如何允許接收連接器上的匿名轉送

 

適用版本： Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間： 2007-07-02

本主題會說明如何使用 Exchange 管理主控台或 Exchange 管理命令介面，建立和設定允許匿名轉送的接收連接器。已在安裝了 Microsoft Exchange Server 2007 Hub Transport server role 或 Edge Transport server role 的伺服器上設定接收連接器。

「轉送」會在簡易郵件傳送通訊協定 (SMTP) 訊息伺服器之間傳送訊息，這種情況是在接受 SMTP 訊息伺服器不是郵件的最後目的地時發生。若不加限制，網際網路 SMTP 訊息伺服器上的「匿名轉送」會是嚴重的安全性弱點，也就是未經同意的廣告郵件寄件者或濫發垃圾郵件者可利用該弱點來隱藏其郵件的來源。因此，會在網際網路面對的訊息伺服器上設下限制，防止轉送到未授權的目的地。

在 Exchange 2007 中，通常是使用公認的網域來處理轉送。公認的網域是在 Edge Transport Server 或 Hub Transport Server 上設定。公認的網域會另外分類為內部轉送網域或外部轉送網域。如需公認的網域的相關資訊，請參閱管理公認的網域。

您也可以依據內送郵件的來源來限制匿名轉送。當未經驗證的應用程式或訊息伺服器必須將 Hub Transport Server 或 Edge Transport Server 當成轉送伺服器時，這個方法很有用。

開始之前

若要執行此程序，必須對您使用的帳戶委派下列項目：

• Exchange Server Administrator role 和目標伺服器的本機 Administrators 群組

若要在已安裝 Edge Transport server role 的電腦上執行下列程序，則必須使用該電腦之本機 Administrators 群組成員的帳戶進行登入。

如需管理 Exchange 2007 所需之權限、委派角色及權利的相關資訊，請參閱權限考量。

建立可將匿名轉送授與特定來源 IP 位址的接收連接器

當您建立設定為允許匿名轉送的接收連接器時，應該在接收連接器上設定下列限制：

• 區域網路設定   限制接收連接器僅接聽 Hub Transport Server 或 Edge Transport Server 上的適當網路介面卡。
• 遠端網路設定   限制接收連接器僅接受來自指定伺服器的連線。這是必要的限制，因為接收連接器將設定為可接受來自匿名使用者的轉送。依 IP 位址限制來源伺服器是此接收連接器唯一允許的防護措施。

若要在接收連接器上授與匿名使用者的轉送權限，您可以使用下列各節所說明的任一策略。每種策略都有其優缺點。

授與匿名連線的轉送權限

此策略包含下列工作：

• 建立使用類型設為 Custom 的新接收連接器。
• 將匿名權限群組新增到接收連接器。
• 將轉送權限指派給接收連接器上的匿名登入安全性主體。

匿名權限群組會將下列權限授與接收連接器上的匿名登入安全性主體。

• Ms-Exch-Accept-Headers-Routing
• Ms-Exch-SMTP-Accept-Any-Sender
• Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
• Ms-Exch-SMTP-Submit

但為了允許此接收連接器上的匿名轉送，您也必須將下列權限授與接收連接器上的匿名登入安全性主體。

• Ms-Exchange-SMTP-Accept-Any-Recipient

此策略的優點是它會授與轉送到指定之遠端 IP 位址所需的最小權限。

此策略的缺點如下：

• 在建立接收連接器後，您只能在不同步驟中使用 Exchange 管理命令介面，將轉送權限指派給接收連接器上的匿名登入帳戶。
• 來自指定 IP 位址的郵件就會視為匿名郵件。因此，郵件不會略過反垃圾郵件檢查、不會略過郵件大小限制檢查，也不會解析匿名寄件者。解析匿名寄件者的程序，可強制在匿名寄件者的電子郵件地址與全域通訊清單中的對應顯示名稱之間進行比對。

  附註：

  如果 Exchange 2007 Service Pack 1 (SP1) 是部署在執行 Windows Server 2008 的電腦上，則可以使用網際網路通訊協定第 4 版 (IPv4) 格式及 (或) 網際網路通訊協定第 6 版 (IPv6) 格式，來輸入 IP 位址及 IP 位址範圍。Windows Server 2008 的預設安裝會啟用對 IPv4 和 IPv6 的支援。 強烈建議您透過設定接收連接器，接受來自未知 IPv6 位址的匿名連線。如果您設定接收連接器接受來自未知 IPv6 位址的匿名連線，則進入組織的垃圾郵件數量可能會增加。目前尚未有受業界廣泛接受的標準通訊協定可用於查詢 IPv6 位址。多數的 IP 封鎖清單提供不支援 IPv6 位址。因此，如果允許來自接收連接器上未知 IPv6 位址的匿名連線，則會讓濫發垃圾郵件者略過 IP 封鎖清單提供者，成功將垃圾郵件傳遞給您的組織的機會增加。 如需針對 IPv6 位址之 Exchange 2007 SP1 支援的相關資訊，請參閱 Exchange 2007 SP1 和 SP2 中的 IPv6 支援。如需連線篩選、如何將 IP 位址新增至 IP 允許清單及 IP 封鎖清單以及如何設定 IP 封鎖清單提供者服務和 IP 允許清單提供者服務的相關資訊，請參閱設定連線篩選。

使用 Exchange 管理主控台建立新的接收連接器，以授與匿名連線的轉送權限

1. 開啟 Exchange 管理主控台。請執行下列其中一個步驟：

   1. 若要在已安裝 Edge Transport server role 的電腦上建立接收連接器，請選取 [邊際傳輸]，然後在工作窗格中按一下 [接收連接器] 索引標籤。
   2. 若要在 Hub Transport server role 上建立接收連接器，請在主控台樹狀目錄中，展開 [伺服器組態]，並選取 [集線傳輸]。在結果窗格中，選取要建立連接器的伺服器，然後按一下 [接收連接器] 索引標籤。

2. 在執行窗格中，按一下 [新增接收連接器]。[新增 SMTP 接收連接器] 精靈便會啟動。

3. 在 [簡介] 頁面上，遵循下列步驟：

   1. 在 [名稱:]欄位中，為此連接器輸入有意義的名稱。此名稱是用來識別連接器。
   2. 在 [選取此連接器的預定用法:] 欄位中，選取 [自訂]。
   3. 按 [下一步]。

4. 在 [區域網路設定] 頁面上，遵循下列步驟：

   1. 選取現有的 [所有可用的] 項目，然後按一下 。
   2. 按一下 [新增]。在 [新增接收連接器繫結] 對話方塊中，選取 [指定 IP 位址]。輸入指派給本機伺服器之網路介面卡的 IP 位址，以便與遠端訊息伺服器進行最佳的通訊。
   3. 在 [區域網路設定] 頁面的 [通訊埠] 欄位中，輸入 25，然後按一下 [確定]。
   4. 按 [下一步]。

5. 在 [遠端網路設定] 頁面上，遵循下列步驟：

   1. 選取現有的 [0.0.0.0 - 255.255.255.255] 項目，然後按一下 。
   2. 按一下 [新增] 或 [新增] 旁邊的下拉箭頭，然後輸入遠端郵件伺服器或可轉送此伺服器之郵件的 IP 位址或 IP 位址範圍。輸入完 IP 位址後，請按一下 [確定]。
   3. 按 [下一步]。

6. 在 [新增連接器] 頁面上，檢閱連接器的組態摘要。若要變更設定，請按 [上一步]。若要使用組態摘要中的設定來建立接收連接器，請按一下 [新增]。

7. 在 [完成] 頁面上，按一下 [完成]。

8. 在工作窗格中，選取您建立的接收連接器。

9. 在執行窗格之接收連接器名稱下按一下 [內容]，以開啟 [內容] 頁面。

10. 按一下 [權限群組] 索引標籤。選取 [匿名使用者]。

11. 按一下 [確定] 以儲存變更並結束 [內容] 頁面。

12. 開啟 Exchange 管理命令介面。

13. 使用您在步驟 1 到 11 中建立的接收連接器名稱來執行下列命令：

    Get-ReceiveConnector "Receive Connector Name" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
    

使用 Exchange 管理命令介面建立新的接收連接器，以授與匿名連線的轉送權限

1. 執行下列命令：

   New-ReceiveConnector -Name <Name> -Usage Custom -PermissionGroups AnonymousUsers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>
   

   例如，若要建立名為「匿名轉送」的新接收連接器，以接聽來源伺服器 (位於 IP 位址 192.168.5.77) 之連接埠 25 的本機 IP 位址 10.2.3.4，請執行下列命令：

   New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -PermissionGroups AnonymousUsers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77
   

2. 使用您在步驟 1 中建立的接收連接器名稱來執行下列命令：

   Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
   

將接收連接器設定為以外部方式保護

此策略包含下列工作：

• 建立使用類型設為 Custom 的新接收連接器。
• 將 ExchangeServers 權限群組新增到接收連接器。
• 在接收連接器中新增 ExternalAuthoritative 驗證機制。

選取 ExternalAuthoritative 驗證機制時，需要 ExchangeServers 權限群組。此驗證方法和權限群組組合可將下列權限授與接收連接器所允許的任何傳入連線：

• Ms-Exch-Accept-Headers-Routing
• Ms-Exch-SMTP-Accept-Any-Sender
• Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
• Ms-Exch-SMTP-Submit
• Ms-Exch-Accept-Exch50
• Ms-Exch-Bypass-Anti-Spam
• Ms-Exch-Bypass-Message-Size-Limit
• Ms-Exch-SMTP-Accept-Any-Recipient
• Ms-Exch-SMTP-Accept-Authentication-Flag

此策略的優點如下：

• 容易設定
• 來自指定 IP 位址的郵件就會視為驗證過的郵件。郵件會略過反垃圾郵件檢查、略過郵件大小限制檢查，也可以解析匿名寄件者。

此策略的缺點是會將遠端 IP 位址視為完全可信任。授與遠端 IP 位址的權限可允許遠端訊息伺服器提交郵件，就像它們來自您 Exchange 組織的內部寄件者一樣。

使用 Exchange 管理主控台，建立設定為以外部方式保護安全的新接收連接器

1. 開啟 Exchange 管理主控台。請執行下列其中一個步驟：

   1. 若要在已安裝 Edge Transport server role 的電腦上建立接收連接器，請選取 [邊際傳輸]，然後在工作窗格中按一下 [接收連接器] 索引標籤。
   2. 若要在 Hub Transport server role 上建立接收連接器，請在主控台樹狀目錄中，展開 [伺服器組態]，並選取 [集線傳輸]。在結果窗格中，選取要建立連接器的伺服器，然後按一下 [接收連接器] 索引標籤。

2. 在執行窗格中，按一下 [新增接收連接器]。[新增 SMTP 接收連接器] 精靈便會啟動。

3. 在 [簡介] 頁面上，遵循下列步驟：

   1. 在 [名稱:]欄位中，為此連接器輸入有意義的名稱。此名稱是用來識別連接器。
   2. 在 [選取此連接器的預定用法:] 欄位中，選取 [自訂]。
   3. 按 [下一步]。

4. 在 [區域網路設定] 頁面上，遵循下列步驟：

   1. 選取現有的 [所有可用的] 項目，然後按一下 。
   2. 按一下 [新增]。在 [新增接收連接器繫結] 對話方塊中，選取 [指定 IP 位址]。輸入指派給本機伺服器之網路介面卡的 IP 位址，以便與遠端訊息伺服器進行最佳的通訊。
   3. 在 [區域網路設定] 頁面的 [通訊埠] 欄位中，輸入 25，然後按一下 [確定]。
   4. 按 [下一步]。

5. 在 [遠端網路設定] 頁面上，遵循下列步驟：

   1. 選取現有的 [0.0.0.0 - 255.255.255.255] 項目，然後按一下 。
   2. 按一下 [新增] 或 [新增] 旁邊的下拉箭頭，然後輸入遠端郵件伺服器或可轉送此伺服器之郵件的 IP 位址或 IP 位址範圍。輸入完 IP 位址後，請按一下 [確定]。
   3. 按 [下一步]。

6. 在 [新增連接器] 頁面上，檢閱連接器的組態摘要。若要變更設定，請按 [上一步]。若要使用組態摘要中的設定來建立接收連接器，請按一下 [新增]。

7. 在 [完成] 頁面上，按一下 [完成]。

8. 在工作窗格中，選取您建立的接收連接器。

9. 在執行窗格之接收連接器名稱下按一下 [內容]，以開啟 [內容] 頁面。

10. 按一下 [權限群組] 索引標籤。選取 [Exchange 伺服器]。

11. 按一下 [驗證] 索引標籤。選取 [以外部方式保護安全 (例如，利用 IPsec)]。

12. 按一下 [確定] 以儲存變更並結束 [內容] 頁面。

使用 Exchange 管理主控台，建立設定為以外部方式保護安全的新接收連接器

• 執行下列命令：

  New-ReceiveConnector -Name <Name> -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>
  

  例如，若要建立名為「匿名轉送」的新接收連接器，以接聽來源伺服器 (位於 IP 位址 192.168.5.77) 之連接埠 25 的本機 IP 位址 10.2.3.4，請執行下列命令：

  New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77
  

相關資訊

如需相關資訊，請參閱下列主題：

• 管理公認的網域
• 接收連接器
• 如何建立新的接收連接器
• 如何修改接收連接器的組態

若要確保您目前閱讀的是最新資訊，並尋找其他的 Exchange Server 2007 說明文件，請造訪 Exchange Server 技術資源中心.