规划 SharePoint Server 场的传出电子邮件
适用于:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
传出电子邮件是网站管理员可以实现多个电子邮件通知功能的基础。 这些功能帮助最终用户跟踪对单独网站集的更改和更新,并使网站管理员可以传递状态消息。
关于传出电子邮件
正确配置传出电子邮件是实现电子邮件警报和通知的要求。 传出电子邮件功能使用出站简单邮件传输协议 (SMTP) 服务来中继电子邮件警报和通知。 这些电子邮件功能包括:
警告
在一个大型且不断增长的网站集中,用户需要一种方法来跟上列表、库和讨论的更新。 警报可帮助用户了解更改。 例如,如果许多用户处理同一个文档,则文档的所有者可以设置在此文档有任何更改时收到警告通知。 用户可以指定想要跟踪网站集的哪些区域或哪些文档,并决定收到警告的频率。
注意
用户必须至少具有 “查看” 权限才能设置警报。
管理消息
网站管理员可能想要在用户请求访问网站或网站所有者已超过其指定存储空间时收到通知。 设置传出电子邮件使站点管理员能够接收有关站点管理问题的自动通知。
可以在服务器场级别启用传出电子邮件支持, (可在 SharePoint 管理中心网站的 “系统设置” 部分中启用,也可在 Web 应用程序级别启用, (管理中心) 的“ 应用程序管理 ”部分提供。 Web 应用程序级别的传出电子邮件设置将覆盖在服务器场级别设置的那些设置。 还可以为特定 Web 应用程序指定不同的设置。
传出电子邮件的关键规划阶段
规划传出电子邮件设置时,必须考虑以下组件:
用于中继电子邮件警报和通知的 SMTP 服务。 您将需要使用 SMTP 邮件服务器的 DNS 名称或 IP 地址。
用于在警告消息标题中标识消息发件人的地址。
当用户回复警报或通知时,显示在邮件的“ To ”字段中的“回复地址”。
用于警告消息正文中的字符集。
出站 SMTP 服务器
SMTP 服务是 Internet Information Services (IIS) 的一个组件;但是,默认情况下 IIS 中未启用该服务。 可以使用服务器管理器中的 “添加角色和功能向导” 启用它。
确定要使用的 SMTP 服务器后,必须将 SMTP 服务器配置为允许匿名访问并允许中继电子邮件。 此外,如果希望能够将邮件发送到外部电子邮件地址,SMTP 服务器必须具有 Internet 访问权限。
有关安装、配置和管理 SMTP 服务的详细信息,请参阅 传出电子邮件配置 。
注意
只有 Farm Administrators 组的成员才能配置 SMTP 服务器。 用户还必须是服务器上的本地 Administrators 组的成员。
“发件人”和“答复地址”
配置传出电子邮件时,可以配置以下两个地址:
发件人地址
警告和通知从服务器场上的管理帐户发出。 此帐户可能不是要在电子邮件的“ 发件人 ”字段中显示的帐户。 使用的地址不需要与实际电子邮件帐户相对应;它可以是最终用户可识别的简单友好地址。 例如"网站管理员"即是一个适当的"发件人"地址。
答复地址
这是当用户回复警报或通知时,邮件的“ To ”字段中显示的地址。 "答复地址"还应是受监控的帐户,以确保最终用户对于可能遇到问题收到及时反馈。 例如,help desk 别名可能就是一个适当的“答复地址”。
字符集
配置传出电子邮件时,需要指定要在电子邮件正文中使用的字符集。 字符集是其标识代码值的字符映射。 传出电子邮件的默认字符集是 Unicode UTF-8,它允许大多数字符组合 (包括双向文本) 在单个文档中共存。 在大多数情况下,UTF-8 的默认设置可正常使用,不过东亚语言使用其自己的字符集可达到最佳呈现效果。
请注意,如果选择特定语言代码,在针对其他语言配置的电子邮件阅读程序中,文本可能不会正确显示。
SMTP 服务器身份验证
SMTP 服务器身份验证功能仅在 SharePoint Server 2019 中可用。
SharePoint Server 2019 支持匿名或通过身份验证连接到 SMTP 服务器。 如果 SMTP 服务器需要身份验证,则需要提供 SharePoint 用于向 SMTP 服务器进行身份验证的凭据。 建议使用与 “发件人 ”地址匹配的帐户凭据。 如果要为其他帐户使用凭据,请确保该帐户具有模拟发件人地址的“发送方式”权限。
注意
如果使用 Windows 帐户向 SMTP 服务器进行身份验证,则可以使用通用主体名称 (UPN) 格式 (user@domain.com) 或 NT4 登录格式 (DOMAIN\user) 指定用户名。 如果使用非 Windows 帐户向 SMTP 服务器进行身份验证,请与电子邮件管理员联系以确定正确的用户名格式。
在提供凭据之前,必须在场中的每个服务器上设置应用程序凭据密钥。 应用程序凭据密钥是用于加密和解密 SMTP 密码的单独密码。 场中所有服务器上的应用程序凭据密钥必须相同。 Microsoft建议对应用程序凭据密钥使用强密码,并避免重用与场密码、服务器场服务帐户等相同的密码。
SharePoint 支持以下简单身份验证和安全层 (SASL) 机制,以向 SMTP 服务器进行身份验证:
GSSAPI (Kerberos、NTLM)
NTLM
登录
注意
SharePoint 使用以下服务主体名称 (SPN) 在 Kerberos 和 NTLM 身份验证期间向 SMTP 服务器进行身份验证,其中 <host> 是你提供的 SMTP 服务器名称:
SMTPSVC/<host>
使用 TLS 连接加密
将 “使用 TLS 连接加密 ”设置为“是”,以要求 SharePoint 在发送电子邮件之前与 SMTP 服务器建立加密连接。 必须在 SMTP 服务器上安装有效的服务器证书才能建立加密连接。 如果此项设置为“是”且无法建立加密连接,则不会发送电子邮件。
注意
SharePoint 支持 STARTTLS 建立与 SMTP 服务器的 TLS 连接加密。 它不支持 SMTPS 与 SMTP 服务器建立 SSL 连接加密。
注意
尽管 SharePoint 在向 SMTP 服务器发送电子邮件时可能需要 TLS 连接加密,但当 SMTP 服务器将电子邮件发送到其他 SMTP 服务器时,它无法控制是否将使用连接加密。 请与电子邮件管理员协作,将 SMTP 服务器配置为支持连接加密。
对 SMTP 服务器使用客户端证书身份验证
注意
此将客户端证书身份验证与 SMTP 服务器功能配合使用仅在 SharePoint Server 订阅版本中可用。
通过 SMTP 进行客户端证书身份验证是一种可选的高级身份验证配置,允许“客户端” (在此方案中,SharePoint) 使用客户端向服务器出示的 X.509 证书向 SMTP 服务器进行身份验证。 此身份验证是“而不是”或“除了”用户名/密码凭据。 此配置并不常见,但可以在高安全性环境中使用,其中标准用户名/密码身份验证并不足够。
注意
无需使用客户端证书身份验证来使用对 SMTP 服务器的 TLS 连接加密。
以下是 SharePoint 对 SMTP 服务器使用客户端证书身份验证的要求:
- SMTP 服务器必须配置为支持用于 TLS 连接加密的 STARTTLS。
- 在使用 STARTTLS 建立 TLS 连接时,SMTP 服务器必须配置为接受或要求客户端证书。
- SharePoint 必须配置为使用对 SMTP 服务器的 TLS 连接加密。
- SharePoint 必须配置为在连接到 SMTP 服务器时使用客户端证书。
- 发送电子邮件的 SharePoint 进程帐户 (可能包括 SharePoint 场服务帐户和 Web 应用程序服务帐户) 必须有权读取 X.509 证书的私钥。
- X.509 证书必须满足以下要求:
- X.509 证书必须位于 SharePoint 中的“End Entity”证书存储中。
- X.509 证书必须使用 RSA 或 ECC (ECDSA) 密钥。 不支持 DSA 密钥。
- X.509 证书必须具有私钥。
- 如果 X.509 证书具有密钥用法扩展,则扩展必须包含“数字签名”用法。
- 如果 X.509 证书具有扩展密钥用法扩展,则扩展必须包含“客户端身份验证” (OID:1.3.6.1.5.5.7.3.2) 用法。
如何在管理中心中配置此操作的示例屏幕截图:
电子邮件模拟
在发送电子邮件时,某些 SharePoint 功能可能会模拟最终用户来个性化邮件。 例如,当用户请求访问网站时,SharePoint 会将电子邮件通知的“发件人”地址设置为发出请求的用户。
某些 SMTP 服务器可能会阻止模拟,以保护用户免受未经授权的欺骗其标识的企图。 如果 SMTP 服务器阻止模拟,可以使用多个选项来允许发送 SharePoint 电子邮件:
向 SharePoint 经过身份验证的电子邮件帐户授予模拟用户的权限
Microsoft Exchange Server 允许你授予用户在通过接收连接器发送电子邮件时模拟其他用户的权限。 这些权限包括:
接收连接器权限 | 描述 |
---|---|
ms-Exch-SMTP-Submit |
必须向会话授予此权限,否则将无法将消息提交到此接收连接器。 如果会话不具备此权限,则 MAIL FROM 和 AUTH 命令将失败。 |
ms-Exch-SMTP-Accept-Any-Recipient |
此权限允许会话通过此连接器中继邮件。 如果未授予此权限,则此连接器仅接受发送给所接受域中收件人的邮件。 |
ms-Exch-SMTP-Accept-Any-Sender |
此权限允许会话绕过发件人地址欺骗检查。 注意: 仅当 SharePoint 模拟其电子邮件帐户不受组织管理的用户时,才需要此权限。 |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
此权限允许在权威域中具有电子邮件地址的发件人建立此接收连接器的会话。 |
ms-Exch-Accept-Headers-Routing |
此权限允许会话提交收到的所有标头均完整无缺的邮件。 如果未授予该权限,则服务器将去除所有接收的标头。 |
在 Microsoft Exchange Server 上运行此命令,授予 SharePoint 身份验证电子邮件帐户通过接收连接器模拟其他用户的权限:
Get-ReceiveConnector "<Receive Connector Name>" | Add-ADPermission -User <DOMAIN\AuthenticatedEmailAccount> -ExtendedRights ms-Exch-SMTP-Submit, ms-Exch-SMTP-Accept-Any-Recipient, ms-Exch-SMTP-Accept-Any-Sender, ms-Exch-SMTP-Accept-Authoritative-Domain-Sender, ms-Exch-Accept-Headers-Routing
注意
使用 Microsoft Exchange Server 2013 或更高版本时,应将此权限应用于客户端代理接收连接器。 使用 Microsoft Exchange Server 2010 或更低版本时,应将此权限应用于客户端前端接收连接器。
禁用 SharePoint 电子邮件模拟
可以将每个 SharePoint Web 应用程序配置为禁用电子邮件模拟。 这将确保 SharePoint 始终使用在 Web 应用程序级别指定的 From 和 Reply-To 地址。 运行以下命令以禁用 SharePoint 电子邮件模拟:
启动 SharePoint 2019 命令行管理程序。
运行以下命令:
$webapp = Get-SPWebApplication <web application URL> $webapp.OutboundMailOverrideEnvelopeSender = $true $webapp.Update()
使用外部保护的接收连接器
Microsoft Exchange Server 接收连接器可以配置为自动信任经过身份验证的所有电子邮件,即使未执行身份验证也是如此。 然后,SharePoint 将匿名向此接收连接器发送电子邮件。 按照以下步骤创建外部安全接收连接器:
- 为 SharePoint 场创建专用的“自定义”接收连接器。
- 将接收连接器的权限组设置为“Exchange Server”。
- 将接收连接器的身份验证类型设置为“外部安全”。
由于此配置中存在欺骗风险,建议将此接收连接器接受电子邮件的 IP 地址限制为 SharePoint 场中的服务器。