我们正在将中继从 Exchange 2003 服务器移至 Exchange 2010 服务器。我希望“授予或拒绝特定用户或组的中继权限”选项仍以某种形式可用,但我不知道该怎么做。我已经阅读了接收连接器,但到目前为止我无法让它工作。我已编辑接收连接器上的安全性以允许该组具有以下扩展权限,并将计算机帐户添加到该组:
- 接受路由标头
- 绕过反垃圾邮件
- 提交至服务器
- 接受任何发件人
- 接受任何收件人
然后我在测试时突然意识到......接收连接器如何解析特定 AD 对象的权限,也许是反向 DNS 查找?我想知道的是我想要实现的目标是否有可能,以及如何实现。
我宁愿不恢复到基于 IP 的列表,因为这不太容易管理,并且我试图避免为一些原本不需要它们的工作站创建静态 IP/预留。
答案1
根据您对@Noor 的回答我怀疑您正在寻找的是:
- 使给定计算机的 AD 帐户成为某个“允许中继”组的成员
- 由于计算机的 AD 帐户的组成员身份,让该计算机上运行的程序能够通过 Exchange 中继 SMTP
如果这就是你想要的,那就没有办法了除非给定计算机上的所有 SMTP 客户端都能够使用该计算机的 AD 计算机帐户向 Exchange 进行身份验证。大多数 SMTP 客户端都不能(事实上,我想不出有哪个客户端可以)。传入 Exchange 的 SMTP 连接的源 IP 地址不会导致任何身份验证发生,也不会构建 Exchange 可以查询组成员身份的安全令牌。IP 地址和安全主体是正交的。
更好的方法是生成服务凭证(以您喜欢的任何账户粒度——我倾向于每个 SMTP 客户端一个),并授予那些凭据权限来进行中继。然后,您可以配置每个 SMTP 客户端进行身份验证,并且将根据凭据允许中继。
答案2
您可以使用 PowerShell 编辑额外的安全设置,但无法使用 GUI 编辑这些设置,您可以使用此 PowerShell 命令告诉 Exchange 谁应该使用连接器:
- Get-ReceiveConnector “接收连接器名称” | Add-ADPermission -User “帐户/组名称”
举个例子,我通常使用此命令来允许匿名访问连接器:
- Get-ReceiveConnector “接收连接器名称”| Add-ADPermission -User “NT AUTHORITY\ANONYMOUS LOGON” -ExtendedRights “ms-Exch-SMTP-Accept-Any-Recipient”
更多信息可以在这里找到:http://help.globalscape.com/help/me3/configuring_authenticated_access_to_exchange.htm