Exchange 2007 传输权限模型

 

适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题: 2007-08-27

本主题提供有关 Microsoft Exchange Server 2007 传输权限模型的详细信息。在 Microsoft Exchange Server 2007 中,传输是指从一个服务器向其他服务器传输邮件的过程。在邮箱服务器与集线器传输服务器之间传输邮件时,使用 MAPI 协议。在集线器传输服务器之间发送和接收邮件时,使用简单邮件传输协议 (SMTP)。服务器之间的每个通信会话都有可选的身份验证阶段。连接请求可能要求进行身份验证检查。

身份验证是尝试识别邮件发件人的过程。如果不进行身份验证或尝试身份验证失败,则发件人的身份为匿名。身份验证是决定是否允许所连接的用户、程序或设备访问某些数据、功能或服务的过程。该访问权限取决于所请求的操作。身份验证过程验证身份。身份验证过程决定授予的访问权限级别。

在 Exchange 2007 中,SMTP 和 MAPI 协议由 Microsoft Exchange 传输服务提供。在使用 SMTP 或 MAPI 协议的会话中,Microsoft Exchange 传输服务使用 Microsoft Windows 授权模型管理会话权限。在 Exchange 2007 中的传输上下文中,授权涉及是否接受各种协议动词或事件。例如,授权将检查允许发件人从特定电子邮件地址提交邮件或允许特定邮件大小的权限。在 MAPI 和 SMTP 协议会话期间,Exchange 2007 会执行会话身份验证。某个会话通过身份验证后,适用于该会话的权限组会因身份验证不同而改变。这样,由于身份验证所授权的权限组不同,来自 Internet 的匿名邮件和 Exchange 组织中通过身份验证的用户所提交的邮件将分别处理。

边缘传输服务器角色的默认传输行为与集线器传输服务器角色的默认行为不同。这种不同不是因代码变化引起的,而是由每个角色的默认权限集的不同导致的。共属同一个 Active Directory 林的 Exchange 服务器具有信任关系。这种信任关系意味着在安装期间配置的默认权限允许在林内的安全邮件流。

每个通过身份验证的会话都会提供访问令牌,列出身份验证安全主体在其中具有成员身份的每个组的安全标识符。图 1 显示了访问令牌上列出的组成员身份与针对所访问对象而分配给那些组的权限之间的关系。

图 1 Exchange 2007 中的传输授权组件

Exchange 传输授权组件

通过身份验证的会话与通过身份验证的邮件之间的区别

Exchange 2007 传输模型的重要理念是通过身份验证的会话与通过身份验证的邮件之间的区别。可以使用元数据标记邮件是通过身份验证的邮件还是匿名邮件。当一个服务器对其他服务器进行身份验证时,该服务器可以发送一个邮件并使用元数据标记它以指明该邮件已通过身份验证还是匿名。接收服务器确定是否信任通过身份验证的标记。如果接收服务器信任该发件人,通过身份验证的标记将保持原封不动。如果接收服务器不信任该发件人,它将覆盖发送服务器通过身份验证的标记,并使用指明该邮件为匿名的元数据标记邮件。在 Exchange 组织中,端到端内部邮件流出现在信任通过身份验证的邮件标记的服务器之间。通过 Internet 接收邮件的边缘传输服务器不信任 Internet 中匿名服务器的已通过身份验证的标记。因此,边缘传输服务器在经由已通过身份验证的连接将邮件发送到集线器传输服务器之前,使用指明邮件为匿名的元数据标记每个邮件。

邮件传输身份验证和授权过程如何工作

在 Exchange 2007 中,以下基本机制可用于对 SMTP 会话进行身份验证:

  • 可以在 MAPI 会话中使用 Windows 帐户和密码。此外,可以使用 SMTP 的 AUTH 扩展,其中包括纯文本密码身份验证、NTLM 身份验证和 Kerberos 身份验证。

  • 可以通过使用 SMTP 的 STARTTLS 扩展来使用 X.509 证书。在该方案中,服务器提供证书作为传输层安全性 (TLS) 协商的一部分。或者,客户端也提供证书。

  • 可以使用外部身份验证机制。外部身份验证使用非 Exchange 组成部分的机制,如物理安全网络或 IPsec。当经由已识别的 IP 路由器在专用的发送连接器和接收连接器上进行通信时使用这种方法。

发送传输服务器可以在发送邮件前对接收传输服务器进行身份验证。在发件人通过身份验证后,接收传输服务器将这些权限应用到对该发件人授权的会话访问令牌。

在 Exchange 2007 中,发送连接器和接收连接器管理邮件流。连接器有一个自定义访问控制列表 (DACL),其中定义了与发送和接收电子邮件关联的权限。接收连接器的权限是最重要的。接收连接器上的 DACL 决定发件人通过接收连接器所提交的邮件的权限。与接收连接器建立 SMTP 会话后,该会话将使用其匿名访问令牌启动。随后成功的身份验证将更改访问令牌。如果会话不进行身份验证,访问令牌中的权限组保持不变。如果会话进行身份验证,它将被授予分配给单个帐户或角色的权限以及分配给该帐户所属的任意安全组的权限。

图 2 中的流程图说明了 Exchange 2007 传输服务器如何在 SMTP 会话中使用身份验证和授权。

图 2   SMTP 会话身份验证和授权过程

具有 SMTP 会话身份验证过程的流程图

身份验证配置

为接收连接器配置的身份验证机制集确定将邮件提交到接收连接器的会话所适用的身份验证机制。为发送连接器配置的身份验证机制确定发送连接器对智能主机进行身份验证所使用的身份验证机制。

接收连接器的身份验证

可以在一个接收连接器上配置多个身份验证机制。对于接收连接器,身份验证设置确定服务器对将邮件提交到服务器的会话进行身份验证所用的身份验证机制集。发送服务器确定使用哪个身份验证机制。

表 1 列出了可以在接收连接器上配置的身份验证机制。若要配置接收连接器身份验证机制,请使用 Exchange 管理控制台中接收连接器属性的“身份验证”选项卡,或者在 Exchange 命令行管理程序中同时使用 AuthMechanism 参数和 Set-ReceiveConnector cmdlet。

表 1   接收连接器的身份验证机制

身份验证机制 说明

未提供身份验证选项。

传输层安全性 (TLS)

连接器向客户端提供 STARTTLS。

集成 Windows 身份验证

连接器向客户端提供 AUTH plus NTLM GSSAPI。GSSAPI 使客户端能够协商 NTLM 或 Kerberos。

基本身份验证

连接器向客户端提供 AUTH plus LOGIN。用户名和密码以明文形式从客户端接收。该机制要求 Windows 帐户验证凭据。

基于 TLS 的基本身份验证

这是对基本身份验证的策略修改程序。连接器只有在客户端已协商 TLS 后才向客户端提供 AUTH plus LOGIN。该机制也要求 TLS 设置为身份验证机制。

Exchange Server 身份验证

连接器对运行 Exchange Server 早期版本的 Exchange 服务器提供 EXPS plus GSSAPI,对 Exchange 2007 服务器提供 X-ANONYMOUSTLS。

外部安全(例如使用 IPsec)。

该选项认为任何连接均来自其他权威服务器。

智能主机发送连接器身份验证

对于发送连接器,SmartHostAuthMechanism 设置决定发送服务器如何对目标智能主机进行身份验证。SmartHostAuthMechanism 只能有一个值。如果配置了 SmartHostAuthMechanism,发送邮件前身份验证必须成功。如果智能主机没有提供 Exchange 2007 发送服务器使用的身份验证机制,该服务器将不发送电子邮件,会话将结束。如果提供了 Exchange 2007 发送服务器使用的身份验证机制,但身份验证失败,该服务器也不会发送电子邮件,会话将结束。

表 2 列出了可以在发送连接器上配置的身份验证机制。若要配置发送连接器身份验证机制,请使用 Exchange 管理控制台中发送连接器属性的“网络”选项卡上的“配置智能主机身份验证”对话框,或者在 Exchange 命令行管理程序中同时使用 SmartHostAuthMechanism 参数和 Set-SendConnector cmdlet。

表 2   智能主机连接器的身份验证机制

身份验证机制 说明

允许匿名访问。

基本身份验证

连接器必须使用 AUTH plus LOGIN。这要求提供用户名和密码。基本身份验证以明文形式发送凭据。对此发送连接器进行身份验证的所有智能主机必须接受相同的用户名和密码。如果 RequireTLS 参数也设置为 $True,则连接器必须在提交凭据前使用 TLS,但不执行服务器证书验证。

基本身份验证要求使用 TLS

这是对基本身份验证的策略修改程序。它要求连接器在尝试 AUTH 之前使用 TLS。它还要求发送服务器对接收服务器执行 X.509 证书验证。证书验证包括检查证书吊销列表 (CRL) 并在服务器尝试 AUTH 前根据连接器上配置的智能主机列表进行服务器身份匹配。服务器证书中必须存在作为智能主机列出的完全限定的域名 (FQDN) 之一,以确保名称匹配成功。因此,如果智能主机的 FQDN 指向 MX 记录,证书中必须存在列出的智能主机 FQDN。

Exchange Server 身份验证

连接器对运行 Exchange Server 早期版本的 Exchange 服务器必须使用 EXPS plus GSSAPI,对 Exchange 2007 服务器必须使用 X-ANONYMOUSTLS。

外部安全(例如使用 IPsec)。

网络连接通过使用 Exchange 服务器外部的方法确保安全。

传输层安全

TLS 协议在 RFC 2246 中说明。TLS 使用 X.509 证书。这些是电子证书格式。TLS 可用于以下用途:

  • 仅用于机密性。

  • 用于服务器证书已通过验证的服务器身份验证机密性。

  • 用于客户端和服务器证书都已通过验证的相互身份验证机密性。

在 SMTP 协议会话期间,客户端发出 SMTP STARTTLS 命令,请求为该会话协商 TLS。客户端从服务器接收 X.509 证书作为 TLS 协议协商的一部分。随后,客户端身份验证策略确定是否应验证接收服务器证书,是否应将其他标准(如名称匹配)应用到该证书。

通过 TLS 协商的可选部分,接收服务器也能够向发送服务器请求证书。如果发送服务器将证书发送到接收服务器,由于要进行身份验证,接收服务器上的本地策略将决定如何验证证书,授予发送服务器何种权限。

当 TLS 用于服务器身份验证时,只验证接收服务器证书。如果 TLS 用于相互身份验证,则发送服务器证书和接收服务器证书都必须验证。

在 Exchange 2007 接收连接器上配置 TLS 时,服务器必须具有 X.509 证书。该证书可以是自签名证书或由证书颁发机构 (CA) 签署的证书。Exchange 服务器在本地存储中查找与连接器的 FQDN 匹配的证书。发送服务器选择如何使用 TLS 协议。当 Exchange 仅将 TLS 用于机密性时,Exchange 客户端不验证证书。例如,Exchange 通过 TLS 协议使用 Kerberos,在集线器传输服务器之间使用 TLS 时,它将在服务器之间建立机密通道,不验证证书。TLS 协议完成后,使用 Kerberos 在服务器之间进行身份验证。

要求进行 TLS 身份验证时,Exchange 必须验证证书。Exchange 可以通过两种方式验证证书:直接信任或 X.509 验证。TLS 用于边缘传输服务器到集线器传输服务器的通信时,Exchange 将使用直接信任机制验证证书。

直接信任意味着 Exchange 使用信任的存储,如 Active Directory 或 Active Directory 应用程序模式 (ADAM)。直接信任还意味着存储中存在证书即证明证书有效。使用直接信任时,证书是自签名还是由证书颁发机构签名并不重要。给 Exchange 组织订阅边缘传输服务器时,这种订阅将在 Active Directory 中发布边缘传输服务器证书,以便集线器传输服务器进行验证。Microsoft Exchange Edgesync 服务使用集线器传输服务器证书集更新 ADAM,以便边缘传输服务器进行验证。

Exchange 用于验证证书的另一种方法是 X.509 验证。使用 X.509 验证时,证书必须由 CA 签署。Exchange 对智能主机进行身份验证或使用域安全功能时,它将使用 X.509 验证。域安全在下一节介绍。

域安全

域安全是指 Exchange 2007 和 Microsoft Office Outlook 中的功能集,可提供相对于 S/MIME 或其他邮件级安全解决方案成本较低的解决方案。域安全旨在向管理员提供一种管理方式,用于管理 Internet 上与商业合作伙伴之间的安全邮件路径。配置了这些安全邮件路径后,如果邮件来自通过身份验证的发件人并已通过安全路径成功传输,此邮件将在 Outlook 和 Outlook Web Access 界面中向用户显示为“安全域”。

如果以下条件为真,发送连接器将验证目标域是否位于为域安全配置的发件人域列表中:

  • 将发送连接器配置为使用域名系统 (DNS) 邮件交换 (MX) 资源记录路由邮件。

  • 发送连接器是按域安全方式配置的。

如果目标域在列表中,传输服务器将在将电子邮件发送到该域中时强制进行相互 TLS 验证。

如果以下条件为真,接收服务器将使用 SMTP QUIT 命令进行响应:

  • Exchange 无法协商 TLS

  • 服务器证书验证或 CRL 验证失败,

然后邮件在发送服务器中排队。队列处于重试状态。名称检查失败时也会出现该行为。

如果接收连接器是域安全的,传输服务器将检查收到的邮件。然后,如果发件人在为域安全配置的收件人域列表中,传输服务器将强制进行相互 TLS 身份验证。如果所有的检查均已通过,则会将收到的邮件标记为“域安全”。如果发件人无法协商 TLS,或者服务器证书验证或 CRL 验证失败,传输服务器将使用 SMTP 协议 REJECT 命令拒绝该邮件。如果名称检查失败,也会使用 SMTP 协议 REJECT 命令。随后,Exchange 服务器会将带有临时 SMTP 错误 (4xx) 的邮件发送到发送服务器。这意味着发送服务器应稍后重试。此行为可以阻止瞬间失败(起因于临时 CRL 验证失败)导致对发件人立即发送 NDR。失败只会延迟邮件传递。

有关详细信息,请参阅管理域安全性

外部安全身份验证

如果确认服务器之间的网络连接是可信任的,则可以选择外部安全身份验证选项。此连接可能是 IPsec 关联或虚拟专用网。或者,服务器可能驻留在受信任的物理控制网络中。该配置在以下情况下有用:

  • 在 Exchange 2007 传输服务器和 Exchange Server 早期版本或其他任何 SMTP 服务器之间建立了邮件流。

  • 不想使用基本身份验证。

由于所有指向连接器的连接均假定为安全,配置为外部安全的 Exchange 连接器必须使用专用发送连接器和接收连接器。因此,配置为外部安全的发送连接器必须使用智能主机对邮件进行路由。此外,目标智能主机的 IP 地址必须在连接器上进行配置。配置为外部安全的接收连接器必须将 RemoteIPRanges 设置为发送服务器的 IP 地址范围。TLS 也可以与外部安全身份验证选项组合使用,以添加会话机密性。如果将连接器上的 RequireTLS 参数设置为 $True,则可以在 Exchange 命令行管理程序中执行该操作。

授权

在邮件传输期间,授权是决定是否对 SMTP 会话允许请求的操作(如发送邮件)的过程。

Exchange 2007 传输权限

Exchange 2007 传输服务器对 SMTP 会话使用 Windows 授权模型,以确定是否授权发件人将邮件提交到特定连接器、提交到特定收件人以及作为特定发件人等。SMTP 会话接收初始权限集(匿名)。会话通过身份验证后,将有更多权限可用于会话。这将更改该会话的授权行为集。

在 Windows 授权模型中,权限授予方式是将访问令牌与访问控制列表 (ACL) 进行对比的访问控制交互。访问令牌列表列出了一组安全主体。安全主体可以是用户帐户、计算机帐户或安全组。每个安全主体都有一个相关的安全标识符 (SID)。每个会话分配有一个访问令牌。ACL 是针对 Active Directory 或 ADAM 中的连接器对象定义的。DACL 包括一组访问控制条目 (ACE)。每个 ACE 允许或拒绝安全主体的权限。传输服务器在检查决定是否授予会话权限(如提交电子邮件)时,将调用 Windows 访问权限检查 API 并提供会话访问令牌和连接器的 DACL 共同作为请求权限的参数。

此过程与确定文件读取权限的方式相同。访问令牌、文件 DACL 和请求的权限提交到同一个 API。API 根据 DACL 中的每个 ACE 检查访问令牌中列出的每个安全主体,决定是否允许或拒绝请求的权限。除了 Active Directory、ADAM 或计算机上的本地安全帐户管理器 (SAM) 数据库提供的 Windows SID 外,Exchange 2007 还定义了其他 SID。这些 SID 代表逻辑组。表 3 列出了 Exchange 2007 所定义的、在传输身份验证期间使用的 SID。

表 3   Exchange 2007 SID

显示名 SID 逻辑组

合作伙伴服务器

S-1-9-1419165041-1139599005-3936102811-1022490595-10

为域安全配置的发件人和收件人域。

集线器传输服务器

S-1-9-1419165041-1139599005-3936102811-1022490595-21

同一个 Exchange 组织中的集线器传输服务器。

边缘传输服务器

S-1-9-1419165041-1139599005-3936102811-1022490595-22

受信任的边缘传输服务器。

外部安全服务器

S-1-9-1419165041-1139599005-3936102811-1022490595-23

位于同一权威域中受信任的第三方服务器。

旧版 Exchange 服务器

S-1-9-1419165041-1139599005-3936102811-1022490595-24

位于同一个 Exchange 组织中的 Exchange Server 2003 服务器。

接收连接器权限

接收连接器处理传入到服务器的会话。该会话可以是由通过身份验证的发件人或匿名发件人建立的。如果会话成功通过身份验证,则会更新会话访问令牌中的 SID。表 4 列出了对连接到接收连接器的会话所授予的权限。

表 4   接收连接器权限

权限 显示名 说明

ms-Exch-SMTP-Submit

将邮件提交到服务器

必须对会话授予该权限,否则它不能将邮件提交到该接收连接器。如果会话不具备此权限,MAIL FROM 命令将失败。

ms-Exch-SMTP-Accept-Any-Recipient

将邮件提交到任意收件人

此权限允许会话通过此连接器中继邮件。如果未授予该权限,则该连接器只能接受地址为可接受域内的收件人的邮件。

ms-Exch-SMTP-Accept-Any-Sender

接受任意发件人

该权限允许会话绕过发件人地址欺骗检查。

ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

接受权威域发件人

该权限允许会话绕过对来自权威域中电子邮件地址的入站邮件进行阻止所用的检查。

ms-Exch-SMTP-Accept-Authentication-Flag

接受身份验证标志

该权限允许运行 Exchange Server 早期版本的 Exchange 服务器提交来自内部发件人的邮件。Exchange 2007 服务器将邮件识别为内部邮件。

ms-Exch-Accept-Headers-Routing

接受路由头

此权限允许会话提交收到的所有标头均完整无缺的邮件。如果未授予该权限,则服务器将去除所有接收的头。

ms-Exch-Accept-Headers-Organization

接受组织头

此权限允许会话提交所有组织标头均完整无缺的邮件。组织标头均以“X-MS-Exchange-Organization-”作为开头。如果未授予该权限,则接收服务器将去除所有组织标头。

ms-Exch-Accept-Headers-Forest

接受林头

此权限允许会话提交所有林标头均完整无缺的邮件。林头全部以“X-MS-Exchange-Forest-”作为开头。如果未授予该权限,则接收服务器将去除所有林标头。

ms-Exch-Accept-Exch50

接受 Exch50

此权限允许会话提交含有 XEXCH50 命令的邮件。该命令需要与 Exchange 2000 Server 和 Exchange 2003 有互操作性。XEXCH50 命令提供数据,例如邮件的垃圾邮件可信度 (SCL)。

ms-Exch-Bypass-Message-Size-Limit

绕过邮件大小限制

该权限允许会话提交超过为连接器配置的邮件大小限制的邮件。

Ms-Exch-Bypass-Anti-Spam

绕过反垃圾邮件

该权限允许会话绕过反垃圾邮件筛选器。

发送连接器权限

发送连接器处理传出到其他服务器的会话。该会话可以是由发件人建立的与匿名收件人或通过身份验证的收件人之间的会话。如果会话成功通过身份验证,则会更新会话访问令牌中的 SIDS 集。发送连接器权限决定使用连接器发送的可包含在邮件中的头信息类型。如果邮件发送到组织中其他 Exchange 服务器或发送到跨林方案中受信任的 Exchange 组织,则通常允许此邮件发送所有的头。如果邮件发送到 Internet 或非 Exchange SMTP 服务器,则不允许此邮件包含所有的头。如果邮件中包含头,Exchange 2007 的头防火墙功能将去除这些头。表 5 列出了对连接到发送连接器的会话可授予的权限。

表 5   发送连接器权限

权限 显示名 说明

ms-Exch-Send-Exch50

发送 Exch50

此权限允许会话发送包含 EXCH50 命令的邮件。如果未授予该权限,服务器将发送此邮件但不包含 EXCH50 命令。

Ms-Exch-Send-Headers-Routing

发送路由头

此权限允许会话发送所有接收的头保持不变的邮件。如果未授予该权限,则服务器将去除所有接收的头。

Ms-Exch-Send-Headers-Organization

发送组织头

此权限允许会话发送所有组织头保持不变的邮件。组织标头均以“X-MS-Exchange-Organization-”作为开头。如果未授予该权限,发送服务器将去除所有组织头。

Ms-Exch-Send-Headers-Forest

发送林头

此权限允许会话发送所有林头保持不变的邮件。林头全部以“X-MS-Exchange-Forest-”作为开头。如果未授予该权限,发送服务器将去除所有林头。

权限组

权限组是可在接收连接器上授予的预定义权限集。权限组仅用于接收连接器。使用权限组可以简化接收连接器的权限配置操作。PermissionGroups 属性定义了可将邮件提交到接收连接器的组或角色以及允许授予这些组的权限。权限组集在 Exchange 2007 中已进行了预定义。因此,您不能创建其他权限组。此外,您也不能修改权限组成员或相关权限。

表 6 列出了 Exchange 2007 中可用的权限组、权限组成员以及相关权限。

表 6   接收连接器权限组和相关权限

权限组名称 安全主体 授予边缘传输服务器的权限 授予集线器传输服务器的权限

匿名

匿名用户

  • 将邮件提交到服务器

  • 接受任意发件人

  • 接受路由头

  • 将邮件提交到服务器

  • 接受任意发件人

  • 接受路由头

ExchangeUsers

通过身份验证的用户(众所周知的帐户不包括在内)

不可用

  • 将邮件提交到服务器

  • 接受任意收件人

  • 绕过反垃圾邮件筛选器

Exchange 服务器

Exchange 2007 服务器

所有接收权限

  • 所有接收权限

ExchangeLegacyServers

Exchange 2003 和 Exchange 2000 服务器

不可用

  • 将邮件提交到服务器

  • 将邮件提交到任意收件人

  • 接受任意发件人

  • 接受权威域发件人

  • 接受身份验证标志

  • 接受路由头

  • 接受 Exch50

  • 绕过邮件大小限制

  • 绕过反垃圾邮件筛选器

合作伙伴

合作伙伴服务器帐户

  • 将邮件提交到服务器

  • 接受路由头

  • 将邮件提交到服务器

  • 接受路由头

连接器使用类型

创建新连接器时,可以指定连接器的使用类型。使用类型将决定连接器的默认设置。其中包括通过身份验证的 SID、分配给这些 SID 的权限以及身份验证机制。

表 7 列出了可用于接收连接器的使用类型。选择接收连接器的使用类型时,会将权限组自动分配给连接器,同时也会配置默认的身份验证机制。

表 7   接收连接器使用类型

使用类型 默认权限组 默认身份验证机制

客户端

ExchangeUsers

  • TLS。

  • BasicAuthPlusTLS。

自定义

无。

内部

  • ExchangeServers

  • ExchangeLegacyServers

Exchange Server 身份验证。

Internet

AnonymousUsers

合作伙伴

无或外部安全。

合作伙伴

合作伙伴

不适用。与远程域建立相互的 TLS 身份验证时,会选择该使用类型。

表 8 列出了可用于发送连接器的使用类型。选择发送连接器的使用类型时,会将权限自动分配给 SID,同时也会配置默认的身份验证机制。

表 8   发送连接器使用类型

使用类型 默认权限 安全主体 智能主体的默认身份验证机制

自定义

内部

  • 发送组织头

  • 发送 Exch50

  • 发送路由头

  • 发送林头

  • 集线器传输服务器

  • 边缘传输服务器

  • Exchange 服务器安全组

  • 外部安全服务器

  • Exchange 旧版 Interop 安全组

  • Exchange 2003 和 Exchange 2000 桥头服务器

Exchange Server 身份验证。

Internet

发送路由头

匿名用户帐户

无。

合作伙伴

发送路由头

合作伙伴服务器

不适用。与远程域建立相互的 TLS 身份验证时,会选择该使用类型。

如果为发送连接器或接收连接器选择“自定义”使用类型,则必须手动配置身份验证方法和授权的 SID 并为这些 SID 分配权限。如果不指定使用类型,连接器使用类型将设置为“自定义”。

使用 Enable-CrossForestConnector 脚本设置权限

可以使用 Enable-CrossForestConnector.ps1 脚本简化在跨林连接器上配置权限的方式。脚本分配权限方式类似于权限组。定义的权限集分配给发送连接器或接收连接器。可以根据连接方案的需要,通过修改 Enable-CrossForestConnector.ps1 脚本内容来修改此权限集。有关详细信息,请参阅配置跨林连接器

使用 Add-AdPermission Cmdlet 设置权限

Exchange 命令行管理程序中的 Add-AdPermission 是为存储于 Active Directory 中的对象分配权限所用的全局 cmdlet。可以使用 Add-AdPermission cmdlet 对发送连接器或接收连接器分别授予权限。Add-AdPermission cmdlet 通常不用于管理传输权限。但是,必须在下列方案中使用它配置权限:

  • 在跨林方案中建立邮件流。

  • 通过 Internet 接受来自权威域中的用户的匿名电子邮件。

Exchange 2007 传输权限属于可使用该 cmdlet 分配的扩展权限集。以下过程显示了如何使用 Add-AdPermission cmdlet 来设置集线器传输服务器、接收连接器允许匿名会话提交邮件的权限:

如何使用 Exchange 命令行管理程序设置接收连接器的权限

  • 运行以下命令:

    Add-AdPermission -Identity "Default Hub1" -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights ms-Exch-SMTP-Submit,ms-Exch-SMTP-Accept-Any-Recipient,ms-Exch-Bypass-Anti-Spam
    

可以使用 Get-AdPermission cmdlet 查看发送连接器或接收连接器的 DACL。运行下列命令之一,检索分配给接收连接器的权限并以表格格式显示结果:

如何使用 Exchange 命令行管理程序查看接收连接器的扩展权限

  • 运行下列命令之一:

    Get-AdPermission -Identity "Default ServerName" | format-table -view User
    Get-AdPermission -Identity "Default ServerName" | format-table -view Identity
    

可以使用 Remove-AdPermission cmdlet 删除所有以前分配的权限。

有关如何使用 Exchange 命令行管理程序设置、查看和删除权限的详细信息,请参阅下列主题:

使用 ADSI Edit 设置权限

Active Directory 服务接口 (ADSI) 编辑是 Windows 支持工具随附的 Microsoft 管理控制台。ADSI 编辑是用于修改其他管理界面中隐藏的 Active Directory 或 ADAM 对象的一种低级编辑器。ADSI 编辑只应由有经验的管理员使用。

可以使用 ADSI 编辑查看和修改发送连接器和接收连接器的 ACL。打开 ADSI 编辑后,可查找连接器对象。Exchange 2007 连接器存储于目录服务的“配置”分区。发送连接器作为对象存储在“连接”容器中。接收连接器作为 Exchange 2007 传输服务器的子对象存储。

使用 ADSI Edit 修改接收连接器权限的步骤:

  1. 转至以下位置,找到接收连接器:

    CN=Configuration\CN=Services\CN=Microsoft Exchange\CN=<Organization>\CN=Administrative Groups\CN=Exchange Administrative Group (FYDIBOHF23SPDLT)\CN=Servers\CN=<Server Name>\CN=Protocols\CN=SMTP Receive Connectors

  2. 在结果窗格中,选择一个接收连接器。右键单击该接收连接器,再单击“属性”。

  3. 单击“安全”选项卡。将显示以下屏幕:

    ADSI 编辑中的“接收连接器安全性”选项卡

  4. 单击“添加”选择要授予权限的用户或组或选择现有的“组或用户名称”条目。

  5. 选择应分配给帐户的权限并选中“允许”列中的复选框。

使用 ADSI Edit 修改发送连接器权限的步骤:

  1. 转至以下位置,找到发送连接器:

    CN=Configuration\CN=Services\CN=Microsoft Exchange\CN=<Organization>\CN=Administrative Groups\CN=Exchange Administrative Group(FYDIBOHF23SPDLT)\CN=Routing Groups\CN=Routing Group (DWBGZMFD01QNBJR)\CN=Connections

  2. 在结果窗格中,选择一个发送连接器。右键单击该发送连接器,再单击“属性”。

  3. 单击“安全”选项卡。将显示以下屏幕:

    ADSI 编辑中的“发送连接器安全性”选项卡

  4. 单击“添加”选择要授予权限的用户或组或选择现有的“组或用户名称”条目。

  5. 选择应分配给帐户的权限并选中“允许”列中的复选框。

疑难解答权限

协议会话期间,SMTP 服务器可能会由于缺少权限而拒绝特定命令。表 9 列出了最常见的协议拒绝邮件和导致错误的权限配置。

表 9   常见的协议拒绝邮件及其原因

SMTP 服务器响应 原因

530 5.7.1 客户端未通过身份验证

SMTP 协议的 MAIL FROM 字段中指定的发件人没有提交到该服务器的权限。必须授予该发件人 ms-Exch-SMTP-Submit 权限。

535 5.7.3 身份验证不成功

在 SMTP 协议会话的 AUTH 阶段,提供的凭据不正确或通过身份验证的用户没有提交到该服务器的权限。

550 5.7.1 客户端没有提交到该服务器的权限

SMTP 协议会话的 MAIL FROM 字段中指定的发件人通过了身份验证,但没有提交到该服务器的权限。

550 5.7.1 客户端没有作为该发件人进行发送的权限

SMTP 协议会话的 MAIL FROM 字段中指定的发件人是权威域中的地址。但是,会话没有 ms-Exch-SMTP-Accept-Authoritative-Domain-Sender 权限。如果邮件是通过 Internet 由 Exchange 组织对其是权威的发件人地址提交到边缘传输服务器的,则可能发生此情况。

550 5.7.1 客户端没有代表发件人地址进行发送的权限

通过身份验证的用户没有权限代表邮件头中指定的发件人提交邮件。此外,该会话没有 ms-Exch-SMTP-Accept-Any-Sender 权限。

550 5.7.1. 无法中继

邮件要发送到的收件人域不在为该组织定义的任何接受域内。此外,该会话没有 ms-Exch-SMTP-Accept-Any-Recipient 权限。

详细信息

有关详细信息,请参阅下列主题: