none
exchange server 2019邮件流接受连接器中的安全性如何设置? RRS feed

  • 问题

  • 您好,

        exchnge server 2019 ECP web管理界面中邮件流----->接受连接器--------->"client Frontend"及"Default Frontend"中的安全性如何设置?   比如匿名用户是否要勾选,身份验证如何设置?

    请问client frontend、default frontend 这些接受连接器的安全性应该如何正确设置?是否可以勾选“匿名”

    如何正确配置匿名中继?




    2021年3月3日 3:34

全部回复

  • 您好,

    关于这些默认接收连接器的安全性设置,您可以参考下面官方链接中的表格,对照表格查看各个连接器对应的Authentication mechanisms和Permission groups两列的设置:

    Default Receive connectors in the Front End Transport service on Mailbox servers
    Default Receive connectors in the Transport service on Mailbox servers

    例如,对于Client Frontend <ServerName>,根据表格可以看到对应的身份验证和权限组如下:

    所以EAC中的默认设置如下图:

    这几个Exchange安装时自动生成的默认接收连接器,对于大部分常见邮件流场景已经足够,一般也不建议对默认设置做任何更改。如您有其他需求,可以参考下面的文档再另外创建自定义接收连接器:
    Exchange Server 中自定义接收连接器的应用场景

    此致,

    Yuki Sun


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

     
    2021年3月3日 8:09
  • 您好,

        没有看到Default Frontend ServerName的设置,请问是这样设置吗(见截图)?

    2021年3月4日 4:13
  • 您好,

    Default Frontend <server name>在上述第一个链接中表格的第二行:

    以下将上述两个表格整合了一下,列出了五个默认接收连接器的设置,供您参考:

    此致,

    Yuki Sun


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年3月4日 5:21
  • 您好,

        接受连接器中的“Default Frontend ServerName”按您的截图做了设置,结果pop3验证失败无法连接服务器

    2021年3月4日 7:31
  • 您好,

        我们公司测试下来接受连接器中的“Default Frontend ServerName”的设置只有以下这样的配置才能正常收发邮件:

    还有微软官网说配置匿名中继是很危险的,但是这里又为什么要配置匿名呢?(不配置又不能收发邮件)


    2021年3月5日 3:01
  • 您好,

    请问当您用默认设置的时候,邮件流具体遇到了什么问题呢?

    关于您提到的Defaul FrontEnd 连接器需要配置匿名,这是由于该连接器是用来接收来自外部SMTP服务器的匿名连接的,所以需要添加“匿名用户”权限组,否则将无法收到外部邮件。而这和您后面提到的“匿名中继”是完全不一样的,一个是匿名中继除了需要有匿名用户权限组的权限外,至少还需要添加ms-Exch-SMTP-Accept-Any-Recipient权限,另外用于匿名中继的接收连接器需要被限制访问,否则会成为开放中继,开放中继才是对邮箱服务器来说非常危险的,可能会被垃圾邮件发送者盯上,将您的服务器用来发送垃圾邮件。关于匿名中继的更多信息,您可以阅读下面的文档:
    在 Exchange 服务器上允许匿名中继

    此致,

    Yuki Sun


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年3月7日 23:32
  • 您好,

        我不理解您说的意思:"而这和您后面提到的“匿名中继”是完全不一样的,一个是匿名中继除了需要有匿名用户权限组的权限外,至少还需要添加ms-Exch-SMTP-Accept-Any-Recipient权限"

        按您提供的Default Frontend ServerName”的截图设置必须再勾上“exchange users"才能使用25端口发送邮件


    2021年3月8日 4:39
  • 您好,

        在吗?能否回复下?

    2021年3月9日 6:30
  • 您好,

    关于匿名中继部分,我的意思是用于匿名中继的接收连接器和Default Frontend <servername>的配置是不一样。
    Default Frontend <servername>只是添加了“匿名用户”权限组,目的是为了能够接收到来自外部SMTP服务器的邮件。而匿名中继还需要将 Ms-Exch-SMTP-Accept-Any-Recipient 权限添加到 NT AUTHORITY\ANONYMOUS LOGON。 此外,如上面提到的,危险的是“开放中继”,而不是“匿名中继”:
    在 Exchange 服务器上允许匿名中继

    >>  按您提供的“Default Frontend ServerName”的截图设置必须再勾上“exchange users"才能使用25端口发送邮件

    请问如果用上述截图中的默认设置,是所有用户都无法发送邮件吗?还是只是个别客户端无法发送呢?有出现相关报错吗?

    此致,

    Yuki Sun


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年3月9日 7:10
  • 您好,

        “>>  按您提供的“Default Frontend ServerName”的截图设置必须再勾上“exchange users"才能使用25端口发送邮件”--------------如果不勾选“exchange users”是所有发送服务器smtp配置了25端口(使用任何加密类型或无加密)的用户都不能发送邮件,报错:”电子邮件服务器拒绝您登录“


    2021年3月9日 7:53
  • 您好,

    注意到您在前面的讨论中还提到了“pop3验证失败无法连接服务器”,想跟您确认下您当前环境中的用户是用POP3方式配置的账户吗?

    如果是这样的话,建议您在配置SMTP发送服务器时用587端口,使其走Client Frontend <servername>这个连接器,这个连接器接受来自经过身份验证的SMTP客户端的连接,权限组包含了Exchange user:

    这也是官方文档推荐的做法:
    Configure authenticated SMTP settings for POP3 and IMAP4 clients in Exchange Server

    如果您这边只能使用25端口,可以参考下面的方法:

    方法1: 像您上面提到的,给使用25端口的Default Frontend <servername>接收连接器添加 Exchange user 权限组。

    方法2: 将Client Frontend <servername>连接器的端口号改为25,同时需要修改用于侦听端口25的本地 IP 地址(参阅接收连接器本地地址绑定),否则无法和同样是25端口的Default Frontend <servername>接收连接器共存。

    方法3:参考下面的配置信息另外新建25端口的自定义接收连接器,将客户端的IP地址段加入为remoteIPRanges

    此致,

    Yuki Sun


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.


    2021年3月10日 1:34
  • 您好,

    关于这个问题,请问上述回复可以帮到您吗?如果您对此问题还有任何疑问或需要进一步帮助,欢迎您再回帖讨论。

    此致,

    Yuki Sun


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

     
    2021年3月12日 0:26