我们正在将中继从 Exchange 2003 服务器移动到 Exchange 2010 服务器。我希望“向特定用户或组授予或拒绝中继权限”选项仍然以某种形式可用,但我不知道该怎么做。我已经阅读了接收连接器,但到目前为止我无法让它工作。我已经编辑了接收连接器上的安全性,以允许对组进行以下扩展权限,并将计算机帐户添加到该组:
- 接受路由标头
- 绕过反垃圾邮件
- 提交到服务器
- 接受任何发件人
- 接受任何收件人
然后我在测试时突然意识到......接收连接器如何解析特定AD对象的权限,也许是反向DNS查找?我想知道的是我想要实现的目标是否可行,以及如何实现。
我宁愿不恢复到基于 IP 的列表,因为这不那么易于管理,并且我试图避免为许多原本不需要它们的工作站创建静态 IP/保留。
根据您对@Noor 回答的评论,我怀疑您正在寻找的是:
如果这就是您正在寻找的,那么除非给定计算机上的所有 SMTP 客户端都能够使用计算机的 AD 计算机帐户对 Exchange 进行身份验证,否则无法做到这一点。大多数 SMTP 客户端都不是(事实上,我想不出一个可以的)。与 Exchange 的传入 SMTP 连接的源 IP 地址不会导致任何身份验证发生,也不会构建 Exchange 可以查询组成员身份的安全令牌。IP 地址和安全主体是正交的。
执行此操作的更好方法是生成服务凭据(使用您喜欢的任何帐户粒度——我偏好每个 SMTP 客户端一个)并授予这些凭据中继权限。然后,您可以将每个 SMTP 客户端配置为进行身份验证,并根据凭据允许中继。
您可以使用 PowerShell 编辑额外的安全设置,您无法使用 GUI 编辑这些设置,您可以使用以下 PowerShell 命令告诉交易所谁应该使用连接器:
例如,我通常使用此命令来允许匿名访问连接器:
更多信息可以在这里找到:http: //help.globalscape.com/help/me3/configuring_authenticated_access_to_exchange.htm