수신 커넥터 이해
적용 대상: Exchange Server 2010 SP2, Exchange Server 2010 SP3
마지막으로 수정된 항목: 2016-11-28
수신 커넥터는 Microsoft Exchange Server 2010을 실행하며 허브 전송 또는 Edge 전송 서버 역할이 설치된 컴퓨터에 구성됩니다. 수신 커넥터는 모든 인바운드 메시지가 통과하는 논리적 게이트웨이를 나타냅니다. 이 항목에서는 수신 커넥터에 대한 개요를 제공하고 수신 커넥터의 구성이 개별 메시지 처리에 영향을 미치는 방식에 대해 설명합니다.
수신 커넥터 개요
Exchange 2010 전송 서버는 인터넷, 전자 메일 클라이언트 및 기타 전자 메일 서버에서 메시지를 수신하기 위해 수신 커넥터가 필요합니다. 수신 커넥터는 Exchange 조직에 대한 인바운드 연결을 제어합니다. 기본적으로 내부 메일 흐름에 필요한 수신 커넥터는 허브 전송 서버 역할을 설치할 때 자동으로 만들어집니다. 인터넷과 허브 전송 서버에서 메일을 받을 수 있는 수신 커넥터는 Edge 전송 서버 역할을 설치할 때 자동으로 만들어집니다. 그러나 Edge 구독 프로세스를 사용하여 Edge 전송 서버가 Active Directory 사이트에 구독되어 있어야 종단 간 메일 흐름이 가능합니다. 인터넷 연결 허브 전송 서버 또는 구독되지 않은 Edge 전송 서버 등의 다른 시나리오에서는 종단 간 메일 흐름을 설정하려면 수동 커넥터 구성이 필요합니다.
Exchange 2010에서 수신 커넥터는 수신기입니다. 이는 커넥터가 수신 커넥터의 설정과 일치하는 인바운드 연결을 수신하고 있다는 것을 의미합니다. 수신 커넥터는 특정 로컬 IP 주소 및 포트를 통해 보내거나 지정된 IP 주소 범위 내에서 수신되는 연결을 수신합니다. 특정 IP 주소 또는 IP 주소 범위에서 메시지를 수신하는 서버를 제어하려는 경우와 더 큰 메시지 크기, 메시지당 더 많은 받는 사람 또는 더 많은 인바운드 연결과 같이 특정 IP 주소에서 수신되는 메시지에 대해 특수한 커넥터 속성을 구성하려는 경우에 수신 커넥터를 만듭니다.
수신 커넥터는 단일 서버로 범위가 지정되며 특정 서버가 연결을 수신하는 방식을 결정합니다. 허브 전송 서버에서 수신 커넥터를 만들 경우 수신 커넥터는 자신이 만들어진 서버의 자식 개체로 Active Directory에 저장됩니다. Edge 전송 서버에서 수신 커넥터를 만들 경우 수신 커넥터는 Active Directory LDS(Lightweight Directory Services)에 저장됩니다.
특정 시나리오를 위해 추가 수신 커넥터가 필요하면 EMC(Exchange 관리 콘솔)나 Exchange 관리 셸을 사용하여 만들 수 있습니다. 각 수신 커넥터는 해당 커넥터에서 메일이 수락되는 고유한 IP 주소 바인딩, 포트 번호 할당 및 원격 IP 주소 범위 조합을 사용해야 합니다.
설치하는 동안 만든 기본 수신 커넥터
일부 수신 커넥터는 허브 전송 또는 Edge 전송 서버 역할을 설치할 때 기본적으로 만들어집니다.
허브 전송 서버에 만든 기본 수신 커넥터
허브 전송 서버 역할을 설치하면 두 개의 수신 커넥터가 만들어집니다. 표준 작업에는 추가 수신 커넥터가 필요 없으며 대부분의 경우 기본 수신 커넥터는 구성을 변경할 필요가 없습니다. 이러한 커넥터의 사용 유형과 구성은 다음 표에 설명되어 있습니다.
허브 전송 서버의 기본 수신 커넥터 구성
| 커넥터 이름 및 사용 유형 | 구성 |
|---|---|
클라이언트 Servername 이 수신 커넥터는 POP 및 IMAP와 같은 모든 비 MAPI 클라이언트로부터의 SMTP 연결을 수락합니다. |
|
기본 Servername 이 수신 커넥터는 다른 허브 전송 서버와 배포된 Edge 전송 서버로부터 연결을 수락합니다. |
|
참고
Edge 전송 서버나 다른 허브 전송 서버로부터의 연결 수락을 담당하는 모든 수신 커넥터에는 Exchange Server 인증 방법이 할당되어 있어야 합니다. Exchange Server 인증 방법은 사용 유형이 내부인 수신 커넥터를 만들 때의 기본 인증 방법입니다.
Edge 전송 서버에서 만든 기본 수신 커넥터
설치하는 동안 수신 커넥터 하나가 만들어집니다. 이 수신 커넥터는 모든 IP 주소 범위에서 SMTP 통신을 받아들이도록 구성되어 있으며 로컬 서버의 모든 IP 주소에 바인딩됩니다. 인터넷 사용 유형으로 구성되었으므로 커넥터가 익명 연결을 수락합니다. 추가 설치의 경우는 추가 수신 커넥터가 필요하지 않습니다. EdgeSync를 사용하는 경우에는 Edge 구독 프로세스에서 권한 및 인증 메커니즘을 자동으로 구성하므로 구성을 변경할 필요가 없습니다. 익명 세션과 인증된 세션에는 서로 다른 사용 권한 집합이 허용됩니다.
EdgeSync를 사용하지 않는 경우 이 수신 커넥터의 설정을 수정하고 사용 유형이 내부인 수신 커넥터를 추가로 만드는 것이 좋습니다. 수신 커넥터 구성을 완료하려면 다음 단계를 수행합니다.
기본 수신 커넥터의 설정 수정 인터넷에 연결된 네트워크 어댑터에서만 IP 주소에 대한 로컬 네트워크 바인딩을 설정합니다.
수신 커넥터 만들기 커넥터 사용 유형으로 내부를 선택합니다. 조직에만 연결된 네트워크 어댑터의 IP 주소에 대해 로컬 네트워크 바인딩을 설정합니다. 허브 전송 서버에 할당된 원격 IP 주소에서 메일을 받도록 원격 네트워크 설정을 구성합니다.
참고
Edge 전송 서버나 다른 허브 전송 서버로부터의 연결 수락을 담당하는 모든 수신 커넥터에는 Exchange Server 인증 방법이 할당되어 있어야 합니다. Exchange Server 인증 방법은 사용 유형이 내부인 수신 커넥터를 만들 때의 기본 인증 방법입니다.
기본 인증 사용 여부 결정 기본 인증을 지원하려면 로컬 사용자 계정을 만들고 Add-ADPermission cmdlet을 사용하여 필요한 권한을 부여합니다.
자세한 내용은 EdgeSync를 사용하지 않고 Edge 전송 서버 및 허브 전송 서버 간의 메일 흐름 구성를 참조하십시오.
수신 커넥터 사용 유형
사용 유형은 커넥터에 대한 기본 보안 설정을 결정합니다.
수신 커넥터에 대한 보안 설정은 수신 커넥터에 연결되는 세션에 부여된 사용 권한과 지원되는 인증 메커니즘을 지정합니다.
EMC를 사용하여 수신 커넥터를 구성할 때 새 SMTP 수신 커넥터 마법사는 커넥터에 대한 사용 유형을 선택하라는 메시지를 표시합니다. 다음과 같은 두 가지 방법으로 사용 유형을 지정할 수 있습니다.
Usage
Custom등의 원하는 값과 함께 Usage 매개 변수를 사용합니다. 지정하는 사용 유형에 따라 다른 필수 매개 변수를 사용해야 할 수도 있습니다. New-ReceiveConnector 명령에 필수 매개 변수를 지정하지 않으면 명령이 실패됩니다.원하는 사용 유형에 대해 Custom 등의 스위치 매개 변수를 사용합니다. 지정하는 사용 유형에 따라 다른 필수 매개 변수를 사용해야 할 수도 있습니다. New-ReceiveConnector 명령에 필수 매개 변수를 지정하지 않으면 명령이 계속 실행될 수 있도록 누락된 매개 변수 값을 입력하라는 메시지가 표시됩니다.
사용 권한 그룹
사용 권한 그룹은 잘 알려진 보안 주체에게 부여되고 수신 커넥터에 할당되는 미리 정의된 사용 권한 집합입니다. 보안 주체에는 사용자, 컴퓨터 및 보안 그룹이 포함됩니다. 보안 주체는 SID(보안 식별자)로 식별할 수 있습니다. 사용 권한 그룹은 수신 커넥터에 대해서만 사용할 수 있습니다. 사용 권한 그룹을 사용하면 수신 커넥터에서 사용 권한 구성 작업을 간단하게 수행할 수 있습니다. PermissionGroups 속성은 수신 커넥터로 메시지를 전송할 수 있는 그룹 및 역할과 해당 그룹에 할당된 사용 권한을 정의합니다. 사용 권한 그룹 집합은 Exchange 2010에 미리 지정되어 있습니다. 따라서 사용 권한 그룹을 추가로 만들 수 없습니다. 또한 사용 권한 그룹 구성원이나 연결된 사용 권한을 수정할 수도 없습니다.
다음 표에서는 사용 가능한 권한 그룹을 보여 주고 수신 커넥터에 대해 해당 사용 권한 그룹이 구성될 때 부여되는 사용 권한 및 보안 주체를 식별합니다.
수신 커넥터 사용 권한 그룹
| 사용 권한 그룹 이름 | 연결된 SID(보안 주체) | 부여된 사용 권한 |
|---|---|---|
Anonymous |
익명 사용자 계정 |
|
ExchangeUsers |
인증된 사용자 계정 |
|
ExchangeServers |
|
|
ExchangeLegacyServers |
Exchange 레거시 Interop 보안 그룹 |
|
파트너 |
파트너 서버 계정 |
|
수신 커넥터 사용 유형
사용 유형에 따라 수신 커넥터에 할당된 기본 사용 권한 그룹과 세션 인증에 사용할 수 있는 기본 인증 메커니즘이 결정됩니다. 수신 커넥터는 항상 TLS를 사용하기 위한 보낸 사람의 요청에 응답합니다. 다음 표에서는 사용 가능한 사용 유형 및 기본 설정을 보여줍니다.
수신 커넥터 사용 유형
| 사용 유형 | 기본 사용 권한 그룹 | 기본 인증 메커니즘 |
|---|---|---|
클라이언트(Edge 전송 서버에서는 사용할 수 없음) |
ExchangeUsers |
TLS 기본 인증 및 TLS Windows 통합 인증 |
사용자 지정 |
None |
없음 |
내부 |
ExchangeServers ExchangeLegacyServers(이 사용 권한 그룹은 Edge 전송 서버에서는 사용할 수 없음) |
Exchange Server 인증 |
인터넷 |
AnonymousUsers 파트너 |
없음 또는 외부 보안 |
파트너 |
파트너 |
해당 없음. 이 사용 유형은 원격 도메인과의 상호 TLS를 설정할 때 선택됩니다. |
수신 커넥터 사용 권한 및 인증 메커니즘은 이 항목 뒷부분에 설명되어 있습니다.
수신 커넥터 사용 시나리오
각 사용 유형은 특정 연결 시나리오에 적합합니다. 필요한 구성에 가장 적합한 기본 설정을 지닌 사용 유형을 선택합니다. Add-ADPermission 및 Remove-ADPermission cmdlet을 사용하여 사용 권한을 수정할 수 있습니다. 자세한 내용은 다음 항목을 참조하십시오.
다음 표에서는 일반 연결 시나리오 및 각 시나리오에 대한 사용 유형을 보여줍니다.
수신 커넥터 사용 시나리오
| 커넥터 시나리오 | 사용 유형 | 설명 |
|---|---|---|
인터넷에서 보낸 전자 메일을 수신하는 Edge 전송 서버 |
인터넷 |
모든 도메인에서 보낸 전자 메일을 수락하도록 구성된 수신 커넥터가 Edge 전송 서버 역할이 설치될 때 자동으로 만들어집니다. |
인터넷에서 보낸 전자 메일을 수신하는 허브 전송 서버 |
인터넷 |
이는 권장되는 구성이 아닙니다. 자세한 내용은 허브 전송 서버를 통한 직접 인터넷 메일 흐름 구성를 참조하십시오. |
Exchange Server 2003 브리지헤드 서버에서 보낸 전자 메일을 수신하는 Edge 전송 서버 |
Internal |
이 시나리오에서 Exchange 2003 브리지헤드 서버는 Edge 전송 서버를 송신 커넥터에 대한 스마트 호스트로 사용하도록 구성됩니다. |
POP3 또는 IMAP4를 사용하는 클라이언트 응용 프로그램에서 전자 메일 전송을 받는 허브 전송 서버 |
클라이언트 |
이 수신 커넥터는 해당 역할이 설치될 때 모든 허브 전송 서버에서 자동으로 생성됩니다. 기본적으로 이 수신 커넥터는 TCP 포트 587을 통해 전자 메일을 수신하도록 구성됩니다. |
허브 전송 서버에서 보낸 전자 메일을 수신하는 허브 전송 서버 |
Internal |
같은 조직 내의 허브 전송 서버 간에는 수신 커넥터를 구성할 필요가 없습니다. 이 사용 유형은 포리스트 간 수신 커넥터를 구성하는 데 사용할 수 있습니다. |
동일한 포리스트 안에 있는 Exchange 2003 브리지헤드 서버에서 전자 메일을 받는 허브 전송 |
Internal |
이 구성은 선택입니다. Exchange 2010과 이전 버전 Exchange 간의 전송은 양방향 라우팅 그룹 커넥터를 통해 수행됩니다. Exchange 2003 라우팅 그룹에 SMTP 커넥터를 만들 경우 라우팅 그룹 커넥터도 있어야 합니다. 자세한 내용은 Exchange 2010에서 Exchange 2003으로 추가 라우팅 그룹 커넥터 만들기를 참조하십시오. |
허브 전송 서버에서 보낸 전자 메일을 수신하는 Edge 전송 서버 |
Internal |
모든 도메인에서 보낸 전자 메일을 수락하도록 구성된 수신 커넥터가 Edge 전송 서버 역할이 설치될 때 자동으로 만들어집니다. 다른 커넥터를 만든 후 Exchange 조직에서 보낸 전자 메일만 수신하도록 구성할 수 있습니다. |
한 포리스트의 허브 전송 서버에서 보낸 전자 메일을 수신하는 또 다른 포리스트의 허브 전송 서버에 대한 포리스트 간 수신 커넥터 |
사용자 지정 |
자세한 구성 단계에 대해서는 포리스트 간 커넥터 구성을 참조하십시오. |
한 포리스트의 허브 전송 서버에서 다른 포리스트의 Exchange 2003 브리지헤드 서버가 보낸 전자 메일을 수신하는 크로스 포리스트 수신 커넥터 |
사용자 지정 |
자세한 구성 단계에 대해서는 포리스트 간 커넥터 구성을 참조하십시오. |
타사의 MTA(메시지 전송 에이전트)에서 보낸 전자 메일을 수신하는 허브 전송 서버 |
Internal |
메시지가 수락될 IP 주소 범위를 지정하고 인증 메커니즘을 기본 인증 또는 외부 보안으로 설정합니다. |
타사의 MTA에서 보낸 전자 메일을 수신하는 Edge 전송 서버 |
사용자 지정 |
Add-ADPermission cmdlet을 사용하여 확장된 권한을 설정할 수 있습니다. 메시지가 수락될 IP 주소 범위를 지정하고 인증 메커니즘을 기본 인증으로 설정합니다. 내부 사용 유형을 선택하고 인증 방법으로 외부 보안을 설정할 수도 있습니다. 이 옵션을 선택할 경우에는 사용 권한을 추가로 구성할 필요가 없습니다. |
외부 릴레이 도메인에서 보낸 전자 메일을 수신하는 Edge 전송 서버 |
사용자 지정 |
Edge 전송 서버는 외부 릴레이 도메인에서 보낸 전자 메일을 수락한 후 대상 받는 사람 도메인으로 릴레이할 수 있습니다. 메시지가 수락될 IP 주소 범위를 지정하고 적절한 인증 메커니즘을 설정한 후 Add-ADPermission cmdlet을 사용하여 확장된 권한을 설정합니다. |
상호 TLS 인증을 설정한 도메인에서 보낸 전자 메일을 수신하는 Edge 전송 서버 |
파트너 |
상호 TLS 인증은 다음과 같은 조건에 해당되는 경우에만 제대로 작동합니다.
자세한 내용은 Set-ReceiveConnector를 참조하십시오. |
Microsoft Exchange Hosted Services 서버에서의 연결을 수신하는 Edge 전송 서버 |
사용자 지정 |
Exchange Hosted Services 서버는 외부 인증 서버로 작동할 수 있습니다. 외부 보안 인증 메커니즘을 사용하려면 Set-ReceiveConnector cmdlet을 사용하여 PermissionGroup 매개 변수를 |
Exchange Hosted Services 서버에서 연결을 수신하는 허브 전송 서버 |
사용자 지정 |
Exchange Hosted Services 서버는 외부 인증 서버로 작동할 수 있습니다. 외부 보안 인증 메커니즘을 사용하려면 Set-ReceiveConnector cmdlet을 사용하여 PermissionGroup 매개 변수를 |
수신 커넥터 사용 권한
수신 커넥터 사용 권한은 커넥터의 사용 권한 그룹을 지정할 때 보안 주체에게 할당됩니다. 보안 주체가 수신 커넥터와의 세션을 설정하면 수신 커넥터 사용 권한에 따라 세션이 수락될지 여부와 수신된 메시지의 처리 방식이 결정됩니다. 다음 표에서는 수신 커넥터에서 보안 주체에게 할당할 수 있는 사용 권한을 설명합니다. EMC를 사용하거나 셸에서 PermissionGroups 매개 변수와 함께 Set-ReceiveConnector cmdlet을 사용하여 수신 커넥터 사용 권한을 설정할 수 있습니다. 수신 커넥터에 대한 기본 사용 권한을 수정하려는 경우 Add-ADPermission cmdlet을 사용할 수도 있습니다.
수신 커넥터 사용 권한
| 수신 커넥터 사용 권한 | 설명 |
|---|---|
ms-Exch-SMTP-Submit |
세션에 이 사용 권한이 부여되지 않으면 이 수신 커넥터로 메시지를 전송할 수 없습니다. 세션에 이 사용 권한이 없으면 MAIL FROM 및 AUTH 명령이 실패합니다. |
ms-Exch-SMTP-Accept-Any-Recipient |
이 사용 권한은 세션에서 해당 커넥터를 통해 메시지를 릴레이할 수 있도록 허용합니다. 이 사용 권한이 부여되지 않으면 허용 도메인의 받는 사람으로 주소가 지정된 메시지만 이 커넥터에 의해 수락됩니다. |
ms-Exch-SMTP-Accept-Any-Sender |
이 사용 권한은 세션에서 보낸 사람 주소 스푸핑 검사를 건너뛸 수 있도록 허용합니다. |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
이 사용 권한은 신뢰할 수 있는 도메인에 전자 메일 주소가 있는 보낸 사람이 이 수신 커넥터에 대해 세션을 설정할 수 있도록 허용합니다. |
ms-Exch-SMTP-Accept-Authentication-Flag |
이 사용 권한은 Exchange 2003 서버가 내부 보낸 사람이 보낸 메시지를 전송할 수 있도록 허용합니다. Exchange 2010은 해당 메시지를 내부 메시지로 인식합니다. 보낸 사람은 메시지를 신뢰할 수 있는 메시지로 선언할 수 있습니다. 익명 전송을 통해 Exchange 시스템에 들어간 메시지는 이 플래그와 함께 Exchange 조직을 통해 신뢰할 수 없는 상태로 릴레이됩니다. |
ms-Exch-Accept-Headers-Routing |
이 사용 권한은 세션에서 모든 수신 헤더가 변경되지 않은 상태인 메시지를 전송할 수 있도록 허용합니다. 이 사용 권한이 부여되지 않으면 서버에서 수신한 헤더를 모두 제거합니다. |
ms-Exch-Accept-Headers-Organization |
이 사용 권한은 세션에서 모든 조직 헤더가 변경되지 않은 상태인 메시지를 전송할 수 있도록 허용합니다. 조직 헤더는 모두 X-MS-Exchange-Organization-으로 시작합니다. 이 사용 권한이 부여되지 않으면 받는 서버에서 모든 조직 헤더를 제거합니다. |
ms-Exch-Accept-Headers-Forest |
이 사용 권한은 세션에서 모든 포리스트 헤더가 변경되지 않은 상태인 메시지를 전송할 수 있도록 허용합니다. 포리스트 헤더는 모두 X-MS-Exchange-Forest-로 시작합니다. 이 사용 권한이 부여되지 않으면 받는 서버에서 모든 포리스트 헤더를 제거합니다. |
ms-Exch-Accept-Exch50 |
이 사용 권한은 세션에서 XEXCH50 명령이 포함된 메시지를 전송할 수 있도록 허용합니다. 이 명령은 Exchange 2003과의 상호 운용성을 위해 필요합니다. XEXCH50 명령은 메시지에 대한 SCL(스팸 지수) 등의 데이터를 제공합니다. |
ms-Exch-Bypass-Message-Size-Limit |
이 사용 권한은 세션에서 커넥터에 대해 구성된 메시지 크기 제한을 초과하는 메시지를 전송할 수 있도록 허용합니다. |
Ms-Exch-Bypass-Anti-Spam |
이 사용 권한은 세션에서 스팸 방지 필터링을 무시할 수 있도록 허용합니다. |
로컬 네트워크 설정
EMC에서는 수신 커넥터에 대한 로컬 네트워크 설정을 사용하여 해당 전송 서버가 커넥터가 연결을 수락하는 IP 주소 및 포트를 지정합니다. 셸에서는 Bindings 매개 변수를 사용하여 수신 커넥터가 연결을 수락하는 전송 서버의 로컬 IP 주소 및 포트를 지정합니다. 이러한 설정은 수신 커넥터를 전송 서버의 특정 네트워크 어댑터 및 TCP 포트에 바인딩합니다.
기본적으로 수신 커넥터는 사용 가능한 모든 네트워크 어댑터와 TCP 포트 25를 사용하도록 구성됩니다. 전송 서버에 여러 개의 네트워크 어댑터가 있으면 수신 커넥터를 특정 네트워크 어댑터에 바인딩하거나 대체 포트를 통한 연결을 수락할 수 있습니다. 예를 들어 Edge 전송 서버의 단일 수신 커넥터가 외부 네트워크 어댑터를 통해 익명 연결을 수락하도록 구성할 수 있습니다. 또한 내부 네트워크 어댑터를 통해 허브 전송 서버로부터의 연결만 수락하도록 또 다른 수신 네트워크를 구성할 수 있습니다.
참고
수신 커넥터를 특정 로컬 IP 주소에 바인딩하도록 선택하는 경우 해당 IP 주소는 수신 커넥터가 있는 허브 전송 서버 또는 Edge 전송 서버에 대해 유효한 주소여야 합니다. 잘못된 로컬 IP 주소를 지정하면 Microsoft Exchange 전송 서비스를 다시 시작할 때 해당 서비스를 시작하지 못할 수도 있습니다. 수신 커넥터를 특정 IP 주소에 바인딩하는 대신 허브 전송 서버나 Edge 전송 서버에서 사용 가능한 모든 IP 주소에 수신 커넥터를 바인딩할 수 있습니다.
수신 커넥터 바인딩을 구성할 때 네트워크 어댑터의 IP 주소를 지정합니다. 수신 커넥터가 기본 포트 이외의 포트를 통해 연결을 수락하도록 구성되면 송신 클라이언트나 서버는 해당 포트로 전송하도록 구성되어야 하며 메시지 보낸 사람 및 수신 서버 간의 모든 방화벽은 해당 포트를 통한 네트워크 트래픽을 허용해야 합니다.
EMC의 새 SMTP 수신 커넥터 마법사에 있는 로컬 네트워크 설정 페이지에는 이 커넥터에서 HELO 또는 EHLO에 응답하는 FQDN 지정 옵션이 포함되어 있습니다. 셸에서는 Fqdn 매개 변수와 함께 Set-ReceiveConnector cmdlet을 사용하여 이 속성을 설정합니다. SMTP 세션이 설정되면 송신 전자 메일 서버와 수신 전자 메일 서버 간에 SMTP 프로토콜 대화가 시작됩니다. 송신 전자 메일 서버나 클라이언트는 EHLO 또는 HELO SMTP 명령과 해당 FQDN을 수신 서버로 전송합니다. 응답 시 수신 서버는 코드를 보내고 자체의 FQDN을 제공합니다. Exchange 2010에서 수신 커넥터에 대해 이 속성을 구성할 경우 받는 서버에서 제공되는 FQDN을 사용자 지정할 수 있습니다. 다음 예에서와 같이 대상 서버 이름이 필요할 때마다 FQDN 값이 연결된 메시징 서버에 표시됩니다.
수신 커넥터의 기본 SMTP 배너 내
메시지가 허브 전송 서버 또는 Edge 전송 서버로 들어갈 때 받는 메시지의 최신
Received:헤더 필드 내TLS 인증 시
참고
허브 전송 서버에 자동으로 만들어지는 기본 수신 커넥터 Default <서버 이름>의 FQDN 값은 수정하지 마십시오. Exchange 조직에 허브 전송 서버가 여러 개 있는 경우 Default <서버 이름> 수신 커넥터의 FQDN 값을 변경하면 허브 전송 서버 간의 내부 메일 흐름에서 오류가 발생합니다.
원격 네트워크 설정
EMC에서는 수신 커넥터에 대한 원격 네트워크 설정을 사용하여 해당 수신 커넥터가 연결을 수락하는 IP 주소 범위를 지정합니다. 셸에서는 RemoteIPRanges 매개 변수를 사용하여 해당 수신 커넥터가 연결을 수락하는 IP 주소 범위를 지정할 수 있습니다. 기본적으로 수신 커넥터는 0.0.0.0–255.255.255.255로부터의 연결 또는 모든 IP 주소로부터의 연결을 허용하는 허브 전송 서버 및 Edge 전송 서버에 만들어집니다.
참고
Exchange 2010에서 IPv6 주소 범위 0000:0000:0000:0000:0000:0000:0.0.0.0-ffff:ffff:ffff:ffff:ffff:ffff:255.255.255.255는 허브 전송 서버의 기본 수신 커넥터에도 존재합니다.
특정 시나리오에 대해 수신 커넥터를 구성할 경우 원격 네트워크 설정을 수신 커넥터에 대한 사용 권한 및 구성 설정이 허용된 서버의 IP 주소로만 설정하십시오. 하나의 범위가 다른 범위와 완전하게 겹쳐지는 경우에는 여러 수신 커넥터에 겹치는 원격 IP 주소 범위가 있을 수 있습니다. 원격 IP 주소 범위가 겹치는 경우 연결 서버의 IP 주소와 가장 일치하는 원격 IP 주소 범위가 사용됩니다.
수신 커넥터가 인바운드 연결을 수락할 원격 서버에 대한 IP 주소 또는 IP 주소 범위는 다음 형식 중 하나로 입력됩니다.
IP 주소 192.168.1.1
IP 주소 범위 192.168.1.10-192.168.1.20
서브넷 마스크가 있는 IP 주소 192.168.1.0(255.255.255.0)
CIDR(Classless Interdomain Routing) 표기법을 사용한 서브넷 마스크가 있는 IP 주소 192.168.1.0/24
수신 커넥터 인증 설정
EMC에서는 수신 커넥터에 대한 인증 설정을 사용하여 Exchange 2010 전송 서버에서 지원하는 인증 메커니즘을 지정합니다. 셸에서는 AuthMechanisms 매개 변수를 사용하여 지원되는 인증 메커니즘을 지정합니다. 수신 커넥터에 대해 두 개 이상의 인증 메커니즘을 구성할 수 있습니다. 각 사용 유형에 대해 자동으로 구성된 인증 메커니즘은 이 항목의 앞부분에 있는 "수신 커넥터 사용 유형" 표를 참조하십시오. 다음 표는 수신 커넥터에 대해 사용 가능한 인증 메커니즘을 보여줍니다.
수신 커넥터 인증 메커니즘
| 인증 메커니즘 | 설명 |
|---|---|
없음 |
인증이 없습니다. |
TLS |
보급 STARTTLS. TLS를 제공하기 위해 서버 인증서를 사용할 수 있어야 합니다. |
Integrated |
NTLM 및 Kerberos(Windows 통합 인증) |
BasicAuth |
기본 인증. 인증된 로그온이 필요합니다. |
BasicAuthRequireTLS |
TLS를 통한 기본 인증. 서버 인증서가 필요합니다. |
ExchangeServer |
Exchange 서버 인증(GSSAPI(Generic Security Services Application Programming Interface) 및 상호 GSSAPI). |
ExternalAuthoritative |
연결은 Exchange 외부의 보안 메커니즘을 사용하여 외부에서 보안이 유지되는 것으로 간주됩니다. 연결은 IPsec(인터넷 프로토콜 보안) 연결 또는 VPN(가상 사설망)일 수 있습니다. 또는 서버가 실제로 제어되는 신뢰된 네트워크에 상주할 수 있습니다. |
추가 수신 커넥터 속성
수신 커넥터에 대한 속성 구성은 해당 커넥터를 통해 전자 메일이 수신되는 방식을 정의합니다. 일부 속성은 EMC에서 사용할 수 없습니다. 셸을 사용하여 구성할 수 있는 속성에 대한 자세한 내용은 Set-ReceiveConnector를 참조하십시오.
익명 릴레이에 수신 커넥터 사용
인터넷 SMTP 메시징 서버의 익명 릴레이는 원치 않는 상업용 전자 메일을 보내는 또는 스팸 발송자가 메시지 출처를 숨기는 수단으로 이용할 수 있는 심각한 보안 취약점이 됩니다. 따라서 인터넷 연결 메시징 서버가 허가되지 않은 대상으로 릴레이하지 않도록 제한해야 합니다.
Exchange 2010에서 릴레이는 일반적으로 허용 도메인을 사용하여 처리됩니다. 허용 도메인은 Edge 전송 서버나 허브 전송 서버에 구성됩니다. 이러한 허용 도메인은 추가적으로 내부 릴레이 도메인 또는 외부 릴레이 도메인으로 분류됩니다. 허용 도메인에 대한 자세한 내용은 허용 도메인 이해를 참조하십시오.
들어오는 메시지의 원본을 기반으로 익명 릴레이를 제한할 수도 있습니다. 이 방법은 인증되지 않은 응용 프로그램 또는 메시징 서버가 허브 전송 서버나 Edge 전송 서버를 릴레이 서버로 사용해야 할 때 유용합니다.
익명 릴레이를 허용하도록 구성된 수신 커넥터를 만들 때는 수신 커넥터에 다음 제한을 적용해야 합니다.
로컬 네트워크 설정 허브 전송 서버나 Edge 전송 서버의 해당 네트워크 어댑터에서만 수신하도록 수신 커넥터를 제한합니다.
원격 네트워크 설정 지정된 서버에서의 연결만 수락하도록 수신 커넥터를 제한합니다. 이러한 제한은 수신 커넉터가 익명 사용자로부터의 릴레이를 수락하도록 구성되기 때문에 필요합니다. 이 수신 커넥터에서는 원본 서버를 IP 주소별로 제한하는 것이 유일하게 허용되는 보안 방법입니다.
수신 커넥터의 익명 사용자에게 릴레이 권한을 부여하려면 이 항목의 뒷부분에 설명된 전략 중 하나를 사용할 수 있습니다. 각 전략에는 장단점이 있습니다. 두 가지 접근 방식 모두에 대한 단계별 지침은 수신 커넥터에서 익명 릴레이 허용을 참조하십시오.
익명 연결에 릴레이 권한 부여
이 전략에는 다음 작업이 포함됩니다.
사용 유형이
Custom으로 설정된 수신 커넥터를 만듭니다.익명 권한 그룹을 수신 커넥터에 추가합니다.
수신 커넥터의 익명 로그온 보안 주체에 릴레이 권한을 할당합니다.
익명 권한 그룹은 수신 커넥터의 익명 로그온 보안 주체에 다음 권한을 부여합니다.
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
그러나 이 수신 커넥터에서 익명 릴레이를 허용하려면 수신 커넥터의 익명 로그온 보안 주체에 다음 권한도 부여해야 합니다.
- Ms-Exch-SMTP-Accept-Any-Recipient
이 전략의 장점은 지정된 원격 IP 주소로의 릴레이에 필요한 최소 사용 권한을 부여한다는 것입니다.
이 전략의 단점은 다음과 같습니다.
필요한 권한을 부여하려면 추가 구성 단계를 수행해야 합니다.
지정된 IP 주소에서 시작된 메시지는 익명 메시지로 취급됩니다. 따라서 해당 메시지는 스팸 방지 검사 및 메시지 크기 제한 검사를 무시할 수 없으며 익명 보낸 사람을 확인할 수 없습니다. 익명 보낸 사람을 확인하는 프로세스에서는 익명 보낸 사람의 전자 메일 주소와 GAL(전체 주소 목록)에 나타나는 해당 표시 이름이 일치하는지 강제로 검사합니다.
수신 커넥터를 외부 보안으로 구성
이 전략에는 다음 작업이 포함됩니다.
사용 유형이
Custom으로 설정된 수신 커넥터를 만듭니다.ExchangeServers 사용 권한 그룹을 수신 커넥터에 추가합니다.
ExternalAuthoritative인증 메커니즘을 수신 커넥터에 추가합니다.
ExternalAuthoritative 인증 메커니즘을 선택할 때는 ExchangeServers 사용 권한 그룹이 필요합니다. 이와 같은 인증 방법 및 사용 권한 그룹 조합은 수신 커넥터에서 허용된 모든 들어오는 연결에 대해 다음 사용 권한을 부여합니다.
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
Ms-Exch-Accept-Exch50
Ms-Exch-Bypass-Anti-Spam
Ms-Exch-Bypass-Message-Size-Limit
Ms-Exch-SMTP-Accept-Any-Recipient
Ms-Exch-SMTP-Accept-Authentication-Flag
이 전략의 장점은 다음과 같습니다.
쉬운 구성
지정된 IP 주소에서 시작된 메시지는 인증된 메시지로 취급됩니다. 해당 메시지는 스팸 방지 검사와 메시지 크기 제한 검사를 무시하고 익명 보낸 사람을 인증할 수 있습니다.
이 전략의 단점은 원격 IP 주소가 완전히 신뢰할 수 있는 것으로 간주된다는 것입니다. 원격 IP 주소에 부여된 사용 권한은 원격 메시징 서버가 마치 Exchange 조직의 내부 보낸 사람이 만든 것처럼 메시지를 전송할 수 있도록 합니다.
Exchange 2010 서비스 팩 1의 새로운 기능
Exchange Server 2010 SP1(서비스 팩 1)의 수신 커넥터에 새로운 기능이 추가되었습니다. 이 섹션에서는 이러한 새로운 기능을 간략하게 설명합니다.
Bare 줄 바꿈 제어
메일 서버는 SMTP 세션을 설정할 때 SMTP 명령을 실행하여 메시지를 보냅니다. 보낸 사람 및 받는 사람 정보를 지정한 후 보내는 서버가 DATA 명령을 사용하여 메시지 콘텐츠를 전송합니다. DATA 명령을 실행한 후 전송되는 콘텐츠를 데이터 스트림이라고 합니다. 데이터 스트림은 CRLF(캐리지 리턴 줄 바꿈), 마침표 및 다른 CRLF로 구성된 특수 문자 시퀀스로 종료됩니다.
바로 앞에 CR(캐리지 리턴) 문자가 없는 LF(줄 바꿈) 문자를 Bare 줄 바꿈이라고 합니다. Bare 줄 바꿈은 SMTP 통신에서 허용되지 않습니다. Bare 줄 바꿈이 포함된 메시지가 성공적으로 배달될 수는 있지만 해당 메시지가 SMTP 프로토콜 표준을 따르지 않으므로 메시징 서버에 문제가 발생할 수 있습니다.
Exchange 2010 SP1에서는 데이터 스트림에 Bare 줄 바꿈이 포함된 모든 메시지를 거부하도록 수신 커넥터를 구성할 수 있습니다. 이 동작은 Set-ReceiveConnector cmdlet의 BareLineFeedRejectionEnabled 매개 변수로 제어됩니다. 기본적으로 이 설정은 이전 버전과의 호환성을 유지하기 위해 사용하지 않도록 설정됩니다. 이 매개 변수 구성에 대한 자세한 내용은 Set-ReceiveConnector를 참조하십시오.
확장된 보호 기능
Windows는 암호화된 채널을 통해 NTLM 인증을 인증 릴레이 공격으로부터 보호하기 위한 채널 바인딩을 제공합니다. Exchange 2010에서 Exchange가 제공하는 모든 서비스는 인증에 대한 확장된 보호를 지원하도록 업데이트되었습니다. 전송 서버에서 이 기능을 지원하기 위해 수신 커넥터가 업데이트되었습니다. 수신 커넥터에서 인증에 대한 확장된 보호를 허용하거나 요청하거나 사용하지 않도록 설정할 수 있습니다.
Set-ReceiveConnector cmdlet의 ExtendedProtectionPolicy 및 ExtendedProtectionTlsTerminatedAtProxy 매개 변수를 사용하여 전송 서버가 확장된 보호를 처리하는 방식을 제어할 수 있습니다. 확장된 보호를 허용하거나 요구하도록 수신 커넥터를 구성할 수 있습니다. 확장된 보호가 필요하도록 수신 커넥터를 구성하면 확장된 보호를 지원하지 않는 호스트에서 들어오는 모든 연결이 거부됩니다. 이전 버전과의 호환성을 유지하기 위해 확장된 보호는 기본적으로 사용되지 않습니다. 수신 커넥터의 확장된 보호 구성에 대한 자세한 내용은 Set-ReceiveConnector를 참조하십시오.
확장된 보호에 대한 자세한 내용은 다음 리소스를 참조하십시오.
Microsoft 기술 자료 문서 973811, Microsoft 보안 공지: 인증에 대한 확장된 보호
MSDN 라이브러리 항목, 확장된 보호가 포함된 Windows 통합 인증(영문)
© 2010 Microsoft Corporation. 모든 권리 보유.