Планирование исходящей электронной почты для фермы SharePoint Server
ОБЛАСТЬ ПРИМЕНЕНИЯ:2013 2016 2019 Subscription Edition SharePoint в Microsoft 365
Исходящая электронная почта — это основа, на которой администраторы сайта могут реализовать несколько функций уведомлений по электронной почте. Эти функции помогают конечным пользователям отслеживать изменения и обновления для отдельных семейств сайтов и позволяют администраторам сайтов доставлять сообщения о статусах.
Сведения об исходящей электронной почте
Правильная настройка исходящей электронной почты требуется для реализации оповещений и уведомлений по электронной почте. Функция исходящей электронной почты использует службу SMTP для передачи оповещений и уведомлений по электронной почте. К этим функциям электронной почты относятся следующие:
Оповещения
В большом и растущем семействе веб-сайтов пользователям нужен способ следить за обновлениями списков, библиотек и обсуждений. Оповещения помогают держать пользователей в курсе изменений. Например, при работе многих пользователей с одним документом владелец документа может задать отправку оповещений каждый раз при внесении изменений в документ. Пользователи могут указывать, какие области семейства сайтов или какие документы они хотят отслеживать, и решать, как часто должны приходить оповещения.
Примечание.
Для настройки оповещений пользователи должны иметь по крайней мере разрешения на просмотр .
Административные сообщения
Администраторам сайтов может полезно получать уведомления при запросе пользователями доступа на сайт или при превышении владельцами сайта указанного размера хранилища. Настройка исходящей электронной почты позволяет администраторам сайта получать автоматические уведомления о проблемах администрирования сайта.
Поддержка исходящей электронной почты может быть включена как на уровне фермы серверов (доступно в разделе Параметры системы веб-сайта центра администрирования SharePoint, так и на уровне веб-приложения (доступно в разделе Управление приложениями центра администрирования). Параметры исходящей электронной почты на уровне веб-приложения переопределяют параметры, настроенные на уровне фермы серверов. Вы также можете указать различные параметры для определенного веб-приложения.
Ключевые этапы планирования исходящей электронной почты
При планировании параметров исходящей электронной почты необходимо учитывать следующие компоненты:
Служба SMTP для ретрансляции оповещений и уведомлений по электронной почте. Нужно будет использовать имя DNS или IP-адрес почтового сервера SMTP.
Адрес для заголовка сообщения с оповещением, идентифицирующий отправителя сообщения.
Адрес ответа на запрос, который отображается в поле Кому сообщения, когда пользователь отвечает на оповещение или уведомление.
Набор символов для использования в теле сообщения с оповещением.
SMTP-сервер исходящей почты
Служба SMTP является компонентом служб IIS; однако по умолчанию она не включена в службах IIS. Его можно включить с помощью мастера добавления ролей и компонентов в диспетчере серверов.
После определения того, какой SMTP-сервер следует использовать, необходимо настроить SMTP-сервер так, чтобы разрешить анонимный доступ и разрешить ретрансляцию сообщений электронной почты. Кроме того, smtp-сервер должен иметь доступ к Интернету, если вы хотите отправлять сообщения на внешние адреса электронной почты.
Дополнительные сведения об установке, настройке службы SMTP и управлении ею см. в статье Настройка исходящей электронной почты .
Примечание.
Только участник группы администраторов ферм может настраивать SMTP-сервер. Пользователь также должен быть участником местной группы администраторов на сервере.
Адреса "От" и "Кому"
При настройке исходящей электронной почты можно настроить следующие два адреса:
Адрес "От"
Оповещения и уведомления высылаются с администраторской учетной записи на ферме сервера. Эта учетная запись, вероятно, не должна отображаться в поле От сообщения электронной почты. Используемый адрес не должен соответствовать фактической учетной записи электронной почты; это может быть простой понятный адрес, узнаваемый конечным пользователем. Например, "Администратор сайта" может быть подходящим адресом "От".
Обратный адрес
Это адрес, который отображается в поле Кому сообщения, когда пользователь отвечает на оповещение или уведомление. Обратный адрес также должен быть учетной записью под наблюдением, чтобы конечные пользователи получали оперативную поддержку в случае возникновения вопросов. Например, подходящим обратным адресом может быть "Служба поддержки".
Набор символов
При настройке исходящей электронной почты необходимо указать кодировку, используемую в тексте сообщений электронной почты. Набор символов это сопоставление символов определяющим их кодовым значениям. По умолчанию для исходящей электронной почты используется кодировка Юникод UTF-8, которая позволяет сочетать большинство символов (включая двунаправленный текст) в одном документе. В большинстве случаев заданная по умолчанию настройка UTF-8 работает хорошо, хотя восточноазиатские лучше всего отображаются с помощью своих собственных наборов символов.
Учтите, что при выборе конкретного языкового кода возрастает риск некорректного отображения текста в средствах чтения почты, настроенных для других языков.
Проверка подлинности SMTP-сервера
Функция проверки подлинности SMTP-сервера доступна только в SharePoint Server 2019.
SharePoint Server 2019 поддерживает анонимное подключение к SMTP-серверам или с проверкой подлинности. Если SMTP-сервер требует проверки подлинности, необходимо указать учетные данные, которые SharePoint будет использовать для проверки подлинности на SMTP-сервере. Рекомендуется использовать учетные данные учетной записи, соответствующие адресу From . Если вы хотите использовать учетные данные для другой учетной записи, убедитесь, что у учетной записи есть разрешение "Отправить как" для олицетворения адреса From.
Примечание.
Если вы используете учетную запись Windows для проверки подлинности на SMTP-сервере, вы можете указать имя пользователя в формате универсального имени участника-пользователя (UPN) (user@domain.com) или в формате входа NT4 (DOMAIN\user). Если для проверки подлинности на SMTP-сервере используется другая учетная запись, не Windows, обратитесь к администратору электронной почты, чтобы выяснить пригодный формат имени пользователя.
Перед предоставлением учетных данных необходимо задать ключ учетных данных приложения на каждом сервере фермы. Ключ учетных данных приложения — это отдельный пароль, который используется для шифрования и расшифровки пароля SMTP. Ключ учетных данных приложения должен быть одинаковым на всех серверах фермы. Корпорация Майкрософт рекомендует использовать надежный пароль для ключа учетных данных приложения и избегать повторного использования того же пароля, что и парольная фраза фермы, учетные записи службы фермы и т. д.
SharePoint поддерживает следующие механизмы простой проверки подлинности и уровня безопасности (SASL) для проверки подлинности на SMTP-сервере:
GSSAPI (Kerberos, NTLM)
NTLM;
ЛОГИН
Примечание.
SharePoint использует следующее имя субъекта-службы (SPN) для проверки подлинности на SMTP-сервере во время проверки подлинности Kerberos и NTLM, где <host> — это имя SMTP-сервера, предоставленное вами:
SMTPSVC/<узел>
Использование шифрования подключений TLS
Установите для параметра Использовать шифрование TLS-подключения значение Да, чтобы sharePoint установил зашифрованное подключение к SMTP-серверу перед отправкой электронной почты. Чтобы установить зашифрованное подключение, на SMTP-сервере должен быть установлен действительный сертификат сервера. Если задано значение Да и не удается установить зашифрованное подключение, сообщения электронной почты отправляться не будут.
Примечание.
SharePoint поддерживает STARTTLS для установки шифрования TLS-подключения к SMTP-серверу. Он не поддерживает ПРОТОКОЛ SMTPS для установки шифрования SSL-подключения к SMTP-серверу.
Примечание.
Хотя SharePoint может требовать шифрование подключения TLS при отправке электронной почты на SMTP-сервер, он не может контролировать, будет ли использоваться шифрование подключения, когда этот SMTP-сервер отправляет сообщение электронной почты на другие SMTP-серверы. Обратитесь к администратору электронной почты, чтобы настроить SMTP-серверы для шифрования подключений.
Использование проверки подлинности сертификата клиента с SMTP-сервером
Примечание.
Эта функция использовать проверку подлинности с помощью сертификата клиента с smtp-сервером доступна только в SharePoint Server Subscription Edition.
Проверка подлинности сертификата клиента по протоколу SMTP — это необязательная расширенная конфигурация проверки подлинности, которая позволяет клиенту (в этом сценарии SharePoint) проходить проверку подлинности на SMTP-сервере с помощью сертификата X.509, который клиент предоставляет серверу. Эта проверка подлинности является "вместо" или "в дополнение" к учетным данным имени пользователя или пароля. Эта конфигурация не является распространенной, но ее можно использовать в средах с высоким уровнем безопасности, где стандартная проверка подлинности имени пользователя и пароля считается недостаточной.
Примечание.
Для шифрования подключения TLS к SMTP-серверу не требуется использовать проверку подлинности с помощью сертификата клиента.
Ниже приведены требования к SharePoint для использования проверки подлинности сертификата клиента с SMTP-сервером.
- SMTP-сервер должен быть настроен для поддержки STARTTLS для шифрования tls-подключений.
- SMTP-сервер должен быть настроен на прием или требование сертификатов клиента при установке TLS-подключений с помощью STARTTLS.
- SharePoint необходимо настроить для использования шифрования TLS-подключения к SMTP-серверу.
- SharePoint необходимо настроить для использования сертификата клиента при подключении к SMTP-серверу.
- Учетные записи обработки SharePoint, отправляющие сообщения электронной почты (которые могут включать учетную запись службы фермы SharePoint и учетную запись службы веб-приложения), должны иметь разрешение на чтение закрытого ключа сертификата X.509.
- Сертификат X.509 должен соответствовать следующим требованиям:
- Сертификат X.509 должен находиться в хранилище сертификатов End Entity в SharePoint.
- Сертификат X.509 должен использовать ключи RSA или ECC (ECDSA). Ключи DSA не поддерживаются.
- Сертификат X.509 должен иметь закрытый ключ.
- Если сертификат X.509 имеет расширение "Использование ключей", расширение должно содержать использование "Цифровая подпись".
- Если сертификат X.509 имеет расширение расширенного использования ключа, расширение должно содержать использование "Проверка подлинности клиента" (OID: 1.3.6.1.5.5.7.3.2).
Снимок экрана: пример настройки в центре администрирования:
Олицетворение электронной почты
Некоторые функции SharePoint могут олицетворять конечных пользователей при отправке электронной почты для персонализации сообщения. Например, когда пользователь запрашивает доступ к сайту, SharePoint установит адрес "От" уведомления по электронной почте, чтобы он был пользователем, выполнившим запрос.
Некоторые SMTP-серверы могут блокировать олицетворение, чтобы защитить пользователей от несанкционированных попыток подделать свои удостоверения. Если SMTP-сервер блокирует олицетворение, существует несколько вариантов разрешения отправки сообщений электронной почты SharePoint:
Предоставление разрешения учетной записи электронной почты с проверкой подлинности SharePoint для олицетворения пользователей
Microsoft Exchange Server позволяет предоставить пользователю разрешение на олицетворения других пользователей при отправке электронной почты через соединитель получения. К этим разрешениям относятся:
Разрешение соединителя получения | Описание |
---|---|
ms-Exch-SMTP-Submit |
Сеансу должно быть предоставлено это разрешение, иначе он не сможет отправлять сообщения в этот соединитель получения. Если сеанс не имеет этого разрешения, команды MAIL FROM и AUTH завершатся сбоем. |
ms-Exch-SMTP-Accept-Any-Recipient |
Это разрешение позволяет сеансу ретранслировать сообщения через соединитель. Если это разрешение отсутствует, соединитель будет принимать только сообщения, адресованные получателям в обслуживаемых доменах. |
ms-Exch-SMTP-Accept-Any-Sender |
Это разрешение позволяет сеансу обходить проверку на подмену адреса отправителя. ЗАМЕТКА: Это разрешение необходимо только в том случае, если SharePoint будет олицетворять пользователей, учетная запись электронной почты которых не управляется вашей организацией. |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
Это разрешение позволяет отправителям с адресами электронной почты в полномочных доменах устанавливать сеанс для этого соединителя получения. |
ms-Exch-Accept-Headers-Routing |
Это разрешение позволяет сеансу передавать сообщение со всеми неизмененными заголовками. Если это разрешение отсутствует, сервер удалит все полученные заголовки. |
Выполните следующую команду на сервере Microsoft Exchange Server, чтобы предоставить учетной записи электронной почты, прошедшей проверку подлинности SharePoint, для олицетворения других пользователей через соединитель получения:
Get-ReceiveConnector "<Receive Connector Name>" | Add-ADPermission -User <DOMAIN\AuthenticatedEmailAccount> -ExtendedRights ms-Exch-SMTP-Submit, ms-Exch-SMTP-Accept-Any-Recipient, ms-Exch-SMTP-Accept-Any-Sender, ms-Exch-SMTP-Accept-Authoritative-Domain-Sender, ms-Exch-Accept-Headers-Routing
Примечание.
При использовании Microsoft Exchange Server 2013 или более поздней версии это разрешение должно применяться к соединителю получения прокси-сервера клиента. При использовании Microsoft Exchange Server 2010 или более ранней версии это разрешение должно применяться к клиентскому интерфейсу соединителя получения.
Отключение олицетворения электронной почты SharePoint
Вы можете настроить каждое веб-приложение SharePoint для отключения олицетворения электронной почты. Это гарантирует, что SharePoint всегда использует адрес from и Reply-To, указанный на уровне веб-приложения. Выполните следующую команду, чтобы отключить олицетворение электронной почты SharePoint:
Запустите командную консоль SharePoint 2019.
Выполните следующие команды:
$webapp = Get-SPWebApplication <web application URL> $webapp.OutboundMailOverrideEnvelopeSender = $true $webapp.Update()
Использование внешнего защищенного соединителя получения
Соединители получения Microsoft Exchange Server можно настроить для автоматического доверия ко всем сообщениям электронной почты по мере проверки подлинности, даже если проверка подлинности не выполняется. Затем SharePoint будет отправлять сообщения электронной почты в этот соединитель получения анонимно. Чтобы создать внешний защищенный соединитель получения, выполните следующие действия.
- Создайте выделенный "пользовательский" соединитель получения для фермы SharePoint.
- Задайте для группы разрешений соединителя получения значение Exchange Servers.
- Задайте для соединителя получения тип проверки подлинности "внешняя защита".
Из-за риска спуфингов в этой конфигурации рекомендуется ограничить IP-адреса, с которыми соединитель будет принимать сообщения электронной почты, только серверами в ферме SharePoint.
См. также
Концепции
Настройка исходящей электронной почты для фермы SharePoint Server