Поделиться через


Общие сведения о соединителях отправки

 

Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Последнее изменение раздела: 2015-03-09

Соединители отправки настраиваются на компьютерах под управлением Microsoft Exchange Server 2010 и с установленными ролями транспортного сервера-концентратора или пограничного транспортного сервера. Соединитель отправления представляет собой логический шлюз, через который отправляются исходящие сообщения. В этом разделе содержится обзор соединителей отправки и описывается влияние конфигурации соединителей отправки на обработку отдельных сообщений.

Обзор соединителей отправления

Соединители отправки необходимы транспортным серверам Exchange 2010 для доставки сообщений до следующего прыжка на маршруте к месту назначения. Соединитель отправления управляет исходящими подключениями между отправляющим сервером и получающим сервером или системой электронной почты назначения. По умолчанию при установке роли сервера транспортного сервера-концентратора или пограничного транспортного сервера явные соединители отправления не создаются. Тем не менее, неявные и невидимые соединители отправки, рассчитанные автоматически на основе топологии сайта службы каталогов Служба каталогов Active Directory, используются для внутренней маршрутизации сообщений между транспортными серверами-концентраторами. Сквозная передача почты возможна только после подписки пограничного транспортного сервера на сайт Служба каталогов Active Directory с помощью пограничной подписки. В других сценариях, например при наличии транспортного сервера-концентратора с выходом в Интернет или пограничного транспортного сервера без подписки, для сквозного потока почты требуется настройка соединителей вручную. Дополнительные сведения см. в разделе Задачи, выполняемые после развертывания транспортного сервера.

Соединители отправки, создаваемые на транспортных серверах-концентраторах, хранятся в Служба каталогов Active Directory и доступны для всех транспортных серверов-концентраторов в организации. Если соединитель отправки настроен на отправку сообщений во внешний домен, то такие сообщения направляются любым транспортным сервером-концентратором в организации на исходный сервер этого соединителя для ретрансляции в конечный домен.

Соединитель отправки, используемый для маршрутизации сообщений получателю, выбирается на этапе определения маршрута в процессе классификации сообщений. Дополнительные сведения см. в разделе Общие сведения о маршрутизации сообщений

Выбор типа использования для соединителя отправления

Когда для создания соединителя отправки используется консоль управления Exchange, мастер создания SMTP-соединителя отправки предлагает выбрать для соединителя тип использования. Тип использования определяет наборы разрешений по умолчанию, которые назначаются соединителю, и предоставляет эти разрешения доверенным субъектам безопасности. К участникам безопасности относятся пользователи, компьютеры и группы безопасности. Участник безопасности определяется по идентификатору безопасности (security identifier, SID).

Тип использования можно также указать при создании соединителя отправки с помощью командлета New-SendConnector в командной консоли Exchange. Тем не менее параметр Usage не является обязательным. Если не указать тип использования при запуске командлета New-SendConnector, для типа использования по умолчанию устанавливается значение «Настраиваемый». В следующей таблице описываются типы использования соединителя отправки и их значения по умолчанию.

Типы использования соединителя отправки

Тип Разрешения по умолчанию Идентификатор безопасности (SID), которому предоставляются разрешения по умолчанию Механизм проверки подлинности промежуточного узла по умолчанию

Настраиваемый

Отсутствует

Нет

Нет

Внутренний

  • ms-Exch-Отправка-Заголовки-Организация

  • ms-Exch-SMTP-Отправка-Exch50

  • ms-Exch-Отправка-Заголовки-Маршрутизация

  • ms-Exch-Отправка-Заголовки-Лес

  • Транспортные серверы-концентраторы

  • Пограничные транспортные серверы

  • Серверы Exchange (только на транспортных серверах-концентраторах)

  • Серверы с внешней безопасностью

  • Универсальная группа безопасности для взаимодействия с Exchange прежних версий

  • Серверы-плацдармы Exchange Server 2003 и Exchange 2000 Server

Проверка подлинности сервера Exchange

Интернет

Ms-Exch-Отправка-Заголовки-Маршрутизация

Учетная запись анонимного пользователя

Нет

Партнер

Ms-Exch-Отправка-Заголовки-Маршрутизация

Серверы партнеров

Не применимо. Этот тип использования выбирается при установке взаимной проверки подлинности по протоколу TLS (Transport Layer Security) с удаленным доменом.

ПримечаниеПримечание.
Если доставка разрешения имен в службе DNS выбрана для соединителя отправки вместо промежуточного сайта, механизм проверки подлинности промежуточного сайта не настраивается.

Разрешения соединителя отправки и механизмы проверки подлинности промежуточного сайта рассматриваются далее в этом разделе.

Сценарии использования соединителя отправления

Каждый тип использования подходит для определенного сценария подключения. Выберите тип использования с параметрами по умолчанию, которые наиболее подходят для требуемой конфигурации. Разрешения можно изменить с помощью командлетов Add-ADPermission и Remove-ADPermission. Для получения дополнительных сведений см. следующие разделы:

В следующей таблице перечислены обычные сценарии подключения и типы использования для каждого сценария.

Сценарии использования соединителя

Сценарий применения соединителя Тип использования Комментарий

Пограничный транспортный сервер, отправляющий электронную почту в Интернет

Интернет

Когда пограничный транспортный сервер подписывается на организацию Exchange, соединитель отправки, настроенный на отправку электронной почты во все домены, создается автоматически.

Транспортный сервер-концентратор, отправляющий электронную почту в Интернет

Интернет

Такая конфигурация не рекомендуется.

Подписанный пограничный транспортный сервер, отправляющий электронную почту на транспортный сервер-концентратор

Внутренний

Этот соединитель автоматически создается процессом пограничной подписки.

Пограничный транспортный сервер, отправляющий электронную почту на сервер-плацдарм Exchange 2003

Внутренний

Сервер-плацдарм Exchange 2003 настраивается как промежуточный сайт для соединителя отправки.

Пограничный транспортный сервер, отправляющий электронную почту на транспортный сервер-концентратор

Настраиваемый

Если процесс пограничной подписки не используется, соединитель необходимо создать вручную. Используйте командлет Add-ADPermission для установки расширенных прав. Установите в качестве механизма проверки подлинности обычную проверку подлинности или внешнюю защиту.

Соединитель отправки между лесами для транспортного сервера-концентратора в одном лесу, который отправляет электронную почту на транспортный сервер-концентратор Exchange 2010 или Exchange 2007 в другом лесу

Настраиваемый

Подробное описание действий по настройке см. в разделе Настройка соединителей между лесами.

Соединитель отправки между лесами для транспортного сервера-концентратора в одном лесу, который отправляет электронную почту на сервер-плацдарм Exchange 2003 в другом лесу

Настраиваемый

Дополнительные сведения о настройке см. в разделе Настройка соединителей между лесами.

Транспортный сервер-концентратор, отправляющий электронную почту на сторонний промежуточный сайт

Настраиваемый

Используйте командлет Add-ADPermission для установки расширенных прав. Направляйте все сообщения на промежуточный сайт и установите в качестве механизма проверки подлинности обычную проверку подлинности или внешнюю защиту.

Пограничный транспортный сервер, отправляющий электронную почту на сторонний промежуточный сайт

Настраиваемый

Используйте командлет Add-ADPermission для установки расширенных прав. Направляйте все сообщения на промежуточный узел и установите в качестве механизма проверки подлинности обычную проверку подлинности или внешнюю защиту.

Пограничный транспортный сервер, отправляющий электронную почту на внешний домен ретрансляции

Настраиваемый

Пограничный транспортный сервер может принимать электронную почту для внешнего домена ретрансляции и затем ретранслировать сообщения в заслуживающую доверия систему электронной почты этого домена. Направьте все сообщения на промежуточный сайт, установите подходящий механизм проверки подлинности и воспользуйтесь командлетом Add-ADPermission, чтобы установить расширенные права.

Пограничный транспортный сервер, отправляющий электронную почту в домен, с которым установлена взаимная проверка подлинности по протоколу TLS

Партнерский

Взаимная проверка подлинности по протоколу TLS функционирует правильно только в том случае, если выполняются следующие условия:

  • Для параметра DomainSecureEnabled необходимо указать значение $true.

  • Для параметра DNSRoutingEnabled необходимо указать значение $true.

  • Для параметра IgnoreStartTLS необходимо указать значение $false.

Дополнительные сведения см. в разделе Set-SendConnector.

Разрешения соединителя отправления

Разрешения соединителя отправления назначаются участнику безопасности. Когда участник безопасности устанавливает сеанс связи с соединителем отправления, разрешения соединителя отправления определяют типы сведений заголовков, которые могут посылаться с сообщением электронной почты. Если сообщение электронной почты содержит данные заголовка, которые не допускаются разрешениями соединителя отправки, эти заголовки удаляются из сообщения при его отправке. В следующей таблице описываются разрешения, которые можно назначать на соединителе отправки участникам безопасности. Разрешения соединителя отправки невозможно установить с помощью консоли управления Exchange. Чтобы изменить разрешения по умолчанию для соединителя отправки, следует использовать командлет Add-ADPermission в командной консоли Exchange.

Разрешения соединителя отправки

Разрешение соединителя отправления Описание

ms-Exch-Отправка-Exch50

Это разрешение позволяет в сеансе связи отправлять сообщение, содержащее команду EXCH50. Если это разрешение не предоставлено, и отправляется сообщение, содержащее команду EXCH50, сервер отправляет сообщение, но не включает в него команду EXCH50.

Ms-Exch-Отправка-Заголовки-Маршрутизация

Это разрешение позволяет отправлять в сеансе сообщение, в котором все заголовки «Received» оставлены нетронутыми. Если это разрешение не предоставлено, сервер удаляет все полученные заголовки.

Ms-Exch-Отправка-Заголовки-Организация

Это разрешение позволяет отправлять в сеансе сообщение, в котором все заголовки «Organization» оставлены нетронутыми. Все заголовки организации начинаются с фразы X-MS-Exchange-Organization-. Если это разрешение не предоставлено, отправляющий сервер удаляет все заголовки организации.

Ms-Exch-Отправка-Заголовки-Лес

Это разрешение позволяет отправлять в сеансе сообщение, в котором все заголовки «Forest» оставлены нетронутыми. Все заголовки леса начинаются с фразы X-MS-Exchange-Forest-. Если это разрешение не предоставлено, отправляющий сервер удаляет все заголовки леса.

Адресные пространства и область действия соединителя

Адресное пространство соединителя отправки указывает домены получателя, в которые соединитель отправки направляет электронную почту. Для соединителей отправки, настроенных на транспортных серверах-концентраторах, можно указывать как адресные пространства SMTP, так и адресные пространства, не являющиеся адресными пространствами SMTP. Для соединителей отправки, настроенных на пограничных транспортных серверах, можно указывать только адресные пространства SMTP. При использовании адресного пространства, отличного от адресного пространства SMTP, для маршрутизации электронной почты необходимо использовать промежуточный узел.

ПримечаниеПримечание.
Хотя на соединителе отправки на транспортном сервере-концентраторе можно настроить адресные пространства, отличные от SMTP, соединитель отправки использует SMTP в качестве механизма транспорта для отправки сообщений на другие серверы обмена сообщениями. Соединители агента доставки и внешние соединители на транспортных серверах-концентраторах используются для отправки сообщений на локальные серверы обмена сообщениями, которые не используют протокол SMTP, такие как серверы шлюзов для факсов сторонних производителей. Дополнительные сведения см. в разделах Общие сведения об агентах доставки и Общие сведения о внешних соединителях.

В следующей таблице перечислены допустимые записи для адресного пространства SMTP соединителя отправки.

Допустимые записи для адресного пространства SMTP соединителя отправки

Запись адресного пространства Место, куда направляет почту соединитель отправления:

*

Все домены, для которых отсутствует отдельная запись адресного пространства для другой записи соединителя отправки или которые не являются дочерними доменами адресного пространства другого соединителя отправки.

Contoso.com

Все получатели с адресами электронной почты в домене Contoso.com.

*.Contoso.com

Все получатели с адресами электронной почты в домене Contoso.com или любом дочернем домене Contoso.com. Чтобы задать эту конфигурацию, в консоли управления Exchange выберите пункт Включить все дочерние домены.

--

Это адресное пространство используется только для соединителей отправки, настроенных на пограничных транспортных серверах для отправки сообщений на транспортный сервер-концентратор. При использовании этого адресного пространства все сообщения, отправляемые в обслуживаемые домены, маршрутизируются через этот соединитель.

Во время определения маршрута выбирается соединитель отправки, на который электронная почта направляется для доставки в адресное пространство назначения. Выбирается соединитель отправления, адресное пространство которого наиболее полно совпадает с адресом электронной почты получателя. Например, сообщение электронной почты, адресованное получателю Recipient@marketing.contoso.com, маршрутизировалось бы через соединитель, который настроен на использование адресного пространства *.Contoso.com. Если настроить соединитель отправки для конкретного адресного пространства, электронная почта, которая отправляется в это адресное пространство, всегда маршрутизируется через данный соединитель. К тому же, параметры конфигурации для этого соединителя всегда применяются к электронной почте, отправляемой в это адресное пространство.

Область действия соединителя отправки можно использовать для контроля видимости соединителя отправки в организации Exchange. По умолчанию все создаваемые соединители отправки могут использоваться всеми транспортными серверами-концентраторами в организации Exchange. Однако область действия любого соединителя отправки можно ограничить таким образом, чтобы он использовался только определенными транспортными серверами-концентраторами на том же сайте Служба каталогов Active Directory.

Полный синтаксис для указания адресного пространства в Exchange 2010 имеет следующий вид:

<тип_адресного_пространства>:<адресное_пространство>;<затраты_адресного_пространства>

Для указания области действия соединителя отправки можно воспользоваться одним из указанных ниже способов.

  • В консоли управления Exchange воспользуйтесь свойством Соединитель отправки с заданной областью на странице Адресное пространство мастера создания соединителя отправки SMTP или на вкладке Адресное пространство окна свойств существующего соединителя отправки.

    Если выбрано свойство Соединитель отправки с областью действия, соединитель может использоваться только транспортными серверами-концентраторами, расположенными на одном сайте Служба каталогов Active Directory. Если свойство Соединитель отправки с заданной областью не выбрано, соединитель может использоваться всеми транспортными серверами-концентраторами в организации Exchange.

  • В командной консоли Exchange воспользуйтесь параметром IsScopedConnector командлета New-SendConnector или командлета Set-SendConnector.

    Если для этого параметра установлено значение $true, соединитель может использоваться только транспортными серверами-концентраторами на одном сайте Служба каталогов Active Directory. Если для этого параметра установлено значение $false, соединитель могут использоваться все транспортные серверы-концентраторы в организации Exchange.

Параметры сети

Соединители отправки можно установить так, что они будут доставлять электронную почту, используя разрешение адресов через службу DNS или направляя электронную почту на промежуточный сайт.

Использование службы DNS для маршрутизации электронной почты

Когда соединитель отправки настроен на использование MX-записей ресурсов службы DNS для автоматической маршрутизации почты, клиент DNS на исходном сервере должен иметь возможность разрешать общие записи DNS. По умолчанию DNS-сервер, настроенный на внутреннем сетевом адаптере исходного сервера, используется для разрешения имен. Можно настроить определенный DNS-сервер, который будет использоваться для внутреннего и внешнего поиска DNS, изменив настройки DNS в свойствах сервера Exchange с помощью консоли управления Exchange. Настроить параметры командлета Set-TransportServer также можно с помощью командной консоли.

Чтобы настроить определенный DNS-сервер на транспортном сервере для внешних DNS-запросов, необходимо выбрать Использовать параметры внешних DNS-запросов на транспортном сервере на странице Настройки сети мастера создания соединителя отправки SMTP или, в командной консоли Exchange, в командлете Set-TransportServer установить для параметра UseExternalDNSServersEnabled значение $true. Для параметра DnsRoutingEnabled на соединителе отправки также должно быть установлено значение $true.

Для получения дополнительных сведений см. следующие разделы:

Использование промежуточного сайта для маршрутизации электронной почты

Если для соединителя отправления выбран тип использования «Внутренний», необходимо задать промежуточный узел. Когда почта маршрутизируется через промежуточный узел, промежуточный узел обрабатывает доставку почты на следующий узел в маршруте доставки. Чтобы указать идентификатор промежуточного узла, можно использовать IP-адрес или полное доменное имя промежуточного узла. Идентификатором промежуточного сайта может быть имя FQDN сервера промежуточного сайта, запись MX или запись ресурса адреса (A). Если в качестве идентификатора промежуточного узла настроить полное доменное имя, сервер-источник соединителя отправления должен иметь возможность использовать разрешение имен DNS для нахождения сервера промежуточного узла.

Промежуточный сайт для соединителя отправки с типом использования «Интернет» может быть сервером, размещенным у поставщика услуг Интернета. Промежуточный сайт для соединителя отправки с типом использования «Настраиваемый» или «Внутренний» может быть другим почтовым сервером в организации или почтовым сервером в удаленном домене.

Параметры безопасности промежуточного узла

При маршрутизации почты через промежуточный узел необходимо указать, как сервер-источник осуществляет проверку подлинности компьютера промежуточного узла. Для соединителя отправления невозможно затребовать параметры безопасности, если не указано место назначения промежуточного узла. Например, соединитель, подключенный к Интернету, не может быть установлен на запрос TLS.

В следующей таблице перечислены механизмы проверки подлинности промежуточного сайта, которые можно настроить для соединителя отправки.

Механизм проверки подлинности промежуточного сайта

Параметр безопасности Описание

Нет

Анонимный доступ разрешен.

Обычная проверка подлинности

Обычная проверка подлинности требует ввода имени пользователя и пароля. При обычной проверке подлинности учетные данные отправляются в виде обычного текста. Все промежуточные узлы, проверку подлинности которых производит соединитель отправления, должны принимать одни и те же имя пользователя и пароль.

Обычная проверка подлинности по протоколу TLS

Выберите протокол TLS, чтобы зашифровать передачу учетных данных. Принимающий сервер должен иметь сертификат сервера. В сертификате сервера также должны присутствовать точное имя FQDN промежуточного сайта, запись MX или запись A, определенные на соединителе отправки в качестве идентификатора промежуточного сайта. Соединитель отправки попытается установить сеанс TLS, отправив команду STARTTLS на сервер назначения и выполнит только обычную проверку подлинности после установки сеанса TLS. Для поддержки взаимной проверки подлинности по протоколу TLS также необходим сертификат клиента.

Проверка подлинности сервера Exchange

Проверка подлинности сервера Exchange (программный интерфейс GSSAPI и взаимный GSSAPI)

Внешняя защита (например, с помощью IPsec)

Сетевое соединение защищается с помощью метода, который является внешним по отношению к серверу Exchange.

Сервер-источник

Для соединителя отправления необходимо выбрать хотя бы один сервер-источник. Сервер-источник — это транспортный сервер, на который сообщения направляются для доставки через выбранный соединитель отправления. На соединителе отправки, настроенном для организации Exchange, можно установить несколько исходных серверов. При указании нескольких исходных серверов обеспечивается балансировка нагрузки и избыточность на случай отказа какого-либо сервера. Исходными серверами, которые связаны с соединителями отправки, настроенными для организации Exchange, могут быть транспортные серверы-концентраторы или подписанные пограничные транспортные серверы.

FQDN

На вкладке Общие окна свойств соединителя отправки в консоли управления Exchange имеется параметр Укажите полное доменное имя, которое этот соединитель будет предоставлять в ответ на запрос HELO или EHLO. В командной консоли Exchange это свойство настраивается с помощью параметра Fqdn с командлетом Set-SendConnector. После установки сеанса SMTP начинается диалог SMTP между серверами — отправителем и получателем электронной почты. Отправляющий сервер или клиент отправляет команды SMTP EHLO или HELO и свое имя FQDN серверу-получателю. В ответ принимающий сервер передает код успеха и свое полное доменное имя. В свойствах соединителя отправки сервера Exchange 2010 можно указать имя FQDN, предоставляемое отправляющим сервером. Значение параметра Fqdn отображается для подключенных серверов обмена сообщениями при каждом запросе имени исходного сервера (как показано ниже).

  • В самом последнем поле заголовка «Получено:» сообщения, которое добавляется к сообщению сервером обмена сообщениями следующего прыжка после того, как сообщение покидает транспортный сервер-концентратор или пограничный транспортный сервер.

  • В ходе проверки подлинности с использованием протокола TLS.

Если соединитель отправки настроен на транспортном сервере-концентраторе, на котором также установлена роль сервера почтовых ящиков, никакое значение, указанное для параметра Fqdn, не используется. Вместо этого всегда используется имя FQDN сервера, которое выводится с помощью командлета Get-ExchangeServer.

Для серверов, на которых установлены роли транспортного сервера-концентратора и сервера почтовых ящиков, единственный способ удалить имя сервера из заголовков «Получено» исходящих сообщений — использовать командлет Remove-ADPermission, чтобы удалить разрешение Ms-Exch-Send-Headers-Routing для одного из участников безопасности, использующего этот соединитель. Это действие приведет к удалению всех заголовков «Получено:» из сообщений, покидающих транспортный сервер-концентратор. Рекомендуется не удалять заголовки «Получено:» для внутренних сообщений, поскольку они используются для вычислений счетчика максимального количества прыжков. Дополнительные сведения о командлетах Remove-ADPermission и Get-ExchangeServer см. в следующих разделах:

Новые возможности Exchange Server 2010 с пакетом обновления 1 (SP1)

В системе Exchange Server 2010 с пакетом обновления 1 (SP1) представлены новые функции для соединителей отправки. В данном разделе приведен обзор этих функций.

Поддержка снижения числа сбоев подключения

Можно выделить соединители отправки, которые будут использоваться для передачи сообщений через надежные и устойчивые каналы связи, например соединитель отправки, выделенный для отправки сообщений в программу Microsoft Office 365 или одному из партнеров по частному каналу. При использовании таких подключений исключается большинство распространенных ошибок, которые могут происходить в обычных пунктах назначения в Интернете. В таком случае может потребоваться рассмотрение ошибок связи как временных вместо выдачи отчетов о недоставке (NDR). В системе Exchange 2010 с пакетом обновления 1 (SP1) можно указать, чтобы соединитель отправки переводил ошибки проверки подлинности и разрешения имен, обычно приводящие к созданию отчета о недоставке, в категорию временных. В таких случаях система Exchange выполнит повторную попытку доставки вместо выдачи отчета о недоставке.

Функция снижения числа сбоев подключения при использовании надежных подключений позволяет устранять неполадки, не оказывая влияния на работу пользователей.

ВажноВажно!
Эту функцию можно использовать только для соединителей отправки, передающих сообщения через надежные и устойчивые сети. Ее не следует использовать для соединителей отправки сообщений в Интернет.

Для настройки этой функции используется параметр ErrorPolicies командлета Set-SendConnector. Для любого соединителя отправки можно выбрать снижение числа сбоев проверки подлинности, сбоев DNS или оба варианта. Дополнительные сведения о настройке этого свойства см. в разделе Set-SendConnector.

Поддержка проверки домена TLS

В системе Exchange 2010 с пакетом обновления 1 (SP1) поддерживается проверка домена для исходящих подключений TLS. Проверка домена является дополнительной функцией обеспечения безопасности и позволяет снизить риск олицетворения принимающего сервера злоумышленниками. При включении проверки домена на соединителе отправки транспортный сервер выполняет следующие проверки безопасности для исходящего подключения.

  • Шифрование канала передачи данных с помощью TLS.

  • Проверка сертификата принимающего сервера и его наличие в списке отзыва.

  • Проверка совпадения имени FQDN в сертификате принимающего сервера с доменом, указанным в свойствах соединителя отправки.

При включении проверки домена на соединителе отправки необходимо также указать имя домена, используемого для проверки. Настройка этих свойств выполняется с помощью параметров TlsAuthLevel и TlsDomain командлета Set-SendConnector. Дополнительные сведения о настройке этой функции см. в разделе Set-SendConnector.

 © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.