在邮箱迁移项目的最后阶段,还需考虑对企业内部的非普通用户客户端的邮件中继,例如多功能打印机(MFP)、或者第三方的应用程序(发工资条Payroll软件)。
如果这些MFP、应用程序能够提交邮箱凭据进行发件人身份验证,那么可以参照以下微软TechNet文章的选项1,将这些设备、应用程序设置成直接通过Office 365发送电子邮件。
如何设置多功能设备或应用程序以使用 Microsoft 365 或 Office 365 发送电子邮件
https://docs.microsoft.com/zh-cn/exchange/mail-flow-best-practices/how-to-set-up-a-multifunction-device-or-application-to-send-email-using-microsoft-365-or-office-365#run-diagnostic-to-set-up-applications-or-devices-sending-email-using-microsoft-365
1. Exchange 匿名SMTP中继适用场景及拓扑
本文介绍的是上文中提及的最后一个选项: 使用自己的邮件服务器通过多功能设备和应用程序发送电子邮件,即将混合环境下的Exchange Hybrid Server配置成提供匿名smtp中继的服务器,从而允许MPF或者应用程序连接到这台Exchange 服务器,向组织内部或者外部收件人发送邮件。这适用于:
- 无法提供发件人身份验证的设备或应用程序,例如多功能打印机、某些网络设备、应用程序
- 邮件需要发送给外部收件人,例如,163、sina、Yahoo等 地址的收件人
如果组织里有很多这样的设备或者应用程序,那么不推荐用微软文章里的选项3:将连接器配置为使用 Microsoft 365 或 Office 365 SMTP 中继发送邮件。 因为那需要将所有设备/应用程序的公共IP都添加到SPF记录里,比较复杂。而用Exchange Server作为中继则相对简单些,只需要在SPF记录里添加Exchange Server的公共IP。
邮件流拓扑如下:
设备、应用程序连接至Exchange Server, Exchange Server 将邮件中继至Exchange Online,再发送给内/外部收件人。
2. 创建新的接收连接器并设置匿名SMTP中继
1). 可以在Exchange管理中心中访问邮件流->接收连接器,点击+图标后打开新建连接器的页面。
2). 为新的接收连接器命名,角色选为前端传输,类型设成自定义
3) IP地址和端口页面保持默认设置,使用25端口
4)远程网络设置页面里,删除默认的全网段IP地址范围,添加需要通过Exchange的匿名smtp中继发邮件的设备(例如多功能打印机)、应用程序(如PayRoll)所在主机的IP地址,即smtp客户端的地址。如果已有其它的Exchange Server配置过匿名smtp中继和,可以参照下面步骤3从已有的连接器中复制远程IP。
5)完成新建接收连接器后,双击打开它进行安全性设置,在权限组中勾选允许匿名用户。
6)在Exchange Management Shell中运行以下命令, 将接收连接器配置成允许匿名中继。
可以通过Get-ReceiveConnector查看所有接收连接器的名称。连接器的完整名称前面是服务器的主机名,例如"Ex16\SMTP Open Relay" 中Ex16为主机名,SMTP Open Relay是新建接收连接器时设置的连接器名称。
Get-ReceiveConnector "Ex16\SMTP Open Relay" | Add-ADPermission -User 'NT AUTHORITY\Anonymous Logon' -ExtendedRights MS-Exch-SMTP-Accept-Any-Recipient
3. 从已有的匿名SMTP中继连接器中复制远程IP地址
1)查看所有匿名中继接收连接器
在未进行Exchange Online迁移之前,MFP或者其它应用有可能是使用Exchange 2010/2013/2016的smtp中继向组织内部或者外部用户发送邮件的。可以通过以下Exchange Management Shell 命令来查看当前Exchange 环境里已有的提供匿名smtp中继的接收连接器。
Get-ReceiveConnector | Get-ADPermission | Where {$_.User -Like '*anon*' -And $_.ExtendedRights -Like 'ms-Exch-SMTP-Accept-Any-Recipient'} | ft Identity, User, ExtendedRights2) 复制接收连接器的远程IP范围
如果已有另一台Exchange Server曾经配置了完整的远程IP,可以使用以下命令将其复制到新建的接收连接器中,而无需手工添加了。
下面命令将拷贝“Ex13\SMTP Relay”接收连接中配置的远程IP,设置为新建的"Ex16\SMTP Open Relay"接收链接的远程IP。
Set-ReceiveConnector "Ex16\SMTP Open Relay" -RemoteIPRanges (Get-ReceiveConnector "Ex13\SMTP Relay").remoteIPRanges4. 验证匿名邮件中继
将一台Windows 10/11客户机的IP地址添加到新建的接收连接器的远程IP里,例如10.0.0.9。
登录到这台客户机,打开Windows PowerShell, 使用Send-MailMessage 来发送一封测试邮件,请根据实际情况更改参数。
-SmtpServer 后为提供SMTP匿名中继的服务器的FQDN, 即在步骤2中添加了接收连接器的Exchange Server的FQDN。
-from 需使用后缀为有效接收域的邮件地址,并不要求真实存在邮箱。例如mfp@ejoinclass.com, ejoinclass.com是Exchange 及Exchange Online上都添加过的有效接收域。
-To 后是收件人邮件地址,可以是内部或者外部的email 地址。
Send-MailMessage -SmtpServer autodiscover.ejoinclass.com -From 'mfp@ejoinclass.com' -To 'huluwaejoin@163.com' -Subject 'Test email to external user' -Port 25注意: 运行Send-MailMessage命令的客户机,IP地址必须已添加到Exchange 接收连接器的远程IP 范围中。否则邮件发送会失败。
到收件方的邮箱里查验是否收到匿名中继的邮件。
注意: 由于发件人身份未经过验证,因此此类邮件很可能会被判定为垃圾邮件,而被收件方隔离或者放入垃圾邮件目录。例如Outlook.com的邮箱就会将其判定为垃圾邮件。
