Enviar conectores no Exchange Server
O Exchange usa o Envio de conectores para conexões SMTP de saída de servidores do Exchange de origem para servidores de email de destino. O conector Enviar que é usado para rotear mensagens para um destinatário é selecionado durante a fase de resolução de roteamento da categorização de mensagens. Para obter mais informações, consulte Roteamento de email.
Você pode criar conectores de envio no serviço de transporte em servidores de caixa de correio e em servidores de Transporte de Borda. Os conectores de envio são armazenados no Active Directory e são (por padrão) visíveis para todos os servidores de caixa de correio da organização.
Importante
Por padrão, não existem conectores de envio para fluxo de email externo ao instalar o Exchange. Para habilitar o fluxo de email da Internet de saída, você precisa criar um conector Enviar ou assinar um servidor de Transporte de Borda para sua organização do Exchange. Para obter mais informações, consulte Criar um conector de envio para enviar emails para os servidores de Transporte da Internet e do Edge.
Você não precisa configurar o Envio de conectores para enviar emails entre servidores do Exchange na mesma floresta do Active Directory. Conectores de envio implícitos e invisíveis que estão totalmente cientes da topologia do servidor exchange estão disponíveis para enviar emails para servidores internos do Exchange. Esses conectores são descritos na seção Enviar conectores implícitos .
Estas são as configurações importantes em Enviar conectores:
Tipo de uso
Configurações de rede: configure como o conector Enviar roteia o email: usando dNS ou encaminhando automaticamente todos os emails para um host inteligente.
Espaços de endereço: configure os domínios de destino pelos quais o conector Enviar é responsável.
Escopo: configura a visibilidade do conector Enviar para outros servidores do Exchange na organização.
Servidores de origem: configure os servidores do Exchange em que o conector Enviar está hospedado. O email que precisa ser entregue usando o conector Enviar é roteado para um dos servidores de origem.
Em servidores de caixa de correio, você pode criar e gerenciar conectores de envio no centro de administração do Exchange ou no Shell de Gerenciamento do Exchange. Nos servidores de Transporte do Edge, você só pode usar o Shell de Gerenciamento do Exchange.
Enviar alterações de conector no Exchange Server
Estas são as alterações notáveis para Enviar conectores no Exchange 2016 ou exchange 2019 em comparação com o Exchange 2010:
Você pode configurar o Envio de conectores para redirecionar ou enviar email de saída de proxy por meio do serviço de Transporte front-end. Para saber mais, confira Configure Send connectors to proxy outbound mail.
O parâmetro IsCoexistenceConnector não está mais disponível.
O parâmetro LinkedReceiveConnector não está mais disponível.
O tamanho máximo da mensagem padrão é aumentado para 35 MB (aproximadamente 25 MB devido à codificação base64). Para obter mais informações, consulte Tamanho da mensagem e limites de destinatário em Exchange Server.
O parâmetro TlsCertificateName permite especificar o emissor de certificado e a entidade de certificado. Isso ajuda a minimizar o risco de certificados fraudulentos.
Conectores de envio implícitos
Embora nenhum conector send seja criado durante a instalação de servidores exchange, um conector de envio implícito especial chamado conector Send intra-organization está presente. Esse conector de envio implícito está disponível automaticamente, invisível e não requer nenhum gerenciamento. O conector send intra-organization existe nos serviços de transporte para enviar emails, internamente entre serviços no servidor exchange local ou para serviços em servidores remotos do Exchange na organização. Por exemplo:
Serviço de transporte front-end para o serviço de transporte.
Transporte do serviço para o serviço de transporte em outros servidores.
Serviço de transporte para servidores de transporte de borda inscritos.
Transporte do serviço para o serviço de Entrega de Transporte de Caixa de Correio.
Serviço de envio de transporte de caixa de correio para o serviço de transporte.
Para obter mais informações, consulte Fluxo de email e o pipeline de transporte.
Enviar tipos de uso do conector
Para enviar conectores, o tipo de uso é basicamente um rótulo descritivo para o qual o conector Enviar é usado. Todos os valores de tipo de uso recebem as mesmas permissões.
Você só pode especificar o tipo de uso do conector ao criar conectores send. Ao usar o EAC, você deve selecionar um valor Type . Mas quando você usa o cmdlet New-SendConnector no Shell de Gerenciamento do Exchange, o tipo de uso não é necessário (usando -Usage <UsageType> ou -<UsageType>).
Especificar um tipo de uso configura um tamanho máximo de mensagem padrão, que você pode alterar depois de criar o conector.
Os valores de tipo de uso disponíveis são descritos na tabela a seguir.
| Tipo de uso | Tamanho máximo da mensagem | Comments |
|---|---|---|
| Personalizado | 35 MB | Nenhum |
| Interno | ilimitado | Quando você cria um conector Enviar desse tipo de uso no EAC, não é possível selecionar o registro MX associado ao domínio do destinatário. Depois de criar o conector, você pode acessar a guia Entrega nas propriedades do conector Enviar e selecionar registro MX associado ao domínio do destinatário. Essa mesma restrição não existe no Shell de Gerenciamento do Exchange. Você pode usar a opção Interna e definir o DNSRoutingEnabled no $true cmdlet New-SendConnector . |
| Internet | 35 MB | Nenhum |
| Parceiro | 35 MB | Ao criar um conector Enviar desse tipo de uso no EAC, você não pode selecionar Rotear email por meio de hosts inteligentes ou um mecanismo de autenticação de host inteligente. Depois de criar o conector, você pode acessar a guia Entrega nas propriedades do conector Enviar e selecionar Encaminhar email por meio de hosts inteligentes e do mecanismo de autenticação do host inteligente. Essa mesma restrição não existe no Shell de Gerenciamento do Exchange. Você pode usar a opção Parceiro e definir o DNSRoutingEnabled como $false e usar os parâmetros SmartHosts e SmartHostAuthMechanism no cmdlet New-SendConnector . |
Enviar configurações de rede do conector
Cada conector de envio precisa ser configurado com uma destas opções:
Use o DNS para rotear o email.
Use um ou mais hosts inteligentes para rotear emails.
Usar o DNS para rotear email
Quando você seleciona a resolução DNS para entregar emails, o servidor do Exchange de origem para o conector Send deve ser capaz de resolver os registros MX para os espaços de endereço configurados no conector. Dependendo da natureza do conector e de quantos adaptadores de rede estão no servidor, o conector Enviar pode exigir acesso a um servidor DNS interno ou a um servidor DNS externo (público). Você pode configurar o servidor para usar servidores DNS específicos para pesquisas DNS internas e externas:
No EAC no ServersServer>, > selecione o servidor e clique em Editar
>Guia Pesquisas DNS.No Shell de Gerenciamento do Exchange, você usa os parâmetros ExternalDNS* e InternalDNS* no cmdlet Set-TransportService .
Se você já tiver configurado o servidor exchange com configurações DNS separadas a serem usadas para pesquisas de DNS internas e externas e o email Enviar rotas do conector para um espaço de endereço externo, você precisará configurar o conector Enviar para usar o servidor DNS externo:
No EAC, selecione Usar a configuração de pesquisa DNS externa em servidores com funções de transporte (no novo assistente de conector Enviar ou na guia Entrega nas propriedades dos conectores existentes).
No Shell de Gerenciamento do Exchange, use o parâmetro UseExternalDNSServersEnabled nos cmdlets New-SendConnector e Set-SendConnector .
Usar hosts inteligentes para rotear emails
Quando você roteia o email por meio de um host inteligente, o conector Enviar encaminha o email para o host inteligente e o host inteligente é responsável pelo roteamento de email para o próximo salto em seu caminho para o destino final. Um uso comum para roteamento de host inteligente é enviar emails de saída por meio de um serviço ou dispositivo antispam.
Você identifica um ou mais hosts inteligentes a serem usados para o conector Enviar por um endereço IP individual (por exemplo, 10.1.1.1), um FQDN (nome de domínio totalmente qualificado) (por exemplo, spamservice.contoso.com) ou combinações de ambos os tipos de valores. Se você usar um FQDN, o servidor exchange de origem para o conector Send deve ser capaz de resolver o FQDN (que pode ser um registro MX ou um registro A) usando DNS.
Uma parte importante do roteamento de host inteligente é o mecanismo de autenticação que os hosts inteligentes usam. Os mecanismos de autenticação disponíveis são descritos na tabela a seguir.
| Mecanismo de autenticação | Descrição |
|---|---|
Nenhum (None) |
Nenhuma autenticação. Por exemplo, quando o acesso ao host inteligente é restrito pelo endereço IP de origem. |
Autenticação básica (BasicAuth) |
Autenticação básica. Requer um nome de usuário e uma senha. O nome de usuário e a senha são enviados em texto claro. |
Oferecer autenticação básica somente após iniciar o TLS (BasicAuthRequireTLS) |
Autenticação básica criptografada com TLS. Isso requer um certificado de servidor no host inteligente que contém o FQDN exato do host inteligente definido no conector Enviar. O conector Enviar tenta estabelecer a sessão TLS enviando o comando STARTTLS para o host inteligente e só executa a autenticação básica depois que a sessão TLS é estabelecida. Um certificado de cliente também é necessário para dar suporte à autenticação de TLS mútua. |
autenticação Exchange Server (ExchangeServer) |
Interface de programação de aplicativo dos Serviços de Segurança Genéricos (GSSAPI) e autenticação Mutual GSSAPI. |
Protegido externamente (ExternalAuthoritative) |
Presume-se que a conexão seja protegida usando um mecanismo de segurança externo ao Exchange. A conexão pode ser uma associação IPsec (Internet Protocol security) ou uma VPN (rede virtual privada). Como alternativa, os servidores podem residir em uma rede confiável e fisicamente controlada. |
Enviar espaços de endereço do conector
O espaço de endereço especifica os domínios de destino atendidos pelo conector Enviar. O email é roteado por meio de um conector Enviar com base no domínio do endereço de email do destinatário.
Os valores de espaço de endereço SMTP disponíveis são descritos na tabela a seguir.
| Espaço de endereçamento | Explicação |
|---|---|
* |
O conector Enviar roteia o email para destinatários em todos os domínios. |
Domínio (por exemplo, contoso.com) |
O conector Enviar encaminha emails para destinatários no domínio especificado, mas não em subdomínios. |
Domínio e subdomínios (por exemplo, *.contoso.com) |
O conector Enviar encaminha emails para destinatários no domínio especificado e em todos os subdomínios. |
-- |
O conector Enviar encaminha emails para destinatários em todos os domínios aceitos na organização exchange. Esse valor só está disponível em Enviar conectores em servidores do Edge Transport que enviam emails para a organização interna do Exchange. |
Um espaço de endereço também tem valores de Tipo e Custo que você pode configurar.
Nos servidores de Transporte de Borda, o valor Tipo deve ser SMTP. Em servidores de caixa de correio, você também pode usar tipos de espaço de endereço não SMTP como X400 ou qualquer outra cadeia de caracteres de texto. Os endereços X.400 precisam ser compatíveis com RFC 1685 (por exemplo, o=MySite;p=MyOrg;a=adatum;c=us), mas outros valores de tipo aceitam qualquer valor de texto para o espaço de endereço. Se você especificar um tipo de espaço de endereço não SMTP, o conector Enviar deverá usar o roteamento de host inteligente e o SMTP será usado para enviar mensagens para o host inteligente. Conectores do Agente de Entrega e conectores estrangeiros enviam mensagens não SMTP para servidores não SMTP sem usar SMTP. Para obter mais informações, consulte Agentes de Entrega e Conectores do Agente de Entrega e Conectores Estrangeiros.
O valor custo no espaço de endereço é usado para otimização de fluxo de email e tolerância a falhas quando você tem os mesmos espaços de endereço configurados em vários conectores enviar em servidores de origem diferentes. Um valor de prioridade menor indica um conector send preferencial.
O conector Enviar que é usado para rotear mensagens para um destinatário é selecionado durante a fase de resolução de roteamento da categorização de mensagens. O conector Enviar cujo espaço de endereço corresponde mais de perto ao endereço de email do destinatário e cujo valor de prioridade é mais baixo está selecionado.
Por exemplo, suponha que o destinatário seja julia@marketing.contoso.com. Se um conector Enviar estiver configurado para *.contoso.com, a mensagem será roteada por esse conector. Se nenhum conector Send estiver configurado para *.contoso.com, a mensagem será roteada por meio do conector configurado para *. Se vários conectores enviar no mesmo site do Active Directory estiverem configurados para *.contoso.com, o conector com o valor de prioridade inferior será selecionado.
Enviar escopo do conector
Os servidores de origem de um conector send determinam o servidor exchange de destino para emails que precisam ser roteado por meio do conector Enviar. O escopo Enviar conector controla a visibilidade do conector dentro da organização exchange.
Por padrão, os conectores de envio são visíveis para todos os servidores do Exchange em toda a floresta do Active Directory e são usados em decisões de roteamento. No entanto, você pode limitar o escopo de um conector Send para que ele só fique visível para outros servidores do Exchange no mesmo site do Active Directory. O conector Enviar é invisível para servidores do Exchange em outros sites do Active Directory e não é usado em suas decisões de roteamento. Um conector Enviar que é restrito dessa forma é dito ser escopo.
Para configurar conectores de envio com escopo no EAC, selecione Conector de envio em escopo na seção Espaço de endereço do novo assistente de conector Enviar ou na guia Escopo nas propriedades dos conectores send existentes. No Shell de Gerenciamento do Exchange, você usa o parâmetro IsScopedConnector nos cmdlets New-SendConnector e Set-SendConnector .
Enviar permissões de conector
Quando o conector Enviar estabelece uma conexão com o servidor de email de destino, as permissões enviar conector determinam os tipos de cabeçalhos que podem ser enviados em mensagens. Se uma mensagem incluir cabeçalhos que não são permitidos pelas permissões, esses cabeçalhos serão removidos das mensagens.
As permissões são atribuídas a Enviar conectores por entidades de segurança conhecidas. As entidades de segurança incluem contas de usuário, contas de computador e grupos de segurança (objetos identificáveis por um identificador de segurança ou SID que podem ter permissões atribuídas a eles). Por padrão, as mesmas entidades de segurança com as mesmas permissões são atribuídas em todos os conectores send, independentemente do tipo de uso selecionado quando você criou o conector. Para modificar as permissões padrão de um conector Send, você precisa usar os cmdlets Add-ADPermission e Remove-ADPermission no Shell de Gerenciamento do Exchange.
As permissões de conector de envio disponíveis são descritas na tabela a seguir.
| Permissão | Atribuído a | Descrição |
|---|---|---|
ms-Exch-Send-Headers-Forest |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers |
Controla a preservação de cabeçalhos de floresta do Exchange em mensagens. Os nomes de cabeçalho da floresta começam com X-MS-Exchange-Forest-. Se essa permissão não for concedida, todos os cabeçalhos da floresta serão removidos das mensagens. |
ms-Exch-Send-Headers-Organization |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers |
Controla a preservação de cabeçalhos de organização do Exchange em mensagens. Os nomes de cabeçalho da organização começam com X-MS-Exchange-Organization-. Se essa permissão não for concedida, todos os cabeçalhos da organização serão removidos das mensagens. |
ms-Exch-Send-Headers-Routing |
NT AUTHORITY\ANONYMOUS LOGON <Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Externally Secured Servers MS Exchange\Hub Transport Servers MS Exchange\Legacy Exchange Servers MS Exchange\Partner Servers |
Controla a preservação de cabeçalhos RECEBIDOs em mensagens. Se essa permissão não for concedida, todos os cabeçalhos recebidos serão removidos das mensagens. |
ms-Exch-SMTP-Send-Exch50 |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Externally Secured Servers MS Exchange\Hub Transport Servers MS Exchange\Legacy Exchange Servers |
Permite que o servidor do Exchange de origem envie comandos XEXCH50 no conector Enviar. O BLOB (objeto binário grande) X-EXCH50 foi usado por versões mais antigas do Exchange (Exchange 2003 e anteriores) para armazenar dados do Exchange em mensagens (por exemplo, o nível de confiança de spam ou SCL). Se essa permissão não for concedida e as mensagens contiverem o BLOB X-EXCH50 , o servidor do Exchange enviará a mensagem sem o BLOB X-EXCH50 . |
ms-Exch-SMTP-Send-XShadow |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers |
Essa permissão é reservada para uso interno da Microsoft e é apresentada aqui somente para fins de referência. |
Observação: os nomes de permissões que contêm ms-Exch-Send-Headers- fazem parte do recurso de firewall de cabeçalho . Para obter mais informações, consulte Firewall de cabeçalho.
Enviar procedimentos de permissão do conector
Para ver as permissões atribuídas às entidades de segurança em um conector Enviar, use a seguinte sintaxe no Shell de Gerenciamento do Exchange:
Get-ADPermission -Identity <SendConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
Por exemplo, para ver as permissões atribuídas a todas as entidades de segurança no conector Enviar chamado Para Fabrikam.com, execute o seguinte comando:
Get-ADPermission -Identity "To Fabrikam.com" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
Para ver as permissões atribuídas apenas à entidade de NT AUTHORITY\ANONYMOUS LOGON segurança no conector Enviar chamado Para Fabrikam, execute o seguinte comando:
Get-ADPermission -Identity "To Fabrikam.com" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
Para adicionar permissões a uma entidade de segurança em um conector Send, use a seguinte sintaxe:
Add-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...
Para remover permissões de uma entidade de segurança em um conector Send, use a seguinte sintaxe:
Remove-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...