我很难弄清楚 Exchange 2010 中的接收连接器,我很不幸地继承了它。
我读过很多文章和书籍,但没有一篇能够清晰地呈现我需要的信息,而且有些文章是相互矛盾的,这是意料之中的,但却并没有让事情变得更容易。
一起问这些问题的原因是,其中一些问题会影响其他问题,而如果单独问这些问题,可能无法清楚地表明我需要完成什么。
我的 Exchange 服务器是面向互联网的 Hub 角色。它与外部之间没有边界或过滤器。
我最近实施了拆分 DNS,我想知道是否应该将“服务器”和“Fqdn”属性更改为我的邮件服务器的公共 DNS 名称,如“mail.domain.com”。
“名称”属性仅仅是 Exchange 管理控制台中显示的连接器的标签。
“Identity”属性与 GUID 相关。同样,它当前显示为 \<“Name”属性>。问题是我是否可以将其更改为我的邮件服务器的公共 DNS 名称“mail.domain.com”。
我需要知道 DistinguishedName 属性是否可以或者也应该改变。
我现有的一些连接器的“DistinguishedName”属性值为“CN=,CN=SMTP Receive Connectors,CN=Protocols,CN=,CN=Servers,CN=Exchange Administrative Group,(...),CN=Administrative Groups,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=,DC=”。我知道有一次从 Exchange 2003 进行了迁移,但并没有清理干净。我需要知道是否可以简单地删除具有该值的连接器,或者是否需要用其他连接器替换它们。
据我了解,“默认”连接器通过端口 25 从任何 IP(0.0.0.0-255.255.255.255)接收来自互联网的电子邮件。
我需要了解 AuthMechanism、RequireTLS 和 PermissionGroups 之间的关系,以及 RequireTLS 适用的地方,因为我不想通过强制 TLS 来丢失电子邮件。
我想配置 TLS。我需要了解“机会主义”和“相互主义”的适用范围,比如我是否将其用于互联网和内部,还是仅用于互联网。
我想了解应该为“AuthMechanism”属性设置哪些值,以及为什么,因为我想配置 TLS。
据我所知,我认为我的内部应用程序需要单独的连接器。我需要知道这是否属实,以及如何配置它。
我有多功能打印机,可以通过电子邮件发送扫描件,我认为它也需要单独的连接器,我需要知道如何配置它。
我有第三方需要使用我的 DNS 名称和 IP 发送电子邮件,我认为这被称为“中继”。我需要知道这是否正确,以及如何配置它。
那些没有提供关于如何完成我上面列出的内容的具体说明的文章链接是没有帮助的。
对于这些连接器如何满足我的特定需求的解释非常有帮助,我非常感谢您的帮助。
答案1
I recently implemented split DNS, and I want to know if the "Server" and "Fqdn" attributes should be changed to the public DNS name for my mail server, as in "mail.domain.com".
您最可能想要做的是从几个连接器开始。将您的客户端分类如下,例如:
- 内部 MAPI 客户端 ( Outlook )
- 外部 SMTP 客户端(其他 MTA/邮件服务器)
- 内部设备(打印机?可能使用/不使用身份验证)
这将为您提供 3 个接收连接器。Outlook 客户端应限制为端口 585 和 587。您可以使用(所有可用 IPv4)选项来过滤它们,前提是您不会将客户端提交端口暴露给公共互联网。如果您愿意,您还可以将其限制为 Exchange 服务器的内部 IP 地址。
Some of my existing connectors have a value for the "DistinguishedName" attribute which reads "CN=,CN=SMTP Receive Connectors,CN=Protocols,CN=,CN=Servers,CN=Exchange Administrative Group,(...),CN=Administrative Groups,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=,DC=". I know that at one point a migration was done from Exchange 2003, and that it was not cleaned up, so to speak. I need to know if I can simply remove connectors with that value, or whether they need to be replaced with other ones.
The "Default" connector, as I understand it, receives email from the internet on port 25 from any IP (0.0.0.0-255.255.255.255).
正确。您可以保留该范围“原样”。
I need to understand how AuthMechanism, RequireTLS and PermissionGroups relate to each other, and where RequireTLS is appropriate, as in I don't want to lose email by forcing TLS.
AuthMechanism 配置可用于身份验证的方法。Exchange Server 身份验证在两个 Exchange Server 之间进行。基本身份验证或多或少是标准的,但对于外部源,您需要在启动 TLS 后仅提供基本身份验证。否则,如果您的客户端使用 SMTP 从网络外部发送电子邮件,您将使用纯文本通过互联网发送您的用户名和密码。
集成 Windows 身份验证使用内置(惊喜!)Windows 身份验证 - 例如,您是否在工作站上登录到 Active Directory 域?然后集成 Windows 身份验证将使用这些凭据,而无需在 Outlook 设置中包含密码。最适合用于内部客户端,不包括设备。
I want to configure TLS. I need to understand where "opportunistic" vs "mutual" applies, as in do I use it for both internet and internal, or only internet.
机会主义意味着如果可用或被请求,您将使用 TLS。相互意味着您需要在两台服务器上安装受信任的(由受信任的根 CA 颁发的)证书。可能不是您想要的。许多电子邮件服务器使用自签名证书,只请求 TLS,但不请求客户端证书。
I want to understand which values should be set for the "AuthMechanism" attribute, and why, given that I want to configure TLS.
- Outlook 客户端的内部连接器:TLS 机会型、基本身份验证、仅提供带有 TLS 的基本身份验证、集成 Windows 身份验证(仅当您在 Windows 环境中时才使用集成 Windows 身份验证)、权限组(Exchange 用户 - 需要身份验证才能发送)
设备的内部连接器:我通常允许 SMTP(绑定到端口 25)(内部 IP 地址),将“远程服务器”限制到内部子网,提供基本身份验证(无 TLS),在机会中提供 TLS,权限组(匿名)以允许设备无需帐户即可发送。
据我所知,我认为我的内部应用程序需要单独的连接器。我需要知道这是否属实,以及如何配置它。
嗯,这取决于你如何将它们区分开来。如果你需要为某个应用程序使用特定的连接器,你需要能够通过 IP 地址、身份验证类型和加密要求来识别它。
I have a third party who needs to send email using my DNS name and IP, which I think is called "relay". I need to know if that is correct, and how to configure it.
控制中继安全性是一个完全不同的问题...首先让上述内容按您想要的方式运行,然后再跟进。如果您想了解这些内容的含义,您需要阅读一本关于 Exchange 的书,而不仅仅是一个简单的教程。您还必须阅读一些 RFC。
答案2
好的,试一下这个,看看是否有帮助。
2) 不要弄乱身份。这是活动目录属性,并且基本上是 Exchange 内部的。不要管它,它不会影响服务器的运行。名称基于服务器已知的名称和 GUID。
3) 不要管 DistinguishedName。DN 是 LDAP 属性,用于唯一标识目录中的对象(在本例中为 Active Directory)。
4) 好的,我会尝试一次禁用一个连接器,或者检查它们的状态是否为“已启用”,如果它们已禁用,则删除它们。名称并不像设置那么重要。如果您担心可能会忽略某些内容,您可以启用该连接器上的协议日志记录,然后检查日志以查看连接器是否处于活动状态。
5) 好的,AuthMechanism 是可接受的身份验证方式的列表。您只能使用 Windows 登录吗?在包含 Mac 或 Linux 的环境中,情况不太好。您可以使用基本身份验证登录吗?(纯文本)最好不要单独使用,即使是在内部使用。只能作为最后的手段。
我建议制作两个几乎相同的外部连接器,并在其中一个上设置需要 TLS,而将另一个设置为关闭。在没有 TLS 的情况下启用连接器上的协议日志记录并监视它以查看正在通过的邮件。我怀疑现在生产中很少有邮件服务器不支持 TLS。如果是这样,您可能会让第三方阅读您的电子邮件,以防止遗留系统丢失电子邮件。在我的邮件服务器上,我始终需要 TLS(机会性)。我唯一看到错误的时候是当有人试图暴力破解密码时,所以我阻止了试图在防火墙上使用纯文本身份验证的服务器,我没有错过任何电子邮件。谨慎行事,您应该可以要求这样做。
属性对话框中“身份验证”选项卡下的“传输层安全性 (TLS)”部分对应于机会性 TLS。其下方缩进的“相互身份验证”复选框即为相互身份验证 TLS。
权限组与身份验证相关,通过指定谁被允许使用指定的身份验证机制登录。
- 伙伴表示其他邮件服务器
- Exchange 用户表示在 Exchange 服务器上有邮箱的帐户
- Exchange 服务器适用于其他 Exchange 服务器 - 通常位于使用服务器作为边缘传输的环境内
- 匿名用户意味着无需验证
- 旧版 Exchange 服务器适用于旧版 Exchange
6) 你已经接近了。TLS 是传输层安全性。这样想吧。TLS 就像电影里的加密电话线。你可以用加密线路给总部打电话,没有人可以监听,但如果没有当天的密码(身份验证),总部仍然不会和你说话。如果可能的话,你会希望你的内部客户端使用机会性 TLS。始终使用 TLS,这是底线。不使用相互身份验证会让某人假装成其他人,但我假设你已经安装了某种垃圾邮件过滤器。
7)看一下帖子开头的图片,看看它是否能帮助你理清这个问题。
8)您可以使用特定于发送邮件的服务器(应用程序所在的服务器)的应用程序连接器,方法是使用网络选项卡进行过滤。然后,您可以根据应用程序的功能配置身份验证和权限组。您可以过滤单个组,设置机会性 TLS,并启用匿名用户,您的服务器将接受来自该服务器的所有没有用户名和密码的邮件。我建议配置一个被拒绝本地登录权限的活动目录用户,并创建一个拒绝所有邮件的邮箱,以允许使用 Exchange 用户权限组,以便您使用用户名和密码对应用程序进行身份验证(如果可能)。始终使用 TLS。如果它是机会性的,它应该请求而不是要求。
9)看一下开头的图片
10) 是的,这叫做中继。我建议对第三方做与应用程序相同的事情。为他们的服务器创建一个接收连接器,然后给他们一个用户名和密码来发送邮件。这是假设他们从您的域发送电子邮件。如果您确实要为其他域中继邮件,请确保在执行此操作之前需要用户名和密码。