Exchange Server 커넥터 수신

Exchange 서버는 수신 커넥터를 사용하여 다음에서 인바운드 SMTP 연결을 제어합니다.

• Exchange 조직 외부의 메시징 서버

• 로컬 Exchange 서버 또는 원격 Exchange 서버의 전송 파이프라인에 있는 서비스

• 인증된 SMTP를 사용하여 메시지를 보내는 데 필요한 전자 메일 클라이언트

사서함 서버의 전송 서비스, 사서함 서버 및 Edge 전송 서버의 프런트 엔드 전송 서비스에서 수신 커넥터를 만들 수 있습니다. 기본적으로 인바운드 메일 흐름에 필요한 수신 커넥터는 Exchange 사서함 서버를 설치하고 Edge 전송 서버를 Exchange 조직에 구독할 때 자동으로 만들어집니다.

수신 커넥터는 해당 커넥터가 만들어진 사서함 서버 또는 Edge 전송 서버와 연결되고 특정 서버가 SMTP 연결을 수신하는 방법을 결정합니다. 사서함 서버에서 수신 커넥터는 서버의 자식 개체로 Active Directory에 저장됩니다. Edge 전송 서버에서 수신 커넥터는 AD LDS(Active Directory Lightweight Directory Services)에 저장됩니다.

수신 커넥터에 대한 중요한 설정은 다음과 같습니다.

• 로컬 어댑터 바인딩: 수신 커넥터가 연결을 수락하는 데 사용하는 로컬 IP 주소와 TCP 포트의 조합을 구성합니다.

• 원격 네트워크 설정: 수신 커넥터가 연결을 수신 대기하는 원본 IP 주소를 구성합니다.

• 사용 유형: 수신 커넥터에 대한 기본 권한 그룹 및 스마트 호스트 인증 메커니즘을 구성합니다.

• 권한 그룹: 수신 커넥터를 사용할 수 있는 사용자와 받는 권한을 구성합니다.

수신 커넥터는 커넥터의 구성 설정과 일치하는 인바운드 연결을 수신합니다. Exchange 서버의 각 수신 커넥터는 SMTP 클라이언트 또는 서버의 연결이 수락되는지 여부 및 방법을 정의하는 고유한 로컬 IP 주소 바인딩, TCP 포트 및 원격 IP 주소 범위 조합을 사용합니다.

기본 수신 커넥터가 대부분의 경우에 적절하지만 특정 시나리오를 위한 사용자 지정 수신 커넥터를 만들 수 있습니다. 예를 들면 다음과 같습니다.

• 더 큰 최대 메시지 크기, 메시지당 더 많은 받는 사람 또는 더 많은 동시 인바운드 연결 수 등의 특별 속성을 전자 메일 원본에 적용하려는 경우

• 특정 TLS 인증서를 사용하여 암호화된 메일을 수락하려는 경우

사서함 서버의 Exchange 관리 센터(EAC) 또는 Exchange 관리 셸에서 수신 커넥터를 만들고 관리할 수 있습니다. Edge 전송 서버에서는 Exchange 관리 셸만 사용할 수 있습니다.

Exchange Server 커넥터 변경 내용 받기

Exchange 2010과 비교하여 Exchange 2016 및 Exchange 2019의 수신 커넥터에 대한 주목할 만한 변경 사항은 다음과 같습니다.

• TlsCertificateName 매개 변수를 사용하면 인증서 발급자와 인증서 주체를 지정할 수 있습니다. 사기성 인증서의 위험을 최소화하는 데 도움이 됩니다.

• TransportRole 매개 변수를 사용하면 사서함 서버의 프런트 엔드(클라이언트 액세스)와 백 엔드 커넥터를 구분할 수 있습니다.

설치하는 동안 만들어지는 기본 수신 커넥터

일부 다른 수신 커넥터는 Exchange를 설치할 때 기본적으로 만들어집니다. 기본적으로 이러한 커넥터는 사용되도록 설정되며 대부분의 커넥터에 대해 프로토콜 로깅이 사용되지 않도록 설정됩니다. 수신 커넥터의 프로토콜 로깅에 대한 자세한 내용은 프로토콜 로깅을 참조하세요.

사서함 서버의 프런트 엔드 전송 서비스에 있는 기본 수신 커넥터

프런트 엔드 전송 서비스에 있는 수신 커넥터의 기본 기능은 Exchange 조직에 대한 익명 및 인증된 SMTP 연결을 허용하는 것입니다. 이러한 커넥터의 TransportRole 속성 값은 입니다 FrontendTransport. 프런트 엔드 전송 서비스는 최종 대상으로 분류 및 라우팅하기 위해 이러한 연결을 전송 서비스에 릴레이하거나 프록시 합니다.

사서함 서버의 프런트 엔드 전송 서비스에서 만든 기본 수신 커넥터는 다음 표에 설명되어 있습니다.

사서함 서버의 전송 서비스에 있는 기본 수신 커넥터

전송 서비스에서 수신 커넥터의 기본 기능은 조직의 로컬 사서함 서버 또는 원격 사서함 서버에 있는 다른 전송 서비스에서 인증 및 암호화된 SMTP 연결을 수락하는 것입니다. 이러한 커넥터의 TransportRole 속성 값은 입니다 HubTransport. 클라이언트는 이러한 커넥터에 직접 연결되지 않습니다.

사서함 서버의 전송 서비스에서 만든 기본 수신 커넥터는 다음 표에 설명되어 있습니다.

Edge 전송 서버의 전송 서비스에 있는 기본 수신 커넥터

Edge 전송 서버에 있는 수신 커넥터의 기본 기능은 인터넷의 메일을 수락하는 것입니다. Edge 전송 서버를 Exchange 조직에 구독하면 조직과의 인터넷 메일 흐름에 필요한 커넥터 사용 권한 및 인증 메커니즘을 자동으로 구성합니다. 자세한 내용은 Edge 전송 서버를 참조하세요.

Edge 전송 서버의 전송 서비스에서 만든 기본 수신 커넥터는 다음 표에 설명되어 있습니다.

사서함 서버에 있는 사서함 전송 전달 서비스의 암시적 수신 커넥터

Exchange 서버를 설치하는 동안 수신 커넥터가 만들어지는 것 외에도 사서함 서버의 사서함 전송 배달 서비스에는 특별한 암시적 수신 커넥터 가 있습니다. 이 암시적 수신 커넥터는 자동으로 사용할 수 있고 보이지 않는으며 관리가 필요하지 않습니다. 이 커넥터의 기본 기능은 조직의 로컬 사서함 서버 또는 원격 사서함 서버에 있는 전송 서비스에서의 메일을 수락하는 것입니다.

사서함 서버의 사서함 전송 배달 서비스에 존재하는 암시적 수신 커넥터는 다음 표에 설명되어 있습니다.

수신 커넥터 로컬 주소 바인딩

로컬 주소 바인딩은 수신 커넥터가 특정 로컬 IP 주소(네트워크 어댑터) 및 TCP 포트에서 SMTP 연결을 수신하도록 제한합니다. 일반적으로 로컬 IP 주소 및 TCP 포트 조합은 서버의 모든 수신 커넥터에 대해 고유합니다. 그러나 원격 IP 주소 범위가 다른 경우 서버의 여러 수신 커넥터가 동일한 로컬 IP 주소 및 TCP 포트를 가질 수 있습니다. 자세한 내용은 수신 커넥터 원격 주소 섹션을 참조하세요.

기본적으로 수신 커넥터는 사용 가능한 모든 로컬 IPv4 및 IPv6 주소(0.0.0.0 및 [::]:)에서 연결을 수신 대기합니다. 서버에 여러 개의 네트워크 어댑터가 있으면 특정 네트워크 어댑터에 대해 구성된 IP 주소의 연결만 허용하도록 수신 커넥터를 구성할 수 있습니다. 예를 들어 인터넷 연결 Exchange 서버에서는 익명 인터넷 연결을 수신하기 위해 외부 네트워크 어댑터의 IP 주소에 바인딩된 수신 커넥터가 있을 수 있습니다. 내부 Exchange 서버의 인증된 연결을 수신하기 위해 내부 네트워크 어댑터의 IP 주소에 바인딩된 별도의 수신 커넥터가 있을 수 있습니다.

EAC에서 네트워크 어댑터 바인딩 필드를 사용하여 새 수신 커넥터 마법사에서 또는 기존 수신 커넥터 속성의 범위 탭에서 로컬 주소 바인딩을 구성합니다. Exchange 관리 셸에서는 New-ReceiveConnector 및 Set-ReceiveConnector cmdlet에서 Bindings 매개 변수를 사용합니다. 선택한 사용 유형에 따라, 수신 커넥터를 만들 때 로컬 주소 바인딩을 구성하지 못할 수 있지만 수신 커넥터를 만든 후에 수정할 수 있습니다. 영향을 받는 사용 유형은 수신 커넥터 사용 유형 섹션에 식별됩니다.

수신 커넥터 원격 주소

원격 주소는 수신 커넥터가 SMTP 연결을 수신하는 위치를 정의합니다. 기본적으로 수신 커넥터는 모든 IPv4 및 IPv6 주소의 연결을 수신합니다(0.0.0.0-255.255.255.255 및 ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff). 특정 원본의 사서함을 수신하는 사용자 지정 수신 커넥터를 만들 경우 특정 IP 주소 또는 주소 범위의 연결만 수신하도록 커넥터를 구성합니다.

하나의 IP 주소 범위가 다른 범위와 완전하게 겹쳐지는 경우에는 서버상의 여러 수신 커넥터에 겹치는 원격 IP 주소 범위가 있을 수 있습니다. 원격 IP 주소 범위가 겹치는 경우 연결 서버의 IP 주소와 가장 일치하는 원격 IP 주소 범위가 사용됩니다.

예를 들어 이름이 Exchange01인 서버의 프런트 엔드 전송 서비스에서 다음과 같은 수신 커넥터를 고려하세요.

• 커넥터 이름: 클라이언트 프런트 엔드 Exchange01

  • 네트워크 어댑터 바인딩: 포트 25에서 사용 가능한 모든 IPv4입니다.

  • 원격 네트워크 설정: 0.0.0.0-255.255.255.255

• 커넥터 이름: 사용자 지정 커넥터 A

  • 네트워크 어댑터 바인딩: 포트 25에서 사용 가능한 모든 IPv4입니다.

  • 원격 네트워크 설정: 192.168.1.0-192.168.1.255

• 커넥터 이름: 사용자 지정 커넥터 B

  • 네트워크 어댑터 바인딩: 포트 25에서 사용 가능한 모든 IPv4입니다.

  • 원격 네트워크 설정: 192.168.1.75

사용자 지정 커넥터 B는 가장 구체적인 IP 주소 일치를 요구하므로 192.168.1.75에서의 SMTP 연결은 커넥터 B에서 수락됩니다.

사용자 지정 커넥터 A는 가장 구체적인 IP 주소 일치를 요구하므로 192.168.1.100에서의 SMTP 연결은 커넥터 A에서 수락됩니다.

EAC에서 원격 네트워크 설정 필드를 사용하여 새 수신 커넥터 마법사에서 또는 기존 수신 커넥터 속성의 범위 탭에서 원격 IP 주소를 구성합니다. Exchange 관리 셸에서는 New-ReceiveConnector 및 Set-ReceiveConnector cmdlet에서 RemoteIPRanges 매개 변수를 사용합니다.

수신 커넥터 사용 유형

사용 유형은 수신 커넥터에 대한 기본 보안 설정을 결정합니다. 사용 유형은 커넥터를 사용하도록 허가되는 사용자, 사용자가 얻는 권한 및 지원되는 인증 방법을 지정합니다.

EAC를 사용하여 수신 커넥터를 만들 때 마법사에서는 커넥터의 유형 값을 선택하도록 요구합니다. Exchange 관리 셸에서 New-ReceiveConnector cmdlet을 사용하는 경우 사용 량 매개 변수를 사용 가능한 값 중 하나(예: -Usage Custom) 또는 사용 유형에 대해 지정된 스위치(예 -Custom: )와 함께 사용합니다.

커넥터 사용 유형은 수신 커넥터를 만드는 경우에만 지정할 수 있습니다. 커넥터를 만든 후에는 EAC에서 또는 Exchange 관리 셸의 Set-ReceiveConnector cmdlet을 사용하여 사용 가능한 인증 메커니즘 및 사용 권한 그룹을 수정할 수 있습니다.

사용 가능한 사용 유형은 다음 표에 설명되어 있습니다.

수신 커넥터 인증 메커니즘

인증 메커니즘은 받는 SMTP 연결에 사용되는 로그온 및 암호화 설정을 지정합니다. 수신 커넥터에 대해 여러 인증 메커니즘을 구성할 수 있습니다. EAC에서 인증 메커니즘은 수신 커넥터의 속성에 있는 보안 탭에서 사용할 수 있습니다. Exchange 관리 셸에서 권한 그룹은 New-ReceiveConnector 및 Set-ReceiveConnector cmdlet의 AuthMechanisms 매개 변수에서 사용할 수 있습니다.

사용 가능한 인증 메커니즘은 다음 표에 설명되어 있습니다.

수신 커넥터 사용 권한 그룹

사용 권한 그룹은 잘 알려진 보안 주체에게 부여되고 수신 커넥터에 할당되는 미리 정의된 사용 권한 집합입니다. 보안 주체에는 사용자 계정, 컴퓨터 계정 및 보안 그룹(보안 식별자 또는 SID로 식별 가능하며 사용 권한이 할당될 수 있는 개체)이 포함됩니다. 사용 권한 그룹은 수신 커넥터를 사용할 수 있는 사용자와 해당 사용자가 받는 권한을 정의합니다. 사용 권한 그룹을 만들 수 없으며, 사용 권한 그룹 구성원 또는 사용 권한 그룹의 기본 사용 권한은 수정할 수 없습니다.

EAC에서 사용 권한 그룹은 수신 커넥터의 속성에 있는 보안 탭에서 사용할 수 있습니다. Exchange 관리 셸에서 권한 그룹은 New-ReceiveConnector 및 Set-ReceiveConnector cmdlet의 PermissionGroups 매개 변수에서 사용할 수 있습니다.

사용 가능한 사용 권한 그룹은 다음 표에 설명되어 있습니다.

사용 권한은 이 항목 뒷부분의 수신 커넥터 사용 권한에 설명되어 있습니다.

수신 커넥터 사용 권한

일반적으로 사용 권한 그룹을 사용하여 수신 커넥터에 사용 권한을 적용합니다. 그러나 Add-ADPermission 및 Remove-ADPermission cmdlet을 사용하여 수신 커넥터에 대해 좀 더 세부적인 사용 권한을 구성할 수 있습니다.

수신 커넥터 사용 권한은 커넥터의 사용 권한 그룹에 의해 보안 주체에게 할당됩니다. SMTP 서버 또는 클라이언트가 수신 커넥터에 대한 연결을 설정하면 수신 커넥터 사용 권한에 따라 연결이 수락될지 여부와 메시지의 처리 방식이 결정됩니다.

사용 가능한 수신 커넥터 사용 권한은 다음 표에 설명되어 있습니다.

참고:

• 문서화된 권한 외에도 를 제외한 MS Exchange\Externally Secured ServersExchange 서버(ExchangeServers) 권한 그룹의 모든 보안 주체에 할당된 권한이 있습니다. 이러한 사용 권한은 Microsoft 내부 사용을 위해 예약되어 있으며 여기에는 참조용으로만 제공됩니다.

  • ms-Exch-SMTP-Accept-Xattr

  • ms-Exch-SMTP-Accept-XProxyFrom

  • ms-Exch-SMTP-Accept-XSessionParams

  • ms-Exch-SMTP-Accept-XShadow

  • ms-Exch-SMTP-Accept-XSysProbe

  • ms-Exch-SMTP-Send-XMessageContext-ADRecipientCache

  • ms-Exch-SMTP-Send-XMessageContext-ExtendedProperties

  • ms-Exch-SMTP-Send-XMessageContext-FastIndex

• 포함된 ms-Exch-Accept-Headers- 권한 이름은 헤더 방화벽 기능의 일부입니다. 자세한 내용은 헤더 방화벽을 참조하세요.

수신 커넥터 사용 권한 절차

수신 커넥터에서 보안 주체에게 할당되는 사용 권한 보려면 Exchange 관리 셸에서 다음 구문을 사용합니다.

Get-ADPermission -Identity <ReceiveConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

예를 들어 클라이언트 프런트 엔드 Mailbox01이라는 수신 커넥터의 모든 보안 주체에 할당된 사용 권한을 보려면 다음 명령을 실행합니다.

Get-ADPermission -Identity "Client Frontend Mailbox01" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

기본 사서함01이라는 수신 커넥터의 보안 주체 NT AUTHORITY\Authenticated Users 에만 할당된 권한을 보려면 다음 명령을 실행합니다.

Get-ADPermission -Identity "Default Mailbox01" -User "NT AUTHORITY\Authenticated Users" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

수신 커넥터의 보안 주체에 사용 권한을 추가하려면 다음 구문을 사용합니다.

Add-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

수신 커넥터의 보안 주체에서 사용 권한을 제거하려면 다음 구문을 사용합니다.

Remove-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...