如何通过 Exchange 托管服务或外部 SMTP 网关配置 Internet 邮件流
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2007-08-28
本主题说明如何使用 Exchange 管理控制台或 Exchange 命令行管理程序,通过 Microsoft Exchange 托管服务或外部简单邮件传输协议 (SMTP) 网关配置 Internet 邮件流。
Exchange 托管服务是一组服务,包含四种不同的托管服务:
托管筛选,帮助组织防御以电子邮件为载体的恶意软件
托管存档,帮助组织满足规范确定的保留要求
托管加密,帮助组织加密数据以保护机密数据
托管连续性,帮助组织在发生紧急情况期间和之后仍然能够访问电子邮件
这些服务与在内部管理的所有内部部署 Exchange 服务器或通过服务提供商提供的托管 Exchange 电子邮件服务相集成。有关 Exchange 托管服务的详细信息,请参阅 Microsoft Exchange Hosted Services。
在 Microsoft Exchange Server 2007 中,若要通过 Exchange 托管服务或外部 SMTP 网关建立 Internet 邮件流,需要在 Exchange 组织内的集线器传输服务器与处理和路由 Internet 电子邮件的外部 SMTP 服务器之间创建发送连接器和接收连接器。
在此方案中可以使用以下身份验证方法:
基本身份验证 Exchange 2007 集线器传输服务器和外部 SMTP 服务器使用基本身份验证进行身份验证。此身份验证方法必须提供用户名和密码。Exchange 托管服务无法使用此身份验证方法。
外部安全 通过使用相对于 Exchange 2007 的外部方法来保护集线器传输服务器与外部 SMTP 服务器之间的网络连接。
.gif "note")
注意:从功能角度看,将接收连接器配置为外部安全连接器(而不使用外部安全身份验证方法)相当于将接收连接器配置为外部 SMTP 服务器的开放中继。来自外部 SMTP 服务器的邮件均视为已通过身份验证的邮件。该邮件会绕过反垃圾邮件检查和邮件大小限制检查。允许外部 SMTP 服务器提交邮件,就像它们来自 Exchange 组织内的内部发件人一样。有关详细信息,请参阅如何在接收连接器上允许匿名中继。 匿名中继 应将此方法视为最后采取的方法。如果允许外部 SMTP 服务器使用集线器传输服务器上的指定接收连接器以匿名方式中继邮件,则必须在接收连接器上应用以下限制:
本地网络设置 如果您的集线器传输服务器具有多个网络适配器,请将接收连接器限制为仅在适当的网络适配器上进行侦听。
远程网络设置 将接收连接器限制为仅接受来自指定的单个或多个服务器的连接。此限制是必要的,因为接收连接器被配置为接受来自匿名用户的中继。通过 IP 地址限制源服务器是此接收连接器上允许实行的唯一保护措施。
有关详细信息,请参阅如何在接收连接器上允许匿名中继。
开始之前
若要执行下列步骤,必须为您使用的帐户委派 Exchange 组织管理员角色。
若要在安装了边缘传输服务器角色的计算机上执行以下步骤,必须使用作为该计算机上的本地 Administrators 组成员的帐户进行登录。
有关管理 Exchange 2007 所需的权限、角色委派以及权利的详细信息,请参阅权限注意事项。
在开始此步骤之前,请验证是否满足以下先决条件:
如果您正在使用基本身份验证,则 Active Directory 林中必须有一个可用于基本身份验证的域帐户。例如,创建一个通用主体名称 (UPN) 为
smtpgateway@fabrikam.com的域用户帐户作为凭据,向 Fabrikam 域中的 Exchange 服务器发送邮件时,SMTP 网关必须使用这些凭据进行身份验证。如果正在使用基于传输层安全性 (TLS) 的基本身份验证,则必须将目标服务器配置为使用所包含的完全限定的域名 (FQDN) 与接收连接器的 FQDN 相同的 X.509 证书。
如果正在使用外部身份验证,则集线器传输服务器与 SMTP 网关服务器之间必须存在受信任的网络连接。该连接可以是 IPsec 关联或虚拟专用网络 (VPN)。或者,服务器可能驻留在受信任的物理控制网络中。
步骤
若要通过 Exchange 托管服务或外部 SMTP 网关建立往来于 Internet 的邮件流,请执行以下步骤:
在集线器传输服务器上创建发送连接器,以便向 Exchange 托管服务或外部 SMTP 网关发送电子邮件。
在集线器传输服务器上创建接收连接器,以便从 Exchange 托管服务或外部 SMTP 网关接收电子邮件。只有在使用外部身份验证或匿名中继时,才需要其他接收连接器。如果使用基本身份验证,则默认接收连接器将接受来自经过身份验证的 SMTP 网关所提交的电子邮件。
配置外部 SMTP 网关服务器,使其路由和处理往来于集线器传输服务器的电子邮件。
注意:有关如何配置外部 SMTP 网关以路由和处理往来于集线器传输服务器的电子邮件的详细信息,请根据需要参阅 Microsoft Exchange Hosted Services(Microsoft Exchange 托管服务)或外部 SMTP 网关的文档。介绍这些步骤的文档不在本主题的讨论范围内。
使用基本身份验证在集线器传输服务器与外部 SMTP 网关之间建立 Internet 邮件流
以下步骤使用基本身份验证在集线器传输服务器与外部 SMTP 网关之间建立 Internet 邮件流。这些步骤不适用于 Exchange 托管服务。
借助 Exchange 管理控制台使用基本身份验证在集线器传输服务器与外部 SMTP 网关之间建立 Internet 邮件流
在集线器传输服务器上,打开 Exchange 管理控制台。展开“组织配置”,单击“集线器传输”,然后在操作窗格中单击“新建发送连接器”。
在“新建 SMTP 发送连接器”向导的“简介”页上,在“名称”字段中,键入连接器的唯一名称。
从“选择此连接器的预期用法”下拉列表中,选择“自定义”,然后单击“下一步”。
在“地址空间”页上,单击“添加”。在“添加地址空间”对话框中,键入“*”作为远程 SMTP 域的名称,再单击“下一步”。
在“网络设置”页上,仅可以选择“通过下列智能主机路由所有邮件:”设置。单击“添加”。
在“添加智能主机”对话框的“IP 地址”或“完全限定的域名(FQDN)”字段中,键入外部 SMTP 网关服务器的 IP 地址或 FQDN,然后单击“确定”。若要将多个 SMTP 网关指定为智能主机,请单击“添加”,输入其他 IP 地址或 FQDN,然后单击“下一步”。
在“智能主机安全设置”页上,选择“基本身份验证”或“基于 TLS 的基本身份验证”,键入将用于验证连接身份的用户名和密码,然后单击“下一步”。
在“源服务器”页上,单击“添加”。在“选择集线器传输服务器和订阅的边缘传输服务器”对话框中,选择组织中的一台或多台集线器传输服务器,单击“确定”,再单击“下一步”。
在“新建连接器”页中,单击“新建”,然后在“完成”页中单击“完成”。
借助 Exchange 命令行管理程序使用基本身份验证在集线器传输服务器与外部 SMTP 网关之间建立 Internet 邮件流
运行以下命令:
$mycred = get-credential在出现的对话框中,输入外部 SMTP 网关服务器上用户帐户的凭据。输入用户名并提供用户密码。单击“确定”。
若要新建名为“ToInternetGateway”的发送连接器(由借助“外部安全”身份验证连接到名为
"smtpgateway1.contoso.com"的外部 SMTP 网关的集线器传输服务器 HubA 使用),请运行以下命令:New-SendConnector -Name "ToInternetGateway" -AddressSpaces "*" -SmartHosts "smtpgateway1.contoso.com" -SmartHostAuthMechanism BasicAuth,BasicAuthRequireTLS -AuthenticationCredential $mycred -SourceTransportServers "HubA" -DNSRoutingEnabled $false
使用外部安全身份验证在集线器传输服务器与 Exchange 托管服务或外部 SMTP 网关之间建立 Internet 邮件流
以下步骤使用“外部安全”身份验证在集线器传输服务器与外部 SMTP 网关之间建立 Internet 邮件流。从功能角度看,这些步骤相当于在集线器传输服务器与 Exchange 托管服务之间建立 Internet 邮件流的步骤。
借助 Exchange 管理控制台使用外部身份验证在集线器传输服务器与外部 SMTP 网关之间建立 Internet 邮件流
按照以下步骤在集线器传输服务器上新建指向外部 SMTP 网关的发送连接器:
打开 Exchange 管理控制台。展开“组织配置”,单击“集线器传输”,然后在操作窗格中单击“新建发送连接器”。
在“新建 SMTP 发送连接器”向导的“简介”页上,在“名称”字段中键入连接器的唯一名称。从“选择此连接器的预期用法”下拉列表中,选择“内部”,再单击“下一步”。
在“地址空间”页上,单击“添加”。在“添加地址空间”对话框中,键入“*”,然后单击“下一步”。
在“网络设置”页上,仅可以选择“通过下列智能主机路由所有邮件:”设置。单击“添加”。
在“添加智能主机”对话框的“IP 地址”或“完全限定的域名(FQDN)”中,键入 SMTP 网关服务器的 IP 地址或 FQDN,然后单击“确定”。若要将多个 SMTP 网关服务器指定为智能主机,请单击“添加”,输入其他 IP 地址或 FQDN,再单击“下一步”。
在“智能主机安全设置”页中,选择“外部安全(例如 IPsec)”,然后单击“下一步”。
在“源服务器”页上,单击“添加”。在“选择集线器传输服务器和订阅的边缘传输服务器”对话框中,选择组织中的一台或多台集线器传输服务器,单击“确定”,再单击“下一步”。
在“新建连接器”页中,单击“新建”,然后在“完成”页中单击“完成”。
按照以下步骤在集线器传输服务器上新建用于从外部 SMTP 网关接收邮件的接收连接器:
打开 Exchange 管理控制台。展开“服务器配置”,单击“集线器传输”,然后在操作窗格中,单击“新建接收连接器”。
在“新建 SMTP 接收连接器”向导的“简介”页中,在“名称”字段中键入连接器的唯一名称。
从“选择此连接器的预期用法”下拉列表中,选择“内部”,再单击“下一步”。
在“远程网络设置”页上,删除所有网络范围条目,然后单击“添加”。
在“添加远程服务器的 IP 地址”对话框中,键入外部 SMTP 网关服务器的 IP 地址,单击“确定”,然后单击“下一步”。
在“新建连接器”页中,单击“新建”,然后在“完成”页中单击“完成”。
对于刚创建的接收连接器,请按照以下步骤设置外部安全身份验证方法:
在任务窗格中,选择在步骤 2 中创建的接收连接器,然后在操作窗格中单击“属性”。
单击“身份验证”选项卡。清除“基本身份验证”和“Exchange Server”的复选框,选择“外部安全(例如 IPsec)”,然后单击“确定。”
借助 Exchange 命令行管理程序使用外部身份验证在集线器传输服务器与外部 SMTP 网关之间建立 Internet 邮件流
若要新建名为“ToInternetGateway”的发送连接器(由集线器传输服务器 HubA 使用,将该服务器配置为使用“外部安全”身份验证通过名为“smtpgateway1.contoso.com”的外部 SMTP 网关发送传出电子邮件),请运行以下命令:
New-SendConnector -Name "ToInternetGateway" -Usage Internal -AddressSpaces "*" -SmartHosts "smtpgateway1.contoso.com" -SmartHostAuthMechanism ExternalAuthoritative -SourceTransportServers "HubA" -DNSRoutingEnabled $false若要在名为“HubA”的集线器传输服务器(使用“外部安全”身份验证从 IP 地址为 192.168.1.10 的外部 SMTP 网关接收邮件)上新建接收连接器,请运行以下命令:
New-ReceiveConnector -Name "FromInternetGateway" -Server HubA -Usage Internal -RemoteIPRanges 192.168.1.10 -AuthMechanism ExternalAuthoritative
使用匿名中继在集线器传输服务器与外部 SMTP 网关之间建立 Internet 邮件流
以下步骤使用匿名中继在集线器传输服务器与外部 SMTP 网关之间建立 Internet 邮件流。
借助 Exchange 管理控制台使用匿名中继在集线器传输服务器与外部 SMTP 网关之间建立 Internet 邮件流
按照以下步骤在集线器传输服务器上新建指向外部 SMTP 网关的发送连接器:
打开 Exchange 管理控制台。展开“组织配置”,单击“集线器传输”,然后在操作窗格中单击“新建发送连接器”。
在“新建 SMTP 发送连接器”向导的“简介”页上,在“名称”字段中键入连接器的唯一名称。从“选择此连接器的预期用法”下拉列表中,选择 Internet,再单击“下一步”。
在“地址空间”页上,单击“添加”。在“添加地址空间”对话框中,键入“*”,然后单击“下一步”。
在“网络设置”页上,仅可以选择“通过下列智能主机路由所有邮件:”设置。单击“添加”。
在“添加智能主机”对话框的“IP 地址”或“完全限定的域名(FQDN)”中,键入 SMTP 网关服务器的 IP 地址或 FQDN,然后单击“确定”。若要将多个 SMTP 网关服务器指定为智能主机,请单击“添加”,输入其他 IP 地址或 FQDN,再单击“下一步”。
在“智能主机安全设置”页中,选择“无”,然后单击“下一步”。
在“源服务器”页上,单击“添加”。在“选择集线器传输服务器和订阅的边缘传输服务器”对话框中,选择组织中的一台或多台集线器传输服务器,单击“确定”,再单击“下一步”。
在“新建连接器”页中,单击“新建”,然后在“完成”页中单击“完成”。
按照以下步骤在集线器传输服务器上新建用于从外部 SMTP 网关接收邮件的接收连接器:
打开 Exchange 管理控制台。展开“服务器配置”,单击“集线器传输”,然后在操作窗格中,单击“新建接收连接器”。
在“新建 SMTP 接收连接器”向导的“简介”页中,在“名称”字段中键入连接器的唯一名称。
从“选择此连接器的预期用法”下拉列表中,选择“自定义”,然后单击“下一步”。
在“本地网络设置”页上,删除现有的“所有可用的”条目,然后单击“添加”。
在“添加接收连接器绑定”对话框中,选择“指定 IP 地址”。键入被分配给与外部 SMTP 网关通信能力最强的本地服务器上的网络适配器的 IP 地址。确保“端口”字段的值为 25,单击“确定”,然后单击“下一步”。
在“远程网络设置”页上,删除所有网络范围条目,然后单击“添加”。
在“添加远程服务器的 IP 地址”对话框中,键入外部 SMTP 网关服务器的 IP 地址,单击“确定”,然后单击“下一步”。
对于刚创建的接收连接器,按照以下步骤添加匿名权限组:
在任务窗格中,选择在步骤 2 中创建的接收连接器,然后在操作窗格中单击“属性”。
单击“权限组”选项卡。选择“匿名用户”,然后单击“确定”。单击“确定”保存更改并退出“属性”页。
对于刚修改的接收连接器,请按照以下步骤向匿名登录安全主体授予中继权限:
打开 Exchange 命令行管理程序。
使用已在步骤 2 中创建且在步骤 3 中修改的接收连接器的名称运行以下命令:
Get-ReceiveConnector "Receive Connector Name" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
借助 Exchange 命令行管理程序使用匿名中继在集线器传输服务器与外部 SMTP 网关之间建立 Internet 邮件流
若要新建名为“ToInternetGateway”的发送连接器(由集线器传输服务器 HubA 使用,将该服务器配置为使用匿名中继通过名为“smtpgateway1.contoso.com”的外部 SMTP 网关发送传出电子邮件),请运行以下命令:
New-SendConnector -Name "ToInternetGateway" -Usage Internet -AddressSpaces "*" -SmartHosts "smtpgateway1.contoso.com" -SmartHostAuthMechanism None -SourceTransportServers "HubA" -DNSRoutingEnabled $false若要在集线器传输服务器“HubA”(在端口 25 上侦听本地 IP 地址 10.2.3.4 上来自 IP 地址为 192.168.5.77 的 SMTP 网关服务器的匿名连接)上新建名为“FromInternetGateway”的接收连接器,请运行以下命令:
New-ReceiveConnector -Name "FromInternetGateway" -Server HubA -Usage Custom -PermissionGroups AnonymousUsers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77若要在步骤 2 中创建的接收连接器上向匿名登录安全主体授予中继权限,请运行以下命令:
Get-ReceiveConnector "FromInternetGateway" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
详细信息
有关详细信息,请参阅下列主题: