如何在 Exchange 2007 使用 TLS 驗證並利用協力廠商電子郵件來傳送和接收郵件

 

適用版本： Exchange Server 2007 SP3

上次修改主題的時間： 2009-09-29

本主題描述如何使用傳輸層安全性 (TLS) 驗證搭配 Microsoft Exchange Server 2007，透過協力廠商電子郵件程式來傳送和接受電子郵件。

利用 TLS 通訊協定，您可以協助改進 Exchange 2007 中 SMTP 通訊的安全性。TLS 是一種標準的通訊協定，可用來在網際網路或內部網路上提供安全的 Web 通訊。TLS 可讓用戶端驗證伺服器，或選擇性地讓伺服器驗證用戶端。它也藉由加密通訊，提供了安全的通道。TLS 是最新版本的安全通訊端層 (SSL) 通訊協定。

TLS over SMTP 可以提供憑證式驗證，並且利用對稱式加密金鑰來協助提供加強安全性的資料傳輸。在對稱式金鑰加密 (也稱為「共用密碼」加密) 中，會使用相同的金鑰來加密及解密訊息。TLS 會套用雜湊式訊息驗證碼 (HMAC)。HMAC 會使用雜湊演算法與共用密碼金鑰，以協助確保在傳輸期間資料不會變更。共用密碼金鑰會附加到要進行雜湊的資料上。這有助於改進雜湊的安全性，因為這兩部分必須具有相同的共用密碼金鑰，才能驗證資料是真實的。

在舊版 Exchange 中，您必須手動設定 TLS。此外，您必須在 Exchange 伺服器上安裝適用於 TLS 的有效憑證。在 Exchange 2007 中，安裝程式會建立自行簽署憑證。預設會啟用 TLS。這可讓任何傳送系統將傳入 SMTP 工作階段加密至 Exchange。依據預設，Exchange 2007 也會針對所有遠端連線嘗試 TLS。

若要使用 TLS 將電子郵件傳送到協力廠商電子郵件程式，必須設定傳送連接器。傳送連接器是在執行 Exchange 2007 且已安裝 Hub Transport 或 Edge Transport server role 的電腦上設定。傳送連接器代表一個邏輯閘道，外寄郵件就是透過這個閘道傳送出去。

若要使用 TLS 將電子郵件傳送到協力廠商電子郵件程式，必須設定接收連接器。接收連接器是在執行 Exchange 2007 且已安裝 Hub Transport 或 Edge Transport server role 的電腦上設定。接收連接器代表接收所有輸入郵件所經過的邏輯閘道。

使用 TLS 將電子郵件傳送到協力廠商電子郵件程式

1. 啟動 Exchange 管理主控台。

2. 請執行下列其中一個步驟：

   • 在已安裝 Edge Transport server role 的電腦上，選取 [邊際傳輸]，然後再按一下 [傳送連接器] 索引標籤。
   • 若要在 Hub Transport server role 上建立傳送連接器，請在主控台樹狀目錄中，展開 [組織組態]，選取 [集線傳輸]，然後按一下 [傳送連接器] 索引標籤。

3. 在執行窗格中，按一下 [新增傳送連接器]。[新增 SMTP 傳送連接器精靈] 即會啟動。

4. 在 [簡介] 頁面上的 [名稱] 欄位中為連接器輸入一個有意義的名稱。此名稱是用來識別連接器。

5. 在 [選取此連接器的預定用法] 清單中，先按一下 [自訂]，然後再按 [下一步]。

6. 在 [位址空間] 頁面上，按一下 [新增]。

7. 在 [SMTP 位址空間] 對話方塊中，輸入協力廠商電子郵件伺服器的外部網域。例如，對於 contoso.com 網域請輸入 *.contoso.com。

8. 按一下 [確定]，然後按 [下一步]。

9. 在 [網路設定] 頁面上，按一下 [使用網域名稱系統 (DNS) "MX" 記錄來自動路由傳送郵件]，然後按 [下一步]。或者，按一下 [透過下列智慧主機路由傳送所有郵件]，然後遵循下列步驟：

   1. 按一下 [新增]。
   2. 在 [新增智慧主機] 對話方塊中，選取 [IP 位址] 或 [網域全名 (FQDN)]，以指定如何尋找智慧主機。如果選取 [IP 位址]，請輸入智慧主機的 IP 位址。如果選取 [網域全名 (FQDN)]，請輸入智慧主機的 FQDN。傳送伺服器必須能夠解析 FQDN。
   3. 完成後，請按一下 [確定]。
   4. 若要更多個智慧主機，請按一下 [新增] 然後重複步驟 b 及 c。
   5. 若要編輯智慧主機的設定，請選取智慧主機，然後按一下 [編輯]。
   6. 若要移除現有的智慧主機，請選取智慧主機，然後按一下 。
   7. 完成後，請按 [下一步]。
   8. 在 [智慧主機安全性設定] 頁面上，選取 [透過 TLS 的基本驗證]，然後按 [下一步]。

10. 您目前正在使用的 Hub Transport Server，預設會列為 [來源伺服器] 頁面上的來源伺服器之一。若要新增來源伺服器，請按一下 [新增]。在 [選取 Hub Transport Server 及 Edge 訂閱] 對話方塊中，選取 Hub Transport Server 或已訂閱的 Edge Transport Server，作為傳送郵件至您在步驟 7 中所提供之位址空間的來源伺服器。來源伺服器的清單中可包含所有 Hub Transport Server 或所有已訂閱的 Edge Transport Server，但不可同時包含兩者。完成新增其他的來源伺服器時，請按一下 [確定]。

    若要更多個來源伺服器，請按一下 [新增] 然後重複此步驟。

    若要移除現有的來源伺服器，請選取來源伺服器，然後按一下 。

    完成後，請按 [下一步]。

11. 在 [新增連接器] 頁面上，檢閱連接器的組態摘要。若要變更設定，請按 [上一步]。若要使用組態摘要中的設定來建立傳送連接器，請按一下 [新增]。

12. 在 [完成] 頁面上，按一下 [完成]。

13. 部分協力廠商程式，如 Gentoo Linux，不需要進行其他設定。測試連線。如果無法完成連線，請遵循下列步驟進行：

    1. 在工作窗格中，於您建立的連接器上按一下滑鼠右鍵，然後按一下 [內容]。
    2. 在 [網路] 索引標籤上，按一下以選取 [啟用網域安全性 (相互驗證 TLS)] 核取方塊，然後再按一下 [確定]。
    3. 關閉 Exchange 管理主控台。
    4. 重新啟動 Microsoft Exchange Transport 服務。

使用 TLS 從協力廠商電子郵件程式來接收電子郵件

1. 啟動 Exchange 管理主控台。

2. 請執行下列其中一個步驟：

   1. 在已安裝 Edge Transport server role 的電腦上，選取 [邊際傳輸]，然後在工作窗格中按一下 [接收連接器] 索引標籤。
   2. 若要在 Hub Transport server role 上建立接收連接器，請在主控台樹狀目錄中，展開 [伺服器組態]，然後按一下 [集線傳輸]。在結果窗格中，選取要建立連接器的伺服器，然後按一下 [接收連接器] 索引標籤。

3. 在執行窗格中，按一下 [新增接收連接器]。[新增 SMTP 接收連接器精靈] 便會啟動。

4. 在 [簡介] 頁面上的 [名稱] 欄位中為連接器輸入一個有意義的名稱。此名稱是用來識別連接器。

5. 在 [選取此連接器的預定用法] 清單中，先按一下 [自訂]，然後再按 [下一步]。

6. 在 [區域網路設定] 頁面上，按一下 [新增]。

7. 在 [新增接收連接器繫結] 對話方塊中，選取下列其中一個選項：

   • 使用此伺服器可用的所有 IP 位址   如果選取這個選項，則連接器會接聽所有指派給本機伺服器上網路介面卡的 IP 位址的連線。
   • 指定 IP 位址   如果選取此選項，必須輸入指派給本機伺服器上之網路介面卡的 IP 位址。連接器只會在您提供的 IP 位址上接聽連線。

     附註：
     您必須指定接收連接器所在之 Hub Transport Server 或 Edge Transport Server 的有效本機 IP 位址。如果指定無效的本機 IP 位址，則在重新啟動服務時，Exchange Transport 服務可能無法啟動。

8. 在 [本機網路設定] 頁面上的 [通訊埠] 欄位中輸入通訊埠號碼，然後按一下 [確定]。若要對這個連接器新增多個本機 IP 位址，請按一下 [新增] 並重複這個步驟。若要變更前一個項目，請先選取此項目，然後再按一下 [編輯]。若要移除現有的項目，請選取項目，然後按一下。

9. 在 [區域網路設定] 頁面的 [指定此連接器為了回應 HELO 或 EHLO 所將提供的 FQDN] 欄位中，輸入回應 SMTP HELO 或 EHLO 動詞時所通告的名稱。如果將這個欄位空白，則會在建立連接器時，自動新增 Hub Transport Server 或 Edge Transport Server 的網域全名 (FQDN)。按 [下一步]。

10. 在 [遠端網路設定] 頁面上，輸入遠端伺服器的 IP 位址或 IP 位址範圍，而連接器會接受來自這些協力廠商程式的傳入連線。若要新增遠端 IP 位址或遠端 IP 位址範圍，可以使用下列其中一個方法：

    • 若要輸入 IP 位址或不含子網路遮罩的子網路，或使用無類別網域間路由選擇 (CIDR) 表示法指定子網路遮罩，請按一下 [新增]，或按一下位於 [新增] 旁邊的下拉式箭頭，並選取 [IP 位址]。在 [新增遠端伺服器的 IP 位址] 對話方塊中，使用下列其中一種方法輸入 IP 位址：
      沒有子網路遮罩的 IP 位址   例如，輸入 192.168.1.0。如果不是使用 CIDR 表示法指定子網路遮罩，則會假設使用具類別的預設子網路遮罩。
      使用 CIDR 表示法的 IP 位址   例如，輸入 192.168.1.0/24。
    • 若要以點式十進位表示法輸入 IP 位址或具有子網路遮罩的子網路，請按一下位於 [新增] 旁邊的下拉式箭頭，然後按一下 [IP 與遮罩]。在 [新增遠端伺服器 - IP 與遮罩] 對話方塊中，使用下列語法，輸入 IP 位址和子網路遮罩：
      IP 位址   例如，輸入 192.168.1.0。
      子網路遮罩   例如，輸入 255.255.255.0。
    • 若要利用範圍中的第一個 IP 位址及最後一個 IP 位址指定 IP 位址範圍，請按一下位於 [新增] 旁邊的下拉式箭頭，然後按一下 [IP 範圍]。在 [新增遠端伺服器 - IP 範圍] 對話方塊中，使用下列語法輸入 IP 位址：
      開始位址   例如，輸入 192.168.1.1。
      結束位址   例如，輸入 192.168.255.255。
      因為無法指定子網路遮罩，所以會假設使用具類別的預設子網路遮罩。

    完成後，請按一下 [確定]。若要將多個遠端網域範圍新增至此連接器，請按一下 [新增] 並重複此步驟。若要變更先前的項目，請選取項目，然後按一下 [編輯]。若要移除現有的項目，請選取項目，然後按一下。

11. 完成後，請按 [下一步]。

12. 在 [新增連接器] 頁面上，檢閱連接器的組態摘要。若要變更設定，請按 [上一步]。若要使用組態摘要中的設定來建立接收連接器，請按一下 [新增]。

13. 在 [完成] 頁面上，按一下 [完成]。

14. 在工作窗格中，於您建立的連接器上按一下滑鼠右鍵，然後按一下 [內容]。

15. 在 [驗證] 索引標籤上，如果下列其中一種情況為真，請按一下以選取 [啟用網域安全性 (相互驗證 TLS)] 核取方塊：

    • 傳送伺服器和接收伺服器同時使用來自信任憑證發行者的公用憑證。
    • 傳送伺服器和接收伺服器同時使用自行發出的憑證，且彼此的根憑證都已安裝作為信任的根憑證。

16. 在 [權限群組] 索引標籤上，按一下以選取 [匿名使用者] 核取方塊，然後再按一下 [確定]。

17. 關閉 Exchange 管理主控台。

18. 啟動 Exchange 管理命令介面。

19. 執行下列指令程式：

    Set-ReceiveConnector  -identity  <ReceiveConnectorIdParameter> -RequireTLS $true -AuthenticationMechanism TLS
    

20. 如果下列其中一種狀況為真：

    • 傳送伺服器和接收伺服器同時使用來自信任憑證發行者的公用憑證。
    • 傳送伺服器和接收伺服器同時使用自行發出的憑證，且彼此的根憑證都已安裝作為信任的根憑證。

    執行下列指令程式：

    Set-TransportConfig -TLSReceiveDomainSecureList <remotedomain>.com, <remotedomain>.net 
    

21. 重新啟動 Microsoft Exchange Transport 服務。

相關資訊

如需傳送連接器的相關資訊，請參閱傳送連接器及如何建立新的傳送連接器主題。

如需接收連接器的相關資訊，請參閱接收連接器及如何建立新的接收連接器主題。

如需 Set-ReceiveConnector 指令程式的相關資訊，請參閱 Set-ReceiveConnector 主題。

如需 Set-TransportConfig 指令程式的相關資訊，請參閱 Set-TransportConfig 主題。

如需如何搭配使用傳輸層安全性 (TLS) 通訊協定和 Exchange 2007 的相關資訊，請參閱下列主題：

• Exchange 2007 中的 TLS 功能及相關術語
• SMTP TLS 憑證選擇
• Exchange 2007 Server 中的憑證使用
• 建立 TLS 的憑證或憑證要求
• 如何設定網域安全性的相互 TLS

若要確保您目前閱讀的是最新資訊，並尋找其他的 Exchange Server 2007 說明文件，請造訪 Exchange Server 技術資源中心.