如何設置Exchange Server 2016 SMTP中繼

在大多數的企業應用場景中，都會遇到第三方平臺或應用程序使用 Exchange 的 SMTP 服務發送郵件的情況，在我個人所遇到的客戶項目中，多數都是由 ERP 或 CRM 等平臺去調用 Exchange SMTP 進行郵件投遞。該需求 Exchange Server 2016 可以很好地滿足，但如何選擇和如何配置 Exchange Server 2016 SMTP 中繼則需要按客戶端應用的需求場景。

Exchange Server 2016 通常會遇到兩種類型的 SMTP 中繼場景：

• 內部中繼：設備和第三方應用只需將電子郵件發送給 Exchange Organization 的內部收件人
• 外部中繼：設備和第三方應用需要將電子郵件投遞給外部收件人

我們先來看看兩種不同的場景區別，再來具體分析實際應用場景中需要考慮的一些細節。

Exchange Server 2016內部SMTP中繼

當 Exchange Server 2016 首次部署完成之后，將會自動預配置一個允許接收匿名發件人的接收器用于接收來自 Internet 到內部收件的人電郵。該自動創建的默認接收連接器不僅允許接收 Internet 的入站電子郵件，也同樣適用的 SMTP 內部中繼場景。

該接收連接器的默認名稱為”服務器名\Default Frontend 服務器名“，我們可以在 EMS 中使用如下命令查看到：

Get-ReceiveConnector

同時，我們可以使用 Telnet 進行 SMTP 連接來測試接收連接器：

telnet mail1 25

具體的常用 SMTP 命令建議大家 Google 自學。

Exchange Server 2016外部SMTP中繼

接著上面的演示示例，我們來看看使用 Telnet 從一個有效的內部地址發郵件給外部聯系人會發生什么：

從上圖中大家已經看到，此時會返回一個“550 5.7.54, Unable to relay recipient in non-accepted domain” SMTP 錯誤，這表示接收連接器不允許匿名將未經驗證的發件人傳遞給外部域名，這樣的默認設置可以防止 Exchange Server 2016 被不懷好意的人作為開放中繼利用。

如果你的應用場景需要使用設備或第三方應用給外部人員發送郵件，有如下兩種方式可以實現：

• 使用經身份驗證的SMTP連接
• 配置匿名SMTP中繼連接器（不推薦允許IP放得太大，配置不當容易被利用）

下面我們就以上兩種方式的配置分別進行一下介紹。

配置Exchange Server 2016 SMTP中繼身份驗證

第一種方式便是配置使用 SMTP 連接身份驗證。Exchange Server 2016 用于客戶端的接收鏈接器默認命名為”服務器名\Client Frontend 服務器名”

要讓 Exchange Server 2016 SMTP 中繼身份認證能夠正常工作，要求至少為正確配置了 Exchange Server 2016 SSL 證書，并為使用 SMTP 的設備或第三方應用配置了正確的 DNS 別名。如果前提條件確認無誤，則只需為接收連接器配置好 TLSCertificateName 即可：

1先使用 Get-ExchangeCertificate 確認要使用的 SSL 證書指紋。

Get-ExchangeCertificate

2由于 TLSCertificateName 字符串的語法由證書的兩個不同屬性組成，因此用于下列命令應用到配接收連接器：

$cert = Get-ExchangeCertificate -Thumbprint 31CDD8E30237AA41ABBD2D15D10B552DBED68436$tlscertificatename = "$($cert.Issuer)$($cert.Subject)"Set-ReceiveConnector "Client Frontend MAIL1" -Fqdn maiFl.office26.com -TlsCertificateName $tlscertificatename

3為了測試 Client Frontend 連接器，我們可以使用 PowerShell 的 Send-MailMessage cmdlet 來替代 Telnet 進行測試：

$credential = Get-CredentialSend-MailMessage -SmtpServer mail.office26.com -Credential $credential -From 'administrator@office26.com' -To 'xxxx@test.com' -Subject 'Test email' -Port 587 -UseSsl

配置Exchange Server 2016匿名SMTP中繼

如果將?SMTP 外部中繼使用身份驗證的方式在你的場景不適用，管理員可以考慮在 Exchange Server 2016 中創建發送郵件設備和第三方應用 IP 或 IP 范圍的匿名 SMTP 中繼接收接收器。創建步驟如下：

1打開Exchange 管理中心 — 郵件流 — 接收連接器

2點擊 + 號按向導創建一個新的接收連接器，名稱自己寫，角色選擇前端傳輸，類型選擇自定義。

3刪除默認遠程網絡設置的 IP 范圍（極重要），再添加上允許匿名的設備或第三方應用的 IP 地址或范圍。

4導向中配置完成后，打開 Exchange Management Shell 執行如下兩條命令更改接收連接器權限：

Set-ReceiveConnector "ANONYMOUS RELAY MAIL1" -PermissionGroups AnonymousUsersGet-ReceiveConnector "ANONYMOUS RELAY MAIL1" | Add-ADPermission -User 'NT AUTHORITY\Anonymous Logon' -ExtendedRights MS-Exch-SMTP-Accept-Any-Recipient

注意：命令可以照抄，但接收連接器名稱總會改成你自己環境的吧！

配置完成之后大家便可以使用 Telnet 測試被允許的 IP 地址是否已被允許從任何（有效內部）電子郵件地址發送郵件到外部地址了。