分类: 架构设计与优化
2017-11-02 16:30:51
关于 2013的接收连接器属性中,有两个属性比较难理解,一个是:Authentication,另一个是:Permission Groups如下图所示:下面我们来探讨一下这两个属性的作用;
如果把Exchange的接收连接器当成一个对象的话,那么Permission Groups这个属性主要是为这个对象赋予相关的权限,如传递邮件的权限,中继邮件的权限。详细的权限列表可以参考下列表:
Permission Group权限表:
|
Permission group |
Associated security principals |
Permissions granted |
|
Anonymous users (Anonymous) |
NT AUTHORITY\ANONYMOUS LOGON |
ms-Exch-Accept-Headers-Routing ms-Exch-SMTP-Accept-Any-Sender ms-Exch-SMTP-Accept-Authoritative-Domain-Sender ms-Exch-SMTP-Submit |
|
Exchange users (ExchangeUsers) |
NT AUTHORITY\Authenticated Users |
ms-Exch-Accept-Headers-Routing ms-Exch-Bypass-Anti-Spam ms-Exch-SMTP-Accept-Any-Recipient ms-Exch-SMTP-Submit |
|
Exchange servers (ExchangeServers) |
MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers Note: These security principals also have other internal permissions assigned to them. For more information, see the end of the Receive connector permissions section. |
ms-Exch-Accept-Headers-Forest ms-Exch-Accept-Headers-Organization ms-Exch-Accept-Headers-Routing ms-Exch-Bypass-Anti-Spam ms-Exch-Bypass-Message-Size-Limit ms-Exch-SMTP-Accept-Any-Recipient ms-Exch-SMTP-Accept-Any-Sender ms-Exch-SMTP-Accept-Authentication-Flag ms-Exch-SMTP-Accept-Authoritative-Domain-Sender ms-Exch-SMTP-Accept-Exch50 ms-Exch-SMTP-Submit |
|
Legacy Exchange servers (ExchangeLegacyServers) |
|
ms-Exch-Accept-Headers-Routing ms-Exch-Bypass-Anti-Spam ms-Exch-Bypass-Message-Size-Limit ms-Exch-SMTP-Accept-Any-Recipient ms-Exch-SMTP-Accept-Any-Sender ms-Exch-SMTP-Accept-Authentication-Flag ms-Exch-SMTP-Accept-Authoritative-Domain-Sender ms-Exch-SMTP-Accept-Exch50 ms-Exch-SMTP-Submit |
|
Partners (Partner) |
MS Exchange\Partner Servers |
ms-Exch-Accept-Headers-Routing ms-Exch-SMTP-Submit |
针对每一个权限组,都有相应的权限赋予它,我们应该根据这个接收连接器的作用,来选择勾选相应的权限组。每个权限组的作用可以做以下简单描述:
如:
Anonymous users (Anonymous):主要针对于外部的未授权用户;
Exchange users (ExchangeUsers):主要针对内部的授权用户;
Exchange servers (ExchangeServers):这个主要针对于服务器之间的传递,像在Exchange 2013中前端后服务器和后端服务器之间也是有邮件传递,像“Default 后端服务器名称”这个接收连接器就要勾选这一个权限组,因为这个接收连接器会接收来自于前端服务器的邮件请求;
Legacy Exchange servers (ExchangeLegacyServers):这个连接器应该是考虑到了与之前版本服务器的共存情况;
Partners (Partner):这个应该与阻止存在合作伙伴关系公司之间的交流的;
由于这些权限组都被赋予了一定的权限,而它所包含的权限决定了他的主要功能,关于这些权限的描述解释,您可以参照以下表格:
|
接收连接器权限 |
描述 |
|
ms-Exch-SMTP-Submit |
必须为会话授予此权限,否则会话无法将邮件提交给此接收连接器。如果会话不具备此权限,则 MAIL FROM 和 AUTH 命令将失败。 |
|
ms-Exch-SMTP-Accept-Any-Recipient |
此权限允许会话通过此连接器中继邮件。如果未授予此权限,则此连接器仅接受发送给所接受域中收件人的邮件。 |
|
ms-Exch-SMTP-Accept-Any-Sender |
此权限允许会话绕过发件人地址欺骗检查。 |
|
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
此权限允许电子邮件地址位于权威域中的发件人与该接收连接器建立会话。 |
|
ms-Exch-SMTP-Accept-Authentication-Flag |
此权限允许 Exchange 2003 服务器提交来自内部发件人的邮件。Exchange 2010 将这些邮件视为内部邮件。发件人可以声明这些邮件为受信任的邮件。通过匿名提交而进入 Exchange 系统的邮件将通过 Exchange 组织进行中继,但此标志处于不受信任的状态。 |
|
ms-Exch-Accept-Headers-Routing |
此权限允许会话提交收到的所有标头均完整无缺的邮件。如果未授予该权限,则服务器将去除所有接收的标头。 |
|
ms-Exch-Accept-Headers-Organization |
此权限允许会话提交所有组织标头均完整无缺的邮件。组织标头均以 X-MS-Exchange-Organization- 作为开头。如果未授予该权限,则接收服务器将去除所有组织标头。 |
|
ms-Exch-Accept-Headers-Forest |
此权限允许会话提交所有林标头均完整无缺的邮件。林头全部以 X-MS-Exchange-Forest- 作为开头。如果未授予该权限,则接收服务器将去除所有林头。 |
|
ms-Exch-Accept-Exch50 |
此权限允许会话提交含有 XEXCH50 命令的邮件。与 Exchange 2003 互操作时,需要使用此命令。XEXCH50 命令可为邮件提供诸如垃圾邮件可信度 (SCL) 等数据。 |
|
ms-Exch-Bypass-Message-Size-Limit |
此权限允许会话提交大小超过为连接器配置的邮件大小限制的邮件。 |
|
Ms-Exch-Bypass-Anti-Spam |
此权限允许会话绕过反垃圾邮件筛选。 |
为接收连接器设置好权限之后,那么接收连接器就具备了工作的能力,但是在工作过程中是否安全呢?所以就要加上身份验证机制的问题,如下表格所示:
|
身份验证机制 |
描述 |
|
无 |
无需身份验证。 |
|
TLS |
公布 STARTTLS。要求提供服务器证书以提供 TLS。 |
|
集成 |
NTLM 和 Kerberos(集成的 Windows 身份验证)。 |
|
BasicAuth |
基本身份验证。需要在登录时进行身份验证。 |
|
BasicAuthRequireTLS |
基于 TLS 的基本身份验证。需要服务器证书。 |
|
ExchangeServer |
Exchange Server 身份验证(通用安全服务应用程序编程接口 (GSSAPI) 和相互 GSSAPI)。 |
|
ExternalAuthoritative |
该连接因使用 Exchange 外部安全机制而被视为外部安全连接。该连接可能是 Internet 协议安全性 (IPsec) 关联或虚拟专用网络 (VPN)。或者,服务器可能驻留在受信任的物理控制网络中。ExternalAuthoritative 身份验证方法需要 ExchangeServers 权限组。这种将身份验证方法与安全组结合使用的做法,允许对通过该连接器接收的邮件的匿名发件人电子邮件地址进行解析。 |
