Exchange 本地 - 身份验证和邮件中继

在下面的文章中，我想回顾主题 Exchange 本地服务器、邮件中继、身份验证和匿名会话（未经身份验证的会话）。撰写本文的主要原因是试图澄清一些与该主题相关的错误概念和令人困惑的术语。

Exchange Server 身份验证和邮件中继

术语“邮件中继”或“中继邮件”似乎是与邮件基础设施相关的常用术语，但该术语有多种含义和不同的变体。

另一个示例可能是 Exchange 本地服务器的主题以及身份验证的需要。普遍的观点是，每个与 Exchange 服务器通信或寻址的元素都需要识别自己的身份才能完成邮件流会话，但这种“想法”仅适用于特定场景。

Q1：每台寻址Exchange服务器的主机都必须进行身份识别吗？

A1：一般来说，答案取决于特定场景以及客户端/主机需要从 Exchange 服务器获得的“服务”

• 必须识别需要访问其邮箱的交换邮件客户端（提供用户凭据）。
• 主机（例如需要向其中一个 Exchange 客户端（收件人）传递电子邮件的其他邮件服务器）不需要自行识别身份。
• 向 Exchange 服务器发送电子邮件并要求其将电子邮件传递给外部收件人（邮件中继）的主机需要自行识别他们的身份（提供用户凭据）。

为了能够更好地理解身份验证和 Exchange 基础环境的概念，我们需要了解在不同场景中与 Exchange 服务器进行通信的不同元素以及每个不同场景中的不同特征。

本地 Exchange 与 Exchange Online

o365info 网站主要致力于基于 Office 365 和 Exchange Online 的环境。具体文章涉及基于 Exchange 本地的环境。

尽管 Exchange Online 基于“Exchange 服务器技术”，但 Exchange 本地环境与“云”环境之间存在许多实施差异。

长话短说——大多数示例和屏幕截图都是相关的，主要与 Exchange On-Premise 环境相关。

本文的目的是提供有关由 Exchange 本地环境和 Exchange Online 环境组成的混合环境方案的更多信息。

谁是与基于 Exchange 的服务器通信的“元素”？

这个问题的答案也可能相当复杂，因为可以与 Exchange 服务器通信的“实体”有很多种类型，并且每个实体都有独特的特征和行为。

让我们从一个非常高级的分类开始：客户端与服务器。

1.邮件客户端

当我们大多数时候使用术语“邮件客户端”时，我们将 Exchange 客户端与他们的邮箱托管在 Exchange 服务器上有关，并且此“邮件客户端”地址 Exchange 服务器要求他提供以下服务之一：

• 访问他存储在 Exchange 邮箱中的数据。
• 将电子邮件传递给其他邮件收件人。

术语“邮件客户端”，可以翻译为具有 Exchange 邮箱的邮件客户端，并且他需要访问存储在他的邮箱中的数据。

另一种类型的邮件客户端可能是没有 Exchange 邮箱的设备或应用程序，而是将 Exchange 作为“邮件服务器”，要求其将电子邮件“传递”给某个收件人。

我们可以使用术语“邮件客户端”的另一个分类是特定邮件客户端的类型。
Exchange 服务器支持多种邮件客户端。每个邮件客户端使用不同的邮件协议和不同的身份验证协议。

2.邮件服务器

当我们使用术语“邮件服务器”时，我们指的是与 Exchange 服务器寻址的另一个邮件服务器。

如果我们想得到更准确的描述，可以对术语进行额外的分类：邮件客户端和邮件服务器。

例如：

关于术语“邮件服务器”，该定义可以翻译为“附加 Exchange 服务器”，它是 Exchange 组织的一部分。

“Exchange 服务器”与其组织中的其他 Exchange 服务器有着特殊的关系。

许多与来自同一组织的 Exchange 服务器之间的通信过程相关的配置设置，例如自动配置的身份验证协议和访问权限。

很多时候，术语“邮件服务器”涉及任何“外部邮件服务器”，该服务器寻址 Exchange 服务器，要求其“接受”托管在 Exchange 服务器上的收件人之一的电子邮件。

邮件通信协议

关于基于 Exchange 的环境中的邮件通信协议这一主题，我们将继续使用邮件客户端与邮件服务器的基本分类。

邮件服务器通讯协议

对于与Exchange服务器通信的邮件服务器，最常见的通信协议是SMTP协议。

在某些情况下，将使用的通信协议是 TLS，它用于加密两个端点（Exchange 服务器和另一个邮件服务器）之间的通信通道。

客户端邮件通信协议

关于术语“邮件客户端”，我将邮件客户端分为两大类：

1.标准 Exchange 邮件客户端

该组包括所有熟悉的邮件客户端，例如 Outlook、OWA 和移动客户端。
OWA 和 Outlook 邮件客户端使用 HTTPS 协议与 Exchange 邮件服务器通信，移动邮件客户端使用 ActiveSync 协议与 Exchange 通信邮件服务器。

关于 Outlook 邮件客户端，如果我们想要更准确的话，Outlook 邮件客户端使用邮件协议的组合，例如 RPC over HTTPS 或 MAPI over HTTPS，但为了简单起见，我们可以说OWA和Outlook邮件客户端使用的HTTPS协议就是邮件通信协议。

2.特殊或非标准 Exchange 邮件客户端

在此澄清下，我将邮件客户端称为“Internet 邮件客户端”。

该术语与旧的邮件客户端相关，它们使用过去非常流行的通用互联网协议来与基于 Exchange 的服务器进行通信。

互联网邮件客户端使用 - POP3 和 IMAP4 从邮箱中检索电子邮件，并使用 SMTP 进行“通过 Exchange 服务器发送”电子邮件消息。

Exchange 服务器可以支持此类邮件客户端，但在大多数场景中，例如 Exchange 本地环境或“基于云的 Exchange 环境”（Office 365 和 Exchange Online），不使用或不支持此协议。

与 Exchange 服务器通信的“实体”以及请求的服务类型

1. Exchange 邮件客户端和 Exchange 服务器

让我们从 Exchange 客户端和 Exchange Server 之间存在的关系开始：
Exchange 客户端“使用”Exchange 服务器的两项主要服务：

1.访问邮箱数据

具有 Exchange 邮箱的 Exchange 客户端连接 Exchange 服务器，提供所需的凭据并要求 Exchange 访问位于 Exchange 邮箱中的数据。

2.寻址 Exchange 服务器以传送电子邮件

Exchange 客户端从 Exchange 服务器“使用”的第二个常见服务是 - Exchange 客户端向 Exchange 服务器发送电子邮件并“要求”他将电子邮件传递给其他 Exchange 收件人或外部（非 Exchange 收件人）的服务。 ） 接受者。

2. “其他”客户端和 Exchange 服务器

我使用术语“另一个邮件客户端”来描述任何实体或主机，它们对 Exchange 服务器进行寻址并要求他将电子邮件传递给某个“目标收件人”。

这个“另一个邮件客户端”没有 Exchange 邮箱。

该邮件客户端可以是基于网络的应用程序、支持邮件的设备（例如打印机或扫描仪）或任何其他非消耗邮件服务的设备。

“元素”向 Exchange 服务器发出请求，要求其将电子邮件传递给特定收件人的场景可以通过经过身份验证的会话或未经身份验证（匿名）的会话来实现：

1. 匿名 - 一种方法，其中寻址 Exchange 服务器的“元素”不提供任何用户凭据，或者换句话说，不进行身份验证。
2. 通过提供用户凭据进行身份验证 - 一种由寻址 Exchange 服务器的“元素”提供用户凭据的方法。
3. 基于 IP 地址的身份验证 - 在此方法中，寻址 Exchange 服务器的“元素”不提供任何用户凭据，而是使用已有的特定 IP 地址。

3.邮件服务器和Exchange服务器

当我使用术语“邮件服务器”时，我指的是代表外部域（不受 Exchange 管理的域）的外部邮件服务器，该域的地址 Exchange 服务器要求他将电子邮件传递或转发到特定的地址。由 Exchange 托管的收件人。

与基于 Exchange 的服务器和身份验证协议进行通信的“实体”

在本节中，我们将继续使用与 Exchange 服务器通信的不同“实体”的分类，但这一次，我想重点关注身份验证基础结构的主题。

Exchange 邮件客户端和 Exchange 服务器

当涉及到 Exchange 客户端时，“身份验证”的需要是强制性要求。

寻址 Exchange 服务器的 Exchange 客户端，要求任何类型的服务，需要首先提供其凭据，只有凭据经过验证，Exchange 才会“同意”提供特定服务，例如访问邮箱数据或发送电子邮件信息。

每个不同的 Exchange 客户端（例如 Outlook、OWA 或移动客户端 (ActiveSync)）使用不同的身份验证协议，并且该协议具有特定的字符。

OWA邮件客户端

在下面的屏幕截图中，我们可以看到可以为 OWA 邮件客户端配置的不同身份验证设置。
OWA 邮件客户端可以使用身份验证方法，例如：

• 集成 Windows 身份验证
• 基本身份验证
• 摘要式认证
• 基于形成的身份验证

ActiveSync 邮件客户端

在下面的屏幕截图中，我们可以看到可以为 ActiveSync 邮件客户端配置的不同身份验证设置。
ActiveSync 邮件客户端可以使用以下身份验证方法：

• 基本身份验证
• 客户端证书

IMAP4\POP3邮件客户端

在下面的屏幕截图中，我们可以看到可以为 IMAP4\POP3 邮件客户端配置的不同身份验证设置。
IMAP4\POP3 邮件客户端可以使用身份验证方法，例如：

• 清晰的文字
• 通过 TLS 的明文

Outlook (MAPI) 邮件客户端

在下面的屏幕截图中，我们可以看到可以为 Outlook 邮件客户端配置的不同身份验证设置。

Outlook (MAPI) 邮件客户端，可以使用身份验证方法，例如：

• 基本身份验证
• NTLM认证

Internet 邮件客户端、“其他”邮件客户端、邮件服务器和 Exchange 服务器

在上一节中，我们回顾了 Exchange 客户端用于与 Exchange 服务器通信的“接口”。

在本节中，我想回顾一下用于与“SMTP 客户端”通信的“其他 Exchange 通信接口”。

术语“SMTP 客户端”涉及对本地 Exchange 进行寻址并请求 Exchange 服务器将电子邮件传递/转发给 Exchange 收件人或其他外部收件人的主机。

专门用于侦听 SMTP 通信请求（有时还侦听 TLS 协议）的“Exchange 接口\组件”是 Exchange 接收连接器 。
Exchange“SMTP 侦听器”（Exchange 接收连接器) 配置为默认设置。

例如 - 默认情况下，Exchange 服务器接收连接器配置为接受匿名（未经身份验证）来自想要将电子邮件传递给 Exchange 收件人的“实体”的 SMTP 连接。

术语“Exchange 收件人”定义具有 Exchange 邮箱的 Exchange 客户端或具有使用 Exchange 服务器“负责”的域名（权威域）的电子邮件地址的收件人。

换句话说，默认情况下任何实体都可以寻址 Exchange 服务器、启动 SMTP 会话并将电子邮件转发给 Exchange 收件人。

虽然这个“声明”看起来有点奇怪，因为我们脑海中出现的第一个联想可能是——这种行为是一个“安全问题”，可以被敌对分子利用，但我们不应该忘记，在设计上，每个邮件服务器都是默认情况下创建用于与代表“外部实体”的“未知”元素进行通信。

外部邮件服务器对 Exchange 本地服务器进行寻址，并“要求他”将电子邮件传递给名为 John ([email protected]) 的收件人。

由于 Exchange 本地负责域名 - o365info.com，并且由于 Exchange 托管 John 的邮箱，因此 Exchange 服务器将“同意”接受旨在 [email protected]。

请注意，在这种情况下；外部邮件服务器未向 Exchange 本地服务器提供任何凭据。这种“行为”是大多数时候在邮件服务器之间实现的标准邮件流。

使用经过身份验证的会话

在某些情况下，邮件服务器（“其他”邮件服务器中的 Exchange 服务器）之间的通信将配置为外部邮件服务器必须在 Exchange 本地服务器之前通过以下方式进行身份验证：提供特定凭据或特定服务器证书。
在当前文章中，我们不会涉及此类场景。

Exchange 服务器和接收连接器

“侦听”传入 SMTP 通信请求的 Exchange 组件是 Exchange 接收连接器。

默认情况下，Exchange 使用默认的接收连接器，该连接器是在我们安装 Exchange 服务器时自动创建的。默认 Exchange 接收连接器是使用以下命名约定创建的：

• 客户端
• 默认

在下面的屏幕截图中，我们可以看到此 Exchange 接收连接器 + 另一个 Exchange 接收的示例为特定邮件流需求手动创建的连接器。

Exchange 服务器和接收连接器身份验证设置

如上所述，默认情况下，Exchange 接收连接器配置为支持匿名 SMTP 通信请求。

在下面的屏幕截图中，我们可以看到 Exchange 接收连接器 上的配置设置，名为 - Default