接收連接器
適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上次修改主題的時間: 2009-09-02
接收連接器是在執行 Microsoft Exchange Server 2007 且已安裝 Hub Transport 及 Edge Transport server role 的電腦上設定。接收連接器代表接收所有輸入郵件所經過的邏輯閘道。本主題提供接收連接器及接收連接器組態如何影響個別郵件處理的概觀。
接收連接器概觀
Exchange 2007 傳輸伺服器需要接收連接器來接收來自網際網路、電子郵件用戶端及其他電子郵件伺服器的郵件。接收連接器控制 Exchange 組織的輸入連線。內部郵件流程所需的接收連接器預設會在安裝 Hub Transport server role 時自動建立。能夠從網際網路以及從 Hub Transport Server 接收郵件的接收連接器,會在安裝 Edge Transport server role 時自動建立。但是僅在使用 Edge 訂閱處理程序,向 Active Directory 目錄服務站台訂閱 Edge Transport Server 之後,才可使用端對端郵件流程。而另一個狀況是例如面向網際網路的 Hub Transport Server 或已取消訂閱的 Edge Transport Server,則必須以手動連接器組態來建立端對端郵件流程。如需相關資訊,請參閱下列主題:
在 Exchange 2007 中,接收連接器稱為「接收接聽程式」。這表示連接器會接聽符合接收連接器設定的輸入連線。接收連接器會接聽透過特定本機 IP 位址與連接埠及從指定的 IP 位址範圍接收的連線。當您希望控制哪些伺服器接收來自特定 IP 位址或 IP 位址範圍的郵件,以及希望針對接收自特定 IP 位址的郵件設定特殊連接器內容 (例如較大的郵件大小、每封郵件更多收件者或更多輸入連線) 時,可建立接收連接器。
附註: |
---|
如果 Exchange 2007 Service Pack 1 (SP1) 是部署在執行 Windows Server 2008 的電腦上,則可以使用網際網路通訊協定第 4 版 (IPv4) 格式及 (或) 網際網路通訊協定第 6 版 (IPv6) 格式,來輸入 IP 位址及 IP 位址範圍。Windows Server 2008 的預設安裝會啟用對 IPv4 和 IPv6 的支援。如需針對 IPv6 位址之 Exchange 2007 SP1 支援的相關資訊,請參閱 Exchange 2007 SP1 和 SP2 中的 IPv6 支援。 |
接收連接器會限定為單一伺服器的範圍,並決定該特定伺服器如何接聽連線。當您在 Hub Transport Server 上建立接收連接器時,接收連接器會在 Active Directory 目錄服務中儲存為其建立所在伺服器的子物件。當您在 Edge Transport Server 上建立接收連接器時,接收連接器會儲存在 Active Directory 應用程式模式 (ADAM) 中。
若需特定案例的額外接收連接器,可使用 Exchange 管理主控台或 Exchange 管理命令介面來建立這些接收連接器。每個接收連接器都必須使用 IP 位址繫結、通訊埠號碼指派及此連接器所接受郵件之來源遠端 IP 位址範圍的唯一組合。
接收連接器用法類型
用法類型決定連接器的預設安全性設定。
接收連接器的安全性設定指定授與連接至接收連接器及支援驗證機制之工作階段的權限。
使用 Exchange 管理主控台設定接收連接器時,新增 SMTP 接收連接器精靈會提示您選取連接器的用法類型。
在 Exchange 2007 的量產發行版 (RTM) 中,當您使用 Exchange 管理命令介面中的 New-ReceiveConnector 指令程式來建立接收連接器時,您也可以指定 Usage 參數。不過,在 Exchange 2007 RTM 中,Usage 不是必要參數。執行 New-ReceiveConnector 指令程式時若不指定用法類型,則預設用法類型會設為 Custom
。
在 Exchange 2007 Service Pack 1 (SP1) 中,當您使用 Exchange 管理命令介面中的 New-ReceiveConnector 指令程式來建立接收連接器時,您必須指定用法類型。在 Exchange 2007 SP1 中,您可以使用兩種不同的方法來指定用法類型:
- 使用 Usage 參數及所要的值,例如 Usage
Custom
。根據您指定的用法類型,還有其他必要參數。如果您未在 New-ReceiveConnector 命令中指定必要參數,該命令會失敗。 - 請使用所要的用法類型的切換參數,例如 Custom。根據您指定的用法類型,還有其他必要參數。如果您未在 New-ReceiveConnector 命令中指定必要參數,命令會提示您輸入遺漏的參數值,使該命令得以繼續。
權限群組
權限群組是授與已知安全性主體及指派給接收連接器的一組預先定義權限。安全性主體包括使用者、電腦和安全性群組。安全性主體是由安全性識別碼 (SID) 加以識別。權限群組只可供接收連接器使用。使用權限群組可簡化接收連接器上權限的組態。PermissionGroups 內容定義可提交郵件至接收連接器的群組或角色以及指派給這些群組的權限。Exchange 2007 已預先定義一組權限群組。這表示您無法建立其他權限群組。此外,您無法修改權限群組成員或關聯的權限。
表 1 列出可用的權限群組,並識別安全性主體及為接收連接器設定權限群組時授與的權限。
表 1 接收連接器權限群組
權限群組名稱 | 關聯的安全性主體 (SID) | 授與的權限 |
---|---|---|
Anonymous |
匿名使用者帳戶 |
|
ExchangeUsers |
已驗證的使用者帳戶 |
|
ExchangeServers |
|
|
ExchangeLegacyServers |
Exchange 傳統 Interop 安全性群組 |
|
Partner |
協力程式伺服器帳戶 |
|
附註: |
---|
強烈建議您透過設定接收連接器,接受來自未知 IPv6 位址的匿名連線。如果您設定接收連接器接受來自未知 IPv6 位址的匿名連線,則進入組織的垃圾郵件數量可能會增加。目前尚未有受業界廣泛接受的標準通訊協定可用於查詢 IPv6 位址。多數的 IP 封鎖清單提供不支援 IPv6 位址。因此,如果允許來自接收連接器上未知 IPv6 位址的匿名連線,則會讓濫發垃圾郵件者略過 IP 封鎖清單提供者,成功將垃圾郵件傳遞給您的組織的機會增加。 如需針對 IPv6 位址之 Exchange 2007 SP1 支援的相關資訊,請參閱 Exchange 2007 SP1 和 SP2 中的 IPv6 支援。 |
接收連接器用法類型
用法類型決定指派給接收連接器的預設權限群組以及可供工作階段驗證使用的預設驗證機制。接收連接器永遠都會回應寄件者使用傳輸層安全性 (TLS) 的要求。表 2 描述可用的用法類型及預設設定。
表 2 接收連接器用法類型
用法類型 | 預設權限群組 | 預設驗證機制 |
---|---|---|
用戶端 (Edge Transport Server 上無法使用) |
ExchangeUsers |
TLS 基本驗證加上 TLS 整合式 Windows 驗證 |
自訂 |
無 |
無 |
內部 |
ExchangeServers ExchangeLegacyServers (此權限群組在 Edge Transport Server 上無法使用)。 |
Exchange Server 驗證 |
網際網路 |
AnonymousUsers Partner |
無或以外部方式保護安全 |
Partner |
Partner |
不適用。建立與遠端網域的相互 TLS 時會選取此用法類型。 |
本主題稍後會討論接收連接器權限及驗證機制。
接收連接器用法案例
每個用法類型分別適合特定的連線案例。選取預設設定最適合您想要之組態的用法類型。您可使用 Add-ADPermission 及 Remove-ADPermission 指令程式修改權限。如需相關資訊,請參閱下列主題:
表 3 列出一般連線案例及各案例的用法類型。
表 3 接收連接器用法案例
連接器案例 | 用法類型 | 註解 |
---|---|---|
接收來自網際網路之電子郵件的 Edge Transport Server |
網際網路 |
設為接受來自所有網域之電子郵件的接收連接器會在安裝 Edge Transport server role 時自動建立。 |
接收來自網際網路之電子郵件的 Hub Transport Server |
網際網路 |
這不是建議的組態。如需相關資訊,請參閱如何設定網際網路郵件流程的連接器。 |
接收來自 Exchange Server 2003 或 Exchange 2000 Server Bridgehead 伺服器之電子郵件的 Edge Transport Server |
內部 |
在此案例中,Exchange 2003 或 Exchange 2000 Bridgehead 伺服器設為使用 Edge Transport Server 作為傳送連接器的智慧主機。 |
接收來自用戶端應用程式 (使用郵局通訊協定,第 3 版 (POP3) 或 IMAP4) 之電子郵件提交的 Hub Transport Server |
用戶端 |
此接收連接器會在安裝角色時於每部 Hub Transport Server 上自動建立。此接收連接器預設設為透過 TCP 通訊埠 587 接收電子郵件。 |
接收來自 Hub Transport Server 之電子郵件的 Hub Transport Server |
內部 |
您不需要在同一組織內的 Hub Transport Server 間設定接收連接器。此用法類型可以用來設定跨樹系接收連接器。 |
接收來自同一樹系中 Exchange 2003 或 Exchange 2000 Bridgehead 伺服器之電子郵件的 Hub Transport Server |
內部 |
這是選用的組態。Exchange 2007 與舊版 Exchange Server 間的傳輸是透過雙向路由群組連接器來完成。若要建立到 Exchange 2003 或 Exchange 2000 路由群組的簡易郵件傳送通訊協定 (SMTP) 連接器,則路由群組連接器也必須存在。如需相關資訊,請參閱如何建立從 Exchange 2007 到 Exchange Server 2003 的路由群組連接器 |
接收來自 Hub Transport Server 之電子郵件的 Edge Transport Server |
內部 |
設為接受來自所有網域之電子郵件的接收連接器會在安裝 Edge Transport server role 時自動建立。您可以建立另一個連接器,將之設為只接收來自 Exchange 組織的電子郵件。 |
接收來自一個樹系中之 Hub Transport Server 的電子郵件而位於另一樹系中之 Hub Transport Server 的跨樹系接收連接器 |
自訂 |
如需詳細組態步驟,請參閱設定跨樹系連接器。 |
接收來自一個樹系中之 Exchange 2003 或 Exchange 2000 Bridgehead 伺服器的電子郵件而位於另一樹系中之 Hub Transport Server 的跨樹系接收連接器 |
自訂 |
如需詳細組態步驟,請參閱設定跨樹系連接器。 |
接收來自協力廠商郵件傳輸代理程式之電子郵件的 Hub Transport Server |
內部 |
指定將接受之郵件的來源 IP 位址範圍並將驗證機制設為基本驗證或以外部方式保護安全。如需相關資訊,請參閱如何設定網際網路郵件流程的連接器。 |
接收來自協力廠商郵件傳輸代理程式之電子郵件的 Edge Transport Server |
自訂 |
使用 Add-AdPermission 指令程式設定延伸權利。指定將接受之郵件的來源 IP 位址範圍並將驗證機制設為基本驗證。您也可選取內部用法類型並設定以外部方式保護安全作為驗證方法。若選取此選項則不需要額外的權限組態。 |
接收來自外部轉送網域之電子郵件的 Edge Transport Server |
自訂 |
Edge Transport Server 可接受來自外部轉送網域的電子郵件,然後轉送至目的收件者網域。指定將接受之郵件的來源 IP 位址範圍,設定適當的驗證機制,並使用 Add-AdPermission 指令程式設定延伸權利。 |
接收來自已建立相互 TLS 驗證之網域的電子郵件的 Edge Transport Server |
協力程式 |
僅當下列條件為真時,相互 TLS 驗證才能正確運作:
如需相關資訊,請參閱 Set-ReceiveConnector 及管理網域安全性。 |
接收來自 Microsoft Exchange Hosted Services 伺服器之連線的 Edge Transport Server |
自訂 |
Exchange Hosted Services 伺服器可作為外部授權伺服器。若要使用以外部方式保護安全的驗證機制,請使用 Set-ReceiveConnector 指令程式將 PermissionGroup 參數設為 |
接收來自 Exchange Hosted Services 伺服器之連線的 Hub Transport Server |
自訂 |
Exchange Hosted Services 伺服器可作為外部授權伺服器。若要使用以外部方式保護安全的驗證機制,請使用 Set-ReceiveConnector 指令程式將 PermissionGroup 參數設為 |
接收連接器權限
接收連接器權限會在為連接器指定權限群組時指派給安全性主體。安全性主體建立與接收連接器的工作階段時,接收連接器權限會決定是否接受工作階段及如何處理收到的郵件。表 4 描述可在接收連接器上指派給安全性主體的權限。您可以使用 Exchange 管理主控台或在 Exchange 管理命令介面中配合 Set-ReceiveConnector 指令程式使用 PermissionGroups 參數來設定接收連接器權限。若要修改接收連接器的預設權限,也可以使用 Add-AdPermission 指令程式。
表 4 接收連接器權限
接收連接器權限 | 描述 |
---|---|
ms-Exch-SMTP-Submit |
您必須授與此權限給工作階段,否則工作階段將無法提交郵件至此接收連接器。若工作階段沒有此權限,MAIL FROM 及 AUTH 命令會失敗。 |
ms-Exch-SMTP-Accept-Any-Recipient |
此權限允許工作階段透過此連接器轉送郵件。若未授與此權限,則此連接器只會接受收件者位於公認的網域中的郵件。 |
ms-Exch-SMTP-Accept-Any-Sender |
此權限允許工作階段略過寄件者地址詐騙檢查。 |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
此權限允許電子郵件地址位於授權網域的寄件者建立到此接收連接器的工作階段。 |
ms-Exch-SMTP-Accept-Authentication-Flag |
此權限允許 Exchange 2003 伺服器提交來自內部寄件者的郵件。Exchange 2007 會將這些郵件辨識為內部郵件。寄件者可將郵件宣告為「信任」郵件。透過匿名提交進入 Exchange 系統的郵件在透過 Exchange 組織轉送時,此標幟會處於不受信任狀態。 |
ms-Exch-Accept-Headers-Routing |
此權限允許工作階段提交所有收到的標頭均未改變的郵件。若未授與此權限,則伺服器會刪除所有收到的標頭。 |
ms-Exch-Accept-Headers-Organization |
此權限允許工作階段提交所有組織標頭均未改變的郵件。組織標頭開頭均為 "X-MS-Exchange-Organization-"。若未授與此權限,則接收伺服器會刪除所有組織標頭。 |
ms-Exch-Accept-Headers-Forest |
此權限允許工作階段提交所有樹系標頭均未改變的郵件。樹系標頭開頭均為 "X-MS-Exchange-Forest-"。若未授與此權限,則接收伺服器會刪除所有樹系標頭。 |
ms-Exch-Accept-Exch50 |
此權限允許工作階段提交包含 XEXCH50 命令的郵件。Exchange 2000 與 2003 的交互操作性需要此命令。XEXCH50 命令提供郵件的垃圾郵件信賴等級 (SCL) 等資料。 |
ms-Exch-Bypass-Message-Size-Limit |
此權限允許工作階段提交超過為連接器設定之郵件大小限制的郵件。 |
Ms-Exch-Bypass-Anti-Spam |
此權限允許工作階段略過反垃圾郵件篩選。 |
區域網路設定
在 Exchange 管理主控台中,接收連接器的區域網路設定可以用來指定 IP 位址與通訊埠,傳輸伺服器會接受透過此 IP 位址與通訊埠的連線。在 Exchange 管理命令介面中,使用 Bindings 參數可指定傳輸伺服器的本機 IP 位址與通訊埠,接收連接器會接受透過此 IP 位址與通訊埠的連線。這些設定會將接收連接器繫結到傳輸伺服器上的特定網路介面卡及 TCP 通訊埠。
依預設,接收連接器是設定為使用所有可用的網路介面卡和 TCP 通訊埠 25。如果傳輸伺服器有多個網路介面卡,您可能會希望接收連接器繫結特定網路介面卡,或接受透過其他通訊埠的連線。例如,您可能會想要在 Edge Transport Server 上設定一個接收連接器來接受透過外部網路介面卡的匿名連線。第二個接收連接器可設為只接受透過內部網路介面卡且來自 Hub Transport Server 的連線。
附註: |
---|
如果您選擇將接收連接器繫結到特定本機 IP 位址,則該位址對於接收連接器所在之 Hub Transport Server 或 Edge Transport Server 必須是有效的。如果指定無效的本機 IP 位址,則在重新啟動服務時,Microsoft Exchange Transport 服務可能無法啟動。您可以將接收連接器繫結到 Hub Transport Server 或 Edge Transport Server 上所有可用的 IP 位址,而不要將接收連接器繫結到特定 IP 位址。 |
請在設定接收連接器繫結時指定網路介面卡的 IP 位址。若接收連接器設為接受透過非預設之通訊埠的連線,傳送端用戶端或伺服器就必須設為傳送至該通訊埠,且郵件寄件者及接收伺服器間的任何防火牆都必須允許透過該通訊埠的網路流量。
Exchange 管理主控台中新增 SMTP 接收連接器精靈的區域網路設定頁面包含 [指定此連接器為了回應 HELO 或 EHLO 所將提供的 FQDN] 的選項。在 Exchange 管理命令介面中,此內容是配合 Set-ReceiveConnector 指令程式使用 Fqdn 參數來加以設定。建立 SMTP 工作階段後,傳送電子郵件伺服器及接收電子郵件伺服器會開始 SMTP 通訊協定交談。傳送電子郵件伺服器或用戶端會傳送 EHLO 或 HELO SMTP 命令及其網域全名 (FQDN) 到接收伺服器。接收伺服器會傳送成功代碼並提供其本身的 FQDN 來回應。在 Exchange 2007 中,如果您在接收連接器上設定此內容,則可以自訂接收伺服器提供的 FQDN。每當需要目的伺服器名稱時,FQDN 值會顯示給連接的郵件伺服器,如下列範例所示:
- 在接收連接器的預設 SMTP 橫幅中
- 在郵件進入 Hub Transport Server 或 Edge Transport Server 時之內送郵件的最新
Received:
標頭欄位 - 在 TLS 驗證期間
附註: |
---|
請勿修改自動建立於 Hub Transport Server 上,名為「Default <Server Name>」之預設接收連接器的 FQDN 值。如果 Exchange 組織中有多個 Hub Transport Server,而且變更了「Default <Server Name>」之接收連接器的 FQDN 值,則 Hub Transport Server 之間的內部郵件流程會失敗。 |
遠端網路設定
在 Exchange 管理主控台中,接收連接器的遠端網路設定可以用來指定 IP 位址範圍,此接收連接器會接受來自此 IP 位址範圍的連線。在 Exchange 管理命令介面中,RemoteIPRanges 參數可以用來指定 IP 位址範圍,此接收連接器會接受來自此 IP 位址範圍的連線。依預設,會在允許從 {0.0.0.0-255.255.255.255} 或從每一個 IP 位址連線的 Hub Transport Server 與 Edge Transport Server 上建立接收連接器。
附註: |
---|
在 Exchange 2007 Service Pack 1 (SP1) 中,IPv6 位址範圍 0000:0000:0000:0000:0000:0000:0.0.0.0-ffff:ffff:ffff:ffff:ffff:ffff:255.255.255.255 亦存在於 Hub Transport Server 上的預設接收連接器中。 |
若要為特定案例設定接收連接器,請將遠端網路設定設為應給予接收連接器權限和組態設定之伺服器的 IP 位址。只要一個範圍完全與另一個範圍重疊,多個接收連接器便可以使用重疊的遠端 IP 位址範圍。遠端 IP 位址範圍重疊時,會使用具有與連線伺服器的 IP 位址最相符的遠端 IP 位址範圍。
接收連接器接受之輸入連線的來源遠端伺服器 IP 位址 或 IP 位址範圍是以下列其中一個格式輸入:
- IP 位址 192.168.1.1
- IP 位址範圍 192.168.1.10-192.168.1.20
- IP 位址及子網路遮罩 192.168.1.0(255.255.255.0)
- 使用無類別網域間路由選擇 (CIDR) 表示法的 IP 位址與子網路遮罩 192.168.1.0/24
附註: |
---|
如果 Exchange Server 2007 SP1 部署在執行 Windows Server 2008 的電腦上,您可以用 IPv4 格式、IPv6 格式或兩種格式輸入 IP 位址和 IP 位址範圍。Windows Server 2008 的預設安裝會啟用對 IPv4 和 IPv6 的支援。如需針對 IPv6 位址之 Exchange 2007 SP1 支援的相關資訊,請參閱 Exchange 2007 SP1 和 SP2 中的 IPv6 支援。 |
接收連接器驗證設定
在 Exchange 管理主控台中,接收連接器的驗證設定可以用來指定 Exchange 2007 傳輸伺服器支援的驗證機制。在 Exchange 管理命令介面中,AuthMechanisms 參數可以用來指定支援的驗證機制。您可為接收連接器設定多個驗證機制。請參考本主題前面的表 2 以了解自動為各用法類型設定的驗證機制。表 5 列出接收連接器的可用驗證機制。
表 5 接收連接器驗證機制
驗證機制 | 描述 |
---|---|
無 |
不使用驗證。 |
TLS |
通告 STARTTLS。需要伺服器憑證的可用性以提供 TLS。 |
整合式 |
NTLM 及 Kerberos (整合式 Windows 驗證) |
BasicAuth |
基本驗證。需要已驗證的登入。 |
BasicAuthRequireTLS |
透過 TLS 的基本驗證。需要伺服器憑證。 |
ExchangeServer |
Exchange Server 驗證 (GSSAPI 及相互 GSSAPI)。 |
ExternalAuthoritative |
連線若使用 Exchange 外部的安全性機制,則會視為以外部方式保護安全。連線可能是網際網路通訊協定安全性 (IPsec) 關聯或虛擬私人網路 (VPN)。或者,這些伺服器亦可位於實際受控制的信任網路中。 |
附註: |
---|
強烈建議您透過設定接收連接器,接受來自未知 IPv6 位址的匿名連線。如果您設定接收連接器接受來自未知 IPv6 位址的匿名連線,則進入組織的垃圾郵件數量可能會增加。目前尚未有受業界廣泛接受的標準通訊協定可用於查詢 IPv6 位址。多數的 IP 封鎖清單提供不支援 IPv6 位址。因此,如果允許來自接收連接器上未知 IPv6 位址的匿名連線,則會讓濫發垃圾郵件者略過 IP 封鎖清單提供者,成功將垃圾郵件傳遞給您的組織的機會增加。 如需針對 IPv6 位址之 Exchange 2007 SP1 支援的相關資訊,請參閱 Exchange 2007 SP1 和 SP2 中的 IPv6 支援。 |
其他接收連接器內容
接收連接器的內容組態定義如何透過該連接器接收電子郵件。並非所有內容都可在 Exchange 管理主控台中使用。如需可使用 Exchange 管理命令介面設定之內容的相關資訊,請參閱 Set-ReceiveConnector。
相關資訊
如需相關資訊,請參閱下列主題:
- 管理連接器
- 設定 Hub Transport Server 連接器
- 設定 Edge Transport Server 連接器
- 向 Exchange 組織訂閱 Edge Transport Server
- 傳送連接器
- Exchange 2007 傳輸權限模型
- 如何檢視接收連接器的組態
- 如何建立新的接收連接器
- 如何修改接收連接器的組態
- 如何移除接收連接器
- 管理公認的網域
- 如何設定應用程式伺服器透過 Exchange 2007 來轉送
若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.