博主QQ:819594300
博客地址:http://zpf666.blog.51cto.com/
有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持!
前言:我们前面安装好了exchange2010,但是只能在公司内部发送邮件,如果要给qq邮箱、新浪邮箱,或者其他公司发送电子邮件就要经过internet。但并不是有网就可以,必须要做一系列的设置才能发送internet邮件。主要配置有以下几点:
1)发送连接器和接收连接器;
2)新建权威域;
3)购买域名并新建mx邮件交换记录,实验环境还需要做“转发器”,只要做了以上的操作就可以向外网发送电子邮件了。
一、相关概念
1、连接器:用于单向发送或接受邮件,连接器有两个:发送连接器和接受连接器。
1)发送连接器:
是发送邮件时出站的逻辑网关,所有去isp的邮件都需要发送连接器进行发送,发送连接器是单向的。可以建立多个,但至少需要一个。
发送连接器在传递邮件时可以使用两种方式:
使用DNS进行外部域名解析:使用DNS解析远程SMTP服务器的IP地址,然后传递该邮件(发送邮件到组织外需要能够解析对方的MX记录,并且能够解析对方的域名)
指定智能主机:将邮件转发到负责邮件传递的主机,由智能主机负责DNS解析和传递。(如果对方的服务器阻止接收邮件,那么可以通过智能主机转发)
注意:在组织内收发邮件的时候,不是不需要发送和接收连接器,而是Exchange 在发送或接收邮件的时候,发送和接受连接器动态在内存中创建好了,管理员不能修改,也不可见。
2)接收连接器:
代表接收邮件的一个逻辑网关,可以接收所有入站的邮件。默认有两个接收连接器,分别是client server name和default server name。
Clientserver name::为了支持outlook express或者outlook的连接。值得注意的是监听的端口是587,而不是25。
Defaultserver name:负责接收组织外的其他SMTP服务器的链接。
接收连接器默认存在身份验证,想要接收外部邮件,需要改权限为允许匿名。
2、邮件传输组件(邮件传输的工作过程)
组件 | 描述 |
提交队列 | 在邮件被处理前将邮件存储在硬盘 在没有被处理之前,将要发送的邮件存在提交队 列中 |
存储驱动程序 | 从发件人的发件箱接收邮件 在客户端发送邮件的同时,邮件被放到发件箱中, 也就是所有邮件都是从发件箱发出去的 |
Exchange邮件提交服务 | 当发件人的发件箱中有邮件时,通知本地活动目录站点内的中心传输服务器 发件箱有邮件的时候,会激活中心传输服务,将 邮件传输出去 |
Pickup目录 | 提交邮件到提交队列 中心传输服务器,没有将邮件传输出去之前,由这 个目录进行提取放到邮件传输队列 |
分类程序 | 从提交队列一次处理一封邮件,一次只从提交队 列发送一封邮件发出去(组织内使用提交队列) |
投递队列 | 存放传递给邮箱服务器或远程服务器的邮件 服务器之间传输的时候需要投递队列 |
发送电子邮件的大概过程就是:
客户端发送邮件的同时,将邮件放到发件箱,由中心传输服务器进行发送,在发送之前,由pickyup目录提取放到提交队列或投递队列。分类程序,决定了一次只能发送一封邮件。
3、权威域
权威域其实就是邮箱的后缀名,是接收域的一种类型。默认接受域是林根域的FQDN名,接受域也可以有多个。公司的AD的DNS域名一般不是购买的,安装域的时候可以随便命名,在internet中不是合法的。当exchange安装好之后默认的邮箱域名就是AD的域名,这个域名不能发送和接收外网邮件。如果需要收发isp的电子邮件,这时就需要一个合法的权威域,所以我们先去购买域名,然后把购买的域名建立成为exchange的权威域,只有这样才能和internet发送接收邮件。
配置权威域的时候,一定要在DNS服务器上创建A记录和MX记录。
4、中继域
中继域也是接受域的一种。举个例子:如果国外有一台服务器阻止了我们公司的邮件,那么我们就可以配置中继域,找一台可以正常和国外服务器通信的邮件服务器,把这台服务器做为中继域。然后我们公司的服务器指向中继域,就可以和国外的服务器通信了。
二、实验案例
实验案例1:实现邮件的外部收发
1、实验目标和思路:
beijing公司已经部署了Exchange邮件系统,现在需要实现与其他邮件服务器的外部邮件收发。beijing.com域属于内网,shanghai.com域属于外网。两台邮件服务器同时充当所在域的域控制器和DNS服务器。为了使内网DNS和外网DNS可以相互解析域名,需要在两台DNS服务器上配置转发器。
2、实验步骤:
打开两台安装的exchange服务器
在双方的DNS服务器上创建DNS区域和MX记录
配置Exchange服务器属性和权威域
配置Internet邮件流(发送连接器和接收连接器)
测试外部邮件收发
3、实验环境如下
4、实验步骤
1)创建A和MX(如果dns和ad安装到了一台上,那么A记录默认存在)
找到beijing.com区域,新建A记录(即主机记录)和MX记录,创建MX记录时找到exchange的A记录,默认优先级为10。
2)配置转发器(地址填写对方服务器的地址)
3)测试解析mx记录
分别使用域beijing.com和mail.beijing.com邮件服务器来解析对方的MX记录,上述两个截图都解析成功了。
4)配置发送连接器(默认不存在我们需要新建)
名称为internet(可以随便定义),下面选择“Internet”:
输入这台服务器可以将邮件传输到哪台服务器上,*代表所有地址,成本越低优先级越高,这里指的是连接器的优先级:
下图选择使用DNS的mx记录还是使用中继的方式转到其他组织,一般都会选择DNS的mx记录:
下图是确定有哪些服务器角色使用这个连接器,一般情况下传输服务器角色就可以了,但是如果有边缘服务器,一定要把边缘服务器添加进来:
这样发送连接器就建立完成了。
5)配置接受连接器(现在不配置接受连接器,也可以往外网发送邮件了)
找到服务器配置——集线器传输——接收连接器,对其点击右键属性,选择“匿名用户”,如果不勾选“匿名用户”是不能接收外网邮件的。
6)配置对等体的DNS和另一台exchange服务器shanghai.com
配置过程参考1)~5)
注意:权威域默认就存在自己域名的权威域,所以默认不用配置,除非公司改用其它的域名,就需要添加权威域。
7)测试发送邮件
在两台服务器上分别建立用户,zhangsan@beijing.com,lisi@shanghai.com
然后使用owa进行登录测试:
张三给李四发送邮件:
去登录李四查看是否有张三发的邮件:
查看到了北京张三发来的邮件,成功了!
然后李四给张三回一封邮件:
回到张三owa查看是否有李四的回信:
张三收到李四的回信了,发送接收都成功了,本次实验完成。
实验案例二:配置企业邮件收发策略
1、实验目标和思路
HY公司已经部署了Exchange邮件系统,并且实现了与外部Internet邮件服务器收发邮件。现在准备配置外部邮件收发的传输策略来限制公司用户的邮件收发(具体实现:研发部的员工不能和技术部门的员工进行邮件通信;财务部门的员工收发的邮件自动发送给部门经理一份),以满足公司信息安全的要求。同时,为销售部门的所有员工添加一个新的邮件地址@ibm.com
2、实验步骤
准备工作:
在beijing.com服务器原有的基础上在新建三个用户(一个部门经理和两个普通员工),分别加入这三个组,建立通讯组就可以了。shanghai.com不用新建。
将张三加入技术部,财务部经理经理和赵六加入财务部,王五加入研发部。
实验1:研发部的员工不能和技术部门的员工进行邮件通信
1)打开组织配置
2)建立新的传输规则
限制组成员之间的通信:
也可以排除一些人,排除的人不受限制,为了试验效果不排除了:
3)测试,使用王五(研发部)登录给张三(技术部)发邮件
登录张三查看什么都收不到就对了,邮件服务器也不会给王五退信,反过来发送也是一样的。
实验2、财务部门的员工收发的邮件自动发送给部门经理
1)点击“组织配置”---“集线器传输”---“日志规则”---新建日志规则。
2)设置发送给caiwubu@beijing.com的邮件都传给jingli@beijing.com一份,用于监控员工的邮件。
3)使用赵六发送给张三一封邮件
4)使用财务部经理登录owa可以收到来自赵六发送给张三的邮件
实验3、为销售部门的所有员工添加一个新的邮件地址@ibm.com
1)在DNS命名空间中添加一个A记录和一个mx记录,再到权威域中进行绑定就可以了。
一般情况下需要建立多个权威域是因为在构建ad的时候,域名是不合法的,现在需要与互联网互发邮件,那么就必须有一个合法的域名支持。
2)第一个为默认的权威域,不能进行修改,添加好之后,还需要建立“电子邮件地址策略”
输入建立后的接受域的dns后缀名邮件头使用别名就可以了:
3)完成之后对策略点右键“应用”
4)建立一个新用户为张飞,并建立一个新通讯组xiaoshoubu,并更改张飞属性——组织——部门为“xiaoshoubu”
5)上海公司的李四给张飞发一封邮件(邮箱后缀是新的域名ibm.com)
张飞收到了李四的邮件,实验成功!
实验4、限制财务部不能与外网进通信
1)在beijing.com服务器上打开“组织配置”---集线器传输---传输规则---新建传输规则---打开下图窗口。
将邮件重定向到管理员邮箱。
2)进行测试结果是北京公司的张三(技术部)给上海公司的李四发邮件,李四收不到,但是北京公司的管理员会收到
上图显示北京公司内部的管理员收到了张三发给李四的邮件。
上图显示,上海公司的李四没有收到北京公司张三发的邮件。
实验5、禁止研发部员工接收internet外部的邮件
1)在beijing.com服务器上新建“传输规则”
2)上海公司的李四给北京公司的王五(研发部)发送邮件
王五没有收到上海公司李四发来的邮件。
实验6、禁止某个部门接收外部邮件
1)在beijing.com服务器上新建“通讯组”,名称为“财务保密组”。
2)右击“财务保密组”---属性---成员---添加用户。
3)再单击“邮件流设置”---邮件传递限制---单击属性---在弹出的对话框中勾选“要求所有的发件人通过身份验证”---确定。
4)单击财务保密组属性中的“电子邮件地址”选项卡,可以看到当前通讯组中的电子邮件地址。
5)使用lisi@shanghai.com用户发送给
caiwubaomizu@beijing.com,会因为邮件传递限制的原因拒绝发送到内网用户的邮箱中。
6)lisi@shanghai.com会收到错误信息报告的邮件。
说明:本实验其实就是勾选一个“要求所有的发件人通过身份验证” (默认是勾选的),意思就是只有公司内部用户之间才可以发送,因为内部用户都是经过身份认证的。
也就是说exchange创建的通讯组,无论是通讯组还是动态通讯组,都是默认拒绝外网发送邮件给组邮箱的。
本文出自 “IT技术助手” 博客,请务必保留此出处http://zpf666.blog.51cto.com/11248677/1915995
exchange系列(三)exchange邮件服务器的邮件传输管理
原文地址:http://zpf666.blog.51cto.com/11248677/1915995