Connettori di invio

[Questo argomento contiene una documentazione non definitiva, pertanto è soggetto a modifiche in versioni future. Gli argomenti vuoti sono inclusi come segnaposto. Inviare commenti e suggerimenti con un messaggio di posta elettronica all'indirizzo ExchangeHelpFeedback@microsoft.com.]  

Si applica a:Exchange Server 2016

Informazioni sui connettori di invio in Exchange 2016 e su come controllano il flusso di posta dall'organizzazione di Exchange.

Exchange 2016 usa i connettori di invio per connessioni SMTP in uscita dai server Exchange di origine ai server di messaggistica di destinazione. Il connettore di invio utilizzato per instradare i messaggi a un destinatario viene selezionato durante la fase di risoluzione del routing di categorizzazione dei messaggi. Per ulteriori informazioni, vedere Routing della posta.

È possibile creare i connettori di invio nel servizio Trasporto nei server Cassette postali e Trasporto Edge. I connettori di invio vengono archiviati in Active Directory e sono visibili a tutte le cassette postali e server nell'organizzazione.

importantImportante:
Per impostazione predefinita, non esiste alcun connettore di invio per il flusso di posta esterno quando si installa Exchange. Per abilitare il flusso della posta Internet in uscita, è necessario creare un connettore di invio o sottoscrivere un server Trasporto Edge per l'organizzazione di Exchange. Per ulteriori informazioni, vedere i seguenti argomenti:

Non è necessario configurare i connettori di invio per inviare posta elettronica tra server Exchange nella stessa foresta di Active Directory. I connettori di invio impliciti e invisibili che conoscono la topologia server Exchange sono disponibili per inviare posta ai server Exchange interni. I connettori di invio vengono descritti nella sezione Connettori di invio impliciti.

Queste sono le impostazioni importanti nei connettori di invio:

  • Tipo di utilizzo

  • Impostazioni di rete   Consentono di configurare in che modo il connettore di invio indirizza la posta: utilizzando DNS o inoltrando automaticamente tutta la posta a uno smart host.

  • Spazi indirizzi   Consentono di configurare i domini di destinazione per cui è responsabile il connettore di invio.

  • Ambito   Consente di configurare la visibilità del connettore di invio ad altri server Exchange nell'organizzazione.

  • Server di origine   Consente di configurare i server Exchange dove è ospitato il connettore di invio. La posta elettronica che deve essere consegnata utilizzando il connettore di invio viene instradata a uno dei server di origine.

Nei server Cassette postali, è possibile creare e gestire i connettori di invio in Interfaccia di amministrazione di Exchange o Exchange Management Shell. Nei server Trasporto Edge, è possibile utilizzare solo Exchange Management Shell.

Sommario

Modifiche dei connettori di invio in Exchange 2016

Connettori di invio impliciti

Tipi di utilizzo del connettore di invio

Impostazioni di rete dei connettori di invio

Spazi indirizzi dei connettori di invio

Ambito dei connettori di invio

Autorizzazioni del connettore di invio

Queste sono le modifiche più importanti apportate ai connettori di invio in Exchange 2016 rispetto a Exchange 2010:

  • È possibile configurare i connettori di invio da reindirizzare o la posta in uscita proxy tramite il servizio Trasporto front-end. Per ulteriori informazioni, vedere Configurare i connettori d'invio nella posta in uscita proxy.

  • Il parametro IsCoexistenceConnector non è più disponibile.

  • Il parametro LinkedReceiveConnector non è più disponibile.

  • La dimensione massima predefinita dei messaggi viene aumentata a 35 MB (circa 25 MB a causa della codifica Base64). Per ulteriori informazioni, vedere Limiti di dimensione dei messaggi in Exchange 2016.

  • Il parametro TlsCertificateName consente di specificare l'autorità di certificazione e il soggetto certificato. Ciò consente di ridurre il rischio di certificati fraudolenti.

Torna su

Anche se durante l'installazione dei server Exchange 2016 non viene creato alcun connettore di invio, è presente uno speciale connettore di invio implicito denominato Connettore di invio tra organizzazioni. Tale connettore di invio implicito è automaticamente disponibile, invisibile e non richiede gestione. Il connettore di invio tra organizzazioni esiste nei servizi di trasporto per inviare la posta, sia internamente tra i servizi nel server Exchange locale o ai servizi nei server Exchange remoti nell'organizzazione. Ad esempio:

  • Dal servizio Trasporto front-end al servizio di trasporto.

  • Dal servizio di trasporto al servizio di trasporto in altri server.

  • Dal servizio di trasporto ai server Trasporto Edge sottoscritti.

  • Dal servizio di trasporto al servizio Recapito alle cassette postali.

  • Dal servizio Invio alle cassette postali al servizio di trasporto.

Per ulteriori informazioni, vedere Flusso di posta e pipeline di trasporto.

Torna su

Per i connettori di invio, il tipo di utilizzo è fondamentalmente un'etichetta descrittiva che identifica per cosa viene usato il connettore di invio. Tutti i valori del tipo di utilizzo ricevono le stesse autorizzazioni.

È possibile specificare il tipo di utilizzo del connettore solo quando si creano connettori di invio. Quando si utilizza EAC, è necessario selezionare un valore Type. Ma quando si usa il cmdlet New-SendConnector in Exchange Management Shell, il tipo di utilizzo non è necessario (utilizzando -Usage <UsageType> o -<UsageType>).

Specificando un tipo di utilizzo viene configurata una dimensione massima predefinita del messaggio, che è possibile modificare dopo aver creato il connettore.

I valori del tipo di utilizzo disponibili sono descritti nella seguente tabella.

 

Tipo di utilizzo Dimensione massima dei messaggi Commenti

Personalizzato

35 MB

Nessuna

Interna

illimitata

Quando si crea un connettore di invio di questo tipo di utilizzo in EAC, non è possibile selezionare Record MX associato con il dominio del destinatario. Dopo aver creato il connettore, è possibile accedere alla scheda Consegna nelle proprietà del connettore di invio e selezionare Record MX associato con il dominio del destinatario.

Questa stessa restrizione non esiste in Exchange Management Shell. È possibile utilizzare l'opzione Internal e impostare DNSRoutingEnabled su $true nel cmdlet New-SendConnector.

Internet

35 MB

Nessuna

Partner

35 MB

Quando si crea un connettore di invio di questo tipo di utilizzo in EAC, non è possibile selezionare Instrada la posta tramite smart host o un meccanismo di autenticazione di smart host. Dopo aver creato il connettore, è possibile andare alla scheda Consegna nelle proprietà del connettore di invio e selezionare Instrada la posta tramite smart host e il meccanismo di autenticazione smart host.

Questa stessa restrizione non esiste in Exchange Management Shell. È possibile utilizzare l'opzione Partner e impostare DNSRoutingEnabled su $false e utilizzare i parametri SmartHosts e SmartHostAuthMechanism nel cmdlet New-SendConnector.

Torna su

Ogni connettore di invio deve essere configurato con una di queste opzioni:

  • Utilizzare DNS per instradare la posta.

  • Utilizzare uno o più smart host per instradare la posta.

Quando si seleziona la risoluzione DNS per il recapito della posta, il server Exchange di origine per il connettore di invio deve essere in grado di risolvere i record MX per gli spazi indirizzi configurati nel connettore. A seconda della natura del connettore e del numero di schede di rete nel server, il connettore di invio potrebbe richiedere l'accesso a un server DNS interno o a un server DNS esterno (pubblico). È possibile configurare il server per utilizzare i server DNS specifici per le ricerche nel DNS interno ed esterno:

  • In EAC in Server > Server > selezionare il server e fare clic su ModificaIcona Modifica > Ricerche DNS.

  • In Exchange Management Shell, si utilizzano i parametri ExternalDNS* e InternalDNS* nel cmdlet Set-TransportService.

Se già stato configurato il server Exchange con impostazioni DNS separate da utilizzare per ricerche nel DNS esterno e interno e il connettore di invio indirizza la posta a uno spazio indirizzi esterno, è necessario configurare il connettore di invio affinché utilizzi il server DNS esterno:

  • In EAC, selezionare Usa l'impostazione di ricerca nel DNS esterno nei server con ruoli di trasporto (nella nuova procedura guidata del connettore di invio o nella scheda Consegnanelle proprietà dei connettori esistenti).

  • In Exchange Management Shell, utilizzare il parametro UseExternalDNSServersEnabled nei cmdlet New-SendConnector e Set-SendConnector.

Torna su

Quando si distribuisce posta tramite uno smart host, il connettore di invio inoltra la posta allo smart host e lo smart host è responsabile dell'instradamento della posta all'hop successivo nel percorso verso la destinazione finale. Un utilizzo comune del routing dello smart host è quello di inviare la posta in uscita attraverso un servizio o dispositivo antispam.

Si identificano uno o più host da utilizzare per il connettore di invio attraverso un indirizzo IP singolo (ad esempio, 10.1.1.1), un nome di dominio completo (FQDN) (ad esempio, spamservice.contoso.com) oppure combinazioni di entrambi i tipi di valori. Se si usa un nome di dominio completo, il server Exchange di origine deve essere in grado di risolvere il nome di dominio completo (che può essere un record MX o un record A) utilizzando DNS.

Una parte importante dell'instradamento dello smart host è il meccanismo di autenticazione che usa gli smart host. Nella tabella seguente vengono descritti i meccanismi di autenticazione disponibili.

 

Meccanismo di autenticazione Descrizione

Nessuno (None)

Nessuna autenticazione. Ad esempio, quando l'accesso allo smart host è limitato dall'indirizzo IP di origine.

Autenticazione di base (BasicAuth)

Autenticazione di base. Richiede nome utente e password. Il nome utente e la password vengono inviati non crittografati.

Offri autenticazione di base solo dopo l'avvio di TLS (BasicAuthRequireTLS)

Autenticazione di base crittografata con TLS. Questa opzione richiede un certificato del server nello smart host che contiene l'esatto FQDN dello smart host definito nel connettore di invio.

Il connettore di invio tenta di stabilire la sessione TLS inviando il comando STARTTLS allo smart host ed esegue l'autenticazione di base dopo che è stata stabilita la sessione TLS.

Inoltre, per supportare l'autenticazione TLS reciproca, è necessario un certificato client.

Autenticazione di Exchange Server (ExchangeServer)

Autenticazione Generic Security Services application programming interface (GSSAPI) e GSSAPI reciproca.

Protetto esternamente (ExternalAuthoritative)

La connessione è considerata protetta esternamente se si utilizza un meccanismo di sicurezza esterno a Exchange. La connessione può essere un'associazione IPsec (Internet Protocol security) o una connessione VPN (Virtual Private Network). In alternativa i server possono risiedere in una rete di tipo trusted controllata fisicamente.

Torna su

Lo spazio indirizzi specifica i domini di destinazione assistiti dal connettore di invio. La posta viene instradata attraverso un connettore di invio basato sul dominio dell'indirizzo di posta elettronica del destinatario.

I valori dello spazio indirizzi SMTP disponibili sono descritti nella seguente tabella.

 

Spazio indirizzo Spiegazione

*

Il connettore di invio indirizza la posta elettronica ai destinatari in tutti i domini.

Dominio (ad esempio, contoso.com)

Il connettore di invio indirizza la posta elettronica ai destinatari nel dominio specificato, ma non in eventuali sottodomini.

Dominio e sottodomini (ad esempio, *.contoso.com)

Il connettore di invio indirizza la posta elettronica ai destinatari nel dominio specificato e in tutti i sottodomini.

--

Il connettore di invio indirizza la posta elettronica ai destinatari in tutti i domini accettati nell'organizzazione Exchange. Questo valore è disponibile solo nei connettori di invio nei server Trasporto Edge che inviano la posta all'organizzazione Exchange interna.

Uno spazio indirizzi presenta anche i valori Tipo e Costo che è possibile configurare.

Nei server Trasporto Edge, il valore Tipo deve essere SMTP. Nel server Cassette postali, è inoltre possibile utilizzare tipi di spazi indirizzi non SMTP come X400 o qualsiasi altra stringa di testo. Gli indirizzi X.400 devono essere compatibili con RFC 1685 (ad esempio, o=MySite;p=MyOrg;a=adatum;c=us), ma altri valori Tipo accettano qualsiasi valore di testo per lo spazio indirizzi. Se si specifica un tipo di spazio indirizzi non SMTP, il connettore di invio deve utilizzare l'instradamento dello smart host e SMTP consente di inviare messaggi a quest'ultimo. I connettori Agente di recapito e i connettori esterni inviano messaggi non SMTP a server non SMTP senza utilizzare SMTP. Per ulteriori informazioni, vedere Agenti di recapito e connettori agente di recapito e Connettori esterni.

Il valore Costo nello spazio indirizzi viene utilizzato per l'ottimizzazione della posta elettronica e la tolleranza di errore quando gli stessi spazi indirizzi sono configurati in più connettori di invio in diversi server di origine. Un valore con priorità più bassa indica un connettore di invio preferito.

Il connettore di invio utilizzato per instradare i messaggi a un destinatario viene selezionato durante la fase di risoluzione del routing di categorizzazione dei messaggi. Viene selezionato il connettore di invio il cui spazio indirizzo ha maggiori corrispondenze con l'indirizzo di posta elettronica del destinatario e il cui valore di priorità è più basso.

Si supponga, ad esempio, che il destinatario sia julia@marketing.contoso.com. Se un connettore di invio è configurato per *.contoso.com, il messaggio è stato instradato attraverso tale connettore. Se nessun connettore di invio è configurato per *.contoso.com, il messaggio viene instradato attraverso il connettore configurato per *. Se più connettori di invio nello stesso sito Active Directory sono configurati per *.contoso.com, il connettore con il valore di priorità inferiore viene selezionato.

Torna su

I server di origine per un connettore di invio determinano il server Exchange di destinazione per la posta che deve essere instradata attraverso il connettore di invio. L'ambito del connettore di invio controlla la visibilità del connettore all'interno dell'organizzazione Exchange.

Per impostazione predefinita, i connettori di invio sono visibili a tutti i server Exchange nell'intera foresta Active Directory e vengono utilizzati nelle decisioni di routing. Tuttavia, è possibile limitare l'ambito di un connettore di invio in modo che sia visibile solo ad altri server Exchange nello stesso sito di Active Directory. Il connettore di invio non è visibile a server Exchange in altri siti di Active Directory siti e non viene utilizzato nelle decisioni di routing relative. Un connettore di invio limitato in questo modo è definito con ambito.

Per configurare connettori di invio con ambito in EAC, selezionare Connettore di invio con ambito nella sezione Spazio indirizzi della nuova procedura guidata del connettore di invio o nella scheda Ambito nelle proprietà dei connettori di invio esistenti. In Exchange Management Shell, utilizzare il parametro IsScopedConnector nei cmdlet New-SendConnector e Set-SendConnector.

Torna su

Quando il connettore di invio stabilisce una connessione con il server di messaggistica di destinazione, le autorizzazioni del connettore di invio determinano i tipi di intestazioni che possono essere inviate nei messaggi. Se un messaggio include intestazioni che non sono consentite dalle autorizzazioni, tali intestazioni vengono rimosse dai messaggi.

Le autorizzazioni vengono assegnate ai connettori di invio da entità di sicurezza note. Le entità di sicurezza includono account utente, account computer e gruppi di sicurezza (oggetti identificabili tramite ID di sicurezza o SID con autorizzazioni). Per impostazione predefinita, le stesse entità di sicurezza con le stesse autorizzazioni vengono assegnate in tutti i connettori di invio, indipendentemente dal tipo di utilizzo selezionato durante la creazione del connettore. Per modificare le autorizzazioni predefinite per un connettore di invio, è necessario utilizzare i cmdlet Add-ADPermission e Remove-ADPermission in Exchange Management Shell.

Le autorizzazioni del connettore di invio disponibili sono descritte nella seguente tabella.

 

Autorizzazione Assegnata a Descrizione

ms-Exch-Send-Headers-Forest

<Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers

Controlla l'archiviazione delle intestazioni della foresta di Exchange nei messaggi. I nomi delle intestazioni della foresta iniziano con X-MS-Exchange-Forest-. Se questa autorizzazione non viene concessa, tutte le intestazioni della foresta vengono rimosse dai messaggi.

ms-Exch-Send-Headers-Organization

<Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers

Controlla l'archiviazione delle intestazioni dell'organizzazione di Exchange nei messaggi. I nomi delle intestazioni dell'organizzazione iniziano con X-MS-Exchange-Organization-. Se questa autorizzazione non viene concessa, tutte le intestazioni dell'organizzazione vengono rimosse dai messaggi.

ms-Exch-Send-Headers-Routing

NT AUTHORITY\ANONYMOUS LOGON

<Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Externally Secured Servers

MS Exchange\Hub Transport Servers

MS Exchange\Legacy Exchange Servers

MS Exchange\Partner Servers

Controlla l'archiviazione delle intestazioni di RECEIVED nei messaggi. Se questa autorizzazione non viene concessa, tutte le intestazioni ricevute vengono rimosse dai messaggi.

ms-Exch-SMTP-Send-Exch50

<Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Externally Secured Servers

MS Exchange\Hub Transport Servers

MS Exchange\Legacy Exchange Servers

Consente al server Exchange di origine di inviare i comandi XEXCH50 nel connettore di invio. L'oggetto binario di grandi dimensioni (BLOB) di X-EXCH50 è stato utilizzato da versioni precedenti di Exchange (Exchange 2003 e versioni precedenti) per archiviare i dati di Exchange nei messaggi (ad esempio, il livello di probabilità di posta indesiderata o SCL).

Se questa autorizzazione non è concessa e i messaggi contengono il BLOB di X-EXCH50, il server Exchange invia il messaggio senza il BLOB di X-EXCH50.

ms-Exch-SMTP-Send-XShadow

<Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers

Questa autorizzazione è riservata per uso interno di Microsoft e viene visualizzata qui solo a scopo di riferimento.

Nota:

i nomi delle autorizzazioni che contengono ms-Exch-Send-Headers- fanno parte della funzionalità firewall intestazione. Per ulteriori informazioni, vedere Firewall intestazioni.

Torna su

Per visualizzare le autorizzazioni assegnate alle entità di sicurezza in un connettore di invio, utilizzare la seguente sintassi in Exchange Management Shell:

Get-ADPermission -Identity <SendConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Ad esempio, per visualizzare le autorizzazioni assegnate a tutte le entità di sicurezza in un connettore di invio denominato To Fabrikam.com, utilizzare il seguente comando:

Get-ADPermission -Identity "To Fabrikam.com" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Per visualizzare le autorizzazioni assegnate solo all'entità di sicurezza NT AUTHORITY\ANONYMOUS LOGON in un connettore di invio denominato To Fabrikam.com, utilizzare il seguente comando:

Get-ADPermission -Identity "To Fabrikam.com" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Per aggiungere le autorizzazioni a un'entità di sicurezza in un connettore di invio, utilizzare la seguente sintassi:

Add-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Per rimuovere le autorizzazioni da un'entità di sicurezza in un connettore di invio, utilizzare la seguente sintassi:

Remove-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Torna su

 
Mostra: