Как настроить почтовый поток Интернета, проходящий через Exchange Hosted Services или внешний шлюз SMTP

 

Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2007-08-28

Данный раздел объясняет, как использовать консоль управления Exchange или командную консоль Exchange для настройки почтового потока Интернета, проходящего через Exchange Hosted Services или внешний шлюз Simple Mail Transfer Protocol (SMTP).

В состав Exchange Hosted Services входят четыре отдельных службы:

  • Служба Hosted Filtering помогает организациям защитить себя от воздействия вредоносных программ, распространяемых посредством электронных писем.

  • Служба Hosted Archive, помогающая организациям выполнять требования по хранению данных

  • Служба Hosted Encryption, помогающая организациям шифровать данные для сохранения конфиденциальности

  • Служба Hosted Continuity, помогающая организациям сохранить доступ к электронной почте во время и после аварийных ситуаций

Эти службы интегрируются с любыми оконечными серверами Exchange, которые управляются на местном уровне, а также с почтовыми службами Hosted Exchange, которые предлагаются через других поставщиков услуг. Более подробно о службах Exchange Hosted Services см. Microsoft Exchange Hosted Services.

В Microsoft Exchange Server 2007, чтобы создать почтовый поток Интернета через службы Exchange Hosted Services или через внешний SMTP-шлюз, следует создать отправляющий соединитель и принимающий соединитель между транспортными серверами-концентраторами в организации Exchange и внешними SMTP-серверами, обрабатывающими и маршрутизирующими почту Интернета.

В данном сценарии можно использовать следующие методы проверки подлинности:

  • Обычная проверка подлинности   Транспортные серверы-концентраторы Exchange 2007 и внешние SMTP-серверы выполняют проверку подлинности, используя обычную процедуру проверки. Необходимы имя пользователя и пароль. Данный метод проверки подлинности недоступен для служб Exchange Hosted Services.

  • Внешняя защита   Сетевое подключение между транспортными серверами-концентраторами и внешними SMTP-серверами защищается с использованием метода, внешнего по отношению к Exchange 2007.

    noteПримечание.
    Настройка принимающего соединителя как защищаемого внешне, без использования метода проверки подлинности с внешней защитой, функционально эквивалентна настройке принимающего соединителя как открытого ретранслятора для внешнего SMTP-сервера. Сообщения исходящие с внешнего SMTP-сервера считаются прошедшими проверку подлинности. Сообщения обходят проверку на нежелательную почту и проверку на соответствие предельному размеру сообщения. Внешнему SMTP-серверу позволяется отправлять сообщения, как если бы он был одним из отправителей внутри данной организации Exchange. Дополнительные сведения см. в разделе Включение анонимной ретрансляции на соединителе приема.
  • Анонимная ретрансляция   Этот метод следует использовать лишь в крайнем случае. Если внешнему SMTP-серверу позволяется анонимно ретранслировать сообщения, используя указанный принимающий соединитель на транспортном сервере-концентраторе, к принимающему соединителю следует применить следующие ниже ограничения.

    • Параметры локальной сети   Если у транспортного сервера-концентратора есть несколько сетевых адаптеров, ограничьте принимающий соединитель ведением прослушивания лишь на том сетевом адаптере, на котором нужно.

    • Настройки удаленной сети. Разрешите соединителю приема принимать подключения только с определенных серверов. Это ограничение является обязательным, поскольку принимающий соединитель настроен на прием ретрансляции от анонимных пользователей. Ограничение исходных серверов по IP-адресу является единственной мерой защиты, которая разрешена на данном соединителе приема.

    Дополнительные сведения см. в разделе Включение анонимной ретрансляции на соединителе приема.

Прежде чем приступить к работе

Для выполнения описанных ниже действий используемой учетной записи необходимо делегировать роль администратора организации Exchange.

Чтобы выполнить следующую процедуру на компьютере, на котором установлена роль пограничного транспортного сервера, необходимо войти в систему от имени учетной записи, входящей в локальную группу администраторов этого компьютера.

Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования Exchange 2007, см. в разделе Вопросы, связанные с разрешениями.

Перед началом данной процедуры проверьте, чтобы выполнялись следующие предварительные условия:

  • При использовании обычной проверки подлинности учетная запись домена, чтобы ее использовать для обычной проверки подлинности, должна существовать в лесу Active Directory. Например, создайте учетную запись пользователя домена, снабженную универсальным именем участника-пользователя (UPN) smtpgateway@fabrikam.com, которая должна использоваться в качестве учетных данных для проверки подлинности SMTP-шлюзом при доставке сообщений электронной почты на серверы Exchange в домене Fabrikam.

  • При использовании обычной проверки подлинности через протокол TLS конечный сервер следует настроить для использования сертификата X.509, содержащего полное доменное имя (FQDN), идентичное полному доменному имени получающего соединителя.

  • При использовании внешней проверки подлинности между транспортным сервером-концентратором и сервером SMTP-шлюза должно существовать доверенное подключение к сети. Это подключение должно быть IPsec-сопоставлением или виртуальной частной сетью. Вместо этого серверы могут находиться в доверительной физически контролируемой сети.

Процедура

Чтобы создать почтовый поток в Интернет и из него через службы Exchange Hosted Services или через внешний SMTP-шлюз, выполните следующие ниже действия.

  1. Чтобы отправить сообщение электронной почты службам Exchange Hosted Services или внешнему SMTP-шлюзу, создайте на транспортном сервере-концентраторе отправляющий соединитель.

  2. Чтобы принять сообщение электронной почты от служб Exchange Hosted Services или внешнего SMTP-шлюза, создайте на транспортном сервере-концентраторе принимающий соединитель. Дополнительный принимающий соединитель необходим только в случае, когда используется внешняя проверка подлинности или анонимная ретрансляция. Если используется обычная проверка подлинности, принимающий соединитель по умолчанию принимает сообщения электронной почты от SMTP-шлюза, прошедшего проверку подлинности.

  3. Настройте внешний сервер SMTP-шлюз, чтобы маршрутизировать и обрабатывать сообщения электронной почты, передаваемые на транспортные серверы-концентраторы и из них.

    noteПримечание.
    Дополнительные сведения о порядке настройки внешнего SMTP-шлюза для маршрутизации и обработки сообщений электронной почты, передаваемых на транспортные серверы-концентраторы и от них, см. в разделе Службы Microsoft Exchange Hosted Services или в документации на соответствующий внешний SMTP-шлюз. Документация на эти процедуры находится за пределами области рассмотрения данного раздела.

Установка почтового потока Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом при помощи обычной проверки подлинности

Нижеследующие действия устанавливают почтовый поток Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом при помощи обычной проверки подлинности. Они не применимы к Exchange Hosted Services.

Использование консоли управления Exchange для установки почтового потока Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом при помощи обычной проверки подлинности

  1. Откройте консоль управления на транспортном сервере-концентраторе. Разверните узел Конфигурация организации, щелкните Транспортный концентратор и затем а области действий щелкните Создать отправляющий соединитель.

  2. В мастере Создание отправляющего SMTP-соединителя на странице Введение в поле Имя введите уникальное имя соединителя.

  3. В раскрывающемся списке Выбор предполагаемой области использования данного соединителя выберите Другое и затем нажмите кнопку Далее.

  4. На странице Адресное пространство нажмите кнопку Добавить. В диалоговом окне Добавить адресное пространство введите "*" для имени удаленного SMTP-домена и затем нажмите кнопку Далее.

  5. На странице Параметры сети доступен только параметр Выполнять маршрутизацию почты через следующие промежуточные узлы.   Нажмите кнопку Add («Добавить»).

  6. В диалоговом окне Добавить промежуточный узел в поле IP-адрес или Полное доменное имя введите IP-адрес или полное доменное имя внешнего сервера SMTP-шлюза и нажмите кнопку ОК. Чтобы задать в качестве промежуточного узла более одного SMTP-шлюза, щелкните Добавить и введите дополнительные IP-адреса или полные доменные имена и затем нажмите кнопку Далее.

  7. На странице Параметры безопасности промежуточного узла выберите параметр Обычная проверка подлинности или Обычная проверка подлинности с использованием TLS, введите имя пользователя и пароль, которые будут использоваться для проверки подлинности подключения, а затем нажмите кнопку Далее.

  8. На странице Исходный сервер нажмите кнопку Добавить. В диалоговом окне Выбор транспортного сервера-концентратора и подписанных пограничных транспортных серверов выберите один или несколько транспортных серверов-концентраторов в организации, нажмите кнопку ОК, а затем нажмите кнопку Далее.

  9. На странице Создание соединителя нажмите кнопку Создать, а затем на странице Завершение нажмите кнопку Готово.

Использование командной консоли Exchange для установки почтового потока Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом при помощи обычной проверки подлинности

  1. Выполните следующую команду:

    $mycred = get-credential
    
  2. В появившемся диалоговом окне введите учетные данные для учетной записи пользователя на внешнем сервере SMTP-шлюза. Введите имя и пароль пользователя . Нажмите кнопку ОК.

  3. Чтобы создать новый отправляющий соединитель, именуемый "ToInternetGateway" и используемый транспортным сервером-концентратором "HubA", который соединяется со внешним SMTP-шлюзом, именуемым "smtpgateway1.contoso.com" при помощи проверки подлинности с использованием внешней защиты, запустите следующую ниже команду:

    New-SendConnector -Name "ToInternetGateway" -AddressSpaces "*" -SmartHosts "smtpgateway1.contoso.com" -SmartHostAuthMechanism BasicAuth,BasicAuthRequireTLS -AuthenticationCredential $mycred -SourceTransportServers "HubA" -DNSRoutingEnabled $false
    

Установка почтового потока Интернета между транспортным сервером-концентратором и службами Exchange Hosted Services или внешним SMTP-шлюзом при помощи проверки подлинности с использованием внешней защиты

Нижеследующие действия устанавливают почтовый поток Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом при помощи проверки подлинности с использованием внешней защиты. Эти действия функционально идентичны действиям по установке почтового потока Интернета между транспортным сервером-концентратором и службами Exchange Hosted Services.

Использование консоли управления Exchange для установки почтового потока Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом при помощи проверки подлинности в использованием внешней защиты

  1. Создайте новый отправляющий соединитель к внешнему SMTP-шлюзу на транспортном сервере-концентраторе, выполнив следующие ниже действия.

    1. Откройте консоль управления Exchange. Разверните узел Конфигурация организации, щелкните Транспортный концентратор и затем а области действий щелкните Создать отправляющий соединитель.

    2. На странице Введение мастера Создание соединителя отправления SMTP в поле Имя введите уникальное имя для этого соединителя. В раскрывающемся списке Выбрать нужное использование этого соединителя выберите значение Внутренний, а затем нажмите кнопку Далее.

    3. На странице Адресное пространство нажмите кнопку Добавить. В диалоговом окне Добавить адресное пространство введите "*" и затем нажмите кнопку Далее.

    4. На странице Параметры сети доступен только параметр Выполнять маршрутизацию почты через следующие промежуточные узлы.   Нажмите кнопку Add («Добавить»).

    5. В диалоговом окне Добавить промежуточный узел в поле IP-адрес или Полное доменное имя введите IP-адрес или полное доменное имя сервера SMTP-шлюза и нажмите кнопку ОК. Чтобы задать в качестве промежуточного узла более одного SMTP-шлюза, щелкните Добавить и введите дополнительные IP-адреса или полные доменные имена и затем нажмите кнопку Далее.

    6. На странице Параметры безопасности промежуточного узла выберите Внешняя проверка (например, с помощью протокола IPsec), а затем нажмите кнопку Далее.

    7. На странице Исходный сервер нажмите кнопку Добавить. В диалоговом окне Выбор транспортного сервера-концентратора и подписанных пограничных транспортных серверов выберите один или несколько транспортных серверов-концентраторов в организации, нажмите кнопку ОК, а затем нажмите кнопку Далее.

    8. На странице Создание соединителя нажмите кнопку Создать, а затем на странице Завершение нажмите кнопку Готово.

  2. Создайте новый принимающий соединитель на транспортном сервере-концентраторе для получения почты от внешнего SMTP-шлюза, выполнив следующие ниже действия.

    1. Откройте консоль управления Exchange. Разверните узел Конфигурация организации, щелкните Транспортный концентратор и затем а области действий щелкните Создать принимающий соединитель.

    2. На странице Введение мастера Создание SMTP-соединителей отправления в поле Имя введите уникальное имя для этого соединителя.

    3. В раскрывающемся списке Выбрать нужное использование этого соединителя выберите значение Внутренний, а затем нажмите кнопку Далее.

    4. На странице Настройки удаленной сети удалите все записи сетевых диапазонов, а затем нажмите кнопку Добавить.

    5. В диалоговом окне Добавить IP-адрес(а) удаленных серверов введите IP-адрес внешнего сервера SMTP-шлюза, нажмите кнопку ОК и затем кнопку Далее.

    6. На странице Создание соединителя нажмите кнопку Создать, а затем на странице Завершение нажмите кнопку Готово.

  3. Измените метод проверки подлинности для только что созданного принимающего соединителя на внешнюю защиту, выполнив следующие ниже действия.

    1. В области задач выберите принимающий соединитель, созданный в пункте 2, а затем на панели действий щелкните Свойства.

    2. Откройте вкладку Проверка подлинности. Снимите флажки Обычная проверка подлинности и Сервер Exchange, выберитеС внешней защитой (например, с IPsec) и затем нажмите кнопку ОК

Использование командной консоли Exchange для установки почтового потока Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом при помощи проверки подлинности с использованием внешней защиты

  1. Чтобы создать новый отправляющий соединитель, именуемый "ToInternetGateway" и используемый транспортным сервером-концентратором "HubA", который настроен на отправку исходящей электронной почты через внешний SMTP-шлюз именуемый "smtpgateway1.contoso.com" при помощи проверки подлинности с использованием внешней защиты, запустите следующую команду:

    New-SendConnector -Name "ToInternetGateway" -Usage Internal  -AddressSpaces "*" -SmartHosts "smtpgateway1.contoso.com" -SmartHostAuthMechanism ExternalAuthoritative -SourceTransportServers "HubA" -DNSRoutingEnabled $false
    
  2. Чтобы создать новый принимающий соединитель на транспортном сервере-концентраторе "HubA", который использует проверку подлинности с использованием внешней защиты для получения почты от внешний SMTP-шлюз, имеющего IP-адрес 192.168.1.10, запустите следующую команду:

    New-ReceiveConnector -Name "FromInternetGateway" -Server HubA -Usage Internal -RemoteIPRanges 192.168.1.10 -AuthMechanism ExternalAuthoritative
    

Установка почтового потока Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом при помощи анонимной ретрансляции

Нижеследующие действия устанавливают почтовый поток Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом при помощи анонимной ретрансляции.

Использование консоли управления Exchange для установки почтового потока Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом при помощи анонимной ретрансляции

  1. Создайте новый отправляющий соединитель к внешнему SMTP-шлюзу на транспортном сервере-концентраторе, выполнив следующие ниже действия.

    1. Откройте консоль управления Exchange. Разверните узел Конфигурация организации, щелкните Транспортный концентратор и затем а области действий щелкните Создать отправляющий соединитель.

    2. На странице Введение мастера Создание соединителя отправления SMTP в поле Имя введите уникальное имя для этого соединителя. В раскрывающемся списке Выбор предполагаемой области использования данного соединителя выберите Внутренний и затем нажмите кнопку Далее.

    3. На странице Адресное пространство нажмите кнопку Добавить. В диалоговом окне Добавить адресное пространство введите "*" и затем нажмите кнопку Далее.

    4. На странице Параметры сети доступен только параметр Выполнять маршрутизацию почты через следующие промежуточные узлы.   Нажмите кнопку Add («Добавить»).

    5. В диалоговом окне Добавить промежуточный узел в поле IP-адрес или Полное доменное имя введите IP-адрес или полное доменное имя сервера SMTP-шлюза и нажмите кнопку ОК. Чтобы задать в качестве промежуточного узла более одного SMTP-шлюза, щелкните Добавить и введите дополнительные IP-адреса или полные доменные имена и затем нажмите кнопку Далее.

    6. На странице Параметры безопасности промежуточного узла выберите Отсутствует, а затем нажмите кнопку Далее.

    7. На странице Исходный сервер нажмите кнопку Добавить. В диалоговом окне Выбор транспортного сервера-концентратора и подписанных пограничных транспортных серверов выберите один или несколько транспортных серверов-концентраторов в организации, нажмите кнопку ОК, а затем нажмите кнопку Далее.

    8. На странице Создание соединителя нажмите кнопку Создать, а затем на странице Завершение нажмите кнопку Готово.

  2. Создайте новый принимающий соединитель на транспортном сервере-концентраторе для получения почты от внешнего SMTP-шлюза, выполнив следующие ниже действия.

    1. Откройте консоль управления Exchange. Разверните узел Конфигурация организации, щелкните Транспортный концентратор и затем а области действий щелкните Создать принимающий соединитель.

    2. На странице Введение мастера Создание SMTP-соединителей отправления в поле Имя введите уникальное имя для этого соединителя.

    3. В раскрывающемся списке Выбор предполагаемой области использования данного соединителя выберите Другое и затем нажмите кнопку Далее.

    4. На странице Параметры локальной сети удалите существующую запись Все доступные, а затем нажмите кнопку Добавить.

    5. В диалоговом окне Добавить привязку получающего соединителя выберите пункт Укажите IP-адрес. Введите IP-адрес, назначенный сетевой плате на локальном сервере, который наилучшим образом подходит для связи с внешним SMTP-сервером. Удостоверьтесь, что в поле Порт указано значение 25, нажмите кнопку ОК, а затем Далее.

    6. На странице Настройки удаленной сети удалите все записи сетевых диапазонов, а затем нажмите кнопку Добавить.

    7. В диалоговом окне Добавить IP-адрес(а) удаленных серверов введите IP-адрес внешнего сервера SMTP-шлюза, нажмите кнопку ОК и затем кнопку Далее.

  3. Добавьте группу разрешений «Анонимные» для только созданного принимающего соединителя, выполнив следующие ниже действия.

    1. В области задач выберите принимающий соединитель, созданный в пункте 2, а затем на панели действий щелкните Свойства.

    2. Откройте вкладку Группы разрешений. Выберите Анонимные пользователи и нажмите кнопку ОК. Нажмите кнопку ОК, чтобы сохранить изменения и закрыть страницу Свойства.

  4. Дайте разрешение на ретрансляцию участнику безопасности «Анонимный вход», для только что измененного принимающего соединителя, выполнив следующие ниже действия.

    1. Откройте командную консоль Exchange.

    2. Выполните следующую команду, используя имя принимающего соединителя, созданного в пункте 2 и измененного в пункте 3:

      Get-ReceiveConnector "Receive Connector Name" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
      

Использование командной консоли Exchange для установки почтового потока Интернета между транспортным сервером-концентратором и внешним SMTP-шлюзом при помощи анонимной ретрансляции

  1. Чтобы создать новый отправляющий соединитель, именуемый "ToInternetGateway" и используемый транспортным сервером-концентратором "HubA", который настроен на отправку исходящей электронной почты через внешний SMTP-шлюз именуемый "smtpgateway1.contoso.com" при помощи анонимной ретрансляции, запустите следующую команду:

    New-SendConnector -Name "ToInternetGateway" -Usage Internet -AddressSpaces "*" -SmartHosts "smtpgateway1.contoso.com" -SmartHostAuthMechanism None -SourceTransportServers "HubA" -DNSRoutingEnabled $false
    
  2. Чтобы создать новый принимающий соединитель, именуемый "FromInternetGateway", на транспортном сервере-концентраторе "HubA", который прослушивает локальный IP-адрес 10.2.3.4 на порте 25 в ожидании анонимных соединений с сервера SMTP-шлюза, расположенного по IP-адресу 192.168.5.77, выполните следующую команду:

    New-ReceiveConnector -Name "FromInternetGateway" -Server HubA -Usage Custom -PermissionGroups AnonymousUsers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77
    
  3. Чтобы дать разрешение на ретрансляцию участнику безопасности «Анонимный вход», для принимающего соединителя, созданного в пункте 2, выполните следующую команду:

    Get-ReceiveConnector "FromInternetGateway" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
    

Дополнительные сведения

Для получения дополнительных сведений см. следующие разделы: