Exchange 架构和默认机会 TLS 设置 |第 3 部分#12

在下面的文章中，我们将更详细地回顾在基于 Exchange 本地环境和基于 Exchange Online 的环境中实施机会 TLS。

如前所述，在基于 Exchange 的环境中，Exchange 邮件连接器会自动配置为使用机会性 TLS 选项。

机会主义 TLS 的配置会在默认传入邮件连接器和默认传出邮件连接器上自动配置邮件连接器。

Exchange 本地基础设施 |机会性 TLS 设置

在下一节中，我们将回顾 Exchange 本地服务器中 机会 TLS 的默认设置环境。

机会主义 TLS 设置会在 发送连接器和接收连接器 。

注意：在本部分中，我们将演示本地 Exchange 2010 中的机会性 TLS 设置，但其概念和设置与本地 Exchange 2013 几乎相同。

本地交换 |发送连接器 |机会性 TLS 设置

在 Exchange 2010 和 Exchange 2013 中，有关所使用的机会性 TLS的默认设置的信息发送连接器只能使用 PowerShell 显示。

为了能够获取有关发送连接器设置的信息，我们可以使用以下PowerShell命令：

Get-SendConnector -Identity "<name of the send connector>" |FL

与机会主义 TLS 设置相关的参数，描述为 IgnoreSTARTTLS

在下面的屏幕截图中，我们可以看到 IgnoreSTARTTLS 的值为 False

这意味着默认情况下，Exchange 本地发送连接器支持机会性 TLS 选项。

禁用机会性 TLS 选项

我无法想象我们需要禁用机会性 TLS 选项的场景，但只是为了了解一般知识，如果出于某种原因，我们需要取消机会性 TLS 选项，我们可以使用 PowerShell命令：

Set-SendConnector -Identity "<name>" -IgnoreSTARTTLS $true

本地交换 |接收连接器|机会性 TLS 设置

在 Exchange 2010 和 Exchange 2013 服务器版本中，有关接收连接器的默认设置的一些信息 指的是opportunistic TLS的选项，可以在图形界面中显示，并且，一些只能使用PowerShell显示信息。

使用 PowerShell 查看 Exchange 本地接收连接器设置

为了能够获取有关接收连接器设置的信息，我们可以使用以下PowerShell命令：

Get-ReceiveConnector -Identity "<name of the receive connector>" |FL

有关接收连接器的“TLS 设置”的信息显示在名为 - AuthMechanism 的部分下

AuthMechanism 参数可以包含多个值，这意味着 Exchange 接收连接器 可以支持多种类型的身份验证协议。

在下面的屏幕截图中，我们可以看到标准 Exchange 本地服务器默认接收连接器的设置示例

我们可以看到AuthMechanism的价值包含了多种类型的认证协议。

AuthMechanism 设置

我们可以看到 Exchange 接收连接器支持不同类型的身份验证协议。

关于TLS的主题，我们可以看到两个相关参数

1. TLS

这是“激活”opportunistic TLS选项的参数

意思是，在其他邮件服务器尝试与 Exchange 服务器通信的情况下，Exchange 服务器将提议使用 TLS。
如果“其他邮件服务器”不如果支持 TLS，Exchange 服务器将“同意”使用 SMTP 协议。

注意：我的观点是，AuthMechanism 部分中机会主义 TLS 的定义有点不准确，因为从技术上讲，TLS 协议并不强制要求进行身份验证。

2. BasicAuthRequireTLS

此选项相关，主要适用于邮件客户端（例如 POP3 或 IMAP4 邮件客户端）对本地 Exchange 进行寻址、要求“检索”邮件项目的场景。

在这种情况下，邮件客户端将需要通过提供用户凭据来进行识别。

大多数邮件客户端将通过使用基本身份验证（BasicAuth）“传递”用户凭据，其中用户凭据不会加密。

-BasicAuthRequireTLS 选项指示邮件客户端通过安全通信通道 (TLS) 传送用户凭据，而不是使用标准通信通道（非加密通信通道）。

3.需要 TLS

Exchange 本地接收连接器中的第二个参数包含与强制 TLS 配置相关的附加参数，名为 - 需要 TLS

我们将在本文中简要讨论此选项。

使用 Exchange 图形界面查看 Exchange 本地接收连接器设置

当我们使用Exchange Graphic界面时，用于查看与opportunistic TLS选项相关的设置，需要强调的是，只有一个参数与 机会主义 TLS 直接相关。

在下面的屏幕截图中，我们可以看到我们可以选择以下选项之一：

1.传输层安全（TLS）

选择此选项将在本地 Exchange 中“激活”机会性 TLS选项>接收连接器。

这是与“服务器到服务器”通信主题以及机会主义 TLS 功能相关的唯一选项。

2.启用域安全（相互验证 TLS）。

此选项与名为“域安全”的非常具体的配置相关。

据我了解，域安全选项仅与涉及的两个方都是基于 Exchange 本地服务器的场景相关。

3.基本身份验证

-仅在启动 TLS 后提供基本身份验证选项与“客户端到服务器”场景相关，其中使用 POP3/IMAP4 的邮件客户端需要连接 Exchange -使用TLS协议的本地服务器。需要“发送”到邮件服务器（在我们的场景中为本地 Exchange）的用户凭据将通过 TLS 安全通信线路进行传输。

我如何知道我的本地 Exchange 支持机会性 TLS？

如果我们想要验证特定邮件服务器是否支持使用 TLS 协议进行通信的选项，我们可以 Telnet 特定服务器并使用 EHLO 命令来获取“目标服务器”上存在的可支持选项的列表。

例如，我们将使用以下 Telnet 语法来 telnet 代表域名的邮件服务器 - o365info.com：

在下面的屏幕截图中，我们可以看到结果：

列表中显示的命令之一是 - 250-STARTTLS

如果响应中列出“250-STARTTLS”，则提供机会性 TLS。

在线交流 |出站和入站邮件连接器

在本节和下一节中，我们将回顾 Exchange 中机会主义 TLS 的主题基于在线的环境。

如前所述，在基于 Exchange Online 的环境中，我们使用不同的术语来描述邮件连接器。

• 传出邮件连接器称为 - 出站连接器
• 传入邮件连接器称为 - 入站连接器

好的，现在有一个有趣的事实 - 默认情况下，Exchange Online 不包含任何出现在 Exchange Online 管理员管理界面中的默认邮件连接器！

Exchange Online 环境被视为 SaaS（软件即服务）。

在 Office 365 和 Exchange Online 环境中，没有针对特定 Office 365 租户的“专用”邮件服务器，而是有一组服务并代表所有 Office 365 租户的邮件服务器。

Exchange Online 入站连接器

Exchange Online 为每个 Office 365 域租户使用“专用”入站连接器在 Office 365 中注册并配置为邮件使用，但此入站连接器的设置不会出现在 Exchange Online 管理员管理界面中。

Exchange Online 出站连接器

我们所知道的是，对于传出邮件基础结构，Exchange Online 使用 EOP（Exchange Online Protection）作为传出邮件 + 传入邮件的基础结构。

所有 Office 365 租户的“传出”邮件均通过 EOP（Exchange Online Protection）服务器阵列传送。

可能出现的一个明显问题是：

问：我可以创建自定义出站连接器 + 入站连接器r位于我的租户的 Exchange Online 环境中吗？

A：答案是“是”，我们可以创建自定义出站连接器 + 入站连接器，将用于 - 实现特定路由场景、特定身份验证场景或者，用于使用 TLS 配置安全通信通道。

稍后在文章 xx 中，我们将回顾在基于 Exchange Online 的环境中创建和配置自定义出站连接器 + 入站连接器的主题。

Exchange Online 基础设施 |入站邮件连接器 |机会性 TLS 和强制 TLS 两个实体

在上一节中，我们声明默认情况下，Exchange Online 不包含出现在 Exchange Online 管理员管理界面中的任何连接器，但 Exchange Online 包含：

1. “附加”到特定 Office 365 租户域名的入站连接器。
2. 未附加到特定域名的“通用入站连接器”。此通用入站连接器“附加”到公共主机名 - office365.com

从技术上讲，需要寻址代表特定域名的 Exchange Online 服务器（在 Office 365 注册其公共域名的 Office 365 租户）的外部邮件服务器可以使用两种方法寻址 Exchange Online 基础结构：

1. 寻址 MX 记录中出现的主机名
2. 寻址“通用主机名” - smtp.office365.com

两个 Exchange Online“实体”之间的主要区别在于 TLS 设置。

• MX 记录中显示的 Exchange Online 实体配置为使用 机会性 TLS。
• 由主机名表示的 Exchange Online 实体 - office365.com 配置为使用 强制 TLS

换句话说，当邮件服务器寻址主机名 - smtp.office365.com 时，Exchange Online “要求”将通信实现为安全通信通道，使用TLS 协议。

使用 MX 记录中显示的主机名寻址 Exchange Online

“标准邮件通信”，其中外部邮件服务器尝试寻址代表特定域的 Exchange Online 服务器，将通过查找代表特定域的 MX 记录来实现。

在 Office 365 和 Exchange Online 环境中，我们使用由 Exchange Online 基础结构表示的主机名发布 MX 记录。

例如，域名 o365pilot.com 已在 Office 365 中注册，邮件基础结构托管在 Exchange Online 上。

出现在 MX 记录中“指出”代表该域的邮件服务器的主机名基于以下命名约定。

在我们的具体场景中，主机名将是 - o365pilot-com.mail.protection.outlook.com

MX 记录中显示的 Exchange Online 主机名“绑定”到支持以下功能的 Exchange 接收连接器 机会主义 TLS 选项。

在外部邮件服务器使用 SMTP 协议对特定 Office 365 租户的 Exchange Online 主机名进行寻址的情况下，Exchange Online 将尝试提供使用 TLS 协议。

• 如果外部邮件服务器（源服务器）也支持TLS选项，则通信通道将使用TLS来实现。
• 在外部邮件服务器（源服务器）不支持TLS选项的情况下，通信通道将使用SMTP来实现。

在下图中，我们可以看到邮件流场景的示例，其中外部邮件服务器通过使用 MX 记录中显示的主机名来寻址 Exchange Online 服务器。

外部邮件服务器可以“选择”使用非加密邮件协议 - SMTP 或加密邮件协议 - TLS。

问：我如何知道代表我的域的 Exchange Online 主机名支持机会主义 TLS？

A：我们将尝试使用代表 Office 365 租户的 Exchange Online 主机名创建 SMTP telnet 会话。

在我们的示例中，我在 Office 365 注册的公共域名是 - o365info.com

域名 - o365info.com 的 MX 记录中显示的主机名是：
o365info-com.mail。 Protection.outlook.com

何时尝试使用以下命令远程登录该主机名

Telnet o365info-com.mail.protection.outlook.com 25

在下面的屏幕截图中，我们可以看到，在输入EHLO命令后，Exchange Online服务器回复了“支持的选项”列表。此选项之一是命令 - 250-STARTTLS

在此阶段，我们无法确定主机是否支持 强制 TLS 或 机会主义 TLS

为了能够验证服务器（Exchange Online）是否也支持“标准 SMTP”会话，我们将尝试使用以下命令创建标准 SMTP 会话：

邮件来自：

在下面的屏幕截图中，我们可以看到 Exchange Online 服务器回复了“answer”：250 2.1.0 Sender OK

意思是我们可以使用“标准 SMTP”会话

使用主机名 smtp.office365.com 寻址 Exchange Online

其他 Exchange Online 实体由主机名 smtp.office365.com 表示

从技术上讲，“smtp.office365.com Exchange Online 实体”可以代表托管在 Exchange Online 基础结构上的所有 Office 365 原则。

换句话说，如果邮件服务器需要寻址代表特定 Office 365 租户（特定公共域名）的 Exchange Online 邮件服务器，则外部邮件服务器可以寻址主机 smtp.office365 .com，而不是查找代表特定 Office 365 域的 MX 记录。

“Exchange Online smtp.office365.com 实体”的主要目的是仅启用安全邮件通信，即 强制 TLS。

换句话说，寻址 Exchange Online smtp.office365.com 实体的唯一方法是使用 TLS。

我们需要处理 Exchange Online smtp.office365.com 实体的场景示例是：其中我们有启用邮件的应用程序或启用邮件的设备，需要“使用”Exchange Online 服务器来发送邮件。

过去，实现此类场景的唯一可能方法是配置启用邮件的设备\应用程序来寻址主机名 -
smtp.office365.com

此要求的最大障碍是大多数支持邮件的设备不支持 TLS。

如今，解决方案更简单，因为我们可以将启用邮件的设备配置为使用“标准”Exchange Online 主机名，而不需要强制要求使用 TLS。

注意：要启用启用邮件的设备\应用程序以使用 SMTP 寻址 Exchange Online 服务器并将邮件发送给内部 + 外部收件人，我们需要手动创建一个入站连接器来识别此邮件客户端通过他们的公共IP地址。

在下图中，我们可以看到通常在启用邮件的设备或应用程序使用预定义的主机名 smtp.office365.com 对 Exchange Online 服务器进行寻址时实现的邮件流示例

问：我如何知道 Exchange Online 主机名 smtp.office365.com 仅支持 强制 TLS？

A：我们将尝试使用 Exchange Online 主机名 smtp.office365.com 创建 SMTP telnet 会话

何时尝试使用以下命令远程登录该主机名

Telnet smtp.office365.com 25

在下面的屏幕截图中，我们可以看到，在输入EHLO命令后，Exchange Online服务器回复了“支持的选项”列表。此选项之一是命令 - 250-STARTTLS

在此阶段，我们无法确定主机是否支持 强制 TLS 或 机会主义 TLS

为了能够验证服务器（Exchange Online）是否也支持“标准 SMTP”会话，我们将使用以下命令：

邮件来自：

在下面的截图中，我们可以看到Exchange Online服务器回复了“answer”：

530 5.7.57 SMTP；客户端未经过身份验证，无法在 MAIL FROM 期间发送匿名邮件

意思是我们不能使用“标准 SMTP ”会话

注意： 标准 cmd telnet 客户端不支持使用 TLS 协议的选项

下一篇

TLS 文章系列的下一篇文章（在 Exchange 本地环境中配置强制 TLS 选项 | 第 4#12 部分）专门介绍主题 - 在 Exchange 本地环境中配置强制 TLS 选项。