公認的網域、共用 SMTP 位址空間和收件者篩選
英文原文已於 2011 年 10 月 7 日星期五發佈
接受 DNS 網域的內送郵件,並將它轉送至 Exchange 組織以外的負責郵件主機,對於 Exchange 2003 而言是項簡單的程序,但還是需要一些說明,而下列文章將加以討論:
- KB 321721 XCON:在 Exchange 2000 中共用 SMTP 位址
- KB 315511 XADM:如何在 Exchange 2000 Server 中設定獨立組織的集中式 SMTP 網域共用
Exchange 2003 使用收件者原則定義 Exchange 伺服器會接受其電子郵件的網域,以及產生使用那些網域之收件者的電子郵件地址。
此外,您也可利用「收件者原則」套用信箱管理員設定 (郵件保留管理 (Messaging Retention Management, MRM) 的 Exchange 2003 對等功能)。
公認的網域和電子郵件地址原則
在 Exchange 2007 中,收件者原則功能分成兩個元件 - 公認的網域和電子郵件地址原則。一如名稱所示,公認的網域可用以定義傳輸伺服器接受電子郵件的 SMTP 網域,而且會使用電子郵件地址原則 (EAP) 產生收件者的電子郵件地址。EAP 使用公認的網域,所以您必須先有公認的網域,才可建立使用該網域的電子郵件地址。例如,如果您想要收件者具有來自網域 contoso.com 和 tailspintoys.com 的電子郵件地址,請先建立上述每個網域的公認網域,然後建立電子郵件地址原則以定義自動產生之電子郵件地址的格式 - 例如, firstname.lastname@contoso.com。
Exchange 2003 使用 LDAP 篩選,套用收件者原則,而 Exchange 2010 和 2007 則使用 OPATH 篩選語法篩選收件者,以套用 EAP。有一些預先定義的篩選內含於 EMC 的電子郵件地址原則介面中,或做為 Shell 中的參數,以輕鬆地使用一些較常用的收件者屬性 (如公司名稱、部門、狀態及要套用原則的自訂屬性 1-15)。預先定義的篩選能符合大部分 Exchange 部署的需要。如需較複雜之篩選的詳細資訊,您可以建立自訂收件者篩選,方法是使用 Shell 中的 RecipientFilter 參數。您可利用自訂收件者篩選,使用收件者篩選中的詳細收件者屬性清單 (稱為可篩選的屬性)。您可以在 Exchange 2007 SP1 和 SP2 中 -RecipientFilter 參數的可篩選屬性中找到可篩選屬性的清單。
公認的網域和共用 SMTP 位址空間
區隔網域名稱與電子郵件地址原則物件可讓共用 SMTP 位址空間更為簡單。您可以在 Exchange 2010 和 Exchange 2007 中建立下列三種類型的公認網域:
授權網域:授權網域表示您的 Exchange 組織授權供網域使用,而且知道它的所有收件者。授權網域中所有的收件者一般是 Exchange 收件者 (信箱、通訊群組、擁有郵件功能的公用資料夾)。收件者也可位於其他電子郵件系統中,但是 Exchange 必須要有擁有郵件功能的連絡人 (MailContact) 或擁有郵件功能的使用者 (MailUser) 物件。雖然您可以手動建立單次性郵件連絡人或郵件使用者,但是它們一般在下列情況下使用目錄同步處理所建立,例如:
- 另一個具有專屬 Active Directory 樹系的業務單位
- 另一個在相同組織內使用的郵件系統/目錄
經過複寫之後,Exchange 會知道如何將郵件傳遞給這些收件者。
因為 Exchange 授權可供網域使用,因此必須針對它接受但因一些原因而無法傳遞的郵件,產生未傳遞回報 (NDR) (包括它在 Active Directory 中找不到的收件者)。您可以使用收件者篩選,並自動捨棄不存在之收件者的郵件。
外部轉送網域:如果您的 Exchange 伺服器必須接受沒有任何收件者之網域的電子郵件,然後將所有這類電子郵件轉寄至另一部郵件主機。您可以建立外部轉送網域。在此情況下,Exchange 無法辨識收件者,因此無法採取動作 (例如,執行收件者篩選,以及捨棄不存在之收件者的郵件)。透過中央傳訊基礎結構接受內送郵件是常見的情況。因為 Exchange 未授權供網域使用,所以只會負責將郵件轉寄至該網域的下一個躍點 (必須在傳遞失敗時產生所有 NDR)。
若要將外部轉送網域的電子郵件轉寄至授權供網域使用的郵件主機 (或下一個躍點,接著再進行轉送),您必須建立該網域的傳送連接器,並指定下一個躍點做為智慧主機,在含有 Edge Transport Server 的拓撲中,Edge Transport 會轉送這類電子郵件,而 Hub Transport Server 則絕對不需要處理郵件。
內部轉送網域:內部轉送網域能滿足重要的需求,其中一個網域在 Exchange 2003 中需要進行相當多的設定。它們可讓您接受網域的電子郵件,而部分收件者可能存在於 Exchange 組織中,但一部分收件者可能在另一部傳訊系統上。Exchange 可以使用郵件連絡人或郵件使用者,知道另一部傳訊系統中的收件者。或者,它可能會傳遞所有本機傳遞的郵件 (在組織的任何 Exchange 伺服器上),並使用相同網域的傳送連接器,將不明的收件者之郵件轉送至另一部郵件主機。因為 Exchange 未授權供此網域使用,所以不會產生不負責收件者的 NDR。
內部轉送網域和傳送連接器
使用內部轉送網域時的一個重要考量是,用以將不明的收件者之郵件傳送至另一部郵件主機的傳送連接器,不能將來源設為 Edge Transport Server,原因是系統已指示 Edge Transport Server 接受該網域的所有郵件,並會將它轉寄至 Hub Transport Server。相反地,傳送連接器的來源必須設為 Hub Transport Server,而且您必須將另一部郵件主機指定為智慧主機。
圖 1:在 EMC 中建立公認網域
了解公認的網域中有更多詳細資料。
公認網域和收件者篩選
建立公認的網域時,有一項重要的考量是收件者篩選。如果您使用 Exchange 的內建反垃圾郵件篩選,可以使用收件者篩選,篩選不存在於組織中的收件者。如此可讓您捨棄大量的垃圾郵件 (如果您使用 EdgeSync 實作 Edge Transport Server,則是在閘道上)。此外,它也表示您的伺服器不會處理不存在之收件者的郵件,以及產生寄件者的 NDR ,這也可能是不存在的地址或垃圾郵件發信者詐騙的有效地址。
如果您所在的拓撲具有 Edge Transport Server,且已設定 EdgeSync,則會將收件者資訊從 Hub Transport Server 同步處理至 Edge Transport Server,之後即可使用此資訊刪除組織中不存在之收件者的電子郵件。如果您尚未部署 Edge Transport Server,則可以在 Hub Transport Server 上安裝反垃圾郵件代理程式,並啟用收件者篩選。
許多一般部署於周邊網路的協力廠商 SMTP 安全性解決方案,也可以查閱 Active Directory 中的收件者,雖然他們可能需要與 Active Directory DC/GC (位於內部網路中) 的 LDAP 連線,或是一些用於複寫收件者資訊的其他方法。相形之下,EdgeSync 通訊會從 Hub Transport Server 輸出 (安全 LDAP) 到 Edge Transport Server,而且不需要您開啟內部防火牆的任何連接埠,供輸入流量使用。
收件者篩選如何處理不同類型之公認的網域的收件者?若是 Exchange 知道所有收件者的授權網域,收件者篩選會刪除掉 Active Directory 中不存在之收件者的郵件;若是外部轉送網域,Exchange 不知道任何收件者,因此無法進行這類篩選。內部轉送網域會是灰色地帶 (Exchange 不一定知道收件者)。
您可以設定是否允許公認網域的收件者篩選,方法是設定其 AddressBookEnabled 屬性。每個公認網域類型的預設值列於下表中:
公認的網域類型 | AddressBookEnabled |
---|---|
授權 | true |
外部轉送 | false |
內部轉送 | false |
若是內部轉送網域,其值預設為 false,代表 Exchange (即收件者篩選代理程式,如果已啟用並設定為刪除 Active Directory 中不存在之收件者的郵件的話) 不會檢查收件者是否存在。如果您使用將收件者從另一個 Exchange 組織或非 Exchange 傳訊系統複寫至 Active Directory 的機制,則可將此屬性設為 true ,並讓收件者篩選檢查是否具有有效的收件者。
Set-AcceptedDomain foo.com –AddressBookEnabled $true
這是翻譯後的部落格文章。英文原文請參閱 Accepted Domains, Shared SMTP Address Spaces and Recipient Filtering。