Exchange 2007 傳輸權限模型
適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上次修改主題的時間: 2007-08-27
本主題提供 Microsoft Exchange Server 2007 傳輸權限模型的詳細資訊。在 Microsoft Exchange Server 2007 中,傳輸指的是將郵件從一部伺服器傳送至另一部伺服器的過程。在 Mailbox Server 與 Hub Transport Server 之間傳送郵件時,會使用 MAPI 通訊協定。在 Hub Transport Server 之間傳送與接收郵件時,則會使用簡易郵件傳送通訊協定 (SMTP)。伺服器間的每個通訊工作階段都可具有選擇性的驗證階段。連線要求可能需要授權檢查。
驗證是嘗試識別郵件寄件者的程序。如果未發生驗證或驗證嘗試失敗,則寄件者的身分為匿名。授權是決定是否允許連線的使用者、程式或裝置存取某些資料、功能或服務的程序。此存取取決於要求的動作。驗證程序會驗證身分。授權程序會決定授與的存取層級。
在 Exchange 2007 中,SMTP 及 MAPI 通訊協定是由 Microsoft Exchange Transport 服務所提供。在使用 SMTP 或 MAPI 通訊協定的工作階段中,Microsoft Exchange Transport 服務會使用 Microsoft Windows 授權模型管理工作階段的權限。在 Exchange 2007 的傳輸內容中,授權與是否接受各種通訊協定動詞或事件有關。例如,授權會檢查是否有權限,可以允許寄件者提交來自特定電子郵件地址的郵件或允許特定郵件大小。在 MAPI 及 SMTP 通訊協定交談期間,Exchange 2007 可以執行工作階段驗證。驗證工作階段後,工作階段可用的權限群組可能會因驗證而變更。這會讓來自網際網路的匿名郵件及 Exchange 組織之已驗證使用者提交的郵件,因為驗證授與的權限群組不同而以不同方式進行處理。
Edge Transport server role 上的傳輸預設行為與 Hub Transport server role 上的預設行為不同。此項差異並不是因為程式碼的差異,而是由各角色預設權限集的差異所造成。屬於同一 Active Directory 樹系的 Exchange 伺服器具有信任關係。此信任關係意味著安裝期間設定的預設權限可確保樹系內之郵件流程的安全。
每個已驗證的工作階段都代表存取 Token,會列出驗證安全性主體所隸屬之每個群組的安全性識別碼。圖 1 顯示針對所存取的物件,存取 Token 上所列之群組成員與指派給這些群組之權限的關係。
.gif "Exchange 傳輸授權元件")
已驗證工作階段與已驗證郵件之間的差異
Exchange 2007 傳輸模型的中心概念是已驗證傳輸工作階段與已驗證郵件之間的差異。郵件可以使用中繼資料加上戳記,而中繼資料會指出其為已驗證或匿名郵件。一部伺服器驗證另一部伺服器後,就會傳送郵件,並使用指出郵件為已驗證或匿名郵件的中繼資料加上戳記。接收伺服器會判斷是否可以信任已驗證的戳記。如果接收伺服器信任寄件者,就不會改變已驗證的戳記。如果接收伺服器不信任寄件者,就會覆寫傳送伺服器的已驗證戳記,並使用指出郵件為匿名郵件的中繼資料來加上郵件的戳記。在 Exchange 組織中,端對端內部郵件流程發生於信任已驗證郵件戳記的伺服器之間。接收來自網際網路之郵件的 Edge Transport Server 不會信任網際網路上之匿名伺服器的已驗證戳記。因此,Edge Transport Server 會先使用指出郵件為匿名郵件的中繼資料來加上每封郵件的戳記,再透過已驗證的連線將郵件傳送至 Hub Transport Server。
郵件傳輸驗證及授權程序如何運作
在 Exchange 2007 中,SMTP 工作階段可以使用下列基本機制進行驗證:
- 您可以在 MAPI 工作階段中使用 Windows 帳戶及密碼。也可以使用 SMTP 的 AUTH 延伸模組。這包含純文字密碼驗證、NTLM 驗證及 Kerberos 驗證。
- 您可以使用 SMTP 的 STARTTLS 延伸模組來使用 X.509 憑證。在此案例中,伺服器會於傳輸層安全性 (TLS) 交涉過程中提供憑證。用戶端也可選擇性地提供憑證。
- 您可以使用外部驗證機制。外部驗證使用的是不屬於 Exchange 的機制 (如以實體方式保護安全的網路或 IPsec)。在專用傳送連接器及接收連接器上透過已識別 IP 路由進行通訊時,會使用此方法。
傳送傳輸伺服器可在傳送郵件前驗證接收傳輸伺服器。寄件者驗證後,接收傳輸伺服器會將授與該寄件者的權限套用至工作階段存取 Token。
在 Exchange 2007 中,傳送連接器及接收連接器會管理郵件流程。連接器具有判別存取控制清單 (DACL),可以定義與傳送及接收電子郵件關聯的權限。接收連接器上的權限最為重要。接收連接器上的 DACL 決定寄件者對透過接收連接器提交之郵件的權限。建立與接收連接器的 SMTP 工作階段後,工作階段會從該工作階段的匿名存取 Token 開始。後續成功的驗證會變更存取 Token。如果工作階段未進行驗證,則存取 Token 中的權限群組會維持不變。如果工作階段進行驗證,則會授與工作階段指派給個別帳戶或角色的權限,以及指派給該帳戶所屬任何安全性群組的權限。
圖 2 的流程圖說明 Exchange 2007 傳輸伺服器如何在 SMTP 工作階段中使用驗證及授權。
.gif "SMTP 工作階段驗證程序流程圖")
驗證組態
這組為接收連接器設定的驗證機制會決定將郵件提交給接收連接器之工作階段可用的驗證機制。為傳送連接器設定的驗證機制則決定傳送連接器用來驗證智慧主機的驗證機制。
接收連接器的驗證
您可以在接收連接器上設定多個驗證機制。如果是接收連接器,驗證設定會決定伺服器所啟用的驗證機制集,用來驗證將郵件提交給伺服器的工作階段。傳送伺服器則決定使用的驗證機制。
表 1 列出接收連接器上可設定的驗證機制。若要設定接收連接器驗證機制,請使用 Exchange 管理主控台之接收連接器內容的 [驗證] 索引標籤,或在 Exchange 管理命令介面中搭配使用 AuthMechanism 參數與 Set-ReceiveConnector 指令程式。
表 1 接收連接器的驗證機制
| 驗證機制 | 描述 |
|---|---|
無 |
未提供驗證選項。 |
傳輸層安全性 (TLS) |
連接器將 STARTTLS 提供給用戶端。 |
整合式 Windows 驗證 |
連接器將 AUTH 加上 NTLM GSSAPI 提供給用戶端。GSSAPI 可讓用戶端交涉 NTLM 或 Kerberos。 |
基本驗證 |
連接器將 AUTH 加上 LOGIN 提供給用戶端。使用者名稱及密碼是以純文字格式從用戶端接收而來。此機制需要 Windows 帳戶驗證認證。 |
透過 TLS 的基本驗證 |
這是基本驗證的原則修飾項。連接器只在用戶端交涉 TLS 後才會將 AUTH 加上 LOGIN 提供給用戶端。此機制也需要將 TLS 設為驗證機制。 |
Exchange Server 驗證 |
連接器為執行舊版 Exchange Server 的 Exchange 伺服器提供 EXPS 加上 GSSAPI,並將 X-ANONYMOUSTLS 提供給 Exchange 2007 伺服器的用戶端。 |
以外部方式保護安全 (例如,利用 IPsec) |
此選項會將任何連線都視為來自另一部授權伺服器。 |
智慧主機傳送連接器的驗證
如果是傳送連接器,則 SmartHostAuthMechanism 設定會決定傳送伺服器如何驗證目標智慧主機。SmartHostAuthMechanism 只能有一個值。如果設定 SmartHostAuthMechanism,則驗證必須成功才能傳送郵件。如果智慧主機未提供傳送 Exchange 2007 伺服器所使用的驗證機制,則伺服器不會傳送電子郵件,而且工作階段會結束。如果提供傳送 Exchange 2007 伺服器所使用的驗證機制,但是驗證失敗,則伺服器也不會傳送電子郵件,而且工作階段會結束。
表 2 列出傳送連接器上可設定的驗證機制。若要設定傳送連接器驗證機制,請在 Exchange 管理主控台中使用傳送連接器內容之 [網路] 索引標籤上的 [設定智慧主機驗證] 對話方塊,或在 Exchange 管理命令介面中搭配使用 SmartHostAuthMechanism 參數與 Set-SendConnector 指令程式。
表 2 智慧主機連接器的驗證機制
| 驗證機制 | 描述 |
|---|---|
無 |
允許匿名存取。 |
基本驗證 |
連接器必須使用 AUTH 加上 LOGIN。這需要您提供使用者名稱及密碼。基本驗證會以純文字格式傳送認證。所有與傳送連接器驗證的智慧主機,都必須接受相同的使用者名稱和密碼。如果 RequireTLS 參數也設為 |
基本驗證需要 TLS |
這是基本驗證的原則修飾項。會需要連接器在嘗試 AUTH 前使用 TLS。也會需要傳送伺服器執行接收伺服器的 X.509 憑證驗證。憑證驗證包含在連接器嘗試 AUTH 前檢查憑證撤銷清單 (CRL),以及比對伺服器識別碼與連接器上設定的智慧主機清單。其中一個列為智慧主機的網域全名 (FQDN) 必須存在於伺服器憑證中,名稱比對才能成功。因此,如果智慧主機的 FQDN 指向 MX 記錄,則列出的智慧主機 FQDN 必須存在於憑證中。 |
Exchange Server 驗證 |
連接器必須針對執行舊版 Exchange Server 的 Exchange 伺服器使用 EXPS 加上 GSSAPI,或針對 Exchange 2007 伺服器使用 X-ANONYMOUSTLS。 |
以外部方式保護安全 (例如,利用 IPsec) |
使用 Exchange 伺服器外部的方法來保護網路連線安全。 |
傳輸層安全性
TLS 通訊協定描述於 RFC 2246 中。TLS 使用 X.509 憑證。這些憑證都是電子認證形式。TLS 用途如下:
- 僅用於機密性。
- 用於具機密性並驗證伺服器憑證的伺服器驗證。
- 用於具機密性並驗證用戶端及伺服器憑證的相互驗證。
在 SMTP 通訊協定交談期間,用戶端會發出 SMTP STARTTLS 命令,來要求針對此工作階段交涉 TLS。用戶端在 TLS 通訊協定交涉過程中會從伺服器接收 X.509 憑證。接著用戶端驗證原則會決定是否應該驗證接收伺服器憑證,以及是否應該將其他任何準則套用至憑證 (如名稱比對)。
TLS 交涉過程中可選擇讓接收伺服器也向傳送伺服器要求憑證。如果傳送伺服器將憑證傳送給接收伺服器,則接收伺服器上的本機原則會決定如何驗證憑證,以及因驗證而授與傳送伺服器的權限。
將 TLS 用於伺服器驗證時,只會驗證接收伺服器憑證。如果將 TLS 用於相互驗證,則必須驗證傳送伺服器憑證及接收伺服器憑證。
如果在 Exchange 2007 接收連接器上設定 TLS,則伺服器必須具有 X.509 憑證。此憑證可以是自行簽署的憑證,或由憑證授權單位 (CA) 簽署的憑證。Exchange 伺服器會在本機儲存區尋找符合連接器 FQDN 的憑證。傳送伺服器會選擇 TLS 通訊協定的使用方式。當 Exchange 僅針對機密性使用 TLS 時,Exchange 用戶端不會驗證憑證。例如,當 Exchange 透過 TLS 通訊協定使用 Kerberos 以在 Hub Transport Server 之間使用 TLS 時,會在伺服器之間建立機密通道,而不會對憑證執行驗證。伺服器之間的驗證是在 TLS 通訊協定完成後使用 Kerberos 進行。
需要 TLS 驗證時,Exchange 必須驗證憑證。Exchange 可以兩種方式驗證憑證:直接信任或 X.509 驗證。將 TLS 用於 Edge Transport Server 與 Hub Transport Server 間的通訊時,Exchange 會使用直接信任機制驗證憑證。
直接信任表示 Exchange 會使用信任的儲存區 (如 Active Directory 或 Active Directory 應用程式模式 (ADAM))。直接信任也表示儲存區中有憑證就會驗證該憑證。使用直接信任時,憑證是自行簽署或由憑證授權單位簽署都無所謂。當您向 Exchange 組織訂閱 Edge Transport Server 時,訂閱會在 Active Directory 中發佈 Edge Transport Server 憑證,供 Hub Transport Server 驗證。Microsoft Exchange Edgesync 服務會使用 Hub Transport Server 憑證集更新 ADAM,供 Edge Transport Server 驗證。
Exchange 用來驗證憑證的另一個方法是 X.509 驗證。使用 X.509 驗證時,憑證必須由 CA 簽署。Exchange 驗證智慧主機或使用網域安全性時,會使用 X.509 驗證。下節會說明網域安全性。
網域安全性
網域安全性是指 Exchange 2007 及 Microsoft Office Outlook 中的一組功能,提供替代 S/MIME 或其他郵件層級安全性解決方案的相對低成本解決方案。網域安全性的用途是提供方法,讓系統管理員可以管理與企業夥伴間透過網際網路的安全郵件路徑。設定這些安全郵件路徑後,來自已驗證的寄件者並透過安全路徑成功傳送的郵件,會在 Outlook 及 Outlook Web Access 介面中對使用者顯示為「安全的網域」。
如果符合下列條件,則傳送連接器會驗證目標網域位於針對網域安全性所設定的寄件者網域清單上:
- 傳送連接器設定成使用網域名稱系統 (DNS) 郵件交換 (MX) 資源記錄來路由傳送郵件。
- 傳送連接器設定為安全的網域。
如果目標網域位於清單上,則傳輸伺服器在將電子郵件傳送給該網域時會強制執行相互 TLS 驗證。
如果符合下列條件,則接收伺服器會以 SMTP QUIT 命令進行回應:
- Exchange 無法交涉 TLS
- 伺服器憑證驗證或 CRL 驗證失敗。
接著,會將郵件置於傳送伺服器的佇列中。該佇列是處於重試狀態。名稱檢查失敗時也會發生此行為。
如果接收連接器是安全的網域,則傳輸伺服器會檢查收到的郵件。如果寄件者位於針對網域安全性設定的收件者網域清單上,則傳輸伺服器會強制執行相互 TLS 驗證。如果通過所有檢查,則收到的郵件會標示為「安全的網域」。如果寄件者無法交涉 TLS,或者伺服器憑證驗證或 CRL 驗證失敗,則傳輸伺服器會使用 SMTP 通訊協定的 REJECT 命令來拒絕郵件。如果名稱檢查失敗,也會發出 SMTP 通訊協定的 REJECT。接著,Exchange 伺服器會將具有暫時 SMTP 錯誤 (4xx) 的郵件傳送給傳送伺服器。這表示傳送伺服器應該稍後會重試。此行為會防止暫時 CRL 驗證失敗引起的暫時性失敗,立即將 NDR 傳送給寄件者。失敗只會使郵件傳遞延遲。
如需相關資訊,請參閱管理網域安全性。
以外部方式保護安全的驗證
如果確定伺服器間的網路連線是受信任的連線,則可以選取 [以外部方式保護安全] 驗證選項。此連線可能是 IPsec 關聯或虛擬私人網路。或者,這些伺服器亦可位於實際受控制的信任網路中。下列情況可以使用此組態:
- 您在 Exchange 2007 傳輸伺服器與舊版 Exchange Server 或其他任何 SMTP 伺服器之間建立郵件流程。
- 您不希望使用基本驗證。
因為所有連接器連線都假設是安全的連線,所以設定為以外部方式保護安全的 Exchange 連接器必須使用專用的傳送連接器及接收連接器。因此,設定為以外部方式保護安全的傳送連接器必須使用智慧主機來路由傳送郵件。另外,連接器上必須設定目標智慧主機的 IP 位址。設定為以外部方式保護安全的接收連接器,其 RemoteIPRanges 必須設為傳送伺服器的 IP 位址範圍。TLS 也可以與 [以外部方式保護安全] 驗證選項結合,增加工作階段的機密性。如果將連接器上的 RequireTLS 參數設為 $True,即可在 Exchange 管理命令介面中執行此動作。
授權
在郵件傳輸期間,授權是決定是否允許 SMTP 工作階段執行要求的動作 (如傳送郵件) 的程序。
Exchange 2007 傳輸權限
Exchange 2007 傳輸伺服器會將 Windows 授權模型用於 SMTP 工作階段,決定是否授權寄件者將郵件提交給特定連接器、特定收件者及以特定寄件者身分提交郵件等。SMTP 工作階段會接收一組初始的權限 (匿名)。而在驗證工作階段後,工作階段即可使用更多權限。這會變更工作階段獲授權可執行的動作集。
在 Windows 授權模型中,會透過存取控制互動授與權限,而該互動會將存取 Token 與存取控制清單 (ACL) 進行比較。存取 Token 會列出一組安全性主體。安全性主體可以是使用者帳戶、電腦帳戶或安全性群組。每個安全性主體都有關聯的安全性識別碼 (SID)。每個工作階段都會指派有存取 Token。ACL 定義於 Active Directory 或 ADAM 的連接器物件上。DACL 包含一組存取控制項目 (ACE)。每個 ACE 會允許或拒絕授與安全性主體的權限。當傳輸伺服器檢查以決定是否將權限授與工作階段 (如提交電子郵件) 時,會呼叫 Windows 存取檢查 API,並提供工作階段存取 Token 與連接器的 DACL 作為參數以及要求的權限。
此程序與決定檔案讀取權限的方式相同。存取 Token、檔案 DACL 及要求的權限會提交至相同 API。API 會對照 DACL 中的每個 ACE 檢查列於存取 Token 的每個安全性主體,以決定允許或拒絕要求的權限。除了電腦上之 Active Directory、ADAM 或本機安全性帳戶管理員 (SAM) 資料庫提供的 Windows SID 之外,Exchange 2007 也定義了其他的 SID。這些 SID 代表邏輯群組。表 3 列出 Exchange 2007 所定義的 SID,會在傳輸驗證期間使用這些 SID。
表 3 Exchange 2007 SID
| 顯示名稱 | SID | 邏輯群組 |
|---|---|---|
協力程式伺服器 |
S-1-9-1419165041-1139599005-3936102811-1022490595-10 |
針對網域安全性設定的寄件者及收件者網域。 |
Hub Transport Server |
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
同一 Exchange 組織中的 Hub Transport Server。 |
Edge Transport server |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
信任的 Edge Transport Server。 |
以外部方式保護安全的伺服器 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
同一授權網域中的信任協力廠商伺服器。 |
傳統 Exchange 伺服器 |
S-1-9-1419165041-1139599005-3936102811-1022490595-24 |
同一 Exchange 組織中的 Exchange Server 2003 伺服器。 |
接收連接器權限
接收連接器會處理伺服器的傳入工作階段。工作階段可能是由已驗證的寄件者或匿名寄件者所建立。如果成功驗證工作階段,就會更新工作階段存取 Token 中的 SID。表 4 列出可授與連接至接收連接器之工作階段的權限。
表 4 接收連接器權限
| 權限 | 顯示名稱 | 描述 |
|---|---|---|
ms-Exch-SMTP-Submit |
提交郵件到伺服器 |
您必須將此權限授與工作階段,否則工作階段無法將郵件提交給此接收連接器。如果工作階段沒有此權限,則 MAIL FROM 命令會失敗。 |
ms-Exch-SMTP-Accept-Any-Recipient |
提交郵件到任何收件者 |
此權限允許工作階段透過此連接器轉送郵件。如果未授與此權限,則此連接器只會接受收件者位於公認網域中的郵件。 |
ms-Exch-SMTP-Accept-Any-Sender |
接受任何寄件者 |
此權限允許工作階段略過寄件者地址詐騙檢查。 |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
接受授權網域寄件者 |
此權限允許工作階段略過阻止來自授權網域久電子郵件地址的輸入郵件檢查。 |
ms-Exch-SMTP-Accept-Authentication-Flag |
接受驗證標幟 |
此權限允許執行舊版 Exchange Server 的 Exchange 伺服器提交來自內部寄件者的郵件。Exchange 2007 伺服器會將郵件辨識為內部郵件。 |
ms-Exch-Accept-Headers-Routing |
接受路由標頭 |
此權限允許工作階段提交所有收到的標頭都未改變的郵件。如果未授與此權限,則伺服器會刪除所有收到的標頭。 |
ms-Exch-Accept-Headers-Organization |
接受組織標頭 |
此權限允許工作階段提交所有組織標頭都未改變的郵件。組織標頭的開頭都是 "X-MS-Exchange-Organization-"。如果未授與此權限,則接收伺服器會刪除所有組織標頭。 |
ms-Exch-Accept-Headers-Forest |
接受樹系標頭 |
此權限允許工作階段提交所有樹系標頭都未改變的郵件。樹系標頭的開頭都是 "X-MS-Exchange-Forest-"。如果未授與此權限,則接收伺服器會刪除所有樹系標頭。 |
ms-Exch-Accept-Exch50 |
接受 Exch50 |
此權限允許工作階段提交包含 XEXCH50 命令的郵件。Exchange 2000 Server 與 Exchange 2003 的交互操作性需要此命令。XEXCH50 命令提供郵件的垃圾郵件信賴等級 (SCL) 等資料。 |
ms-Exch-Bypass-Message-Size-Limit |
略過郵件大小限制 |
此權限允許工作階段提交超過為連接器設定之郵件大小限制的郵件。 |
Ms-Exch-Bypass-Anti-Spam |
略過反垃圾郵件 |
此權限允許工作階段略過反垃圾郵件篩選器。 |
傳送連接器權限
傳送連接器會處理到另一部伺服器的傳出工作階段。工作階段可能是由寄件者所建立,可連接至匿名或已驗證的接收者。如果成功驗證工作階段,就會更新工作階段存取 Token 中的 SID 集。傳送連接器權限會決定使用連接器傳送之郵件中可包含的標頭資訊類型。傳送至組織中其他 Exchange 伺服器或跨樹系案例中的信任 Exchange 組織的郵件,通常可允許傳送所有標頭。傳送至網際網路或非 Exchange SMTP 伺服器的郵件,則不允許包含所有標頭。如果郵件中包含標頭,則 Exchange 2007 的標頭防火牆功能會刪除這些標頭。表 5 列出可授與連接至傳送連接器之工作階段的權限。
表 5 傳送連接器權限
| 權限 | 顯示名稱 | 描述 |
|---|---|---|
ms-Exch-Send-Exch50 |
傳送 Exch50 |
此權限允許工作階段傳送包含 EXCH50 命令的郵件。如果未授與此權限,則伺服器會傳送郵件,但不會包含 EXCH50 命令。 |
Ms-Exch-Send-Headers-Routing |
傳送路由標頭 |
此權限允許工作階段傳送所有收到的標頭都未改變的郵件。如果未授與此權限,則伺服器會刪除所有收到的標頭。 |
Ms-Exch-Send-Headers-Organization |
傳送組織標頭 |
此權限允許工作階段傳送所有組織標頭都未改變的郵件。組織標頭的開頭都是 "X-MS-Exchange-Organization-"。如果未授與此權限,則傳送伺服器會刪除所有組織標頭。 |
Ms-Exch-Send-Headers-Forest |
傳送樹系標頭 |
此權限允許工作階段傳送所有樹系標頭都未改變的郵件。樹系標頭的開頭都是 "X-MS-Exchange-Forest-"。如果未授與此權限,則傳送伺服器會刪除所有樹系標頭。 |
權限群組
權限群組是接收連接器上可授與的一組預先定義權限。權限群組只可供接收連接器使用。使用權限群組可簡化接收連接器上的權限組態。PermissionGroups 內容定義可將郵件提交至接收連接器的群組或角色,以及提供給這些群組的權限。Exchange 2007 已預先定義一組權限群組。因此,您無法建立其他權限群組。此外,也無法修改權限群組成員或關聯的權限。
表 6 列出 Exchange 2007 中的可用權限群組、權限群組成員及關聯的權限。
表 6 接收連接器權限群組及關聯的權限
| 權限群組名稱 | 安全性主體 | Edge Transport Server 上授與的權限 | Hub Transport Server 上授與的權限 |
|---|---|---|---|
Anonymous |
匿名使用者 |
|
|
ExchangeUsers |
已驗證的使用者 (不含已知的帳戶) |
無 |
|
Exchange Servers |
Exchange 2007 伺服器 |
所有接收權限 |
|
ExchangeLegacyServers |
Exchange 2003 及 Exchange 2000 伺服器 |
無 |
|
Partner |
協力程式伺服器帳戶 |
|
|
連接器使用類型
建立新連接器時,可以指定連接器的使用類型。使用類型決定連接器的預設設定。這包括已驗證的 SID、指派給這些 SID 的權限及驗證機制。
表 7 列出接收連接器可用的使用類型。選取接收連接器的使用類型時,會自動指派連接器的權限群組。同時也會設定預設驗證機制。
表 7 接收連接器使用類型
| 使用類型 | 預設權限群組 | 預設驗證機制 |
|---|---|---|
用戶端 |
ExchangeUsers |
|
自訂 |
無 |
無。 |
內部 |
|
Exchange Server 驗證。 |
網際網路 |
AnonymousUsers 協力程式 |
無或以外部方式保護安全。 |
協力程式 |
協力程式 |
不適用。建立與遠端網域的相互 TLS 驗證時會選取此使用類型。 |
表 8 列出傳送連接器可用的使用類型。選取傳送連接器的使用類型時,會自動指派 SID 的權限。同時也會設定預設驗證機制。
表 8 傳送連接器使用類型
| 使用類型 | 預設權限 | 安全性主體 | 智慧主機的預設驗證機制 |
|---|---|---|---|
自訂 |
無 |
無 |
無 |
內部 |
|
|
Exchange Server 驗證。 |
網際網路 |
傳送路由標頭 |
匿名使用者帳戶 |
無。 |
協力程式 |
傳送路由標頭 |
協力程式伺服器 |
不適用。建立與遠端網域的相互 TLS 驗證時會選取此使用類型。 |
如果選取傳送連接器或接收連接器的 [自訂] 使用類型,則必須手動設定驗證方法及授權的 SID,並指派這些 SID 的權限。如果未指定使用類型,則連接器使用類型會設為 [自訂]。
使用 Enable-CrossForestConnector 指令碼設定權限
您可以使用 Enable-CrossForestConnector.ps1 指令碼簡化跨樹系連接器上的權限設定方式。此指令碼會以類似權限群組的方式指派權限。並將一組已定義的權限指派給傳送連接器或接收連接器。您可視您連線案例的需要修改這組權限,方法是修改 Enable-CrossForestConnector.ps1 指令碼內容。如需相關資訊,請參閱設定跨樹系連接器。
使用 Add-AdPermission 指令程式設定權限
Exchange 管理命令介面中的 Add-AdPermission 指令程式是通用的指令程式,用來將權限指派給儲存於 Active Directory 中的物件。您可以使用 Add-AdPermission 指令程式,在傳送連接器或接收連接器上授與個別權限。Add-AdPermission 指令程式一般不是用來管理傳輸權限。然而,在下列案例中必須使用它來設定權限:
- 在跨樹系案例中建立郵件流程。
- 接受來自網際網路並由授權網域中的寄件者送出的匿名電子郵件。
Exchange 2007 傳輸權限是可使用此指令程式指派之延伸權利集的一部分。下列程序顯示如何使用 Add-AdPermission 指令程式設定 Hub Transport Server 接收連接器上的權限,以允許匿名工作階段提交郵件:
如何使用 Exchange 管理命令介面設定接收連接器上的權限
執行下列命令:
Add-AdPermission -Identity "Default Hub1" -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights ms-Exch-SMTP-Submit,ms-Exch-SMTP-Accept-Any-Recipient,ms-Exch-Bypass-Anti-Spam
您可以使用 Get-AdPermission 指令程式檢視傳送連接器或接收連接器的 DACL。請執行下列其中一個命令來擷取指派給接收連接器的權限,並以格式化表格形式顯示結果:
如何使用 Exchange 管理命令介面檢視接收連接器上的延伸權限
執行下列其中一個命令:
Get-AdPermission -Identity "Default ServerName" | format-table -view User Get-AdPermission -Identity "Default ServerName" | format-table -view Identity
您可以使用 Remove-AdPermission 指令程式移除任何先前指派的權限。
如需如何使用 Exchange 管理命令介面設定、檢視及移除權限的相關資訊,請參閱下列主題:
使用 ADSI 編輯器設定權限
Active Directory 服務介面 (ADSI) 編輯器是 Windows 支援工具提供的 Microsoft Management Console。ADSI 編輯器是一種低階編輯器,用來修改其他管理介面中看不到的 Active Directory 或 ADAM 物件內容。ADSI 編輯器只應由有經驗的系統管理員使用。
您可以使用 ADSI 編輯器檢視及修改傳送連接器及接收連接器的 ACL。開啟 ADSI 編輯器後,請找出連接器物件。Exchange 2007 連接器儲存於目錄服務的 [組態] 磁碟分割中。傳送連接器是儲存為 [連線] 容器中的物件。而接收連接器是儲存為 Exchange 2007 傳輸伺服器的子物件。
使用 ADSI 編輯器修改接收連接器權限:
前往下列位置,找出接收連接器:
CN=Configuration\CN=Services\CN=Microsoft Exchange\CN=<Organization>\CN=Administrative Groups\CN=Exchange Administrative Group (FYDIBOHF23SPDLT)\CN=Servers\CN=<Server Name>\CN=Protocols\CN=SMTP Receive Connectors
在結果窗格中選取接收連接器。請按一下滑鼠右鍵,再按 [內容]。
按一下 [安全性] 索引標籤。就會顯示下列畫面:
![[ADSI 編輯器] 中的 [接收連接器安全] 索引標籤](images/aa997170.3881b44d-1479-4c8f-9d8a-fdb94700b6d3(exchg.80).gif "[ADSI 編輯器] 中的 [接收連接器安全] 索引標籤")
按一下 [新增] 選取要授與權限的使用者或群組,或選取現有的 [群組或使用者名稱] 項目。
選取應該指派給帳戶的權限,並選取 [允許] 欄位中的核取方塊。
使用 ADSI 編輯器修改傳送連接器權限:
前往下列位置,找出傳送連接器:
CN=Configuration\CN=Services\CN=Microsoft Exchange\CN=<Organization>\CN=Administrative Groups\CN=Exchange Administrative Group(FYDIBOHF23SPDLT)\CN=Routing Groups\CN=Routing Group (DWBGZMFD01QNBJR)\CN=Connections
在結果窗格中選取傳送連接器。請按一下滑鼠右鍵,再按 [內容]。
按一下 [安全性] 索引標籤。就會顯示下列畫面:
![[ADSI 編輯器] 中的 [傳送連接器安全性] 索引標籤](images/aa997170.237db980-c7d9-4224-b448-1172774e979d(exchg.80).gif "[ADSI 編輯器] 中的 [傳送連接器安全性] 索引標籤")
按一下 [新增] 選取要授與權限的使用者或群組,或選取現有的 [群組或使用者名稱] 項目。
選取應該指派給帳戶的權限,並選取 [允許] 欄位中的核取方塊。
權限疑難排解
在通訊協定交談期間,SMTP 伺服器可能會因為缺少權限而拒絕某些命令。表 9 列出最常見的通訊協定拒絕訊息及造成錯誤的權限組態。
表 9 常見的通訊協定拒絕訊息及其原因
| SMTP 伺服器回應 | 原因 |
|---|---|
530 5.7.1 未驗證用戶端 |
SMTP 通訊協定的 MAIL FROM 欄位中所指定的寄件者沒有提交至此伺服器的權限。必須將 ms-Exch-SMTP-Submit 權限授與寄件者。 |
535 5.7.3 驗證失敗 |
在 SMTP 通訊協定交談的 AUTH 階段期間,提供的認證不正確,或已驗證的使用者沒有提交至此伺服器的權限。 |
550 5.7.1 用戶端沒有提交至此伺服器的權限 |
SMTP 通訊協定交談的 MAIL FROM 欄位中所指定的寄件者已經過驗證,但沒有提交至此伺服器的權限。 |
550 5.7.1 用戶端沒有以此寄件者身分傳送的權限 |
SMTP 通訊協定交談的 MAIL FROM 欄位中所指定的寄件者是授權網域中的地址。然而,工作階段沒有 ms-Exch-SMTP-Accept-Authoritative-Domain-Sender 權限。如果寄件者地址所屬 Exchange 組織為授權組織,則將郵件從網際網路提交至 Edge Transport Server 時,就可能發生此問題。 |
550 5.7.1 用戶端沒有代理寄件者地址傳送的權限 |
已驗證的使用者沒有代理郵件標頭中所指定之寄件者提交郵件的權限。另外,工作階段沒有 ms-Exch-SMTP-Accept-Any-Sender 權限。 |
550 5.7.1. 無法轉送 |
設為郵件地址的收件者網域不在針對此組織所定義的任何公認網域內。另外,工作階段沒有 ms-Exch-SMTP-Accept-Any-Recipient 權限。 |
相關資訊
如需相關資訊,請參閱下列主題:
若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.