exchange系列(三)exchange邮件服务器的邮件传输管理

  1. 云栖社区>
  2. 博客>
  3. 正文

exchange系列(三)exchange邮件服务器的邮件传输管理

技术小大人 2017-11-15 12:58:00 浏览5730
展开阅读全文

博主QQ819594300


博客地址:http://zpf666.blog.51cto.com/


有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持!

前言:我们前面安装好了exchange2010,但是只能在公司内部发送邮件,如果要给qq邮箱、新浪邮箱,或者其他公司发送电子邮件就要经过internet。但并不是有网就可以,必须要做一系列的设置才能发送internet邮件。主要配置有以下几点:

1)发送连接器和接收连接器;

2)新建权威域;

3)购买域名并新建mx邮件交换记录,实验环境还需要做“转发器”,只要做了以上的操作就可以向外网发送电子邮件了。

一、相关概念   

1、连接器:用于单向发送或接受邮件,连接器有两个:发送连接器和接受连接器。

1)发送连接器:

     是发送邮件时出站的逻辑网关,所有去isp的邮件都需要发送连接器进行发送,发送连接器是单向的。可以建立多个,但至少需要一个。

发送连接器在传递邮件时可以使用两种方式:

  •    使用DNS进行外部域名解析:使用DNS解析远程SMTP服务器的IP地址,然后传递该邮件(发送邮件到组织外需要能够解析对方的MX记录,并且能够解析对方的域名)

  •    指定智能主机:将邮件转发到负责邮件传递的主机,由智能主机负责DNS解析和传递。(如果对方的服务器阻止接收邮件,那么可以通过智能主机转发)

注意:在组织内收发邮件的时候,不是不需要发送和接收连接器,而是Exchange 在发送或接收邮件的时候,发送和接受连接器动态在内存中创建好了,管理员不能修改,也不可见。

2)接收连接器:

     代表接收邮件的一个逻辑网关,可以接收所有入站的邮件。默认有两个接收连接器,分别是client server name和default server name。

     Clientserver name::为了支持outlook express或者outlook的连接。值得注意的是监听的端口是587,而不是25。

     Defaultserver name:负责接收组织外的其他SMTP服务器的链接。

     接收连接器默认存在身份验证,想要接收外部邮件,需要改权限为允许匿名。

2、邮件传输组件(邮件传输的工作过程)

组件

描述

提交队列

在邮件被处理前将邮件存储在硬盘

在没有被处理之前,将要发送的邮件存在提交队

列中

存储驱动程序

从发件人的发件箱接收邮件

在客户端发送邮件的同时,邮件被放到发件箱中,

也就是所有邮件都是从发件箱发出去的

Exchange邮件提交服务

当发件人的发件箱中有邮件时,通知本地活动目录站点内的中心传输服务器

发件箱有邮件的时候,会激活中心传输服务,将

邮件传输出去

Pickup目录

提交邮件到提交队列

中心传输服务器,没有将邮件传输出去之前,由这

个目录进行提取放到邮件传输队列

分类程序

从提交队列一次处理一封邮件,一次只从提交队

列发送一封邮件发出去(组织内使用提交队列)

投递队列

存放传递给邮箱服务器或远程服务器的邮件

服务器之间传输的时候需要投递队列

发送电子邮件的大概过程就是:

客户端发送邮件的同时,将邮件放到发件箱,由中心传输服务器进行发送,在发送之前,由pickyup目录提取放到提交队列或投递队列。分类程序,决定了一次只能发送一封邮件。

3、权威域

权威域其实就是邮箱的后缀名,是接收域的一种类型。默认接受域是林根域的FQDN名,接受域也可以有多个。公司的AD的DNS域名一般不是购买的,安装域的时候可以随便命名,在internet中不是合法的。当exchange安装好之后默认的邮箱域名就是AD的域名,这个域名不能发送和接收外网邮件。如果需要收发isp的电子邮件,这时就需要一个合法的权威域,所以我们先去购买域名,然后把购买的域名建立成为exchange的权威域,只有这样才能和internet发送接收邮件。

配置权威域的时候,一定要在DNS服务器上创建A记录和MX记录。

4、中继域

中继域也是接受域的一种。举个例子:如果国外有一台服务器阻止了我们公司的邮件,那么我们就可以配置中继域,找一台可以正常和国外服务器通信的邮件服务器,把这台服务器做为中继域。然后我们公司的服务器指向中继域,就可以和国外的服务器通信了。

二、实验案例

实验案例1:实现邮件的外部收发

1、实验目标和思路:

beijing公司已经部署了Exchange邮件系统,现在需要实现与其他邮件服务器的外部邮件收发。beijing.com域属于内网,shanghai.com域属于外网。两台邮件服务器同时充当所在域的域控制器和DNS服务器。为了使内网DNS和外网DNS可以相互解析域名,需要在两台DNS服务器上配置转发器。

wKiom1jwa5-g3c4hAAB1cHZMRc0948.jpg

2、实验步骤:

   打开两台安装的exchange服务器

   在双方的DNS服务器上创建DNS区域和MX记录

   配置Exchange服务器属性和权威域

   配置Internet邮件流(发送连接器和接收连接器)

   测试外部邮件收发

3、实验环境如下

wKioL1jwa6CBGuRsAABQnWl8soA000.jpg

4、实验步骤

1)创建A和MX(如果dns和ad安装到了一台上,那么A记录默认存在)

找到beijing.com区域,新建A记录(即主机记录)和MX记录,创建MX记录时找到exchange的A记录,默认优先级为10。

wKioL1jwa6GSzGZsAAJ1n_VJawc993.jpg

wKiom1jwa6KAmnnlAAIrpSdjz1c329.jpg

2)配置转发器(地址填写对方服务器的地址)

wKioL1jwa6XBtv6LAAFN5oKRpus124.jpg

wKiom1jwa6yhz3XpAAI28GV537A176.jpg

wKioL1jwa7qhJacFAAHcPtmnxP8869.jpg

wKiom1jwa8DyipQoAAJQmHeaw8E997.jpg

3)测试解析mx记录

wKiom1jwa8bQnOn9AAH4lGKK9b4242.jpg

wKioL1jwa8vgmaBnAAIGBMi042Q610.jpg

分别使用域beijing.com和mail.beijing.com邮件服务器来解析对方的MX记录,上述两个截图都解析成功了。

4)配置发送连接器(默认不存在我们需要新建)

wKioL1jwa8_TnZB6AAEgdGjofbs674.jpg

名称为internet(可以随便定义),下面选择“Internet”:

wKioL1jwa9TQJDveAAGLrvryRag939.jpg

输入这台服务器可以将邮件传输到哪台服务器上,*代表所有地址,成本越低优先级越高,这里指的是连接器的优先级:

wKioL1jwa9fzM5vuAAG_STo8uZM202.jpg

wKiom1jwa9yTafM0AAE4NDlGuC8130.jpg

下图选择使用DNS的mx记录还是使用中继的方式转到其他组织,一般都会选择DNS的mx记录:

wKioL1jwa-CByM_aAAFj0be5p6U580.jpg

wKiom1jwa-XAHD2uAAFgekNy7Ws855.jpg

下图是确定有哪些服务器角色使用这个连接器,一般情况下传输服务器角色就可以了,但是如果有边缘服务器,一定要把边缘服务器添加进来:

wKioL1jwa-eCXQEZAAExnGkYShE421.jpg

这样发送连接器就建立完成了。

5)配置接受连接器(现在不配置接受连接器,也可以往外网发送邮件了)

找到服务器配置——集线器传输——接收连接器,对其点击右键属性,选择“匿名用户”,如果不勾选“匿名用户”是不能接收外网邮件的。

wKiom1jwbN3hw-PjAAGb0gY6hbA195.jpg

wKiom1jwbALyhi5zAAF8MzE5BX8106.jpg

6)配置对等体的DNS和另一台exchange服务器shanghai.com

配置过程参考1)~5)

wKiom1jwbAey3wYrAAILPegyfiE791.jpg

wKioL1jwbA_hkuxhAAJNuz3vRdU753.jpg

wKioL1jwbBPio1WpAAF8bZWtBxQ706.jpg

wKiom1jwbBjTQv7DAAGVZX4AFWE782.jpg

wKioL1jwbB2A2zAwAAGtdICROuo198.jpg

wKioL1jwbB-g-MiuAADU9WibyBo806.jpg

wKiom1jwbCOyCst-AAFYVfYW7YQ156.jpg

注意:权威域默认就存在自己域名的权威域,所以默认不用配置,除非公司改用其它的域名,就需要添加权威域。

7)测试发送邮件

在两台服务器上分别建立用户,zhangsan@beijing.com,lisi@shanghai.com

然后使用owa进行登录测试:

wKiom1jwbCijDDCXAAH6-AOlRQ0733.jpg

wKiom1jwbC_C6tRyAAIwxYBaV7w180.jpg

张三给李四发送邮件:

wKioL1jwbDTTf8EGAAGHBG_LjR8646.jpg

去登录李四查看是否有张三发的邮件:

wKiom1jwbDfDBoSVAAFc_0Ag5bE746.jpg

查看到了北京张三发来的邮件,成功了!

然后李四给张三回一封邮件:

wKiom1jwbETzSyr_AAHl_6qHvFY598.jpg

回到张三owa查看是否有李四的回信:

wKiom1jwbEnik2ikAAHU9-vTM4Q117.jpg

张三收到李四的回信了,发送接收都成功了,本次实验完成。

 

实验案例二:配置企业邮件收发策略

1、实验目标和思路

HY公司已经部署了Exchange邮件系统,并且实现了与外部Internet邮件服务器收发邮件。现在准备配置外部邮件收发的传输策略来限制公司用户的邮件收发(具体实现:研发部的员工不能和技术部门的员工进行邮件通信;财务部门的员工收发的邮件自动发送给部门经理一份),以满足公司信息安全的要求。同时,为销售部门的所有员工添加一个新的邮件地址@ibm.com

2、实验步骤

准备工作:

在beijing.com服务器原有的基础上在新建三个用户(一个部门经理和两个普通员工),分别加入这三个组,建立通讯组就可以了。shanghai.com不用新建。

wKioL1jwbQ6xJRjmAAHQ81SwB2c440.jpg

将张三加入技术部,财务部经理经理和赵六加入财务部,王五加入研发部。

wKiom1jwbQ7CsQ57AAB9HXhrpN0069.jpg

wKioL1jwbQ_iDf8aAADfDotFCtU023.jpg

wKiom1jwbRDjdOPGAAEGxlul6EM113.jpg

wKioL1jwbRDSgzyoAADlSzUGZ-Q261.jpg

实验1:研发部的员工不能和技术部门的员工进行邮件通信

1)打开组织配置

wKiom1jwbRDj7fbgAACoVsdu63U512.jpg

2)建立新的传输规则

wKioL1jwbRHD--7bAAE4A2j334o483.jpg

wKiom1jwbRKBbeRcAAH2_5BOo-M426.jpg

限制组成员之间的通信:

wKiom1jwbRKSkgnSAAIcj0uN29Y236.jpg

也可以排除一些人,排除的人不受限制,为了试验效果不排除了:

wKioL1jwbRPAwTNzAAH0VZEPHCE350.jpg

wKioL1jwbRSwV74cAAFFtbiq-iQ877.jpg

3)测试,使用王五(研发部)登录给张三(技术部)发邮件

wKiom1jwbRSS5l1MAAE39xf4T5E741.jpg

登录张三查看什么都收不到就对了,邮件服务器也不会给王五退信,反过来发送也是一样的。

wKioL1jwbRXAB_cXAAJe6iR8yjg935.jpg

实验2、财务部门的员工收发的邮件自动发送给部门经理

1)点击“组织配置”---“集线器传输”---“日志规则”---新建日志规则。

2)设置发送给caiwubu@beijing.com的邮件都传给jingli@beijing.com一份,用于监控员工的邮件。

wKiom1jwbRXRKtweAACqBPCkXSw073.jpg

wKioL1jwbRbgurulAAHL_dlDMZI481.jpg

3)使用赵六发送给张三一封邮件

wKiom1jwbRaxp2yUAAIMm8KqUhY358.jpg

4)使用财务部经理登录owa可以收到来自赵六发送给张三的邮件

wKioL1jwbRfgZ5P0AAF9ypR3kfs216.jpg

wKiom1jwbReC1XifAAGeZBknW9o386.jpg

实验3、为销售部门的所有员工添加一个新的邮件地址@ibm.com

1)在DNS命名空间中添加一个A记录和一个mx记录,再到权威域中进行绑定就可以了。

wKiom1jwbRiC0082AAGyIOaCDtU013.jpg

wKioL1jwbRiBnSCwAACXnqYi3-U263.jpg

wKioL1jwbRji5IMHAAC71br6LYk877.jpg

一般情况下需要建立多个权威域是因为在构建ad的时候,域名是不合法的,现在需要与互联网互发邮件,那么就必须有一个合法的域名支持。

wKiom1jwbRmQxw28AAE5uZ4UdcA915.jpg

wKiom1jwbRryjwqHAAHA_vlEBNI209.jpg

wKioL1jwbRrjCjKRAADJ6aPvecw081.jpg

2)第一个为默认的权威域,不能进行修改,添加好之后,还需要建立“电子邮件地址策略”

wKioL1jwbRqwZdpYAADGRhVFrJo156.jpg

wKiom1jwbRvhEktpAAGVXKL2HcI274.jpg

wKioL1jwbRvhmgWhAAGkf_DrK_4145.jpg

wKiom1jwbRzBCs16AADrpdIZKFU566.jpg

输入建立后的接受域的dns后缀名邮件头使用别名就可以了:

wKioL1jwbRyxadu6AAHfq4bmRQ8534.jpg

wKiom1jwbR2RhLGvAAE1FXcY5vs277.jpg

wKiom1jwbR2Sd-pMAAFJhu9WbiE632.jpg

3)完成之后对策略点右键“应用”

wKioL1jwbR6TnHHaAADurCLWnl4942.jpg

wKiom1jwbXGD3D9JAAFHmUH4wnk274.jpg

wKiom1jwbXHCVwjCAAFNyjrCC8U559.jpg

4)建立一个新用户为张飞,并建立一个新通讯组xiaoshoubu,并更改张飞属性——组织——部门为“xiaoshoubu”

wKioL1jwbXOyO32OAADndVx-Pik300.jpg

5)上海公司的李四给张飞发一封邮件(邮箱后缀是新的域名ibm.com)

wKioL1jwbXjjI9FJAAG4Q2avjKk127.jpg

wKiom1jwbX3ihC-fAAFzP0Z-A08040.jpg

张飞收到了李四的邮件,实验成功!

实验4、限制财务部不能与外网进通信

1)在beijing.com服务器上打开“组织配置”---集线器传输---传输规则---新建传输规则---打开下图窗口。

wKioL1jwbX-w2r7WAADRU65BHxM029.jpg

wKiom1jwbYPT8U3uAAFXDYNXvr0597.jpg

wKioL1jwbYizopASAAHs7FH2DJo078.jpg

wKiom1jwbY7ASFdiAAIKqk-TyoU376.jpg

将邮件重定向到管理员邮箱。

wKioL1jwbZbzEoGpAAIOv3KIog0054.jpg

2)进行测试结果是北京公司的张三(技术部)给上海公司的李四发邮件,李四收不到,但是北京公司的管理员会收到

wKiom1jwbZexRRNyAAHNnAoKpqE839.jpg

wKioL1jwbZjhFlwlAAGN0OIPDXw645.jpg

上图显示北京公司内部的管理员收到了张三发给李四的邮件。

wKiom1jwbZiTRz_hAAHTxLJicn0552.jpg

上图显示,上海公司的李四没有收到北京公司张三发的邮件。

实验5、禁止研发部员工接收internet外部的邮件

1)在beijing.com服务器上新建“传输规则”

wKiom1jwbZmRafxFAAEl3Z8mYhs955.jpg

wKioL1jwbZmziES9AAFRvLNoFBU720.jpg

wKiom1jwbZry8cZKAAHuXqmjsBo991.jpg

wKioL1jwbZ7Bzso_AAIF8xjuBmk442.jpg

wKiom1jwbaSBjpPnAAH3IGzRiMQ385.jpg

2)上海公司的李四给北京公司的王五(研发部)发送邮件

wKioL1jwbaqi9hGYAAHpUMjTJDA111.jpg

wKiom1jwbbHAHJ5qAAJp1ZGOL5Q921.jpg

王五没有收到上海公司李四发来的邮件。

实验6、禁止某个部门接收外部邮件

1)在beijing.com服务器上新建“通讯组”,名称为“财务保密组”。

wKioL1jwbbaAsXz4AAGJBA685U8271.jpg

2)右击“财务保密组”---属性---成员---添加用户。

wKioL1jwbbrCQ-XHAAGkBRTEXj4824.jpg

3)再单击“邮件流设置”---邮件传递限制---单击属性---在弹出的对话框中勾选“要求所有的发件人通过身份验证”---确定。

wKiom1jwbb6BkpAwAAHTaYboMfY813.jpg

wKioL1jwbb6hKsxIAAGjVBWsJ_k625.jpg

4)单击财务保密组属性中的“电子邮件地址”选项卡,可以看到当前通讯组中的电子邮件地址。

wKiom1jwbb-woZG0AAJ2nwjjryM596.jpg

5)使用lisi@shanghai.com用户发送给

caiwubaomizu@beijing.com,会因为邮件传递限制的原因拒绝发送到内网用户的邮箱中。

wKioL1jwbcDhbVigAAHaG44wr1U919.jpg

6)lisi@shanghai.com会收到错误信息报告的邮件。

wKioL1jwbhSAvJMTAAF8MnjwNfg926.jpg

说明:本实验其实就是勾选一个“要求所有的发件人通过身份验证” (默认是勾选的),意思就是只有公司内部用户之间才可以发送,因为内部用户都是经过身份认证的。

也就是说exchange创建的通讯组,无论是通讯组还是动态通讯组,都是默认拒绝外网发送邮件给组邮箱的。



本文转自Mr大表哥 博客,原文链接:   http://blog.51cto.com/zpf666/1915995  如需转载请自行联系原作者

网友评论

登录后评论
0/500
评论
技术小大人
+ 关注