接受的域、共享的 SMTP 地址空间和收件人筛选
原文发布于 2011 年 10 月 7 日(星期五)
接受 DNS 域的入站邮件并将它中继到您的 Exchange 组织外部负责的邮件主机是 Exchange 2003 中的简单过程,但它需要一些解释,这在下面的文章中进行了讨论:
- KB 321721如何在 Exchange 2000 Server 或 Exchange Server 2003 中共享 SMTP 地址空间
- KB 315511 XADM:如何为独立组织设置 Exchange 2000 Server 中的集中 SMTP 域共享
Exchange 2003 使用收件人策略定义您的 Exchange 服务器将接受哪些域的电子邮件并使用这些域生成收件人的电子邮件地址。
另外,收件人策略还允许您应用邮箱管理器设置,这相当于 Exchange 2003 的邮件保留管理 (MRM)。
接受的域和电子邮件地址策略
在 Exchange 2007 中,收件人策略功能拆分为两个组件 – 接受的域和电子邮件地址策略。顾名思义,接受的域用于定义您的传输服务器将接受哪些 SMTP 域的电子邮件,电子邮件地址策略 (EAP) 用于生成收件人的电子邮件地址。EAP 使用接受的域 – 您必须具有接受的域才能使用该域创建电子邮件地址。例如,如果您希望收件人具有来自域 contoso.com 和 tailspintoys.com 的电子邮件地址,首先应为其中每个域创建接受的域,然后创建电子邮件地址策略来定义自动生成的电子邮件地址的格式 – 例如,firstname.lastname@contoso.com。
而 Exchange 2003 允许您使用 LDAP 筛选器来应用收件人策略,Exchange 2010 和 2007 使用 OPATH 筛选语法筛选收件人来应用 EAP。大量固有筛选器包括在 EMC 中的电子邮件地址策略界面中或作为命令行管理程序中的参数提供,从而可以相当轻松地使用一些更常用的收件人属性(例如公司名称、部门、状态和自定义属性 1-15 来应用策略。固有筛选器可满足大多数 Exchange 部署的需要。若要获得更复杂的筛选器,您可以创建自定义收件人筛选器(使用命令行管理程序中的 RecipientFilter 参数)。自定义收件人筛选器允许您在收件人筛选器中使用一长串收件人属性,称为可筛选属性。您可以在 Exchange 2007 SP1 和 SP2 中的 -RecipientFilter 参数的可筛选属性中查找可筛选属性的列表。
接受的域和共享 SMTP 地址空间
域名和电子邮件地址策略对象的分隔使共享 SMTP 地址空间更加简单。您可以在 Exchange 2010 和 Exchange 2007 中创建以下三种类型的接受的域:
权威域:权威域表示您的 Exchange 组织对域来说是权威的,并了解其所有收件人。一般来说,权威域中的所有收件人都是 Exchange 收件人 – 邮箱、通讯组、启用邮件的公用文件夹。收件人还可以位于其他电子邮件系统中,但 Exchange 必须具有他们的启用邮件的联系人 (MailContact) 或启用邮件的用户 (MailUser) 对象。虽然可以手动创建一次性邮件联系人或邮件用户,但通常在以下情形中使用目录同步创建它们,例如:
- 具有自己的 Active Directory 林的另一个业务部门
- 在同一组织中使用另一个邮件系统/目录
复制后,Exchange 知道如何将邮件传递给这些收件人。
因为对域来说 Exchange 具有权威性,所以它必须为其接受但由于任何原因(包括在 Active Directory 中找不到收件人)而无法传递的邮件生成未送达报告 (NDR)。您可以使用收件人筛选并自动删除不存在的收件人的邮件。
外部中继域:如果您的 Exchange 服务器必须接受没有其任何收件人的域的电子邮件,然后将所有此类电子邮件转发给其他邮件主机,则您可以创建外部中继域。在这种情况下,Exchange 不了解收件人,因此无法采取操作,例如执行收件人筛选和删除不存在的收件人的邮件。通过中央邮件基础结构接受入站邮件是常见方案。因为 Exchange 对域来说不具有权威性,所以它只负责将邮件转发给该域的下一个跃点,该跃点必须在传递失败时生成任何 NDR。
若要将外部中继域的电子邮件转发给域的权威邮件主机(或下一个跃点,该跃点随后可以继续中继它),您必须为该域创建发送连接器并指定下一个跃点为智能主机。在具有边缘传输服务器的拓扑中,此类电子邮件由边缘传输服务器中继,集线器传输服务器从不需要处理邮件。
内部中继域:内部中继域可满足一个重要需求,该需求需要在 Exchange 2003 中进行相当复杂的设置。内部中继域允许您接受其中一些收件人可能存在于您的 Exchange 组织中,而其他一些收件人可能在其他邮件系统上的域的电子邮件。Exchange 可以使用邮件联系人或邮件用户来了解其他邮件系统中的收件人。或者它可以传递可本地(在组织中的任何 Exchange 服务器上)传递的所有邮件,并对同一域使用发送连接器将未知收件人的邮件中继到其他邮件主机。因为 Exchange 对此域来说不具有权威性,所以它不对其不负责的收件人生成 NDR。
内部中继域和发送连接器
使用内部中继域时的一个重要注意事项是,不能将您用于将未知收件人的邮件发送给其他邮件主机的发送连接器提供给边缘传输服务器,因为已指示边缘传输服务器接受该域的所有邮件并将其转发给集线器传输服务器。必须将发送连接器提供给集线器传输服务器,并且您必须指定其他邮件主机作为智能主机。
图 1: 在 EMC 中创建接受的域
了解接受域中提供了更多详细信息。
接受的域和收件人筛选
在创建接受的域时,一个重要的注意事项是收件人筛选。如果您使用 Exchange 内置的反垃圾邮件筛选器,则可以使用收件人筛选来筛选组织中不存在的收件人。这允许您删除大量垃圾邮件(在网关上,如果您使用 EdgeSync 实现了边缘传输服务器)。另外,它还意味着您的服务器不会处理不存在的收件人的邮件,并且不会为发件人生成 NDR,发件人也可能是不存在的地址或垃圾邮件发送者伪造的有效地址。
如果您位于具有边缘传输服务器的拓扑中并且配置了 EdgeSync,则收件人信息将从集线器传输服务器同步到边缘传输服务器,然后后者可以使用此信息删除贵组织中不存在的收件人的电子邮件。如果您没有部署边缘传输服务器,则可以在集线器传输服务器上安装反垃圾邮件代理并启用收件人筛选。
许多通常部署在外围网络中的第三方 SMTP 安全解决方案也可以在 Active Directory 中查找收件人,但它们可能需要 LDAP 连接到 Active Directory DC/GC(位于内部网络上),或需要一些其他方式来复制收件人信息。而 EdgeSync 通信从集线器传输服务器出站(安全 LDAP)到边缘传输服务器,并且不需要您打开内部防火墙上的任何端口来允许入站流量。
收件人筛选如何对待来自不同类型的接受域的收件人?对于权威域,Exchange 了解所有收件人,收件人筛选会删除 Active Directory 中不存在的收件人的邮件。对于外部中继域,Exchange 不了解任何收件人,因此此类筛选不可行。内部中继域是灰色区域 – Exchange 可能了解也可能不了解收件人。
您可以为接受的域配置是否允许收件人筛选,方法是设置其 AddressBookEnabled 属性。下表列出了每个接受的域类型的默认值:
接受的域类型 | AddressBookEnabled |
---|---|
权威 | true |
外部中继 | false |
内部中继 | false |
对于内部中继域,它默认设置为 false – 意味着 Exchange (即,收件人筛选代理,如果已启用并配置为删除 Active Directory 中不存在的收件人的邮件)不会检查收件人是否存在。如果您使用某种机制将其他 Exchange 组织或非 Exchange 邮件系统中的收件人复制到 Active Directory 中,可以将此属性设置为 true 并让收件人筛选器检查收件人是否有效。
Set-AcceptedDomain foo.com –AddressBookEnabled $true
这是一篇本地化的博客文章。请访问 Accepted Domains, Shared SMTP Address Spaces and Recipient Filtering 以查看原文