制台中,在新建 SMTP 连接器向导中的“地址空间”页上或现有发送连接器属性的“地址空间”选项卡中,使用“定域发送连接器”属性。
如果选择了“定域发送连接器”,只有同一个 Active Directory 站点中的集线器传输服务器可以使用该连接器。如果未选择“定域发送连接器”,Exchange 组织中的所有集线器传输服务器均可以使用该连接器。
在 Exchange 命令行管理程序中,在 New-SendConnector cmdlet 或 Set-SendConnector cmdlet 中使用 IsScopedConnector 参数。
此参数的值为
$True时,只有同一个 Active Directory 站点中的集线器传输服务器可以使用该连接器。此参数的值为$False时,Exchange 组织中的所有集线器传输服务器均可以使用该连接器。
网络设置
可以设置发送连接器,使其通过使用域名系统 (DNS) 地址解析或通过将电子邮件路由到智能主机来传递电子邮件。
使用 DNS 路由电子邮件
发送连接器设置为使用 DNS MX 记录来自动路由邮件时,源服务器上的 DNS 客户端必须能够解析公用 DNS 记录。默认情况下,使用在源服务器的内置网络适配器上配置的 DNS 服务器进行名称解析。可以使用 Exchange 管理控制台修改 Exchange 服务器属性上的 DNS 设置,以配置用于内部和外部的 DNS 查找的特定 DNS 服务器。还可以使用 Exchange 命令行管理程序配置 Set-TransportServer cmdlet 中的参数。
如果在传输服务器上配置用于外部 DNS 查找的特定 DNS 服务器,则必须在新建 SMTP 发送连接器向导的“网络设置”页上选择“使用传输服务器上的外部 DNS 查找设置”,或在 Exchange 命令行管理程序中,在 Set-TransportServer cmdlet 上将 UseExternalDNSServersEnabled 参数设置为 $True。发送连接器的 DnsRoutingEnabled 参数必须也设置为 $True。
有关详细信息,请参阅下列主题:
使用智能主机路由电子邮件
如果为发送连接器选择 Internal 使用类型,则必须指定智能主机。通过智能主机路由邮件时,智能主机会将邮件传递到传递目标中的下一个跃点。可以使用智能主机的 IP 地址或完全限定的域名 (FQDN) 来指定智能主机标识。智能主机标识可以是智能主机服务器的 FQDN、邮件交换 (MX) 记录或地址 (A) 记录。如果将 FQDN 配置为智能主机标识,发送连接器的源服务器必须能够使用 DNS 名称解析来定位智能主机服务器。
| 注意: |
|---|
| 如果在运行 Windows Server 2008 的计算机上部署 Exchange Server 2007 SP1,可以以 Internet 协议版本 4 (IPv4) 格式、Internet 协议版本 6 (IPv6) 格式或两种格式输入 IP 地址和 IP 地址范围。Windows Server 2008 的默认安装支持 IPv4 和 IPv6。有关 Exchange 2007 SP1 对 IPv6 地址支持的详细信息,请参阅 Exchange 2007 SP1 和 SP2 中的 IPv6 支持。 |
使用类型为 Internet 的发送连接器的智能主机可以是由 Internet 服务提供商托管的服务器。使用类型为 Custom 或 Internal 的发送连接器的智能主机可以是组织中的其他电子邮件服务器或远程域中的电子邮件服务器。
智能主机安全设置
通过智能主机路由邮件时,必须指定源服务器将如何在智能主机计算机上进行身份验证。除非指定了智能主机目标,否则,不能要求使用发送连接器的安全设置。例如,面向 Internet 的连接器不能设置为要求使用 TLS。
表 5 列出了可以为发送连接器配置的智能主机身份验证机制。
表 5 智能主机身份验证机制
| 安全设置 | 说明 |
|---|---|
无 |
允许匿名访问。 |
基本身份验证 |
基本身份验证要求提供用户名和密码。基本身份验证以明文形式发送凭据。对此发送连接器进行身份验证的所有智能主机必须接受相同的用户名和密码。 |
基于 TLS 的基本身份验证 |
选择 TLS 对凭据的传输进行加密。接收服务器必须拥有服务器证书。此外,服务器证书中还必须有为发送连接器定义作为智能主机标识的智能主机的确切 FQDN、MX 记录或记录。发送连接器将尝试向目标服务器发出 STARTTLS,只有建立了 TLS 会话之后才会执行基本身份验证。若要支持相互 TLS 身份验证,还需要拥有客户端证书。 |
Exchange Server 身份验证 |
Exchange Server 身份验证(GSSAPI 和相互 GSSAPI) |
外部安全(例如使用 IPsec) |
使用 Exchange 服务器外部的方法保护网络连接。 |
源服务器
必须为发送连接器至少选择一台源服务器。源服务器是将邮件路由到的传输服务器,以便通过所选发送连接器进行传递。可以在为 Exchange 组织配置的发送连接器上设置多个源服务器。如果指定了多个源服务器,则某台服务器出现故障时,可以实现负载平衡和冗余。与为 Exchange 组织配置的发送连接器关联的源服务器可以是集线器传输服务器或订阅的边缘传输服务器。
FQDN
在 Exchange 管理控制台中,发送连接器属性的“常规”选项卡包含“指定此连接器为响应 HELO 或 EHLO 将提供的 FQDN”选项。在 Exchange 命令行管理程序中,在 Set-SendConnector cmdlet 中使用 Fqdn 参数可设置此属性。建立 SMTP 会话之后,发送电子邮件服务器与接收电子邮件服务器之间将开始 SMTP 协议转换。发送电子邮件服务器或客户端会将 EHLO 或 HELO SMTP 命令及其完全限定的域名 (FQDN) 发送到接收服务器。随后,接收服务器会相应地发送成功代码并提供其自身的 FQDN。在 Exchange 2007 中,如果在发送连接器上配置此属性,则可以自定义发送服务器所提供的 FQDN。只要要求提供源服务器名称,就会向已连接的邮件服务器显示 Fqdn 参数的值,如以下示例所述:
邮件传出集线器传输服务器或边缘传输服务器之后,在下一个跃点的邮件服务器向邮件添加的最新的
Received:邮件头字段中在 TLS 身份验证期间
| 注意: |
|---|
| 如果在安装了邮箱服务器角色的集线器传输服务器上配置发送连接器,则不会使用您为 Fqdn 参数指定的任何值。将始终使用通过 Get-ExchangeServer cmdlet 显示服务器的 FQDN。 对于同时安装了集线器传输服务器角色和邮箱服务器角色的服务器,将服务器名称从传出邮件的 Received: 头中删除的唯一方式是,使用 Remove-ADPermission cmdlet 将 Ms-Exch-Send-Headers-Routing 权限从使用该连接器的安全主体中删除。此操作会在邮件传出集线器传输服务器时,将所有 Received: 头从邮件中删除。建议您不要删除内部邮件的 Received: 头,因为需要使用 Received: 头计算最大跃点数。有关 Remove-ADPermission cmdlet 和 Get-ExchangeServer cmdlet 的详细信息,请参阅下列主题:• Remove-ADPermission • Get-ExchangeServer |
其他发送连接器属性
发送连接器的属性配置定义通过该连接器发送邮件的方式。并非所有属性都可以在 Exchange 管理控制台中配置。有关可以使用 Exchange 命令行管理程序配置的属性的详细信息,请参阅 Set-SendConnector。其他发送连接器属性包括协议日志记录级别和链接的接收连接器的设置。如果发送连接器链接到接收连接器,则通过该接收连接器接收的所有邮件都将使用其链接的发送连接器进行传递。
详细信息
有关详细信息,请参阅下列主题: