locked
Exchange 2007 permite que algunos usuarios puedan enviar correos del tamaño mayor a los definidos RRS feed

  • Pregunta

  • Hola

    Se tiene una organización de Exchange 2007, en donde me he percatado que algunos usuarios si mandan un correo de tamaño mayor a 16MB hacia direcciones externas SÍ les permite realizarlo, siendo que esto no es debe de ser permitido, sin embargo he intentado con mi cuenta de usuario, moviéndola a la misma base de datos del otro usuario, definiendo las mismas características de envío y recepción máximas y al intentarlo NO me deja, me indica que el sistema de Exchange no permite este tipo de tamaños...

    He intentado con el conector de salida que hace un Relay hacia un servidor de anti-spam y aunque en el conector indica que no se puede mayor a 16MB, veo que se siguen formando en la QUEUE correos mayores a 16MB para ser enviados al proxy.

    Están configurados los elementos de la siguiente forma:

    • Organizational Configuration/Hub Transport/Global Settings/Transport Settings/Máximum receive size (KB)/Maximum send size(KB): 40960
    • Organizational Configuration/Hub Transpor/Send Connectors/SalidaProxy/Máximum Message Size(KB): 16384 (este reenvía hacia el Samrt Host que es el servidor de antispam)
    • Server Configuration/Hub Transport/HT01/Default HT01/Máximum Message size:40960

    Internamente SÍ se pueden enviar entre buzones internos correos hasta de 40MB, sin embargo al intentar enviar hacia el exterior solo debe de dejar hasta 16MB, si hago la prueba con mi cuenta, si me deja mayores a 40MB internamente y no mas de 16MB al mandar al exterior, PERO algunos usuarios aparecen en la queue del Hub Tranport que están enviando al exterior mas de 16MB, he cambiado la contraseña de esos usuarios e inicie sesión por Outlook/OWA/Anywhere y me manda el mensaje que no permite mas de 16MB....

    Aquí las preguntas son:

    1. ¿Porqué algunos usuarios aparecen en la queue con ese tipo de mensajes de tamaño no permitido al exterior?
    2. Entrando como ese usuario, no me deja mandar mensajes de gran tamaño, ¿entonces por que ocurre lo del punto 1?
    3. ¿Habrá algún error en la configuración de la organización?

    Saludos


    Doc MX

    martes, 7 de abril de 2015 1:27

Respuestas

  • Excelente,

    Sip, te sugiero revisar los logs de SMTPSend y los del MessageTracking una vez que los encuentres..  en los logs del message tracking puedes ver muchas cosas como por ejemplo...  por donde paso..  y.. otra cosa,,   esa parte de la aplicación de las restricciones a los mensajes, los limites aplicables a los mensajes, etc. se realiza en la etapa que se conoce como categorización o "categorizer" ..  te dejo este articulo que habla un poco mejor de esto

    http://msexchangeguru.com/2012/08/09/e2013-mailflow/

    esa info básicamente viene de la oficial 

    https://technet.microsoft.com/en-us/library/aa996349(v=exchg.141).aspx  

    de cualquier modo quedo a la espera

    Saludos

    • Propuesto como respuesta Moderador M martes, 14 de abril de 2015 16:10
    • Marcado como respuesta Moderador M viernes, 17 de abril de 2015 18:36
    lunes, 13 de abril de 2015 22:42

Todas las respuestas

  • Que tal DocMX

    Lei tu post y esta bastante bien redactado, felicidades, espero poder responder en el mismo formato.

    Inicialmente seria bueno identificar que saltos dieron esos correos.

    Quiero decir con esto que los mensajes pueden ser rastreados en base a su ID y saber porque servidor salieron y que conector utilizaron al salir. Esto permitirá confirmar que permisos "extendidos" tienen esos conectores y para que usuario.

    La idea es esta:

    * En los conectores de envio de la organización, habilitar el registro (logueo de protocolo) a "verbose"

    * Envia un correo de prueba de este usuario que si puede enviar a externos y, de preferencia enviarlo a un dominio como Hotmail.com de una cuenta tuya.. o de alguien que te pueda dar acceso a los encabezados de internet.

    * Basado en estos encabezados.. extraer el parámetro llamado "MessageID" Este luce como algo asi como: guid######@dominoqueenvia.com

    * En base a ese messageID, hacer una búsqueda del correo...  en el management Shell de Exchange

    get-transportserver | get-messagetrackinglog -messageid #################### | fl | clip

    * El "clip" es para que lo pegues en un notepad y puedas desplegarlo todo...

    * Una vez que lo tengas..   busca los parámetros que son clave:

    de cada evento (separados cada RunspaceID)  busca los parámetros:

    eventid, source,  connectorid, client, server hostname.

    de minimo vas a ver un evento de Send con la fuenta SMTP  ese te mostrara que conector (connectorid) se utilizo para la salida..  una vez confirmando esto..  es hora de revisar los permisos extendidos de ese conector...

    basado en el objeto que representa a ese conector de envio y los permisos que tiene asignado puedes identificar si tiene permisos de mas. Si gustas eso lo vemos mas a detalle después de estas primeras pruebas.

    Saludos!

     

    • Propuesto como respuesta Moderador M miércoles, 8 de abril de 2015 14:59
    • Votado como útil DocMX viernes, 10 de abril de 2015 1:52
    martes, 7 de abril de 2015 22:15
  • Hola Joel

    Gracias por tu respuesta, como no tengo acceso a la cuenta de usuario genere una regla de transporte para que me adicione como CCO para que me llegue el correo si es mayor a 16MB, estoy en espera de que llegue uno con ese estilo.

    Por otro lado, como te mencioné, identifiqué un usuario que había enviado correos de mayor tamaño a 16MB, a ese usuario le cambie la contraseña y entre por OWA y Outlook, sin embargo al intentar enviar con attach grande, me rechazo...Deja que llegue un correo con dichas características y te aviso del análisis.

    Saludos


    Doc MX

    jueves, 9 de abril de 2015 18:57
  • Hola DocMX, me parece que es un caso de configuracion, necesitas revisar lo siguiente:

    Abre el Shell del Exchange y vamos solicitar la siguiente información:

    1.- Set-TransportConfig

    verifica los siguiente:

    MaxSendSize(40MB), MaxReceiveSize (40MB),ExternalDsnMaxMessageAttachSize (?)

    Verifica que sea la configuración que necesitas, consulta.. has configurado 40MB de salida y de envio????

    2.- Get-Mailbox "alias" | Fl DisplayName,MaxSendSize,MaxReceiveSize

    Esto por cada usuario que puede enviar mas de 16MB, verifica que tengan el limite que deseas

    3.- Despues del SendConector a donde va? a un firewall, has verificado que tambien tenga el limite de 16MB

    Si nos puedes enviar los screenshot de los dos comandos, sería perfecto para revisarlo.

    saludos,


    Peter Chirinos | IT Consultant, MCP, MCSA Office 365, Microsoft Office Master, Software Developer, Microsoft Certified Professional, MAP , Microsoft Small Business Specialist| @peter_chirinos Por favor, recuerde marcar como respuesta las respuestas que hayan resuelto su problema. Es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.

    jueves, 9 de abril de 2015 21:00
  • Perfecto,

    Esperamos entonces.

    Por cierto, te sugiero que obtengas los "encabezados de internet" de ese correo y ocupes EXRCA para leerlos.. la pestaña de "headers analyzer" resulta  muy útil a la hora de leer estos.

    Saludos!

    jueves, 9 de abril de 2015 21:37
  • Hola

    Oye, ¿me puedes dar información sobre el como obtener los permisos "Extendidos", no me queda muy claro el como obtenerlos.

    Saludos


    Doc MX

    viernes, 10 de abril de 2015 0:42
  • Hola

    Ya no vi esta ultima comunicación el dia de ayer. Disculpa.

    Acerca de los permisos extendidos, se conocen como "Extended Rights" porque son permisos que se establecen sobre los diferentes usuarios y o grupos a los cuales se les agregan permisos especiales, como por ejemplo:

    Ms-Exch-Safe-Senders-Hash

    Para obtener estos permisos tenemos la forma grafica (recomiendo por ADSIEdit>Sin modificar nada aun) En la forma grafica se tiene que acceder a las propiedades del objeto que representa el conector de envio,,  el parámetro "Distinguished Name" del comando Get-SendConnector  | FL name, distinguishedname te da la ruta..  ya que lo encuentras,, se abren las propiedades del objeto y en la pestaña Security> Advanced ahí veras los permisos extendidos para cada usuario...

    y también por cmdlet.. algo asi como:  Get-SendConnnector "nombredelconnector que aparezca en el ConnectorID" | Get-ADPermissions | fl | clip

    El fl es para que despliegue todos los parámetros en formato de líneas  y el clip es para que lo pegues en un notepad..   porque el resultado es generalmente muy grande para ser desplegado en la consola de comandos.

    Como nota adicional...  son estos permisos extendidos los que hacen la diferencia cuando quieres hacer relay sobre un servidor de transporte,..   ahí muchos blogs y artículos donde habla de su uso cuando atacas problemas de open relay o cosas asi en conectores de recepcion.. en nuestro caso son conectores de envio..  pero también existen y quizá toque revisarlos.

    Espero la informacion ayude

    Saludos!

    viernes, 10 de abril de 2015 21:08
  • HolaYa obtuve la información, sin embargo el usuario en cuestión no aparece, ni individualmente ni ningún grupo al cual pertenezca...

    los únicos que me podrían parecer sospechosos son:

    Identity User Deny Inherited Rights
    Salida Internet NT AUTHORITY\ANONYMOUS LOGON False False ms-Exch-Send-Headers-Routing
    Salida Internet Everyone False True ms-Exch-Store-Create-Named-Properties
    Salida Internet Everyone False True ms-Exch-Create-Public-Folder
    Salida Internet Everyone False True GenericRead
    Salida Internet Everyone False True GenericRead
    Salida Internet MS Exchange\Edge Transport Servers False False ms-Exch-Send-Headers-Routing
    Salida Internet MS Exchange\Edge Transport Servers False False ms-Exch-Send-Headers-Forest
    Salida Internet MS Exchange\Edge Transport Servers False False ms-Exch-Send-Headers-Organization
    Salida Internet MS Exchange\Edge Transport Servers False False ms-Exch-SMTP-Send-Exch50
    Salida Internet MS Exchange\Externally Secured Servers False False ms-Exch-Send-Headers-Routing
    Salida Internet MS Exchange\Externally Secured Servers False False ms-Exch-SMTP-Send-Exch50
    Salida Internet MS Exchange\Hub Transport Servers False False ms-Exch-Send-Headers-Forest
    Salida Internet MS Exchange\Hub Transport Servers False False ms-Exch-Send-Headers-Organization
    Salida Internet MS Exchange\Hub Transport Servers False False ms-Exch-Send-Headers-Routing
    Salida Internet MS Exchange\Hub Transport Servers False False ms-Exch-SMTP-Send-Exch50
    Salida Internet MS Exchange\Legacy Exchange Servers False False ms-Exch-SMTP-Send-Exch50
    Salida Internet MS Exchange\Legacy Exchange Servers False False ms-Exch-Send-Headers-Routing
    Salida Internet MS Exchange\Partner Servers False False ms-Exch-Send-Headers-Routing
    Salida Internet NT AUTHORITY\ANONYMOUS LOGON False True ms-Exch-Store-Create-Named-Properties
    Salida Internet NT AUTHORITY\ANONYMOUS LOGON False True ms-Exch-Create-Public-Folder
    Salida Internet NT AUTHORITY\ANONYMOUS LOGON False True GenericRead
    Salida Internet NT AUTHORITY\ANONYMOUS LOGON False True GenericRead
    Salida Internet NT AUTHORITY\Authenticated Users True True ReadProperty
    Salida Internet NT AUTHORITY\NETWORK SERVICE False True ReadProperty, GenericExecute
    Salida Internet NT AUTHORITY\SYSTEM False True

    ms-Exch-Recipient-Update-Access

    Que opinas?

    Algo mas como comentario, ¿recuerdas que generé una regla de transporte para que los correos que manda el usuario me lleguen? ya la eliminé, reinicie las queue y todavía me siguen llegando!! de eso van 2 horas mas o menos y me siguen llegando... creo que eso no es normal para nada...

    Saludos

    • Editado DocMX sábado, 11 de abril de 2015 1:50
    sábado, 11 de abril de 2015 1:48
  • Ya veo.

    Disculpa que ya no conteste a tiempo.

    Básicamente acerca de los permisos AD, no veo problemas... lo que encuentras en el parámetro "users" son los pertenecientes a una coexistencia con versiones 2003 y servidores Edge, existen algunos artículos como este aquí donde se habla un poco mas de la habilitación de esos permisos extendidos o "rights" como te aparecen en la ultima columna. En ellos no veo que pueda estar el problema.

    Acerca del problema, veo que ya tenemos 2 jaja... lo de la regla que sigue aplicando, aun ya borrada y lo del tema del bypass de los limites de los mensajes..

    Para revisar el tema de la regla de transporte..  te sugiero 2 cosas..  

    *Se reinicio el servicio de transporte? Tocara también revisar que realmente la regla ya no exista por comando "Get-TransportRule"   

    *Solo para estar seguro..  busca en el ADSIEdit, en la parte de Configuracion y basado en la ruta del DistinguishedName de las reglas de transporte (no me lo se.. pero pùede ser algo como esto: CN=nombredelaregla,CN=TransportVersioned,CN=Rules,CN=Transport Settings,CN=blablabla,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=bla,DC=bla

    Para el tema  del mensaje, esta algo inusual, así que tocara que abras los headers de internet, si a ti te llego un correo de esos de mas de 16MB ..  ese tocaria revisar..  te podrias enfocar en 2 cosas... 

    *Los saltos que dio (lee los headers en el EXRCA>Message Headers)

    *Ya que tengas los headers, busca el parametro MessageID...  ese es unico y utilizalo para buscar la informacion de rastreo del mensaje en forma detallada...utiliza un comando como:   Get-TransportServer | Get-MessageTrackingLog -messageID "AFnfnkjhfdhbdvyvbjhd845fFSdfhdi45E4@DOMINIOqueenvia.com" | fl | clip         y pegalo en un notepad...   Los parametros que se muestran en cada salto del mensaje se pueden dividir en evento y fuente (si no utilizaras el "FL" eso es lo que verias principalmente) ..  puedes utilizar este articulo aqui para leerlos.. 

    Ahora bien si te urge una solucion...  aunque sin saber realmente que pasa...te sugiero algunas opciones...  

    Mover el buzon (o los buzones) a otra base de datos, de preferencia concentrarlos a todos en una misma BD.

    Exportar el buzon a .pst y hacerle un merge en un nuevo buzon para este usuario.

    Generar un nuevo conector de envio con las mismas caracteristicas.

    Si bien, son todas ellas patadas al aire, quizá una de ellas funcione.. lo que también recomiendo, si urge mucho darle una solución, utiliza el soporte de MS y/o algun partner, esto ultimo porque el problema parece ser "intermitente y no reproducible" ya que me comentas que tu intentaste hacerlo y no pasaban.. por lo que tocaría leer logs de IIS, SMTPSend, eventos de aplicación con fuentes especificas, quizá lectura del mensaje con MFCMAPI, etc...   esto te lo comento solo si te urge mucho darle solución...  pero si tenemos tiempo..  podemos seguir por este hilo.

    Espero que esta información ayude.

    Saludos.

    P.D. Procurare contestar con mayor rapidez, en fines de semana se me hace algo dificil.. pero entre semana.. le daré prioridad a este hilo..  Buen fin!

    • Propuesto como respuesta Geovany Acevedo lunes, 13 de abril de 2015 22:04
    domingo, 12 de abril de 2015 2:59
  • HolaMuchas gracias, pues en realidad no urge, ya que tenemos detectados ciertos usuarios que si hacen envíos algo grandes, pero son raros.

    Sobre el problema de que la regla de transporte que continuaba aplicando, al paso de alrededor de 5 de horas mas dejó de aplicar, eso es bueno, lo malo es saber por que tardó tanto...

    Respecto al envío, ya busqué varias combinaciones en mi Outlook y nada, tenemos 2 Hub Transport, revisando el tracking del usuario, se ve que el usuario manda por rpchttp a su storage, de ahí el correo es enviado al HT 2 y este lo envía al HT1 el cual se encarga de mandarlo al antispam.

    Ya esta mi cuenta en la misma base de datos que el otro usuario, envío y recibo por Outlook anywhere; voy a echarme un clavado a los logs, si encuentro algo útil te comento.

    Gracias


    Doc MX

    lunes, 13 de abril de 2015 19:02
  • Excelente,

    Sip, te sugiero revisar los logs de SMTPSend y los del MessageTracking una vez que los encuentres..  en los logs del message tracking puedes ver muchas cosas como por ejemplo...  por donde paso..  y.. otra cosa,,   esa parte de la aplicación de las restricciones a los mensajes, los limites aplicables a los mensajes, etc. se realiza en la etapa que se conoce como categorización o "categorizer" ..  te dejo este articulo que habla un poco mejor de esto

    http://msexchangeguru.com/2012/08/09/e2013-mailflow/

    esa info básicamente viene de la oficial 

    https://technet.microsoft.com/en-us/library/aa996349(v=exchg.141).aspx  

    de cualquier modo quedo a la espera

    Saludos

    • Propuesto como respuesta Moderador M martes, 14 de abril de 2015 16:10
    • Marcado como respuesta Moderador M viernes, 17 de abril de 2015 18:36
    lunes, 13 de abril de 2015 22:42