none
Exchange 2013 - RequireSenderAuthenticationEnabled

    Domanda

  • Buongiorno,

    su Exchange 2013 CU19 in DAG, ho creato alcune Distribution List che devono essere "chiuse", ossia, solo gli utenti interni possono inviare email ai gruppi.

    Tramite ECP ho impostato l' opzione "Only senders inside my organization", poi ho verificato tramite PS :

    get-distributiongroup "MIADL" | select RequireSenderAuthenticationEnabled

    RequireSenderAuthenticationEnabled
    ----------------------------------
                                  True

    Nonostante ciò, la DL riceve messaggi da posta esterna.

    Ho dimenticato qualcosa?

    Grazie per il supporto.

    mercoledì 4 luglio 2018 08:53

Risposte

  • Allora, qui la questione diventa "filosofica", nel senso che, se la pulizia delle tue mail vengono fatte da un oggetto "esterno" ad exchange, è corretto che tu ti "fidi di lui" e che consideri ciò che proviene da lui "trusted" e non alteri header facendo altri controlli e manipolazioni; l'effetto collaterale è quello che stai avendo tu.

    L'alternativa è che il sistema antispam vada a consegnare ad un connettore di tipo "custom anonimo", in modo che l'exchange tratti ciò che proviene dall'antispam come "esterno" e gli applichi i relativi header.

    La via di mezzo potrebbe essere che sia il tuo sistema antispam a non accettare le mail esterne destinate alle DL in questione.

    Roberto


    Roberto Ferazzi
    Microsoft® MVP Office Server & Services (Exchange Server)
    Moderator in the Microsoft TechNet Italy Forums
    My MVP Profile

    MSExchange.Community

    • Contrassegnato come risposta SysAdmin_IT venerdì 6 luglio 2018 08:16
    mercoledì 4 luglio 2018 10:52
    Moderatore
  • Ancora meglio :-)

    Roberto


    Roberto Ferazzi
    Microsoft® MVP Office Server & Services (Exchange Server)
    Moderator in the Microsoft TechNet Italy Forums
    My MVP Profile

    MSExchange.Community

    • Contrassegnato come risposta SysAdmin_IT venerdì 6 luglio 2018 08:16
    mercoledì 4 luglio 2018 15:44
    Moderatore

Tutte le risposte

  • No, l'impostazione è corretta, potrebbe essere solo un problema di delay nell'applicazione delle impostazioni. Riprova tra un po'.

    Roberto


    Roberto Ferazzi
    Microsoft® MVP Office Server & Services (Exchange Server)
    Moderator in the Microsoft TechNet Italy Forums
    My MVP Profile

    MSExchange.Community

    mercoledì 4 luglio 2018 09:22
    Moderatore
  • Buongiorno Roberto,

    grazie per la risposta.

    In verità le DL le ho create ieri.

    mercoledì 4 luglio 2018 09:50
  • Allora il problema potrebbe essere nei receive connector.

    Una mail proveniente da internet dovrebbe avere l'header "X-MS-Exchange-Organization-AuthAs: Anonymous", in modo che possa essere identificata come tale e gestita dal parametro RequireSenderAuthenticationEnabled delle DL. Questo accade se la mail viene ricevuta da un receive connector di tipo "Custom Anonymous".

    Se le mail da internet sono ricevute da un sistema antispam che poi le gira ad un receive connector che autorizza l'IP dell'antispam e lo considera "trusted", le mail non hanno quel header e quindi non vengono intercettate dal parametro RequireSenderAuthenticationEnabled.

    Roberto


    Roberto Ferazzi
    Microsoft® MVP Office Server & Services (Exchange Server)
    Moderator in the Microsoft TechNet Italy Forums
    My MVP Profile

    MSExchange.Community

    mercoledì 4 luglio 2018 10:22
    Moderatore
  • Ciao Roberto,

    confermo che la posta esterna è gestita da AntiSpam perimetrale che consegna i messaggi al receive connector Exchange.

    In effetti il messaggio di test esterno inviato verso la DL Exchange è privo dell' header "X-MS-Exchange-Organization-AuthAs: Anonymous".

    Come posso risolvere?

    Grazie ancora

    mercoledì 4 luglio 2018 10:33
  • Allora, qui la questione diventa "filosofica", nel senso che, se la pulizia delle tue mail vengono fatte da un oggetto "esterno" ad exchange, è corretto che tu ti "fidi di lui" e che consideri ciò che proviene da lui "trusted" e non alteri header facendo altri controlli e manipolazioni; l'effetto collaterale è quello che stai avendo tu.

    L'alternativa è che il sistema antispam vada a consegnare ad un connettore di tipo "custom anonimo", in modo che l'exchange tratti ciò che proviene dall'antispam come "esterno" e gli applichi i relativi header.

    La via di mezzo potrebbe essere che sia il tuo sistema antispam a non accettare le mail esterne destinate alle DL in questione.

    Roberto


    Roberto Ferazzi
    Microsoft® MVP Office Server & Services (Exchange Server)
    Moderator in the Microsoft TechNet Italy Forums
    My MVP Profile

    MSExchange.Community

    • Contrassegnato come risposta SysAdmin_IT venerdì 6 luglio 2018 08:16
    mercoledì 4 luglio 2018 10:52
    Moderatore
  • Ciao Roberto, grazie ancora per le possibili soluzioni.

    In extremis potrei creare anche una regola su Exchange >> Mail Flow:

    Apply this rule if... >> The Recipient is (indirizzi email delle DL)

    Do the following...>> Reject the message with the explanation: "Messaggio di ritorno al mittente per la mancata consegna"

    Che ne dici?

    mercoledì 4 luglio 2018 11:24
  • Ciao Roberto,

    per essere più precisi, il messaggio esterno ricevuto dalla DL ha il seguente header:

    X-MS-Exchange-Organization-AuthSource: mioserverdiposta
    X-MS-Exchange-Organization-AuthAs: Internal
    X-MS-Exchange-Organization-AuthMechanism: 10
    X-MS-Exchange-Organization-Network-Message-Id: 479a8bf1-b396-429b-a2ba-08d5e183ca2f
    X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0
    X-Auto-Response-Suppress: DR, OOF, AutoReply

    Tutto qui, grazie ancora.

    mercoledì 4 luglio 2018 11:54
  • In effetti con la transport rule otterresti lo stesso risultato.

    Roberto


    Roberto Ferazzi
    Microsoft® MVP Office Server & Services (Exchange Server)
    Moderator in the Microsoft TechNet Italy Forums
    My MVP Profile

    MSExchange.Community

    mercoledì 4 luglio 2018 12:25
    Moderatore
  • Ciao Roberto,

    secondo me è più corretto inserire la regola su AntiSpam perimetrale come suggerito da te, fermandosi direttamente al primo controllo in entrata; notifico al mittente che l' indirizzo non è attivo (o altro messaggio) ed elimino il messaggio senza consegna ad Exchange.

    mercoledì 4 luglio 2018 13:02
  • Ancora meglio :-)

    Roberto


    Roberto Ferazzi
    Microsoft® MVP Office Server & Services (Exchange Server)
    Moderator in the Microsoft TechNet Italy Forums
    My MVP Profile

    MSExchange.Community

    • Contrassegnato come risposta SysAdmin_IT venerdì 6 luglio 2018 08:16
    mercoledì 4 luglio 2018 15:44
    Moderatore