Accepter les mails relayés par une adresse IP sur un serveur EDGE
- [ENV 2007 - 2003]
Bonjour,
Je voudrais savoir ce que je dois activer pour autoriser la réception de mails relayés par mon serveur SMTP localisé sur un autre site.
Je pensais que le simple ajout de son adresse IP en "liste verte" permettrait le transit, mais quand je teste en envoyant un mail depuis une adresse gmail vers un destinataire interne, j'obtiens le message de non remise, relay denied.
Dois je créer un connecteur ou bien y a t'il une réplication à attendre?
--> dois je forcément passer par le shell pour créer l'autorisation: (ajouter l'autorisation "AllowAnySender").
Autrement j'ai trouvé ceci, validez vous le process?
http://offroad.gonzofamily.com/2008/11/16/relay-smtp-avec-exchange-2007/
Le process décrit dans le lien est le suivant:
-Création d'un nouveau connecteur de réception SMTP "PERSONNALISE"
-Ajouter l'adresse IP du serveur SMTP concerné
-Aller dans "Permissions Groups" et Activer les autorisations souhaitées (ex: "Anonymous","Partners") --> "Partners" correspond t'il au domaines de confiance?
-Pour autoriser le relais, lancer la commande shell:Get-ReceiveConnector “NOM_DU_CONNECTEUR” | Add-ADPermission -User “ANONYMOUS LOGON” -ExtendedRights “ms-Exch-SMTP-Accept-Any-Recipient”
Dois je forcément avoir une IP par conencteur ou puis je utiliser celle du connecteur par défaut?
Merci à vous- ModifiéGCha mercredi 7 octobre 2009 14:39Solu possible?
Réponses
- Réponse trouvée !!
-Positionner un connecteur de routage sur le 2003 pour pointer vers l'@ IP du EDGE
-ajouter une @IP au serveur EDGE (propriété avancé carte réseau)
-Créer un connecteur de réception sur le EDGE et ne laisser cocher dans Authentification que Externally secure --> décocher TLS, et dans Permission Groupe Exchange ou Anonymous ca ne joue pas.
-ajouter le domaine accepté a relayer
ne pas oublier de faire tout le NAT et routage nécessaire au niveau firewall.
Et ca fonctionne :)- Marqué comme réponseRoxana PANAITMSFT, Modérateurlundi 26 octobre 2009 12:32
Toutes les réponses
Je voudrais savoir ce que je dois activer pour autoriser la réception de mails relayés par mon serveur SMTP localisé sur un autre site.
Tout cela fait partie d'une même forêt (voire domaine) ou non?
--> dois je forcément passer par le shell pour créer l'autorisation: (ajouter l'autorisation "AllowAnySender").
Sauf erreur de ma part, vous pouvez utiliser l'Assistant Nouveau connecteur d'envoi dans l'EMC (GUI) - à moins que le connecteur ne soit pas de type SMTP (pas votre cas).
Dois je forcément avoir une IP par conencteur ou puis je utiliser celle du connecteur par défaut?
Je crois qu'il faut créer un connecteur distinct, et avoir une adresse IP distinct (je ne m'occupe d'un seul site moi-même). Voir le lien ci-dessous.
Attendant confirmation de votre part, concernant la question de savoir si tout est dans la même forêt, je crois que le type de connecteur qu'il vous faut, dans l'affirmatif, serait plutôt "Internal". Il s'agit d'une seule et même organisation, non ?
http://technet.microsoft.com/fr-fr/library/bb125128.aspx- Ah oui ! Si tout se fait bien en interne, c'est au serveur Hub Transport (et non pas EDGE) qu'il faut configurer le connecteur. Cela seul pourrait expliquer vos soucis.
- Et bien, oui je n'ai pas été clair dans ma description.
Il s'agit de 2 forêts différentes.
Donc je pense que je ne vais pas y couper concernant ce que j'ai indiqué.
Par contre, savez vous comment faire pour indiquer le site en partenaire? afin de le pas activer les connexions anonymes?
Merci - Pour l'authentification:
"vous établissez une authentification TLS (Transport Layer Security) mutuelle avec un domaine distant."
Cela vient de l'article Technet que j'ai cité plus haut. Voir la section concernant les sites partenaires.
Pour désigner l'autre site, encore une fois, je crois qu'il faut indiquer l'IP correspondant au serveur Hub Transport en question... ou Edge puisque vous avez là deux organisations distinctes (???).
A vrai dire, je n'ai jamais géré un réseau à deux forêts, de sorte que je ne peux pas répondre à votre question en me fondant sur une expérience acquise.
A votre place, je ferais une recherche (Google ou autre) sur la configuration d'une authentification TLS. - Bonjour,
Passons outre la notion de TLS .
Savez vous s'il est forcément nécessaire de spécidier une adresse IP pour le nouveau connecteur ou bien s'il suffit de changer juste le port de communication?
Merci - Moi j'ai toujours fait par adresse Ip
cdlt
Ludo Je vais expliciter:
L'action que je fais:
sur le EDGE ou sur le HUB:
-Créer un nouveau connecteur SMTP de réception
-adresse IP locale de réception: 0.0.0.0 255.255.255.255 sur le port 2525 --> différent de mon connecteur par défaut interne (je fais ouvrir le port sur le firewall)
-Receive mail from remote servers: ICI JE FIXE MON ADDRESSE IP du SMTP distant
-PermissionGroup: "Anonymous Users"
Donc je réitère ma question: Puis je utiliser la même adresse IP pour tous mes connecteurs tant que je spécifie un port différent?
MerciBonsoir,
Bon le problème de réécriture persiste.
Situation actuelle: utilisation du connecteur par défaut créé quand on établit la liaison entre le EDGE et le HUB.
Actuellement réécriture pour tout le domaine de test via la commande:
New-AddressRewriteEntry -Name "relais" -InternalAddress
tech.X.be -ExternalAddress groupe-Y.com
J'ai donc la règle active et l'agent de réécriture aussi:
Identity Enabled Priority
-------- ------- --------
Connection Filtering Agent True 1
Address Rewriting Inbound Agent True 2
Edge Rule Agent True 3
Content Filter Agent True 4
Sender Id Agent True 5
Sender Filter Agent True 6
Recipient Filter Agent True 7
Protocol Analysis Agent True 8
Attachment Filtering Agent True 9
Address Rewriting Outbound Agent True 10
--> Le serveur HUB fait bien autorité pour le domaine.
--> Le mail est envoyé depuis une adresse du domaine tech.X.be vers une adresse externe "EMAIL REMOVED", il transite bien vers le serveurs EDGE (car quand j'active un connecteur de relais spécifique sur le EDGE en plus du défaut, cela bloque le message) et arrive bien mais le nom de domaine: tech.X.be n'est pas réécrit par groupe-Y.com
Je ne parviens pas à trouver d'ou vient le problème.*
Y a t'il une activation supplémentaire à faire en dehors de l'agent et de la règle de réécriture?Merci de votre aide.
- Réponse trouvée !!
-Positionner un connecteur de routage sur le 2003 pour pointer vers l'@ IP du EDGE
-ajouter une @IP au serveur EDGE (propriété avancé carte réseau)
-Créer un connecteur de réception sur le EDGE et ne laisser cocher dans Authentification que Externally secure --> décocher TLS, et dans Permission Groupe Exchange ou Anonymous ca ne joue pas.
-ajouter le domaine accepté a relayer
ne pas oublier de faire tout le NAT et routage nécessaire au niveau firewall.
Et ca fonctionne :)- Marqué comme réponseRoxana PANAITMSFT, Modérateurlundi 26 octobre 2009 12:32
- Ajout concernant le domaine accepté.
Méfiez vous en production si vous mettez le domaine accepté en autoritatif et que vous ne gérez pas le nom de domaine. Si les règles antispam sont activées vous serez susceptible de bloquer le trafic de messagerie entrant issu du domaine relayé.
Si vous ne gérez pas le nom de domaine, placez le "domaine accepté" en type "relais externe".
bonne journée
