易宝典文章——玩转Exchange Server 2013 之十 怎样管理邮箱邮件流功能之传递限制

 

可能在邮件系统的管理过程中会遇到各种需要控制收发邮件的情形。比如,针对某个用户只能让其接收来自特定用户的邮件;或者,需要禁止某个用户或某个群体不能向特定的邮箱发送邮件;此外,或许要限制接收来组织外的邮件,即非并邮件系统的用户发送的邮件绝收。诸如此类的问题,可以通过对邮箱设置传递限制很好的解决。

下面将介绍如何利用Exchange Server 2013实现上述功能,以便为用户提供更好的邮件流控制呢?Exchange Server 2013可以通过收件人管理来实现接收或者拒收指定对象发送来的邮件,因此操作过程是在邮件的接收方完成的。

一、实现单用户邮件传递限制,即禁止或只允许A用户向B用户发送邮件。

1、通过IE访问https://exchange-server(FQDN)/ecp打开EAC。在Exchange管理中心窗口中,点击导航栏中的“收件人”,选择右边窗口导航条中的“邮箱”,选择要限制接收邮件的用户邮箱,即B用户邮箱,点击“编辑”按钮。

clip_image002

2、在“用户邮箱”对话框中,选择“邮箱功能”选卡,点击“邮件传递限制”的“查看详情”。

clip_image004

3、打开“邮件传递限制”对话框,默认值为接收所有发件人邮件。可以将“接收以下来源的邮件”中的默认选中的“所有发件人”改为“仅限以下列表中的发件人”,然后编辑列表。

如果需要限制只接受来自该组织内的邮箱发送的邮件,则只需要勾选“要求所有发件人均通过身份验证”即可,默认接收来自所有发件人发送的邮件,包括其它组织或邮件系统发送的邮件。

clip_image005

4、如果针对“sanzhang”用户来讲,只允许“sili”向其发送邮件,即只接收“sili”发送的邮件。那么在此处点击“+”,打开“选择成员”对话框。在列表中选择需要操作的邮件地址。点击“添加”,“确定”即可。

clip_image006

注意:如果需要对外部邮件系统的发件人进行约束或操作,需要将外部发件人的邮件地址事先以“邮件地址用户”或“联系人”的形式在Exchange组织中进行添加。

5、当然如果“sanzhang”想拒收“sili”邮件,那么可以通过将“拒绝以下来源的邮件”中默认选中的“无发件人”改为“以下列表中的发件人”,然后编辑列表,对拒收发件人进行增减。

clip_image007

6、一个有趣的现象,如果在上下两个列表中都存在相同的某个发件人,Exchange Server 2013将如何处理?

clip_image008

幸运的是,Exchange Server 2013在设计的时候已经避免了这一冲突的出现,当存在这个配置的时候,点击“确定”时,EAC将会弹出错误提示对话框。

clip_image010

此时,只须返回“邮件传递限制”对话框,对两个列表中的冲突发件人按照需要进行取舍即,如:不再拒收“sili”的邮件,只让其存在允许列表中。

clip_image011

7、验证当只有“sili”和“wuwang”存在“sanzhang”的允许接收列表中时,勾选“要求所有发件人通过身份验证”选项,其中“sili”是用户邮箱,“wuwang”是组织联系人“sili”、“wuwang”和其他用户或联系人向“sanzhang”发送邮件的结果。

clip_image012

如果是组织内的其他邮箱用户直接通过MAPI和OWA向“sanzhang”发送邮件,将在填写完收件人时,收到警告提示。

clip_image014

但是如果是“sili”登录发送则不会收到拒收提示。在此需要强调的所谓登录发送即“sili”在发送邮件时必须提交身份验证,如:SMTP身份验证,使用OWA、MAPI等。由于“wuwang”根本就不是组织内邮箱用户,所以其无法提交身份验证,因此即使其存在于允许列表中也是无法向“sili”发送邮件的。

二、实现批量用户传递限制,即限制某一部分用户向A发送邮件。

如果需要方便快捷的限制批量用户向特定用户发送邮件,可以采用通讯组的方法来实现。针对需要操作的这些用户创建一个通讯组,然后在EAC中将其按需添加到用户邮箱的允许列表或拒收列表中即可实现。

后续如果要进行相应修改,只需要修改该通讯组的成员就能实现相关操作。这样可以方便的利用AD或者基于AD接口设计的企业用户管理系统来操作,而无须Exchange管理员来进行。

另一个有意思的问题出现了,如果一个用户如“sili”存在于一个通讯组“Beijing FTE”中,而对于“sanzhang”来讲,在其允许列表中存在“sili”并且在其拒收列表中存在“Beijing FTE”。那么“sili”是否能够向该邮箱发送邮件,或者说该邮箱是否能够收到冲突用户和组的邮件?答案是肯定的,即能够收到。其原因是针对单个发件人自身设置的权限优先级高于通讯组设置的权限,故即使“sili”属于被拒收的通讯组“Beijing FTE”,但其本身被授予了允许权限,因此“sili”发送给“sanzhang”的邮件能够正常被接收。

三、利用EMS的管理用户邮箱传递限制

1、如果需要确认某个用户邮箱是否被设置了传递限制,可以通过EMS的Get-Mailbox方便的获取。

Get-Mailbox sanzhang | fl AcceptMessagesOnlyFrom,AcceptMessagesOnlyFromDLMembers,RejectMessagesFrom,RejectMessagesFromDLMembers,RequireSenderAuthenticationEnabled

clip_image016

其中:

AcceptMessagesOnlyFrom 表示允许从哪些用户接收邮件

AcceptMessagesOnlyFromDLMembers 表示允许从哪些通讯组接收邮件

RejectMessagesFrom 表示拒绝从哪些用户接收邮件

ejectMessagesFromDLMembers 表示拒绝从哪些通讯组接收邮件

RequireSenderAuthenticationEnabled 表示是否启用发件人身份验证

如果RequireSenderAuthenticationEnabled值为True表示启用发件人身份验证,如果为False则表示禁用该选项。

clip_image018

2、为邮箱用户“sanzhang”设置允许发件人列表,允许接收“liuzhao”、“qiqian”和通讯组“Beijing FTE”内包含的所有用户的邮件。

Set-Mailbox sanzhang -AcceptMessagesOnlyFrom liuzhao,qiqian -AcceptMessagesOnlyFromDLMembers “Beijing FTE”

clip_image020

注意,该操作不是在现有列表的基础上追加,而是直接覆盖现有列表。如果需要向列表中追加发件人,需要使用“add”参数来实现。

Set-Mailbox sanzhang -AcceptMessagesOnlyFrom @{add=”sili”}

clip_image022

那么需要删除现有列表中的发件人可以使用“remove”参数。

Set-Mailbox sanzhang -AcceptMessagesOnlyFrom @{remove=”sili”}

clip_image024

同理如果需要在允许列表中添加或删除一个通讯组也需要使用“add”或“remove”来实现。

Set-Mailbox sanzhang -AcceptMessagesOnlyFromDLMembers @{remove=”Beijing FTE”}

clip_image026

3、为邮箱用户“sanzhang”启用检查用户身份验证,即通过身份验证的发件人用户才允许接收。

Set-Mailbox sanzhang -RequireSenderAuthenticationEnabled $true

clip_image028

禁用该选项。

Set-Mailbox sanzhang -RequireSenderAuthenticationEnabled $fales

clip_image030

4、对于拒收列表来讲,其操作和允许列表相同。如:

拒绝发件人“wuwang”和通讯组“Beijing FTE”中的发件人向“sanzhang”发送邮件。

Set-Mailbox sanzhang -RejectMessagesFrom wuwang -RejectMessagesFromDLMembers “Beijing FTE”

clip_image032

同样该操作仍然是覆盖现有拒收列表,如果只希望向现有列表中追加,依然需要使用“add”参数来实现。

Set-Mailbox sanzhang -RejectMessagesFrom @{add=”Ba Sun”}

clip_image034

本文所述:

操作系统版本:Windows Server 2012 R2 Datacenter Edition

邮件系统版本:Exchange Server 2013 SP1 Enterprise Edition