Connecteurs d'envoi

[Cette rubrique est une documentation préliminaire et peut être modifiée dans les versions ultérieures. Des rubriques vides sont incluses comme espaces réservés. N’hésitez pas à nous transmettre vos commentaires. Envoyez-nous un e-mail à l’adresse ExchangeHelpFeedback@microsoft.com.]  

S’applique à :Exchange Server 2016

En savoir plus sur les connecteurs d’envoi dans Exchange 2016, et sur la façon dont ils contrôlent le flux de messagerie à partir de votre organisation Exchange.

Exchange 2016 utilise des connecteurs d’envoi pour les connexions SMTP sortantes des serveurs Exchange source vers des serveurs de messagerie de destination. Le connecteur d’envoi utilisé pour acheminer des messages à un destinataire est sélectionné pendant la phase de résolution du routage de la catégorisation du message. Pour plus d’informations, voir Routage du courrier.

Vous pouvez créer des connecteurs d’envoi dans le service de transport sur les serveurs de boîtes aux lettres et de transport Edge. Les connecteurs d’envoi sont stockés dans Active Directory et sont visibles pour toutes les boîtes aux lettres et les serveurs dans l’organisation.

importantImportant :
Par défaut, aucun connecteur d’envoi n’existe pour le flux de messagerie externe lorsque vous installez Exchange. Pour activer le flux de messagerie Internet sortant, vous devez créer un connecteur d’envoi ou abonner un serveur de transport Edge à votre organisation Exchange. Pour plus d’informations, consultez les rubriques suivantes :

Vous n’avez pas besoin de configurer les connecteurs d’envoi pour qu’ils envoient du courrier entre les serveurs Exchange dans la même forêt Active Directory. Les connecteurs d’envoi implicites et invisibles totalement informés de la topologie du serveur Exchange sont disponibles pour l’envoi de courrier électronique vers des serveurs Exchange internes. Ces connecteurs sont décrits dans la section Connecteurs d’envoi implicites.

Voici les paramètres importants pour les connecteurs d’envoi :

  • Type d’utilisation

  • Paramètres réseau   Configurez la façon dont le connecteur d’envoi achemine le courrier : à l’aide de DNS ou en transférant automatiquement tous les messages à un hôte actif.

  • Espaces d’adressage   Configurez les domaines de destination dont le connecteur d’envoi est responsable.

  • Étendue   Configurez la visibilité du connecteur d’envoi pour les autres serveurs Exchange de l’organisation.

  • Serveurs source   Configurez les serveurs Exchange qui hébergent le connecteur d’envoi. Le courrier qui doit être remis à l’aide du connecteur d’envoi est acheminé vers l’un des serveurs source.

Sur les serveurs de boîtes aux lettres, vous pouvez créer et gérer des connecteurs d’envoi dans le Centre d’administration Exchange ou l’Environnement de ligne de commande Exchange Management Shell. Sur les serveurs de transport Edge, vous pouvez uniquement utiliser l’Environnement de ligne de commande Exchange Management Shell.

Contenu de cette rubrique

Modifications apportées au connecteur d'envoi dans exExchange 2k16

Connecteurs d’envoi implicites

Types d’utilisation des connecteurs d’envoi

Paramètres réseau du connecteur d'envoi

Espaces d’adressage du connecteur d’envoi

Étendue du connecteur d'envoi

Autorisations du connecteur d’envoi

Voici les principales modifications apportées aux connecteurs d’envoi dans Exchange 2016 par rapport à Exchange 2010 :

  • Vous pouvez configurer des connecteurs d’envoi afin de rediriger ou diriger via proxy le courrier sortant via le service de transport frontal. Pour plus d’informations, voir Configurer des connecteurs d’envoi pour rediriger le courrier sortant via proxy.

  • Le paramètre IsCoexistenceConnector n’est plus disponible.

  • Le paramètre LinkedReceiveConnector n’est plus disponible.

  • La taille maximale du message par défaut passe à 35 Mo (environ 25 Mo en raison du codage Base64). Pour plus d’informations, voir Limites de taille des messages dans Exchange 2016.

  • Le paramètre TlsCertificateName vous permet de spécifier l’émetteur du certificat et l’objet du certificat. Cela contribue à réduire les risques de certificats frauduleux.

Retour au début

Bien qu’aucun connecteur d’envoi ne soit créé lors de l’installation des serveurs Exchange 2016, un connecteur d’envoi implicite spécial nommé Connecteur d’envoi intra-organisationnel est présent. Ce connecteur d’envoi implicite est automatiquement disponible, invisible et ne requiert aucune gestion. Le connecteur d’envoi intra-organisationnel existe dans les services de transport pour envoyer des messages, soit en interne entre les services sur le serveur Exchange local, soit à des services sur des serveurs Exchange distants dans l’organisation. Par exemple :

  • Service de transport frontal vers le service de transport.

  • Service de transport vers le service de transport sur d’autres serveurs.

  • Service de transport vers les serveurs de transport Edge abonnés.

  • Service de transport vers le service de remise de transport de boîtes aux lettres.

  • Service de dépôt de transport de boîtes aux lettres vers le service de transport.

Pour plus d’informations, voir Flux de messagerie et pipeline de transport.

Retour au début

Pour les connecteurs d’envoi, le type d’utilisation est essentiellement un intitulé descriptif indiquant le type d’utilisation du connecteur d’envoi. Toutes les valeurs de type d’utilisation reçoivent les mêmes autorisations.

Vous pouvez spécifier le type d’utilisation du connecteur uniquement lorsque vous créez des connecteurs d’envoi. Lorsque vous utilisez le CAE, vous devez sélectionner une valeur Type. Cependant, lorsque vous utilisez l’applet de commande New-SendConnector dans l’Environnement de ligne de commande Exchange Management Shell, le type d’utilisation n’est pas obligatoire (en utilisant -Usage <UsageType> ou -<UsageType>).

Lorsque vous spécifiez un type d’utilisation, vous configurez une taille maximale de message par défaut, que vous pouvez modifier une fois que vous avez créé le connecteur.

Les valeurs de type d’utilisation disponibles sont décrites dans le tableau suivant.

 

Type d’utilisation Taille maximale du message Commentaires

Personnalisé

35 Mo

Aucun

Interne

illimité

Lorsque vous créez un connecteur d’envoi de ce type d’utilisation dans le CAE, vous ne pouvez pas sélectionner Enregistrement MX associé au domaine du destinataire. Après avoir créé le connecteur, vous pouvez accéder à l’onglet Remise dans les propriétés du connecteur d’envoi et sélectionner Enregistrement MX associé au domaine du destinataire.

Cette même restriction n’existe pas dans l’Environnement de ligne de commande Exchange Management Shell. Vous pouvez utiliser le commutateur Internal et définir le DNSRoutingEnabled sur $true sur l’applet de commande New-SendConnector.

Internet

35 Mo

Aucun

Partenaire

35 Mo

Lorsque vous créez un connecteur d’envoi de ce type d’utilisation dans le CAE, vous ne pouvez pas sélectionner Acheminer les messages électroniques via des hôtes actifs ou un mécanisme d’authentification d’hôte actif. Après avoir créé le connecteur, vous pouvez accéder à l’onglet Remise dans les propriétés du connecteur d’envoi et sélectionner Acheminer les messages électroniques via des hôtes actifs et le mécanisme d’authentification d’hôte actif.

Cette même restriction n’existe pas dans l’Environnement de ligne de commande Exchange Management Shell. Vous pouvez utiliser le commutateur Partner et définir le DNSRoutingEnabled sur $false et utiliser les paramètres SmartHosts et SmartHostAuthMechanism sur l’applet de commande New-SendConnector.

Retour au début

Tous les connecteurs d’envoi doivent être configurés avec l’une des options suivantes :

  • Utiliser DNS pour acheminer le courrier électronique.

  • Utilisez un ou plusieurs hôtes actifs pour acheminer le courrier électronique.

Lorsque vous sélectionnez la résolution DNS pour remettre les messages, le serveur source Exchange pour le connecteur d’envoi doit pouvoir résoudre les enregistrements MX pour les espaces d’adressage qui sont configurés sur le connecteur. Selon la nature du connecteur et le nombre de cartes réseau se trouvant sur le serveur, le connecteur d’envoi peut exiger l’accès à un serveur DNS interne ou à un serveur DNS (public) externe. Vous pouvez configurer le serveur pour qu’il utilise des serveurs DNS spécifiques pour les recherches DNS internes et externes :

  • Dans le CAE, accédez à Serveurs > Serveur > sélectionnez le serveur et cliquez sur l’onglet ModifierIcône Modifier > Recherche DNS.

  • Dans l’Environnement de ligne de commande Exchange Management Shell, vous utilisez les paramètres ExternalDNS* et InternalDNS* sur l’applet de commande Set-TransportService.

Si vous avez déjà configuré le serveur Exchange avec des paramètres DNS distincts de sorte à l’utiliser pour les recherches DNS internes et externes, et si le connecteur d’envoi achemine les messages électroniques vers un espace d’adressage externe, vous devez configurer le connecteur d’envoi pour utiliser le serveur DNS externe :

  • Dans le CAE, sélectionnez Utiliser le paramètre de recherche DNS externe sur les serveurs avec des rôles de transport (dans l’Assistant Nouveau connecteur d’envoi ou sur l’onglet Remise dans les propriétés des connecteurs existants).

  • Dans l’Environnement de ligne de commande Exchange Management Shell, utilisez le paramètre UseExternalDNSServersEnabled sur les applets de commande New-SendConnector et Set-SendConnector.

Retour au début

Lorsque vous acheminez le courrier électronique via un hôte actif, le connecteur d’envoi transfère le courrier à l’hôte actif et l’hôte actif est chargé d’acheminer le courrier vers le tronçon suivant avant d’atteindre la destination finale. Le routage d’hôte actif est couramment utilisé pour envoyer le courrier sortant via un service ou un périphérique anti-courrier indésirable.

Vous identifiez un ou plusieurs hôtes actifs à utiliser pour le connecteur d’envoi par une adresse IP individuelle (par exemple 10.1.1.1), un nom de domaine complet (FQDN) (par exemple spamservice.contoso.com) ou des combinaisons des deux types de valeurs. Si vous utilisez un FQDN, le serveur Exchange source du connecteur d’envoi doit pouvoir résoudre le FQDN (qui peut être un enregistrement MX ou un enregistrement A) à l’aide de DNS.

Le mécanisme d’authentification utilisé par les hôtes actifs constitue une partie importante du routage d’hôte actif. Les mécanismes d’authentification disponibles sont décrits dans le tableau suivant.

 

Mécanisme d’authentification Description

Aucun (None)

Pas d’authentification. Par exemple, lorsque l’accès à l’hôte actif est restreint par l’adresse IP source.

Authentification de base (BasicAuth)

Authentification de base. Nom d’utilisateur et mot de passe requis. Le nom d’utilisateur et le mot de passe sont envoyés en texte clair.

Authentification de base uniquement après le démarrage de TLS (BasicAuthRequireTLS)

Authentification de base chiffrée avec TLS. Cela requiert un certificat de serveur sur l’hôte actif qui contient le nom de domaine complet exact de l’hôte actif défini sur le connecteur d’envoi.

Le connecteur d’envoi tente d’établir la session TLS en envoyant la commande STARTTLS à l’hôte actif et effectue uniquement l’authentification de base une fois que la session TLS est établie.

Un certificat de client est également requis pour la prise en charge d’une authentification TLS mutuelle.

Authentification Exchange Server (ExchangeServer)

Authentification (interface GSSAPI et interface GSSAPI mutuelle).

Sécurisé de l’extérieur (ExternalAuthoritative)

La connexion est censée être sécurisée en utilisant un mécanisme de sécurité externe à Exchange. La connexion peut être une association de sécurité du protocole Internet (IPsec) ou un réseau privé virtuel (VPN). Par ailleurs, les serveurs peuvent résider dans un réseau approuvé, contrôlé physiquement.

Retour au début

L’espace d’adressage spécifie les domaines de destination qui sont pris en charge par le connecteur d’envoi. Le courrier électronique est acheminé via un connecteur d’envoi basé sur le domaine de l’adresse électronique du destinataire.

Les valeurs d’espace d’adressage SMTP disponibles sont décrites dans le tableau suivant.

 

Espace d’adressage Explication

*

Le connecteur d’envoi achemine le courrier vers les destinataires dans tous les domaines.

Domaine (par exemple, contoso.com)

Le connecteur d’envoi achemine le courrier vers les destinataires du domaine spécifié, mais dans aucun sous-domaine.

Domaines et sous-domaines (par exemple, *.contoso.com)

Le connecteur d’envoi achemine le courrier vers les destinataires du domaine spécifié et de tous les sous-domaines.

--

Le connecteur d’envoi achemine le courrier vers les destinataires de tous les domaines acceptés dans l’organisation Exchange. Cette valeur est disponible uniquement sur les connecteurs d’envoi sur les serveurs de transport Edge qui envoient du courrier à l’organisation Exchange interne.

Un espace d’adressage comprend également des valeurs Type et Coût que vous pouvez configurer.

Sur les serveurs de transport Edge, la valeur Type doit être SMTP. Sur les serveurs de boîtes aux lettres, vous pouvez également utiliser des types d’espace d’adressage non SMTP comme X400 ou toute autre chaîne de texte. Les adresses X.400 doivent être conformes à RFC 1685 (par exemple, o=MySite;p=MyOrg;a=adatum;c=us), mais d’autres valeurs Type acceptent toute valeur de texte pour l’espace d’adressage. Si vous spécifiez un type d’espace d’adressage non SMTP, le connecteur d’envoi doit utiliser le routage d’hôte actif et SMTP est utilisé pour envoyer les messages à l’hôte actif. Les connecteurs d’agent de remise et les connecteurs étrangers envoient des messages non SMTP vers les serveurs non SMTP sans utiliser SMTP. Pour plus d’informations, voir Agents de remise et connecteurs d’agent de remise et Connecteurs étrangers.

La valeur Coût relative à l’espace d’adressage est utilisée pour l’optimisation du flux de messagerie et la tolérance de panne lorsque les mêmes espaces d’adressage sont configurés sur plusieurs connecteurs d’envoi sur différents serveurs source. Une valeur de priorité plus faible indique un connecteur d’envoi préféré.

Le connecteur d’envoi utilisé pour acheminer des messages à un destinataire est sélectionné pendant la phase de résolution du routage de la catégorisation du message. Le connecteur d’envoi dont l’espace d’adressage est le plus proche de l’adresse électronique du destinataire et dont la valeur de priorité est la plus faible est sélectionné.

Par exemple, supposons que le destinataire est julia@marketing.contoso.com. Si un connecteur d’envoi est configuré pour *.contoso.com, le message est acheminé via ce connecteur. Si aucun connecteur d’envoi n’est configuré pour *.contoso.com, le message est acheminé via le connecteur configuré pour *. Si plusieurs connecteurs d’envoi dans le même site Active Directory sont configurés pour *.contoso.com, le connecteur ayant la valeur de priorité inférieure est sélectionné.

Retour au début

Les serveurs source pour un connecteur d’envoi déterminent le serveur Exchange de destination pour le courrier qui doit être acheminé via le connecteur d’envoi. L’étendue d’un connecteur d’envoi permet de contrôler la visibilité du connecteur dans l’organisation Exchange.

Par défaut, les connecteurs d’envoi sont visibles par tous les serveurs Exchange dans l’ensemble de la forêt Active Directory et sont utilisés dans les décisions de routage. Toutefois, vous pouvez limiter l’étendue d’un connecteur d’envoi afin qu’il ne soit visible que par les autres serveurs Exchange dans le site Active Directory local. Le connecteur d’envoi n’est pas visible par les serveurs Exchange dans les autres sites Active Directory et n’est pas utilisé dans leurs décisions de routage. Un connecteur d’envoi limité de cette façon est considéré comme étant délimité.

Pour configurer des connecteurs d’envoi délimités dans le CAE, sélectionnez Connecteur d’envoi délimité dans la section Espace d’adressage de l’Assistant Nouveau connecteur d’envoi ou sur l’onglet Étendue dans les propriétés des connecteurs d’envoi existants. Dans l’Environnement de ligne de commande Exchange Management Shell, utilisez le paramètre IsScopedConnector sur les applets de commande New-SendConnector et Set-SendConnector.

Retour au début

Lorsque le connecteur d’envoi établit une connexion avec le serveur de messagerie de destination, les autorisations du connecteur d’envoi déterminent les types d’en-têtes qui peuvent être envoyés dans les messages. Si un message comporte des en-têtes qui ne sont pas autorisés par les autorisations, ces en-têtes sont supprimés des messages.

Les autorisations sont affectées aux connecteurs d’envoi par des principaux de sécurité connus. Les principaux de sécurité comprennent des comptes d’utilisateur, des comptes d’ordinateur et des groupes de sécurité (objets identifiables par un identificateur de sécurité ou SID qui peuvent obtenir des autorisations). Par défaut, les mêmes principaux de sécurité avec les mêmes autorisations sont affectés sur tous les connecteurs d’envoi, indépendamment du type d’utilisation que vous avez sélectionné lorsque vous avez créé le connecteur. Pour modifier les autorisations par défaut pour un connecteur d’envoi, vous devez utiliser les applets de commande Add-ADPermission et Remove-ADPermission dans l’Environnement de ligne de commande Exchange Management Shell.

Les autorisations du connecteur d’envoi disponibles sont décrites dans le tableau suivant.

 

Autorisation Affectée à Description

ms-Exch-Send-Headers-Forest

<Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers

Contrôle la conservation des en-têtes de forêt Exchange dans les messages. Les noms d’en-tête de forêt commencent par X-MS-Exchange-Forest-. Si cette autorisation n’est pas octroyée, tous les en-têtes de forêt sont supprimés des messages.

ms-Exch-Send-Headers-Organization

<Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers

Contrôle la conservation des en-têtes d’organisation Exchange dans les messages. Les noms d’en-tête d’organisation commencent par X-MS-Exchange-Organization-. Si cette autorisation n’est pas octroyée, tous les en-têtes d’organisation sont supprimés des messages.

ms-Exch-Send-Headers-Routing

NT AUTHORITY\ANONYMOUS LOGON

<Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Externally Secured Servers

MS Exchange\Hub Transport Servers

MS Exchange\Legacy Exchange Servers

MS Exchange\Partner Servers

Contrôle la conservation des en-têtes RECEIVED dans les messages. Si cette autorisation n’est pas octroyée, tous les en-têtes reçus sont supprimés des messages.

ms-Exch-SMTP-Send-Exch50

<Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Externally Secured Servers

MS Exchange\Hub Transport Servers

MS Exchange\Legacy Exchange Servers

Permet au serveur Exchange source d’envoyer des commandes XEXCH50 sur le connecteur d’envoi. L’objet blob X-EXCH50 était utilisé par des versions antérieures d’Exchange (Exchange 2003 et versions antérieures) pour stocker les données Exchange dans les messages (par exemple, le seuil de probabilité de courrier indésirable ou SCL).

Si cette autorisation n’est pas octroyée et que les messages contiennent le BLOB X-EXCH50, le serveur Exchange envoie le message sans le BLOB X-EXCH50.

ms-Exch-SMTP-Send-XShadow

<Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers

Cette autorisation est réservée à un usage interne à Microsoft et est présentée ici à des fins de référence uniquement.

Remarque :

Les noms d’autorisations qui contiennent ms-Exch-Send-Headers- font partie de la fonctionnalité Pare-feu d’en-tête. Pour plus d’informations, voir Pare-feu d’en-tête.

Retour au début

Pour voir les autorisations qui sont affectées aux principaux de sécurité sur un connecteur d’envoi, utilisez la syntaxe suivante dans l’Environnement de ligne de commande Exchange Management Shell :

Get-ADPermission -Identity <SendConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Par exemple, pour voir les autorisations qui sont affectées à tous les principaux de sécurité sur le connecteur d’envoi nommé To Fabrikam.com, exécutez la commande suivante :

Get-ADPermission -Identity "To Fabrikam.com" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Pour voir les autorisations qui sont affectées au principal de sécurité NT AUTHORITY\ANONYMOUS LOGON uniquement sur le connecteur d’envoi nommé To Fabrikam, exécutez la commande suivante :

Get-ADPermission -Identity "To Fabrikam.com" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Pour ajouter des autorisations à un principal de sécurité sur un connecteur d’envoi, utilisez la syntaxe suivante :

Add-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Pour supprimer des autorisations d’un principal de sécurité sur un connecteur d’envoi, utilisez la syntaxe suivante :

Remove-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Retour au début

 
Afficher: