Recevoir des connecteurs dans Exchange Server

Article
04/04/2023

Les serveurs Exchange utilisent des connecteurs de réception pour contrôler les connexions SMTP entrantes à partir de :

Serveurs de messagerie externes à l'organisation Exchange.
Services dans le pipeline de transport sur le serveur Exchange local ou sur des serveurs Exchange distants.
Clients de messagerie devant utiliser SMTP authentifié pour envoyer des messages.

Vous pouvez créer des connecteurs de réception dans le service de transport sur des serveurs de boîtes aux lettres, le service de transport frontal sur des serveurs de boîtes aux lettres et sur les serveurs de transport Edge. Par défaut, les connecteurs de réception requis pour le flux de courrier entrant sont créés automatiquement lorsque vous installez un serveur de boîtes aux lettres Exchange et que vous abonnez un serveur de transport Edge à votre organisation Exchange.

Un connecteur de réception est associé au serveur de boîtes aux lettres ou au serveur de transport Edge là où il est créé et détermine comment ce serveur spécifique écoute les connexions SMTP. Sur les serveurs de boîtes aux lettres, le connecteur de réception est stocké dans Active Directory comme objet enfant du serveur. Sur les serveurs de transport Edge, le connecteur de réception est stocké dans Active Directory Lightweight Directory Services (AD LDS).

Voici les paramètres importants pour les connecteurs de réception :

Liaisons d’adaptateur local : configurez la combinaison d’adresses IP locales et de ports TCP que le connecteur de réception utilise pour accepter les connexions.
Paramètres réseau distant : configurez les adresses IP sources que le connecteur de réception écoute pour les connexions.
Type d’utilisation : configurez les groupes d’autorisations par défaut et les mécanismes d’authentification de l’hôte intelligent pour le connecteur Receive.
Groupes d’autorisations : configurez les personnes autorisées à utiliser le connecteur de réception et les autorisations qu’elles reçoivent.

Un connecteur de réception écoute les connexions entrantes correspondant aux paramètres de configuration du connecteur. Chaque connecteur de réception sur le serveur Exchange utilise une combinaison unique de liaisons d'adresses IP locales, ports TCP et plages d'adresses IP distantes qui permet de définir si les connexions à partir de serveurs ou de clients SMTP sont acceptées et de quelle façon.

Bien que les connecteurs de réception par défaut suffisent dans la plupart des cas, vous pouvez créer des connecteurs de réception personnalisés pour des scénarios spécifiques. Par exemple :

Pour appliquer des propriétés spéciales à une source de courrier électronique, par exemple, une taille maximale de messages supérieure, plusieurs destinataires par message ou plusieurs connexions entrantes simultanées.
Pour accepter les messages chiffrés à l'aide d'un certificat TLS spécifique.

Sur les serveurs de boîte aux lettres, vous pouvez créer et gérer les connecteurs de réception dans le Centre d'administration Exchange (CAE) ou dans l'Environnement de ligne de commande Exchange Management Shell. Sur les serveurs de transport Edge, vous pouvez uniquement utiliser l'Environnement de ligne de commande Exchange Management Shell.

Recevoir les modifications du connecteur dans Exchange Server

Voici les modifications notables apportées aux connecteurs de réception dans Exchange 2016 et Exchange 2019 par rapport à Exchange 2010 :

Le paramètre TlsCertificateName vous permet de spécifier l’émetteur du certificat et l’objet du certificat. Cela contribue à réduire les risques de certificats frauduleux.
Le paramètre TransportRole vous permet de faire la distinction entre les connecteurs front-end (accès au client) et back-end sur les serveurs de boîtes aux lettres.

Connecteurs de réception par défaut créés lors de l’installation

Plusieurs connecteurs de réception différents sont créés par défaut lorsque vous installez Exchange. Par défaut, ces connecteurs sont activés et l'enregistrement dans le journal de protocole est désactivé pour la plupart d'entre eux. Pour plus d'informations sur l'enregistrement dans le journal de protocole sur les connecteurs de réception, voir Enregistrement dans le journal de protocole.

Connecteurs de réception par défaut dans le service de transport frontal sur les serveurs de boîtes aux lettres

La fonction principale des connecteurs de réception dans le service de transport frontal est d'accepter les connexions SMTP anonymes et authentifiées dans votre organisation Exchange. La valeur de la propriété TransportRole pour ces connecteurs est FrontendTransport. Le service de transport frontal relaie ou proxy ces connexions au service de transport pour la catégorisation et le routage vers la destination finale.

Les connecteurs de réception par défaut qui sont créés dans le service de transport frontal sur des serveurs de boîtes aux lettres sont décrits dans le tableau suivant.

Nom	Description	Enregistrement dans le journal de protocole	Port TCP	Liaisons d'adresses IP locales	Plages d’adresses IP distantes	Mécanismes d’authentification	Groupes d’autorisations
Client Frontend <ServerName>	Accepte les connexions à partir de clients SMTP authentifiés.	Aucune	587	Toutes les adresses IPv4 et IPv6 disponibles (`0.0.0.0` et `[::]:`)	`{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}` (toutes les adresses IPv4 et IPv6)	`TLS` `BasicAuth` `BasicAuthRequireTLS` `Integrated`	`ExchangeUsers`
Nom_serveur> frontal< par défaut	Accepte les connexions anonymes à partir de serveurs SMTP externes. C'est le point d'entrée des messages commun dans votre organisation Exchange.	Détaillé	25	Toutes les adresses IPv4 et IPv6 disponibles (`0.0.0.0` et `[::]:`)	`{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}` (toutes les adresses IPv4 et IPv6)	`TLS` `BasicAuth` `BasicAuthRequireTLS` `ExchangeServer` `Integrated`	`AnonymousUsers` `ExchangeLegacyServers` `ExchangeServers`
Serveur frontal <> de proxy sortant	Accepte les connexions authentifiées à partir du service de transport sur les serveurs de boîtes aux lettres. Les connexions sont chiffrées avec le certificat auto-signé du serveur Exchange. Ce connecteur est utilisé uniquement si le connecteur d'envoi est configuré pour utiliser le proxy sortant. Pour plus d'informations, consultez la rubrique Configure Send connectors to proxy outbound mail.	Aucune	717	Toutes les adresses IPv4 et IPv6 disponibles (`0.0.0.0` et `[::]:`)	`{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}` (toutes les adresses IPv4 et IPv6)	`TLS` `BasicAuth` `BasicAuthRequireTLS` `ExchangeServer` `Integrated`	`ExchangeServers`

Connecteurs de réception par défaut dans le service de transport sur des serveurs de boîtes aux lettres

La fonction principale des connecteurs de réception dans le service de transport est d’accepter les connexions SMTP authentifiées et chiffrées provenant d’autres services de transport sur le serveur de boîtes aux lettres local ou sur les serveurs de boîtes aux lettres distants dans votre organisation. La valeur de la propriété TransportRole sur ces connecteurs est HubTransport. Les clients ne se connectent pas directement à ces connecteurs.

Les connecteurs de réception par défaut qui sont créés dans le service de transport sur des serveurs de boîtes aux lettres sont décrits dans le tableau suivant.

Nom Description Enregistrement dans le journal de protocole Port TCP Liaisons d'adresses IP locales Plages d’adresses IP distantes Mécanismes d’authentification Groupes d’autorisations

Nom_serveur> proxy< du client Accepte les connexions client authentifiées qui sont redirigées via proxy à partir du service de transport frontal. Aucune 465 Toutes les adresses IPv4 et IPv6 disponibles (0.0.0.0 et [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (toutes les adresses IPv4 et IPv6) TLS
BasicAuth
BasicAuthRequireTLS
ExchangeServer
Integrated ExchangeServers
ExchangeUsers

Nom	Description	Enregistrement dans le journal de protocole	Port TCP	Liaisons d'adresses IP locales	Plages d’adresses IP distantes	Mécanismes d’authentification	Groupes d’autorisations
Nom_serveur> proxy< du client	Accepte les connexions client authentifiées qui sont redirigées via proxy à partir du service de transport frontal.	Aucune	465	Toutes les adresses IPv4 et IPv6 disponibles (`0.0.0.0` et `[::]:`)	`{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}` (toutes les adresses IPv4 et IPv6)	`TLS` `BasicAuth` `BasicAuthRequireTLS` `ExchangeServer` `Integrated`	`ExchangeServers` `ExchangeUsers`
Nom_serveur> par défaut<	Accepte les connexions authentifiées à partir de : Service de transport frontal sur les serveurs de boîtes aux lettres locaux ou distants Service de transport sur les serveurs de boîtes aux lettres distants Service de transport de boîtes aux lettres sur les serveurs de boîtes aux lettres locaux ou distants Serveurs de transport Edge Les connexions sont chiffrées avec le certificat auto-signé du serveur Exchange.	Aucune	2525	Toutes les adresses IPv4 et IPv6 disponibles (`0.0.0.0` et `[::]:`)	`{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}` (toutes les adresses IPv4 et IPv6)	`TLS` `BasicAuth` `ExchangeServer` `Integrated`	`ExchangeLegacyServers` `ExchangeServers` `ExchangeUsers`

Nom_serveur> par défaut<

Accepte les connexions authentifiées à partir de :

Service de transport frontal sur les serveurs de boîtes aux lettres locaux ou distants
Service de transport sur les serveurs de boîtes aux lettres distants
Service de transport de boîtes aux lettres sur les serveurs de boîtes aux lettres locaux ou distants
Serveurs de transport Edge

Les connexions sont chiffrées avec le certificat auto-signé du serveur Exchange.

Aucune

2525

Toutes les adresses IPv4 et IPv6 disponibles (0.0.0.0 et [::]:)

{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (toutes les adresses IPv4 et IPv6)

TLS
BasicAuth
ExchangeServer
Integrated

ExchangeLegacyServers
ExchangeServers
ExchangeUsers

Connecteurs de réception par défaut dans le service de transport sur des serveurs de transport Edge

La fonction principale du connecteur de réception sur des serveurs de transport Edge consiste à accepter les messages provenant d'Internet. Lorsque vous abonnez le serveur de transport Edge à votre organisation Exchange, les autorisations du connecteur et les mécanismes d'authentification qui sont requis pour le flux de messagerie Internet vers et depuis votre organisation sont configurés automatiquement. Pour plus d'informations, consultez la rubrique Serveurs de transport Edge.

Le connecteur de réception par défaut qui est créé dans le service de transport sur des serveurs de transport Edge est décrit dans le tableau suivant.

Nom	Description	Enregistrement dans le journal de protocole	Port TCP	Liaisons d'adresses IP locales	Plages d’adresses IP distantes	Mécanismes d’authentification	Groupes d’autorisations
ServerName du connecteur <de réception interne par défaut>	Accepte les connexions anonymes à partir de serveurs SMTP externes.	Aucune	25	Toutes les adresses IPv4 disponibles (`0.0.0.0`)	`{0.0.0.0-255.255.255.255}` (toutes les adresses IPv4)	`TLS` `ExchangeServer`	`AnonymousUsers` `ExchangeServers` `Partners`

Connecteurs de réception implicites dans le service de remise de transport de boîtes aux lettres sur des serveurs de boîtes aux lettres

En plus des connecteurs de réception créés lors de l’installation des serveurs Exchange, il existe un connecteur de réception implicite spécial dans le service de livraison de transport de boîtes aux lettres sur les serveurs de boîtes aux lettres. Ce connecteur de réception implicite est automatiquement disponible, invisible et ne requiert aucune gestion. La fonction principale de ce connecteur est d'accepter le courrier du service de transport sur le serveur de boîtes aux lettres local ou les serveurs de boîtes aux lettres distants dans votre organisation.

Le connecteur de réception implicite qui existe dans le service de remise de transport de boîtes aux lettres sur les serveurs de boîtes aux lettres est décrit dans le tableau suivant.

Nom	Description	Enregistrement dans le journal de protocole	Port TCP	Liaisons d'adresses IP locales	Plages d’adresses IP distantes	Mécanismes d’authentification	Groupes d’autorisations
Connecteur de réception de remise de boîtes aux lettres	Accepte les connexions authentifiées à partir du service de transport sur les serveurs de boîtes aux lettres locaux ou distants.	Aucune	475	Toutes les adresses IPv4 et IPv6 disponibles (`0.0.0.0` et `[::]:`)	`{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}` (toutes les adresses IPv4 et IPv6)	`ExchangeServer`	`ExchangeServers`

Liaisons d’adresses locales du connecteur de réception

Les liaisons d’adresses locales limitent le connecteur de réception à l’écoute des connexions SMTP sur un port TCP et une adresse IP locale (carte réseau) spécifiques. En règle générale, la combinaison de l'adresse IP locale et du port TCP est unique pour chaque connecteur de réception sur un serveur. Toutefois, plusieurs connecteurs de réception sur un serveur peuvent avoir les mêmes ports TCP et adresses IP locales si les plages d'adresses IP distantes sont différentes. Pour plus d'informations, voir la section Adresses distantes du connecteur de réception.

Par défaut, un connecteur De réception écoute les connexions sur toutes les adresses IPv4 et IPv6 locales disponibles (0.0.0.0 et [::]:). Si le serveur possède plusieurs cartes réseau, vous pouvez configurer les connecteurs de réception pour qu'ils acceptent les connexions uniquement à partir des adresses IP qui sont configurées pour une carte réseau spécifique. Par exemple, sur un serveur Exchange accessible sur Internet, vous pouvez avoir un connecteur de réception lié à l'adresse IP de la carte réseau externe qui écoute des connexions Internet anonymes. Vous pouvez avoir un connecteur de réception distinct lié à l'adresse IP de la carte réseau interne qui écoute des connexions authentifiées à partir de serveurs Exchange internes.

Remarque

Si vous liez un connecteur de réception à une adresse IP spécifique, assurez-vous que l'adresse est configurée sur une carte réseau locale. Si vous spécifiez une adresse IP locale non valide, il se peut que le redémarrage du serveur ou du service de transport Microsoft Exchange échoue.

Dans le CAE, utilisez le champ Liaisons de carte réseau pour configurer les liaisons d'adresses locales dans l'Assistant du nouveau connecteur de réception ou sur l'onglet Étendue dans les propriétés des connecteurs de réception existants. Dans Exchange Management Shell, vous utilisez le paramètre Bindings sur les applets de commande New-ReceiveConnector et Set-ReceiveConnector . Selon le type d'utilisation que vous sélectionnez, vous ne pouvez peut-être pas configurer les liaisons d'adresses locales lorsque vous créez le connecteur de réception, mais vous pouvez les modifier après avoir créé le connecteur de réception. Les types d’utilisation concernés sont identifiés dans la section Types d’utilisation du connecteur de réception.

Adresses distantes du connecteur de réception

Les adresses distantes définissent à partir de quel endroit le connecteur de réception reçoit les connexions SMTP. Par défaut, les connecteurs de réception écoutent les connexions à partir de toutes les adresses IPv4 et IPv6 (0.0.0.0-255.255.255.255 et ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff). Si vous créez un connecteur de réception personnalisé pour recevoir du courrier à partir d'une source spécifique, configurez le connecteur de sorte qu'il écoute les connexions uniquement à partir de l'adresse IP ou des plages d'adresses spécifiques.

Plusieurs connecteurs de réception sur le serveur peuvent avoir des plages d'adresses IP distantes qui se chevauchent tant qu'une plage est complètement chevauchée par une autre. Lorsque des plages d'adresses IP distantes se chevauchent, la plage d'adresses IP distante contenant la correspondance la plus proche de l'adresse IP du serveur de connexion est utilisée.

Prenons l'exemple des connecteurs de réception suivants dans le service de transport Edge sur le serveur nommé Exchange01 :

Nom du connecteur : Client Frontal Exchange01
- Liaisons de carte réseau : toutes les IPv4 disponibles sur le port 25.
- Paramètres réseau distants : 0.0.0.0-255.255.255.255
Nom du connecteur : Connecteur personnalisé A
- Liaisons de carte réseau : toutes les IPv4 disponibles sur le port 25.
- Paramètres réseau distants : 192.168.1.0-192.168.1.255
Nom du connecteur : Connecteur B personnalisé
- Liaisons de carte réseau : toutes les IPv4 disponibles sur le port 25.
- Paramètres réseau distants : 192.168.1.75

Les connexions SMTP de 192.168.1.75 sont acceptées par le connecteur personnalisé B car il a la correspondance d'adresse IP la plus spécifique.

Les connexions SMTP de 192.168.1.100 sont acceptées par le connecteur personnalisé A car il a la correspondance d'adresse IP la plus spécifique.

Dans le CAE, utilisez le champ Paramètres du réseau à distance pour configurer les adresses IP distantes dans l'Assistant du nouveau connecteur de réception ou sur l'onglet Étendue dans les propriétés des connecteurs de réception existants. Dans Exchange Management Shell, vous utilisez le paramètre RemoteIPRanges sur les applets de commande New-ReceiveConnector et Set-ReceiveConnector .

Types d’utilisation du connecteur de réception

Le type d’utilisation détermine les paramètres de sécurité par défaut pour le connecteur de réception. Le type d'utilisation indique les personnes qui sont autorisées à utiliser le connecteur, les autorisations qu'elles obtiennent et les méthodes d'authentification prises en charge.

Lorsque vous utilisez le CAE pour créer des connecteurs de réception, l'Assistant vous invite à sélectionner la valeur Type pour le connecteur. Lorsque vous utilisez l’applet de commande New-ReceiveConnector dans Exchange Management Shell, vous utilisez le paramètre Usage avec l’une des valeurs disponibles (par exemple, -Usage Custom), ou le commutateur désigné pour le type d’utilisation (par exemple, -Custom).

Vous pouvez spécifier le type d'utilisation du connecteur uniquement lorsque vous créez des connecteurs de réception. Après avoir créé un connecteur, vous pouvez modifier les mécanismes d'authentification et les groupes d'autorisations disponibles dans le CAE, ou à l'aide de l'applet de commande Set-ReceiveConnector dans l'Environnement de ligne de commande Exchange Management Shell.

Les types d'utilisation disponibles sont décrits dans le tableau suivant.

Type d’utilisation	Groupes d’autorisations affectés	Mécanismes d’authentification disponibles	Comments
Client	Utilisateurs Exchange (`ExchangeUsers`)	Transport Layer Security (`TLS`) Authentification de base (`BasicAuth`) Proposer l’authentification de base uniquement après le démarrage de TLS (`BasicAuthRequireTLS`) Authentification Windows intégrée (`Integrated`)	Utilisé par les clients POP3 et IMAP4 qui doivent envoyer des messages électroniques à l'aide de SMTP authentifié. Lorsque vous créez un connecteur de réception de ce type d'utilisation dans le CAE ou dans l'Environnement de ligne de commande Exchange Management Shell, vous ne pouvez pas sélectionner les liaisons d'adresses IP locales ou le port TCP. Par défaut, ce type d'utilisation est lié à toutes les adresses IPv4 et IPv6 locales sur le port TCP 587. Vous pouvez modifier ces liaisons après avoir créé le connecteur. Ce type d'utilisation n'est pas disponible sur les serveurs de transport Edge.
Personnalisé	Aucun sélectionné (`None`)	Transport Layer Security (`TLS`)	Utilisé dans les scénarios inter-forêts, pour recevoir le courrier de serveurs de messagerie tiers et pour le relais externe. Après avoir créé un connecteur de réception de ce type d'utilisation, vous devez ajouter des groupes d'autorisations dans le CAE ou dans l'Environnement de ligne de commande Exchange Management Shell.
Interne	Serveurs Exchange hérités (`ExchangeLegacyServers`) Serveurs Exchange (`ExchangeServers`)	Transport Layer Security (`TLS`) Authentification Exchange Server (`ExchangeServers`)	Utilisé dans les scénarios inter-forêts, pour recevoir les messages des versions précédentes d'Exchange, pour recevoir les messages de serveurs de messagerie tiers, ou utilisé sur des serveurs de transport Edge pour recevoir les messages sortants de l'organisation Exchange interne. Lorsque vous créez un connecteur de réception de ce type d'utilisation dans le CAE ou dans l'Environnement de ligne de commande Exchange Management Shell, vous ne pouvez pas sélectionner les liaisons d'adresses IP locales ou le port TCP. Par défaut, le connecteur est lié à toutes les adresses IPv4 et IPv6 locales sur le port TCP 25. Vous pouvez modifier ces liaisons après avoir créé le connecteur. Le `ExchangeLegacyServers` groupe d’autorisations n’est pas disponible sur les serveurs de transport Edge.
Internet	Utilisateurs anonymes (`AnonymousUsers`)	Transport Layer Security (`TLS`)	Utilisé pour recevoir des messages d'Internet. Lorsque vous créez un connecteur de réception de ce type d'utilisation dans le CAE ou dans l'Environnement de ligne de commande Exchange Management Shell, vous ne pouvez pas sélectionner les adresses IP distantes. Par défaut, le connecteur accepte les connexions distantes à partir de toutes les adresses IPv4 (0.0.0.0-255.255.255.255). Vous pouvez modifier ces liaisons après avoir créé le connecteur.
Partenaire	Partenaires (`Partners`)	Transport Layer Security (`TLS`)	Utilisé pour configurer la communication sécurisée avec un partenaire externe (authentification TLS mutuelle, également appelé domaine sécurisé).

Mécanismes d’authentification du connecteur de réception

Les mécanismes d’authentification spécifient les paramètres d’ouverture de session et de chiffrement utilisés pour les connexions SMTP entrantes. Vous pouvez configurer plusieurs mécanismes d'authentification pour un connecteur de réception. Dans le CAE, les mécanismes d'authentification sont disponibles dans l'onglet Sécurité dans les propriétés du connecteur de réception. Dans Exchange Management Shell, les groupes d’autorisations sont disponibles dans le paramètre AuthMechanisms sur les applets de commande New-ReceiveConnector et Set-ReceiveConnector .

Les mécanismes d’authentification disponibles sont décrits dans le tableau suivant.

Mécanisme d’authentification	Description
Aucun sélectionné (`None`)	Pas d'authentification.
TLS (Transport Layer Security) (`TLS`)	Annoncer STARTTLS dans la réponse EHLO. Les connexions chiffrées TLS requièrent un certificat de serveur qui inclut le nom que le connecteur de réception annonce dans la réponse EHLO. Pour plus d’informations, consultez Modifier la bannière SMTP sur les connecteurs de réception. D'autres serveurs Exchange de votre organisation approuvent le certificat auto-signé du serveur, mais les clients et les serveurs externes utilisent généralement un certificat tiers approuvé.
Authentification de base (`BasicAuth`)	Authentification de base (texte clair).
Proposer l’authentification de base uniquement après le démarrage de TLS (`BasicAuthRequireTLS`)	Authentification de base chiffrée avec TLS.
Authentification Windows intégrée (`Integrated`)	NTLM et authentification Kerberos.
Authentification Exchange Server (`ExchangeServer`)	Authentification (interface GSSAPI et interface GSSAPI mutuelle).
Sécurisé en externe (`ExternalAuthoritative`)	La connexion est censée être sécurisée en utilisant un mécanisme de sécurité externe à Exchange. La connexion peut être une association de sécurité du protocole Internet (IPsec) ou un réseau privé virtuel (VPN). Par ailleurs, les serveurs peuvent résider dans un réseau approuvé, contrôlé physiquement. Ce mécanisme d’authentification nécessite le groupe d’autorisations `ExchangeServers` . Cette combinaison de mécanisme d'authentification et de groupe de sécurité permet de résoudre des adresses de messagerie d'expéditeur anonymes pour des messages reçus via le connecteur.

Groupes d’autorisations du connecteur de réception

Un groupe d’autorisations est un ensemble prédéfini d’autorisations attribuées à des principaux de sécurité bien connus et affectées à un connecteur de réception. Les principaux de sécurité comprennent des comptes d'utilisateur, des comptes d'ordinateur et des groupes de sécurité (objets identifiables par un identificateur de sécurité ou SID qui peuvent obtenir des autorisations). Les groupes d'autorisations définissent les personnes qui peuvent utiliser le connecteur de réception ainsi que les autorisations qu'elles obtiennent. Vous ne pouvez pas créer de groupes d'autorisations ni modifier les membres d'un groupe d'autorisations ou les autorisations par défaut du groupe d'autorisations.

Dans le CAE, les groupes d'autorisations sont disponibles dans l'onglet Sécurité dans les propriétés du connecteur de réception. Dans l’environnement de ligne de commande Exchange Management Shell, les groupes d’autorisations sont disponibles dans le paramètre PermissionGroups des applets de commande New-ReceiveConnector et Set-ReceiveConnector .

Les groupes d’autorisations disponibles sont décrits dans le tableau suivant.

Groupe d’autorisations	Principaux de sécurité associés	Autorisations octroyées
Utilisateurs anonymes (`Anonymous`)	`NT AUTHORITY\ANONYMOUS LOGON`	`ms-Exch-Accept-Headers-Routing` `ms-Exch-SMTP-Accept-Any-Sender` `ms-Exch-SMTP-Accept-Authoritative-Domain-Sender` `ms-Exch-SMTP-Submit`
Utilisateurs Exchange (`ExchangeUsers`)	`NT AUTHORITY\Authenticated Users`	`ms-Exch-Accept-Headers-Routing` `ms-Exch-Bypass-Anti-Spam` `ms-Exch-SMTP-Accept-Any-Recipient` `ms-Exch-SMTP-Submit`
Serveurs Exchange (`ExchangeServers`)	`<Domain>\Exchange Servers` `MS Exchange\Edge Transport Servers` `MS Exchange\Hub Transport Servers` Note: Ces principaux de sécurité ont également d’autres autorisations internes qui leur sont attribuées. Pour plus d'informations, reportez-vous à la fin de la section Autorisations du connecteur de réception.	`ms-Exch-Accept-Headers-Forest` `ms-Exch-Accept-Headers-Organization` `ms-Exch-Accept-Headers-Routing` `ms-Exch-Bypass-Anti-Spam` `ms-Exch-Bypass-Message-Size-Limit` `ms-Exch-SMTP-Accept-Any-Recipient` `ms-Exch-SMTP-Accept-Any-Sender` `ms-Exch-SMTP-Accept-Authentication-Flag` `ms-Exch-SMTP-Accept-Authoritative-Domain-Sender` `ms-Exch-SMTP-Accept-Exch50` `ms-Exch-SMTP-Submit`
Serveurs Exchange (`ExchangeServers`)	`MS Exchange\Externally Secured Servers`	`ms-Exch-Accept-Headers-Routing` `ms-Exch-Bypass-Anti-Spam` `ms-Exch-Bypass-Message-Size-Limit` `s-Exch-SMTP-Accept-Any-Recipient` `ms-Exch-SMTP-Accept-Any-Sender` `ms-Exch-SMTP-Accept-Authentication-Flag` `ms-Exch-SMTP-Accept-Authoritative-Domain-Sender` `ms-Exch-SMTP-Accept-Exch50` `ms-Exch-SMTP-Submit`
Serveurs Exchange hérités (`ExchangeLegacyServers`)	`<Domain>\ExchangeLegacyInterop`	`ms-Exch-Accept-Headers-Routing` `ms-Exch-Bypass-Anti-Spam` `ms-Exch-Bypass-Message-Size-Limit` `ms-Exch-SMTP-Accept-Any-Recipient` `ms-Exch-SMTP-Accept-Any-Sender` `ms-Exch-SMTP-Accept-Authentication-Flag` `ms-Exch-SMTP-Accept-Authoritative-Domain-Sender` `ms-Exch-SMTP-Accept-Exch50` `ms-Exch-SMTP-Submit`
Partenaires (`Partner`)	`MS Exchange\Partner Servers`	`ms-Exch-Accept-Headers-Routing` `ms-Exch-SMTP-Submit`

Les autorisations sont décrites dans la section Autorisations du connecteur de réception plus loin dans cette rubrique.

Autorisations du connecteur de réception

En règle générale, vous appliquez des autorisations à des connecteurs de réception à l'aide de groupes d'autorisations. Toutefois, vous pouvez configurer des autorisations précises sur un connecteur de réception à l'aide des applets de commande Add-ADPermission et Remove-ADPermission.

Les autorisations du connecteur de réception sont attribuées à des principaux de sécurité par les groupes d'autorisations pour le connecteur. Lorsqu'un client ou un serveur SMTP établit une connexion avec un connecteur de réception, les autorisations du connecteur de réception déterminent si la connexion est acceptée et la manière dont les messages sont traités.

Les autorisations du connecteur de réception disponibles sont décrites dans le tableau suivant.

Autorisation du connecteur de réception	Description
`ms-Exch-Accept-Headers-Forest`	Contrôle la conservation des en-têtes de forêt Exchange dans les messages. Les noms d'en-tête de forêt commencent par X-MS-Exchange-Forest-. Si cette autorisation n'est pas octroyée, tous les en-têtes de forêt sont supprimés des messages.
`ms-Exch-Accept-Headers-Organization`	Contrôle la conservation des en-têtes d'organisation Exchange dans les messages. Les noms d'en-tête d'organisation commencent par X-MS-Exchange-Organization-. Si cette autorisation n'est pas octroyée, tous les en-têtes d'organisation sont supprimés des messages.
`ms-Exch-Accept-Headers-Routing`	Contrôle la conservation des en-têtes Received et Resent-* dans les messages. Si cette autorisation n'est pas octroyée, tous ces en-têtes sont supprimés des messages.
`ms-Exch-Bypass-Anti-Spam`	Permet aux serveurs ou clients SMTP de contourner le filtrage anti-courrier indésirable.
`ms-Exch-Bypass-Message-Size-Limit`	Permet aux serveurs ou clients SMTP d'envoyer des messages qui dépassent la taille maximale des messages configurée pour le connecteur de réception.
`ms-Exch-SMTP-Accept-Any-Recipient`	Permet aux serveurs ou clients SMTP de relayer les messages via le connecteur de réception. Si cette autorisation n'est pas octroyée, seuls les messages envoyés aux destinataires de domaines acceptés qui sont configurés pour l'organisation Exchange sont acceptés par le connecteur de réception.
`ms-Exch-SMTP-Accept-Any-Sender`	Permet aux serveurs ou clients SMTP de contourner la vérification de l'usurpation de l'adresse de l'expéditeur qui requiert normalement que l'adresse électronique de l'expéditeur se trouve dans un domaine accepté configuré pour l'organisation Exchange.
`ms-Exch-SMTP-Accept-Authentication-Flag`	Contrôle si les messages provenant de serveurs ou clients SMTP sont traités comme authentifiés. Si cette autorisation n'est pas octroyée, les messages provenant de ces sources sont identifiés comme externes (non authentifiés). Ce paramètre est important pour les groupes de distribution configurés pour accepter uniquement les messages provenant de destinataires internes (par exemple, la valeur du paramètre RequireSenderAuthenticationEnabled pour le groupe est `$true`).
`ms-Exch-SMTP-Accept-Authoritative-Domain-Sender`	Autorise l'accès au connecteur de réception par les expéditeurs qui ont des adresses électroniques dans des domaines faisant autorité qui sont configurés pour l'organisation Exchange.
`ms-Exch-SMTP-Accept-Exch50`	Permet aux serveurs ou clients SMTP d'envoyer des commandes XEXCH50 sur le connecteur de réception. L'objet blob X-EXCH50 était utilisé par des versions antérieures d'Exchange (Exchange 2003 et versions antérieures) pour stocker les données Exchange dans les messages (par exemple, le seuil de probabilité de courrier indésirable ou SCL).
`ms-Exch-SMTP-Submit`	Cette autorisation est requise pour envoyer des messages aux connecteurs de réception. Si cette autorisation n'est pas octroyée, les commandes MAIL FROM et AUTH échoueront.

Remarques :

En plus des autorisations documentées, il existe des autorisations qui sont attribuées à tous les principaux de sécurité dans le groupe d’autorisations serveurs Exchange (ExchangeServers), à l’exception MS Exchange\Externally Secured Serversde . Ces autorisations sont réservées à un usage interne à Microsoft et sont présentées ici à des fins de référence uniquement.
- ms-Exch-SMTP-Accept-Xattr
- ms-Exch-SMTP-Accept-XProxyFrom
- ms-Exch-SMTP-Accept-XSessionParams
- ms-Exch-SMTP-Accept-XShadow
- ms-Exch-SMTP-Accept-XSysProbe
- ms-Exch-SMTP-Send-XMessageContext-ADRecipientCache
- ms-Exch-SMTP-Send-XMessageContext-ExtendedProperties
- ms-Exch-SMTP-Send-XMessageContext-FastIndex
Les noms d’autorisations qui contiennent ms-Exch-Accept-Headers- font partie de la fonctionnalité de pare-feu d’en-tête . Pour plus d'informations, voir Pare-feu d'en-tête.

Procédures d’autorisation du connecteur de réception

Pour voir les autorisations qui sont affectées aux principaux de sécurité sur un connecteur de réception, utilisez la syntaxe suivante dans l'Environnement de ligne de commande Exchange Management Shell :

Get-ADPermission -Identity <ReceiveConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Par exemple, pour voir les autorisations qui sont affectées à tous les principaux de sécurité sur le connecteur de réception nommé Client Frontend Mailbox01, exécutez la commande suivante :

Get-ADPermission -Identity "Client Frontend Mailbox01" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Pour afficher les autorisations affectées uniquement au principal NT AUTHORITY\Authenticated Users de sécurité sur le connecteur de réception nommé Default Mailbox01, exécutez la commande suivante :

Get-ADPermission -Identity "Default Mailbox01" -User "NT AUTHORITY\Authenticated Users" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Pour ajouter des autorisations à un principal de sécurité sur un connecteur de réception, utilisez la syntaxe suivante :

Add-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Pour supprimer des autorisations d'un principal de sécurité sur un connecteur de réception, utilisez la syntaxe suivante :

Remove-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...