Noções Básicas Sobre Conectores de Recebimento
Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Tópico modificado em: 2016-11-28
Conectores de recebimento são configurados em computadores que estejam executando o MicrosoftExchange Server 2010 e que tenham a função de servidor de Transporte de Hub ou de Transporte de Borda instalada. Os conectores de recebimento representam um gateway lógico por meio do qual todas as mensagens de entrada são recebidas. Este tópico fornece uma visão geral sobre os conectores de recebimento e como a configuração dos conectores de recebimento afeta o processamento individual de mensagens.
Visão geral dos conectores de recebimento
Os servidores de transporte do Exchange 2010 exigem conectores de recebimento para receber mensagens da Internet, de clientes de email e de outros servidores de email. Um conector de recebimento controla as conexões de entrada da organização do Exchange. Por padrão, os conectores de recebimento necessários para o fluxo de mensagens internas são criados automaticamente quando a função de servidor Transporte de Hub é instalada. O conector de recebimento capaz de receber mensagens da Internet e de servidores de Transporte de Hub é criado automaticamente quando a função de servidor de Transporte de Borda é instalada. No entanto, o fluxo de mensagens ponto a ponto só será possível depois que o servidor de Transporte de Borda tiver sido inscrito no site do Active Directory usando o processo de Inscrição de Borda. Outros cenários, como um servidor de Transporte de Hub voltado para a Internet ou um servidor de Transporte de Borda não inscrito, exigem configuração manual do conector para estabelecer o fluxo de mensagens ponto a ponto.
No Exchange 2010, o conector de recebimento é uma escuta de recebimento. Isso significa que o conector escuta as conexões de entrada que correspondem às configurações do conector de recebimento. Um conector de recebimento escuta conexões recebidas por uma determinada porta e endereço IP local e de um intervalo de endereços IP especificado. Você cria conectores de recebimento quando quer controlar quais servidores recebem mensagens de um determinado endereço IP ou intervalo de endereços IP, e quando você deseja configurar propriedades especiais do conector para mensagens que são recebidas de um determinado endereço IP, como um tamanho de mensagem maior, mais destinatários por mensagem ou mais conexões de entrada.
Os conectores de recebimento têm escopo para um único servidor e determinam como esse servidor específico escuta as conexões. Quando você cria um conector de recebimento em um servidor de Transporte de Hub, o conector de recebimento é armazenado no Active Directory como um objeto filho do servidor em que ele é criado. Ao criar um conector de recebimento em um servidor de Transporte de Borda, o conector de recebimento é armazenado nos serviços AD LDS.
Se precisar de conectores de recebimento adicionais para situações específicas, você poderá criá-los usando o EMC (Console de Gerenciamento do Exchange) ou o Shell de Gerenciamento do Exchange. Cada conector de recebimento deve usar uma combinação exclusiva de ligações de endereço IP, atribuições de número de porta e intervalos de endereços IP remotos nos quais as mensagens serão aceitas pelo conector.
Conectores de recebimento padrão criados durante a instalação
Alguns conectores de recebimento são criados por padrão quando você instala uma função de servidor de Transporte de Hub ou de Transporte de Borda.
Conectores de recebimento padrão criados em um servidor de Transporte de Hub
Quando você instala a função de servidor de Transporte de Hub, dois conectores de recebimento são criados. Não são necessários mais conectores de recebimento para a operação típica, e na maioria dos casos os conectores de recebimento padrão não exigem mudanças na configuração. O tipo de uso e a configuração desses conectores são descritos na tabela a seguir.
Configuração dos conectores de recebimento padrão nos servidores de Transporte de Hub
| Nome do conector e tipo de uso | Configuração |
|---|---|
Nome de servidor do cliente Este conector de Recebimento aceita conexões SMTP de todos os clientes que não são MAPI, como POP e IMAP. |
|
Nome de Servidor Padrão Este conector de Recebimento aceita conexões de outros servidores de Transporte de Borda e de quaisquer servidores de Transporte de Borda que você tiver. |
|
Dica
É necessário que o método de autenticação do Exchange Server esteja atribuído a todos os conectores de Recebimento responsáveis por aceitar conexões de servidores de Transporte de Borda ou outros servidores de Transporte de Hub. O método de autenticação do Exchange Server é o método de autenticação padrão quando você cria um conector de recebimento com o tipo de uso Interno.
Conector de recebimento padrão criado em um servidor de Transporte de Borda
Durante a instalação, um conector de recebimento é criado. Esse conector de recebimento é configurado para aceitar comunicação SMTP de todos os intervalos de endereços IP e está ligado a todos os endereços IP do servidor local. Ele está configurado para ter o tipo de uso Internet, e por isso, o conector aceita conexões anônimas. Em uma instalação típica, não são necessários conectores de recebimento adicionais. Caso você use o EdgeSync, não será necessário fazer alterações na configuração, porque o processo de Inscrição de Borda configura automaticamente permissões e mecanismos de autenticação. Sessões anônimas e autenticadas recebem conjuntos de permissões diferentes.
Se você não usar o EdgeSync, é recomendável que modifique as configurações do conector de recebimento e crie um conector de recebimento adicional do tipo de uso Interno. Para concluir a configuração do conector de recebimento, siga estas etapas:
Modificar as configurações do conector de recebimento padrão Defina as ligações de rede local para o endereço IP do adaptador de rede voltado para a Internet apenas.
Criar um conector de recebimento Selecione Interna como o tipo de uso do conector. Defina as ligações de rede local para o endereço IP do adaptador de rede voltado para a organização apenas. Defina as configurações de rede remota para receber emails de endereços IP remotos atribuídos a servidores de Transporte de Hub.
Dica
É necessário que o método de autenticação do Exchange Server esteja atribuído a todos os conectores de Recebimento responsáveis por aceitar conexões de servidores de Transporte de Borda ou outros servidores de Transporte de Hub. O método de autenticação do Exchange Server é o método de autenticação padrão quando você cria um conector de recebimento com o tipo de uso Interno.
Determinar se a autenticação Básica é desejada Se quiser oferecer suporte à autenticação Básica, crie uma conta de usuário local e conceda as permissões necessárias usando o cmdlet Add-ADPermission.
Para mais informações, consulte Configurar o fluxo de emails entre um Servidor de Transporte de Borda e Servidores de Transporte de Hub sem utilizar o EdgeSync.
Tipos de uso do conector de recebimento
O tipo de uso determina as configurações de segurança padrão do conector.
As configurações de segurança de um conector de recebimento especifica as permissões concedidas às sessões que se conectam ao conector de recebimento e aos mecanismos de autenticação aceitos.
Quando você usa o EMC para configurar um conector de recebimento, o assistente de Novo Conector de Recebimento SMTP solicita que você selecione o tipo de uso desse conector. Você pode usar dois métodos diferentes para especificar o tipo de uso:
Use o parâmetro Usage com o valor desejado, como Usage
Custom. Há outros parâmetros necessários baseados no tipo de utilização especificado. Se você não especificar os parâmetros necessários no comando New-ReceiveConnector, o comando retornará uma falha.Use o parâmetro de opção para o tipo de uso desejado, como Custom. Há outros parâmetros necessários baseados no tipo de utilização especificado. Se você não especificar os parâmetros necessários no comando New-ReceiveConnector, você será solicitado a inserir os valores do parâmetro ausente para que o comando possa continuar.
Grupos de Permissões
Um grupo de permissões é um conjunto predefinido de permissões concedidas para entidades de segurança conhecidas e atribuídas a um conector de recebimento. Entidades de segurança incluem usuários, computadores e grupos de segurança. Uma entidade de segurança é identificada por um SID (identificador de segurança). Grupos de permissões estão disponíveis apenas para conectores de recebimento. O uso de grupos de permissões simplifica a configuração de permissões em conectores de recebimento. A propriedade PermissionGroups define os grupos ou funções que podem enviar mensagens ao conector de recebimento e as permissões que são atribuídas a esses grupos. O conjunto de grupos de permissão predefinido em Exchange 2010. Isso significa que não é possível criar grupos de permissão adicionais. Além disso, você não pode modificar os membros do grupo de permissões ou as permissões associadas.
A tabela a seguir lista os grupos de permissões disponíveis e identifica as entidades de segurança e as permissões concedidas quando o grupo de permissão é configurado para um conector de recebimento.
Grupos de permissões do conector de recebimento
| Nome do grupo de permissões | Entidades de segurança associadas (SIDs) | Permissões concedidas |
|---|---|---|
Anônimo |
Conta de usuário anônimo |
|
ExchangeUsers |
Contas de usuários autenticados |
|
ExchangeServers |
|
|
ExchangeLegacyServers |
Grupo de segurança Interop Herdado do Exchange |
|
Parceiro |
Conta do servidor parceiro |
|
Tipos de uso do conector de recebimento
O tipo de uso determina os grupos de permissão padrão que são atribuídos ao conector de recebimento e os mecanismos de autenticação padrão disponíveis para a autenticação da sessão. Um conector de recebimento sempre responde a uma solicitação de um remetente para usar TLS. A tabela a seguir descreve os tipos de uso disponíveis e as configurações padrão.
Tipos de uso do conector de recebimento
| Tipo de uso | Grupos de permissões padrão | Mecanismo de autenticação padrão |
|---|---|---|
Cliente (não disponível em servidores de Transporte de Borda) |
ExchangeUsers |
TLS Autenticação básica mais TLS Autenticação Integrada do Windows |
Personalizar |
Nenhum |
Nenhum |
Interno |
ExchangeServers ExchangeLegacyServers (Esse grupo de permissão não está disponível em servidores de Transporte de Borda) |
Autenticação do Exchange Server |
Internet |
AnonymousUsers Parceiro |
Nenhum ou protegido externamente. |
Parceiro |
Parceiro |
Não se aplica. Este tipo de uso é selecionado quando você estabelece TLS mútuo com um domínio remoto. |
As permissões do conector de recebimento e os mecanismos de autenticação serão discutidos posteriormente neste tópico.
Situações de uso do conector de recebimento
Cada tipo de uso é adequado a um cenário de conexão específico. Selecione o tipo de uso que tenha as configurações padrão mais aplicáveis à configuração desejada. Você pode modificar permissões com os cmdlets Add-ADPermission e Remove-ADPermission. Para obter mais informações, consulte os seguintes tópicos:
A tabela a seguir lista os cenários comuns de conexão e o tipo de uso de cada cenário.
Situações de uso do conector de recebimento
| Cenário de conector | Tipo de uso | Comentário |
|---|---|---|
Servidor de Transporte de Borda recebendo email da Internet |
Internet |
Um conector de recebimento configurado para aceitar email de todos os domínios é criado automaticamente quando a função de servidor de Transporte de Borda é instalada. |
Servidor de Transporte de Hub recebendo email da Internet |
Internet |
Essa não é uma configuração recomendada. Para mais informações, consulte Configurar o Fluxo de Mensagens da Internet Diretamente por meio de um Servidor de Transporte de Hub. |
Servidor de Transporte de Borda recebendo email de um servidor bridgehead do Exchange Server 2003 |
Interno |
Nessa situação, o servidor bridgehead do Exchange 2003 está configurado para usar o servidor de Transporte de Borda como um host inteligente para um conector de envio. |
Servidor de Transporte de Hub recebendo envios de email de um aplicativo cliente que usa POP3 ou IMAP4 |
Cliente |
Este conector de recebimento é criado automaticamente em todos os servidores de Transporte de Hub quando a função é instalada. Por padrão, o conector de recebimento é configurado para receber email pela porta TCP 587. |
Servidor de Transporte de Hub recebendo email de um servidor de Transporte de Hub |
Interno |
Você não precisa configurar os conectores de recebimento entre os servidores de Transporte de Hub na mesma organização. Esse tipo de uso pode ser utilizado para configurar um conector de recebimento entre florestas. |
Servidor de Transporte de Borda recebendo email de um servidor bridgehead do Exchange 2003 na mesma floresta |
Interno |
Essa é uma configuração opcional. O transporte entre o Exchange 2010 e as versões anteriores do Exchange é feito por meio de conectores de grupo de roteamento bidirecional. Se você criar conectores SMTP para grupos de roteamento do Exchange 2003, um conector de grupo de roteamento também deverá existir. Para mais informações, consulte Criar conectores de grupo de roteamento adicionais do Exchange 2010 para o Exchange 2003. |
Servidor de Transporte de Borda recebendo email de um Servidor de Transporte de Hub |
Interno |
Um conector de recebimento configurado para aceitar email de todos os domínios é criado automaticamente quando a função de servidor de Transporte de Borda é instalada. Você pode criar outro conector e configurá-lo para receber email apenas da organização do Exchange. |
Conector de recebimento entre florestas para um servidor de Transporte de Hub em uma floresta recebendo emails de um servidor de Transporte de Hub em uma segunda floresta |
Personalizada |
Para obter etapas de configuração detalhadas, consulte Configurar conectores entre florestas. |
Conector de recebimento entre florestas para um servidor de Transporte de Hub em uma floresta recebendo email de um servidor bridgehead do Exchange 2003 em uma segunda floresta |
Personalizada |
Para obter etapas de configuração detalhadas, consulte Configurar conectores entre florestas. |
Servidor de Transporte de Hub recebendo email de um MTA (agente de transferência de mensagens) de terceiros |
Interno |
Especifique o intervalo de endereços IP de onde as mensagens serão aceitas e defina o mecanismo de autenticação como Autenticação básica ou Protegido Externamente. |
Servidor de Transporte de Borda recebendo email de um MTA de terceiros |
Personalizada |
Use o cmdlet Add-ADPermission para definir os direitos estendidos. Especifique o intervalo de endereços IP de onde as mensagens serão aceitas e defina o mecanismo de autenticação como Autenticação básica. Você também pode selecionar o tipo de uso e definir Protegido Externamente como método de autenticação. Nenhuma configuração de permissões adicional é necessária se você selecionar essa opção. |
Servidor de Transporte de Borda recebendo email de um domínio de retransmissão externo |
Personalizada |
O servidor de Transporte de Borda pode aceitar email de um domínio de retransmissão externo e retransmitir para o domínio do destinatário de destino. Especifique o intervalo de endereços IP no qual as mensagens serão aceitas, defina o mecanismo de autenticação adequado e use o cmdlet Add-ADPermission para definir os direitos estendidos. |
Servidor de Transporte de Borda recebendo email de um domínio para o qual você estabeleceu autenticação de TLS mútua |
Parceiro |
A autenticação mútua de TLS funcionará corretamente apenas se as seguintes condições forem verdadeiras:
Para mais informações, consulte Set-ReceiveConnector. |
Servidor de Transporte de Borda recebendo conexões do servidor dos Serviços Hospedados do Microsoft Exchange |
Personalizada |
Os Serviços Hospedados do Exchange podem atuar como um servidor autoritativo externamente. Para usar o mecanismo de autenticação Protegido Externamente, use o cmdlet Set-ReceiveConnector para definir o parâmetro PermissionGroup como |
Servidor de Transporte de Hub recebendo conexões de um servidor de Serviços Hospedados do Exchange |
Personalizada |
Os Serviços Hospedados do Exchange podem atuar como um servidor autoritativo externamente. Para usar o mecanismo de autenticação Protegido Externamente, use o cmdlet Set-ReceiveConnector para definir o parâmetro PermissionGroup como |
Permissões do conector de recebimento
As permissões do conector de recebimento são atribuídas às entidades de segurança quando você especifica os grupos de permissão do conector. Quando uma entidade de segurança estabelece uma sessão com um conector de recebimento, as permissões do conector de recebimento determinam se a sessão é aceita e como as mensagens recebidas são processadas. A tabela a seguir descreve as permissões de um conector de recebimento que podem ser atribuídas a entidades de segurança. É possível definir permissões do conector de recebimento usando o EMC ou usando o parâmetro PermissionGroups com o cmdletSet-ReceiveConnector no Shell. Para modificar as permissões padrão de um conector de recebimento, você também pode usar o cmdlet Add-ADPermission.
Permissões do conector de recebimento
| Permissão do conector de recebimento | Descrição |
|---|---|
ms-Exch-SMTP-Submit |
Essa permissão deve ser concedida para a sessão ou ela não poderá enviar mensagens ao conector de recebimento. Se uma sessão não tiver essa permissão, os comandos MAIL FROM e AUTH falharão. |
ms-Exch-SMTP-Accept-Any-Recipient |
Essa permissão autoriza a sessão a retransmitir mensagens por meio desse conector. Se essa permissão não for concedida, somente mensagens endereçadas a destinatários em domínios aceitos serão aceitas por esse conector. |
ms-Exch-SMTP-Accept-Any-Sender |
Essa permissão autoriza a sessão a ignorar a verificação de falsificação de endereço do remetente. |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
Essa permissão permite que os remetentes tenham endereços de email em domínios autoritativos para estabelecer uma sessão com esse conector de recebimento. |
ms-Exch-SMTP-Accept-Authentication-Flag |
Essa permissão permite que os servidores do Exchange 2003 enviem mensagens de remetentes internos. O Exchange 2010 reconhecerá as mensagens como sendo internas. O remetente pode declarar a mensagem como confiável. As mensagens que entram no sistema do Exchange por meio de envios anônimos serão retransmitidas pela organização do Exchange com esse sinalizador em um estado não confiável. |
ms-Exch-Accept-Headers-Routing |
Essa permissão autoriza a sessão a enviar uma mensagem que tenha todos os cabeçalhos recebidos intactos. Se essa permissão não for concedida, o servidor removerá todos os cabeçalhos recebidos. |
ms-Exch-Accept-Headers-Organization |
Essa permissão autoriza a sessão a enviar uma mensagem que tenha todos os cabeçalhos da organização intactos. Todos os cabeçalhos da organização começam com X-MS-Exchange-Organization-. Se essa permissão não for concedida, o servidor de recebimento removerá todos os cabeçalhos da organização. |
ms-Exch-Accept-Headers-Forest |
Essa permissão autoriza a sessão a enviar uma mensagem que tenha todos os cabeçalhos da floresta intactos. Todos os cabeçalhos de floresta começam com X-MS-Exchange-Forest-. Se essa permissão não for concedida, o servidor de recebimento removerá todos os cabeçalhos de floresta. |
ms-Exch-Accept-Exch50 |
Essa permissão autoriza a sessão a enviar uma mensagem que contenha o comando XEXCH50. Esse comando é necessário para interoperabilidade com o Exchange 2003. O comando XEXCH50 fornece dados como o SCL (nível de confiança de spam) para a mensagem. |
ms-Exch-Bypass-Message-Size-Limit |
Essa permissão autoriza a sessão a enviar uma mensagem que exceda a restrição de tamanho da mensagem configurada para o conector. |
Ms-Exch-Bypass-Anti-Spam |
Essa permissão permite que a sessão ignora a filtragem anti-spam. |
Configurações de Rede Local
No EMC, você usa as configurações de rede local de um conector de recebimento para especificar o endereço IP e a porta pela qual o servidor de transporte aceita conexões. No Shell, use o parâmetro Bindings para especificar o endereço IP local e a porta do servidor de transporte pela qual o conector de recebimento aceita conexões. Essas configurações ligam o conector de recebimento a um determinado adaptador de rede e porta TCP do servidor de transporte.
Por padrão, um conector de recebimento é configurado para usar todos os adaptadores de rede disponíveis e a porta TCP 25. Caso um servidor de transporte tenha vários adaptadores de rede, talvez você deseje que um conector de recebimento seja ligado a um determinado adaptador de rede ou aceite conexões por meio de uma porta alternativa. Por exemplo, talvez você deseje configurar um conector de recebimento no servidor de Transporte de Borda para aceitar conexões anônimas por meio de um adaptador de rede externa. Um segundo conector de recebimento pode ser configurado para aceitar conexões apenas dos servidores de Transporte de Hub por meio do adaptador de rede interno.
Dica
Se você escolher ligar um conector de recebimento a um IP local específico, este endereço de IP deverá ser válido para o servidor de Transporte de Hub ou de Transporte de Borda em que o conector de recebimento estiver localizado. Se você especificar um endereço IP local inválido, o serviço de Transporte do Microsoft Exchange poderá não iniciar quando o serviço for reiniciado. Em vez de ligar o conector de recebimento a um endereço IP específico, é possível ligar o conector a todos os endereços IP disponíveis no servidor de Transporte de Hub ou de Transporte de Borda.
Especifique o endereço IP do adaptador de rede ao configurar as ligações do conector de recebimento. Se o conector de recebimento estiver configurado para aceitar as conexões por uma porta diferente da padrão, o servidor ou cliente de envio devem estar configurados para enviar para essa porta e todos os firewalls entre o remetente da mensagem e o servidor de destino devem permitir o tráfego na rede por essa porta.
A página de Configurações de Rede Local do Assistente de Novo Conector de Recebimento SMTP do EMC contém uma opção para Especificar o FQDN que esse conector fornecerá em resposta ao HELO ou EHLO. No Shell, essa propriedade é definida usando o parâmetro Fqdn com o cmdlet Set-ReceiveConnector. Após uma sessão SMTP ter sido estabelecida, uma conversa do protocolo SMTP é iniciada entre um servidor de envio de email e um servidor de recebimento de email. O servidor de envio de email ou o cliente enviam o comando SMTP EHLO ou HELO e o seu FQDN para o servidor de recebimento. Em resposta, o servidor de destino envia um código de sucesso e fornece seu próprio FQDN. No Exchange 2010, é possível personalizar o FQDN fornecido pelo servidor de recebimento se você configurar essa propriedade em um conector de recebimento. O valor do FQDN é exibido para servidores de mensagens conectados sempre que um nome de servidor de destino for requisitado, como nos exemplos a seguir:
No banner SMTP padrão do conector de recebimento.
No campo de cabeçalho
Received:mais recente da mensagem de entrada quando a mensagem entra no servidor de Transporte de Hub ou de Transporte de Borda.Durante a autenticação TLS
Dica
Não modifique o valor do FQDN no Conector de recebimento padrão chamado <Nome do Servidor> Padrão, criado automaticamente em servidores de Transporte de Hub. Se você tiver vários servidores de Transporte de Hub em sua organização do Exchange e alterar o valor do FQDN no Conector de recebimento do “<Nome do Servidor> Padrão”, o fluxo interno de mensagens entre os servidores de Transporte de Hub falhará.
Configurações de rede remota
No EMC, você usa as configurações de rede remota de um conector de recebimento para especificar os intervalos do endereços IP dos quais esse conector de recebimento aceita as conexões. No Shell, você usa o parâmetro RemoteIPRanges para especificar os intervalos de endereço IP nos quais esse conector de recebimento aceita conexões. Por padrão, os conectores de recebimento são criados nos servidores de Transporte de Hub e nos servidores de Transporte de Borda que permitem conexões de 0.0.0.0–255.255.255.255, ou de todos os endereços IP.
Dica
No Exchange 2010, o intervalo de endereços IPv6 0000:0000:0000:0000:0000:0000:0.0.0.0–ffff:ffff:ffff:ffff:ffff:ffff:255.255.255.255 também existe nos conectores de recebimento padrão em um servidor de Transporte de Hub.
Se você estiver configurando um conector de recebimento para uma situação específica, defina as configurações da rede remota apenas dos endereços IP dos servidores que devem ter as permissões e configurações do conector de recebimento. Vários conectores de recebimento podem ter intervalos de endereços IP remotos sobrepostos, desde que um intervalo seja completamente sobreposto por outro. Quando intervalos de endereços IP remotos se sobrepõem, o intervalo de endereços IP remotos com a correspondência mais específica ao endereço IP do servidor de conexão é usado.
O endereço IP ou intervalo de endereços IP dos servidores remotos dos quais o conector de recebimento aceitará conexões de entrada é inserido em um dos seguintes formatos:
Endereço IP 192.168.1.1
Intervalo de endereços IP 192.168.1.10-192.168.1.20
Endereço IP com máscara de sub-rede 192.168.1.0(255.255.255.0)
Endereço IP com máscara de sub-rede usando a notação CIDR (Roteamento entre Domínios sem Classe) 192.168.1.0/24
Configurações da autenticação do conector de recebimento
No EMC, você usa as configurações de autenticação do conector de recebimento para especificar os mecanismos de autenticação que têm suporte do serviço de transporte do Exchange 2010. No Shell, você usa o parâmetro AuthMechanisms para especificar os mecanismos de autenticação aceitos. É possível configurar mais de um mecanismo de autenticação para um conector de recebimento. Para ver os mecanismos de autenticação que são configurados automaticamente para cada tipo de uso, consulte a tabela “Tipos de uso do conector de recebimento” exibida anteriormente neste tópico. A tabela a seguir lista os mecanismos de autenticação disponíveis para um conector de recebimento.
Mecanismos de autenticação do conector de recebimento
| Mecanismo de autenticação | Descrição |
|---|---|
Nenhum |
Sem autenticação. |
TLS |
Anuncia STARTTLS. Exige disponibilidade de um certificado de servidor para oferecer TLS. |
Integrado |
NTLM e Kerberos (autenticação integrada do Windows). |
BasicAuth |
Autenticação básica. Exige um logon autenticado. |
BasicAuthRequireTLS |
Autenticação básica por TLS. Exige um certificado de servidor. |
ExchangeServer |
Autenticação do Exchange Server (GSSAPI e GSSAPI mútuo). |
ExternalAuthoritative |
A conexão é considerada protegida externamente usando um mecanismo de segurança externo ao Exchange. A conexão pode ser uma associação IPsec (Internet Protocol Security) ou uma VPN (rede virtual privada). Como alternativa, os servidores podem residir em uma rede confiável fisicamente controlada. O método de autenticação do |
Propriedades adicionais do conector de recebimento
A configuração de propriedade de um conector de recebimento define como o email é recebido através desse conector. Nem todas as propriedades estão disponíveis no EMC. Para mais informações sobre as propriedades que podem ser configuradas usando o Shell, consulte Set-ReceiveConnector.
Usando um conector de recebimento para retransmissão anônima
A retransmissão anônima em servidores de mensagens SMTP da Internet constitui uma deficiência séria na segurança que poderá ser explorada por remetentes de emails comerciais não solicitados, ou spammers, para ocultar a origem de suas mensagens. Dessa forma, são colocadas restrições nos servidores de mensagens voltados para a Internet para impedir a retransmissão para destinos não autorizados.
No Exchange 2010, a retransmissão é normalmente tratada usando-se domínios aceitos. Os domínios aceitos são configurados no servidor de Transporte de Borda ou Transporte de Hub. Os domínios aceitos são adicionalmente classificados como domínios de retransmissão interna ou externa. Para obter mais informações sobre domínios aceitos, consulte Noções Básicas Sobre Domínios Aceitos.
Você também pode restringir a retransmissão anônima com base na origem das mensagens de entrada. Este método é útil quando um aplicativo ou servidor de mensagens não autenticado deve usar o servidor de Transporte de Hub ou de Transporte de Borda como um servidor de retransmissão.
Ao criar o conector de recebimento que é configurado para permitir a retransmissão anônima, você deve impor as seguintes restrições ao conector de recebimento:
Configurações de rede local Restringe o conector de recebimento para escutar apenas o adaptador de rede adequado no servidor de Transporte de Hub ou de Transporte de Borda.
Configurações de rede remota Restringe o conector de recebimento para aceitar somente conexões do servidor ou dos servidores especificados. Essa restrição é necessária, porque o conector de recebimento é configurado para aceitar retransmissão de usuários anônimos. Restringir os servidores de origem por endereço IP é a única medida de proteção permitida nesse conector de recebimento.
Para conceder a permissão de retransmissão a usuários anônimos no conector de recebimento, você pode usar uma das estratégias descritas adiante neste tópico. Cada estratégia apresenta vantagens e desvantagens. Para instruções passo a passo para as duas abordagens, consulte Permitir Retransmissão Anônima em um Conector de Recebimento.
Concedendo Permissão de Retransmissão a Conexões Anônimas
Essa estratégia envolve as seguintes tarefas:
Criar um conector de recebimento com o tipo de uso definido como
Custom.Adicionar o grupo de permissão Anônimo ao conector de recebimento.
Atribuir a permissão de retransmissão à entidade de segurança Logon Anônimo no conector de recebimento.
O grupo de permissão Anônimo concede as seguintes permissões à entidade de segurança Logon Anônimo no conector de recebimento:
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
Entretanto, para permitir a retransmissão anônima nesse conector de recebimento, você também deve conceder a seguinte permissão à entidade de segurança Logon Anônimo no conector de recebimento:
- Ms-Exch-SMTP-Accept-Any-Recipient
A vantagem dessa estratégia é que ela concede as permissões mínimas necessárias para retransmitir aos endereços IP remotos especificados.
As desvantagens dessa estratégia são as seguintes:
Etapas adicionais de configuração são necessárias para conceder as permissões necessárias.
As mensagens que se originam dos endereços IP especificados são tratadas como mensagens anônimas. Portanto, as mensagens não ignoram verificações anti-spam, nem verificações de limite de tamanho de mensagem, e os remetentes anônimos não podem ser resolvidos. O processo de resolução de remetentes anônimos força uma tentativa de correspondência entre o endereço de email do remetente anônimo e o nome para exibição correspondente na GAL (lista de endereços global).
Configurar o Conector de Recebimento como Protegido Externamente
Essa estratégia envolve as seguintes tarefas:
Criar um conector de recebimento com o tipo de uso definido como
Custom.Adicionar o grupo de permissão ExchangeServers ao conector de recebimento.
Adicionar o mecanismo de autenticação
ExternalAuthoritativeao conector de recebimento.
O grupo de permissão ExchangeServers é necessário quando você seleciona o mecanismo de autenticação ExternalAuthoritative. Esta combinação de método de autenticação e grupo de permissão concede as seguintes permissões para qualquer conexão de entrada que seja permitida no conector de recebimento:
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
Ms-Exch-Accept-Exch50
Ms-Exch-Bypass-Anti-Spam
Ms-Exch-Bypass-Message-Size-Limit
Ms-Exch-SMTP-Accept-Any-Recipient
Ms-Exch-SMTP-Accept-Authentication-Flag
As vantagens dessa estratégia são as seguintes:
Facilidade de configuração
As mensagens que se originam dos endereços IP especificados são tratadas como mensagens autenticadas. As mensagens ignoram verificações anti-spam e verificações de limite de tamanho mensagens e podem resolver os remetentes anônimos.
A desvantagem dessa estratégia é que os endereços IP remotos são considerados totalmente dignos de confiança. As permissões que são concedidas aos endereços IP remotos possibilitam que o servidor de mensagens remoto envie as mensagens como se elas fossem originadas de remetentes internos na sua organização do Exchange.
Novos recursos no Exchange 2010 Service Pack 1
No Service Pack 1 (SP1) para Exchange Server 2010, os conectores de Recebimento ganharam novas funcionalidades. Esta seção fornece uma visão geral de cada um desses novos recursos.
Controle de avanço de linha básico
Quando um servidor de email estabelece uma sessão SMTP, ele emite comandos SMTP para enviar mensagens. Depois de especificar as informações de remetente e destinatário, o servidor de envio transmite o conteúdo da mensagem usando o comando DATA. O conteúdo transmitido após a emissão do comando DATA é conhecido como fluxo de dados. O fluxo de dados é encerrado por uma sequência especial de caracteres: um CRLF (retorno de carro e avanço de linha), seguido por um ponto, seguido por outro CRLF.
Os caracteres de avanço de linha que não são imediatamente precedidos pelos caracteres de CR (retorno de carro) são conhecidos como avanços de linha básicos. Os avanços de linha básicos não são permitidos nas comunicações SMTP. Embora possa ser possível para uma mensagem que contém um avanço de linha básico ser entregue com sucesso, tais mensagens não aderem aos padrões de protocolo SMTP e podem causar problemas com servidores de mensagem.
No Exchange 2010 SP1, é possível configurar seus conectores de Recebimento para que rejeitem quaisquer mensagens que contenham avanços de linha básicos em seu fluxo de dados. Esse comportamento é controlado pelo parâmetro BareLineFeedRejectionEnabled do cmdlet Set-ReceiveConnector. Por padrão, essa configuração está desabilitada para manter a compatibilidade com versões anteriores. Para obter mais informações sobre a configuração desse parâmetro, consulte Set-ReceiveConnector.
Capacidade de Proteção Estendida
O Windows oferece associação de canal para proteger a autenticação NTLM em canais criptografados contra ataques de retransmissão de autenticação. No Exchange 2010, todos os serviços fornecidos pelo Exchange foram atualizados para suportar a Proteção estendida para autenticação. Para suportar esse recurso de Transporte, os conectores de Recebimento têm de estar atualizados. É possível permitir, solicitar ou desabilitar a Proteção estendida para autenticação em seus conectores de Recebimento.
Você pode usar os parâmetros ExtendedProtectionPolicy e ExtendedProtectionTlsTerminatedAtProxy do cmdlet Set-ReceiveConnector para controlar como seus servidores de Transporte lidam com a proteção estendida. Você pode configurar um conector de Recebimento para permitir ou exigir a proteção estendida. Quando um conector de Recebimento é configurado para exigir proteção estendida, quaisquer conexões de entrada de hosts que não suportem a proteção estendida serão rejeitadas. Para manter a compatibilidade com versões anteriores, a proteção estendida está desabilitada por padrão. Para obter mais informações sobre a configuração da proteção estendida em seus conectores de Recebimento, consulte Set-ReceiveConnector.
Para saber mais sobre a proteção estendida, consulte os seguintes recursos:
Artigo 973811 da Base de Dados de Conhecimento Microsoft, Comunicado de Segurança da Microsoft: Proteção estendida para autenticação
Tópico da Biblioteca MSDN, Autenticação integrada do Windows com proteção estendida
© 2010 Microsoft Corporation. Todos os direitos reservados.