Envoyer des connecteurs dans Exchange Server
Exchange utilise des connecteurs d’envoi pour les connexions SMTP sortantes entre les serveurs Exchange sources et les serveurs de messagerie de destination. Le connecteur d'envoi utilisé pour acheminer des messages à un destinataire est sélectionné pendant la phase de résolution du routage de la catégorisation du message. Pour plus d'informations, voir Routage du courrier.
Vous pouvez créer des connecteurs d’envoi dans le service de transport sur les serveurs de boîtes aux lettres et sur les serveurs de transport Edge. Les connecteurs d’envoi sont stockés dans Active Directory et sont (par défaut) visibles par tous les serveurs de boîtes aux lettres de l’organisation.
Importante
Par défaut, aucun connecteur d'envoi n'existe pour le flux de messagerie externe lorsque vous installez Exchange. Pour activer le flux de messagerie Internet sortante, vous devez créer un connecteur d’envoi ou abonner un serveur de transport Edge à votre organisation Exchange. Pour plus d’informations, consultez Créer un connecteur d’envoi pour envoyer des messages auxserveurs De transport Edge et Internet.
Vous n'avez pas besoin de configurer les connecteurs d'envoi pour qu'ils envoient du courrier entre les serveurs Exchange dans la même forêt Active Directory. Les connecteurs d'envoi implicites et invisibles totalement informés de la topologie du serveur Exchange sont disponibles pour l'envoi de courrier électronique vers des serveurs Exchange internes. Ces connecteurs sont décrits dans la section Connecteurs d'envoi implicites.
Voici les paramètres importants pour les connecteurs d'envoi :
Type d'utilisation
Paramètres réseau : configurez la façon dont le connecteur Envoyer achemine le courrier : à l’aide de DNS ou en transférant automatiquement tous les messages à un hôte actif.
Espaces d’adressage : configurez les domaines de destination dont le connecteur d’envoi est responsable.
Étendue : configure la visibilité du connecteur d’envoi aux autres serveurs Exchange de l’organisation.
Serveurs sources : configurez les serveurs Exchange où le connecteur d’envoi est hébergé. Le courrier qui doit être remis à l'aide du connecteur d'envoi est acheminé vers l'un des serveurs source.
Sur les serveurs de boîtes aux lettres, vous pouvez créer et gérer des connecteurs d'envoi dans le Centre d'administration Exchange ou l'Environnement de ligne de commande Exchange Management Shell. Sur les serveurs de transport Edge, vous pouvez uniquement utiliser l'Environnement de ligne de commande Exchange Management Shell.
Envoyer les modifications du connecteur dans Exchange Server
Voici les modifications notables apportées aux connecteurs d’envoi dans Exchange 2016 ou Exchange 2019 par rapport à Exchange 2010 :
Vous pouvez configurer des connecteurs d’envoi afin de rediriger ou diriger via proxy le courrier sortant via le service de transport frontal. Pour plus d'informations, consultez la rubrique Configurer des connecteurs d'envoi pour rediriger le courrier sortant via proxy.
Le paramètre IsCoexistenceConnector n’est plus disponible.
Le paramètre LinkedReceiveConnector n’est plus disponible.
La taille maximale du message par défaut passe à 35 Mo (environ 25 Mo en raison du codage Base64). Pour plus d’informations, consultez Taille des messages et limites de destinataires dans Exchange Server.
Le paramètre TlsCertificateName vous permet de spécifier l’émetteur du certificat et l’objet du certificat. Cela contribue à réduire les risques de certificats frauduleux.
Connecteurs d’envoi implicites
Bien qu’aucun connecteur d’envoi ne soit créé lors de l’installation des serveurs Exchange, un connecteur d’envoi implicite spécial nommé connecteur d’envoi intra-organisation est présent. Ce connecteur d'envoi implicite est automatiquement disponible, invisible et ne requiert aucune gestion. Le connecteur d'envoi intra-organisationnel existe dans les services de transport pour envoyer des messages, soit en interne entre les services sur le serveur Exchange local, soit à des services sur des serveurs Exchange distants dans l'organisation. Par exemple :
Service de transport frontal vers le service de transport.
Service de transport vers le service de transport sur d'autres serveurs.
Service de transport vers les serveurs de transport Edge abonnés.
Service de transport vers le service de remise de transport de boîtes aux lettres.
Service de dépôt de transport de boîtes aux lettres vers le service de transport.
Pour plus d’informations, voir Mail flow and the transport pipeline.
Types d’utilisation des connecteurs d’envoi
Pour les connecteurs d’envoi, le type d’utilisation est essentiellement un intitulé descriptif indiquant le type d’utilisation du connecteur d’envoi. Toutes les valeurs de type d'utilisation reçoivent les mêmes autorisations.
Vous pouvez spécifier le type d'utilisation du connecteur uniquement lorsque vous créez des connecteurs d'envoi. Lorsque vous utilisez le CAE, vous devez sélectionner une valeur Type. Toutefois, lorsque vous utilisez l’applet de commande New-SendConnector dans Exchange Management Shell, le type d’utilisation n’est pas obligatoire (à l’aide -Usage <UsageType> de ou -<UsageType>).
Lorsque vous spécifiez un type d'utilisation, vous configurez une taille maximale de message par défaut, que vous pouvez modifier une fois que vous avez créé le connecteur.
Les valeurs de type d’utilisation disponibles sont décrites dans le tableau suivant.
| Type d’utilisation | Taille maximale du message | Comments |
|---|---|---|
| Personnalisé | 35 Mo | Aucun |
| Interne | illimité | Lorsque vous créez un connecteur d'envoi de ce type d'utilisation dans le CAE, vous ne pouvez pas sélectionner Enregistrement MX associé au domaine du destinataire. Après avoir créé le connecteur, vous pouvez accéder à l'onglet Remise dans les propriétés du connecteur d'envoi et sélectionner Enregistrement MX associé au domaine du destinataire. Cette même restriction n'existe pas dans l'Environnement de ligne de commande Exchange Management Shell. Vous pouvez utiliser le commutateur interne et définir DNSRoutingEnabled $true sur sur l’applet de commande New-SendConnector . |
| Internet | 35 Mo | Aucun |
| Partenaire | 35 Mo | Lorsque vous créez un connecteur d'envoi de ce type d'utilisation dans le CAE, vous ne pouvez pas sélectionner Acheminer les messages électroniques via des hôtes actifs ou un mécanisme d'authentification d'hôte actif. Après avoir créé le connecteur, vous pouvez accéder à l'onglet Remise dans les propriétés du connecteur d'envoi et sélectionner Acheminer les messages électroniques via des hôtes actifs et le mécanisme d'authentification d'hôte actif. Cette même restriction n'existe pas dans l'Environnement de ligne de commande Exchange Management Shell. Vous pouvez utiliser le commutateur Partenaire et définir DNSRoutingEnabled sur $false et utiliser les paramètres SmartHosts et SmartHostAuthMechanism sur l’applet de commande New-SendConnector . |
Paramètres réseau du connecteur d’envoi
Tous les connecteurs d’envoi doivent être configurés avec l’une des options suivantes :
Utiliser DNS pour acheminer le courrier électronique.
Utilisez un ou plusieurs hôtes actifs pour acheminer le courrier électronique.
Utiliser DNS pour acheminer le courrier électronique
Lorsque vous sélectionnez la résolution DNS pour remettre les messages, le serveur source Exchange pour le connecteur d'envoi doit pouvoir résoudre les enregistrements MX pour les espaces d'adressage qui sont configurés sur le connecteur. Selon la nature du connecteur et le nombre de cartes réseau se trouvant sur le serveur, le connecteur d'envoi peut exiger l'accès à un serveur DNS interne ou à un serveur DNS (public) externe. Vous pouvez configurer le serveur pour qu'il utilise des serveurs DNS spécifiques pour les recherches DNS internes et externes :
Dans le Centre d’administration Exchange,>> sélectionnez le serveur, puis cliquez sur Modifier
>Onglet Recherches DNS.Dans Exchange Management Shell, vous utilisez les paramètres ExternalDNS* et InternalDNS* sur l’applet de commande Set-TransportService .
Si vous avez déjà configuré le serveur Exchange avec des paramètres DNS distincts de sorte à l'utiliser pour les recherches DNS internes et externes, et si le connecteur d'envoi achemine les messages électroniques vers un espace d'adressage externe, vous devez configurer le connecteur d'envoi pour utiliser le serveur DNS externe :
Dans le CAE, sélectionnez Utiliser le paramètre de recherche DNS externe sur les serveurs avec des rôles de transport (dans l'Assistant Nouveau connecteur d'envoi ou sur l'onglet Remise dans les propriétés des connecteurs existants).
Dans Exchange Management Shell, utilisez le paramètre UseExternalDNSServersEnabled sur les applets de commande New-SendConnector et Set-SendConnector .
Utiliser des hôtes actifs pour acheminer le courrier électronique
Lorsque vous acheminez le courrier électronique via un hôte actif, le connecteur d’envoi transfère le courrier à l’hôte actif et l’hôte actif est chargé d’acheminer le courrier vers le tronçon suivant avant d’atteindre la destination finale. Le routage d'hôte actif est couramment utilisé pour envoyer le courrier sortant via un service ou un périphérique anti-courrier indésirable.
Vous identifiez un ou plusieurs hôtes actifs à utiliser pour le connecteur d'envoi par une adresse IP individuelle (par exemple 10.1.1.1), un nom de domaine complet (FQDN) (par exemple spamservice.contoso.com) ou des combinaisons des deux types de valeurs. Si vous utilisez un FQDN, le serveur Exchange source du connecteur d'envoi doit pouvoir résoudre le FQDN (qui peut être un enregistrement MX ou un enregistrement A) à l'aide de DNS.
Le mécanisme d'authentification utilisé par les hôtes actifs constitue une partie importante du routage d'hôte actif. Les mécanismes d’authentification disponibles sont décrits dans le tableau suivant.
| Mécanisme d’authentification | Description |
|---|---|
Aucun (None) |
Pas d'authentification. Par exemple, lorsque l'accès à l'hôte actif est restreint par l'adresse IP source. |
Authentification de base (BasicAuth) |
Authentification de base. Nécessite un nom d’utilisateur et un mot de passe. Le nom d’utilisateur et le mot de passe sont envoyés en texte clair. |
Proposer l’authentification de base uniquement après le démarrage de TLS (BasicAuthRequireTLS) |
Authentification de base chiffrée avec TLS. Cela requiert un certificat de serveur sur l'hôte actif qui contient le nom de domaine complet exact de l'hôte actif défini sur le connecteur d'envoi. Le connecteur d'envoi tente d'établir la session TLS en envoyant la commande STARTTLS à l'hôte actif et effectue uniquement l'authentification de base une fois que la session TLS est établie. Un certificat de client est également requis pour la prise en charge d'une authentification TLS mutuelle. |
Authentification Exchange Server (ExchangeServer) |
Authentification (interface GSSAPI et interface GSSAPI mutuelle). |
Sécurisé en externe (ExternalAuthoritative) |
La connexion est censée être sécurisée en utilisant un mécanisme de sécurité externe à Exchange. La connexion peut être une association de sécurité du protocole Internet (IPsec) ou un réseau privé virtuel (VPN). Par ailleurs, les serveurs peuvent résider dans un réseau approuvé, contrôlé physiquement. |
Espaces d’adressage du connecteur d’envoi
L’espace d’adressage spécifie les domaines de destination qui sont pris en charge par le connecteur d’envoi. Le courrier électronique est acheminé via un connecteur d'envoi basé sur le domaine de l'adresse électronique du destinataire.
Les valeurs d’espace d’adressage SMTP disponibles sont décrites dans le tableau suivant.
| Espace d’adressage | Explication |
|---|---|
* |
Le connecteur d'envoi achemine le courrier vers les destinataires dans tous les domaines. |
Domaine (par exemple, contoso.com) |
Le connecteur d'envoi achemine le courrier vers les destinataires du domaine spécifié, mais dans aucun sous-domaine. |
Domaine et sous-domaines (par exemple, *.contoso.com) |
Le connecteur d'envoi achemine le courrier vers les destinataires du domaine spécifié et de tous les sous-domaines. |
-- |
Le connecteur d'envoi achemine le courrier vers les destinataires de tous les domaines acceptés dans l'organisation Exchange. Cette valeur est disponible uniquement sur les connecteurs d'envoi sur les serveurs de transport Edge qui envoient du courrier à l'organisation Exchange interne. |
Un espace d'adressage comprend également des valeurs Type et Coût que vous pouvez configurer.
Sur les serveurs de transport Edge, la valeur Type doit être SMTP. Sur les serveurs de boîtes aux lettres, vous pouvez également utiliser des types d’espace d’adressage non SMTP comme X400 ou toute autre chaîne de texte. Les adresses X.400 doivent être conformes à la norme RFC 1685 (par exemple, o=MySite;p=MyOrg;a=adatum;c=us), mais les autres valeurs type acceptent toute valeur de texte pour l’espace d’adressage. Si vous spécifiez un type d'espace d'adressage non SMTP, le connecteur d'envoi doit utiliser le routage d'hôte actif et SMTP est utilisé pour envoyer les messages à l'hôte actif. Les connecteurs d'agent de remise et les connecteurs étrangers envoient des messages non SMTP vers les serveurs non SMTP sans utiliser SMTP. Pour plus d’informations, consultez Agents de remise et connecteurs d’agent de remise et Connecteurs étrangers.
La valeur Coût relative à l'espace d'adressage est utilisée pour l'optimisation du flux de messagerie et la tolérance de panne lorsque les mêmes espaces d'adressage sont configurés sur plusieurs connecteurs d'envoi sur différents serveurs source. Une valeur de priorité plus faible indique un connecteur d'envoi préféré.
Le connecteur d'envoi utilisé pour acheminer des messages à un destinataire est sélectionné pendant la phase de résolution du routage de la catégorisation du message. Le connecteur d'envoi dont l'espace d'adressage est le plus proche de l'adresse électronique du destinataire et dont la valeur de priorité est la plus faible est sélectionné.
Par exemple, supposons que le destinataire soit julia@marketing.contoso.com. Si un connecteur d’envoi est configuré pour *.contoso.com, le message est acheminé via ce connecteur. Si aucun connecteur d’envoi n’est configuré pour *.contoso.com, le message est acheminé via le connecteur configuré pour *. Si plusieurs connecteurs d’envoi dans le même site Active Directory sont configurés pour *.contoso.com, le connecteur avec la valeur de priorité inférieure est sélectionné.
Étendue du connecteur d’envoi
Les serveurs source pour un connecteur d'envoi déterminent le serveur Exchange de destination pour le courrier qui doit être acheminé via le connecteur d'envoi. L'étendue d'un connecteur d'envoi permet de contrôler la visibilité du connecteur dans l'organisation Exchange.
Par défaut, les connecteurs d'envoi sont visibles par tous les serveurs Exchange dans l'ensemble de la forêt Active Directory et sont utilisés dans les décisions de routage. Toutefois, vous pouvez limiter l'étendue d'un connecteur d'envoi afin qu'il ne soit visible que par les autres serveurs Exchange dans le site Active Directory local. Le connecteur d'envoi n'est pas visible par les serveurs Exchange dans les autres sites Active Directory et n'est pas utilisé dans leurs décisions de routage. Un connecteur d’envoi restreint de cette façon est considéré comme délimité.
Pour configurer des connecteurs d'envoi délimités dans le CAE, sélectionnez Connecteur d'envoi délimité dans la section Espace d'adressage de l'Assistant Nouveau connecteur d'envoi ou sur l'onglet Étendue dans les propriétés des connecteurs d'envoi existants. Dans Exchange Management Shell, vous utilisez le paramètre IsScopedConnector sur les applets de commande New-SendConnector et Set-SendConnector .
Autorisations du connecteur d’envoi
Lorsque le connecteur d’envoi établit une connexion avec le serveur de messagerie de destination, les autorisations d’envoi du connecteur déterminent les types d’en-têtes qui peuvent être envoyés dans les messages. Si un message comporte des en-têtes qui ne sont pas autorisés par les autorisations, ces en-têtes sont supprimés des messages.
Les autorisations sont affectées aux connecteurs d'envoi par des principaux de sécurité connus. Les principaux de sécurité comprennent des comptes d'utilisateur, des comptes d'ordinateur et des groupes de sécurité (objets identifiables par un identificateur de sécurité ou SID qui peuvent obtenir des autorisations). Par défaut, les mêmes principaux de sécurité avec les mêmes autorisations sont affectés sur tous les connecteurs d'envoi, indépendamment du type d'utilisation que vous avez sélectionné lorsque vous avez créé le connecteur. Pour modifier les autorisations par défaut pour un connecteur d'envoi, vous devez utiliser les applets de commande Add-ADPermission et Remove-ADPermission dans l'Environnement de ligne de commande Exchange Management Shell.
Les autorisations du connecteur d'envoi disponibles sont décrites dans le tableau suivant.
| Autorisation | Affectée à | Description |
|---|---|---|
ms-Exch-Send-Headers-Forest |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers |
Contrôle la conservation des en-têtes de forêt Exchange dans les messages. Les noms d'en-tête de forêt commencent par X-MS-Exchange-Forest-. Si cette autorisation n'est pas octroyée, tous les en-têtes de forêt sont supprimés des messages. |
ms-Exch-Send-Headers-Organization |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers |
Contrôle la conservation des en-têtes d'organisation Exchange dans les messages. Les noms d'en-tête d'organisation commencent par X-MS-Exchange-Organization-. Si cette autorisation n'est pas octroyée, tous les en-têtes d'organisation sont supprimés des messages. |
ms-Exch-Send-Headers-Routing |
NT AUTHORITY\ANONYMOUS LOGON <Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Externally Secured Servers MS Exchange\Hub Transport Servers MS Exchange\Legacy Exchange Servers MS Exchange\Partner Servers |
Contrôle la conservation des en-têtes RECEIVED dans les messages. Si cette autorisation n'est pas octroyée, tous les en-têtes reçus sont supprimés des messages. |
ms-Exch-SMTP-Send-Exch50 |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Externally Secured Servers MS Exchange\Hub Transport Servers MS Exchange\Legacy Exchange Servers |
Permet au serveur Exchange source d'envoyer des commandes XEXCH50 sur le connecteur d'envoi. L'objet blob X-EXCH50 était utilisé par des versions antérieures d'Exchange (Exchange 2003 et versions antérieures) pour stocker les données Exchange dans les messages (par exemple, le seuil de probabilité de courrier indésirable ou SCL). Si cette autorisation n'est pas octroyée et que les messages contiennent le BLOB X-EXCH50, le serveur Exchange envoie le message sans le BLOB X-EXCH50. |
ms-Exch-SMTP-Send-XShadow |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers |
Cette autorisation est réservée à un usage interne à Microsoft et est présentée ici à des fins de référence uniquement. |
Remarque : Les noms d’autorisations qui contiennent ms-Exch-Send-Headers- font partie de la fonctionnalité de pare-feu d’en-tête . Pour plus d'informations, voir Pare-feu d'en-tête.
Procédures d’autorisation du connecteur d’envoi
Pour voir les autorisations qui sont affectées aux principaux de sécurité sur un connecteur d'envoi, utilisez la syntaxe suivante dans l'Environnement de ligne de commande Exchange Management Shell :
Get-ADPermission -Identity <SendConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
Par exemple, pour voir les autorisations qui sont affectées à tous les principaux de sécurité sur le connecteur d'envoi nommé To Fabrikam.com, exécutez la commande suivante :
Get-ADPermission -Identity "To Fabrikam.com" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
Pour afficher les autorisations affectées uniquement au principal NT AUTHORITY\ANONYMOUS LOGON de sécurité sur le connecteur d’envoi nommé À Fabrikam, exécutez la commande suivante :
Get-ADPermission -Identity "To Fabrikam.com" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
Pour ajouter des autorisations à un principal de sécurité sur un connecteur d'envoi, utilisez la syntaxe suivante :
Add-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...
Pour supprimer des autorisations d'un principal de sécurité sur un connecteur d'envoi, utilisez la syntaxe suivante :
Remove-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...