none
Конфигурация с одним сервером. 550 5.7.54 SMTP; Unable to relay recipient in non-accepted domain RRS feed

  • Вопрос

  • Добрый день!

    Установлен один сервер со всеми ролям Exchange 2016. При проверки получения писем из Интернета, выявил сообщение:

    550 5.7.54 SMTP; Unable to relay recipient in non-accepted domain 

    Вроде как и openrelay-а нет, но только на внешние домены. Решил проверить, что будет если попытаться отправить из Интернета на собственный домен. И письма проходят без авторизации! Это означает, что почтовые ящики организации могут заспамить используя собственный сервер.

    Как избежать такой ситуации ?


    3 декабря 2016 г. 9:33

Ответы

  • Добрый день,

    Remove-ADPermission Имя_коннектора_приема_из_Интернета –user “NT AUTHORITY\Anonymous Logon” –ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender


    В 2016 вроде пофиксили, в 2013 это не работает, баг.

    Если сами отдельный коннектор получения не создавали, то имя коннектора будет "Default Frontend имя_сервера"

    Для русскоязычных продуктов меняете “NT AUTHORITY\Anonymous Logon” на “NT AUTHORITY\Анонимный вход”


    5 декабря 2016 г. 11:01

Все ответы

  • Вы действительно не хотите принимать почту для своего домена из интернета?

    Если, как я предполагаю, вы всё же хотите принимать почту от неопределённого круга внешних получателей (обычно почтовый сервер ставится как раз для этого), то вам придётся смириться с тем, что письма на ваш домен будут приходить без авторизации: почтовые северы отправителей их именно так и посылают.


    Слава России!


    • Изменено M.V.V. _ 3 декабря 2016 г. 13:13
    3 декабря 2016 г. 13:13
  • Вы действительно не хотите принимать почту для своего домена из интернета?

    Если, как я предполагаю, вы всё же хотите принимать почту от неопределённого круга внешних получателей (обычно почтовый сервер ставится как раз для этого), то вам придётся смириться с тем, что письма на ваш домен будут приходить без авторизации: почтовые северы отправителей их именно так и посылают.


    Слава России!


    Я понял Вашу иронию. Моё упущение, что не смог донести проблему. Попробую объяснить иначе: любой желающий может подключиться на 25 порт, указать mail from почту_сотрудника1@нашдомен.ру и rcpt to почта_сотрудника2@нашдомен.ру, без авторизации. НО! отправить на внешний домен уже не сможет. Поэтому и написал, что заспамить нас с нашего же сервера, так почта_сотрудника2@нашдомен.ру будет получать письма от коллеги, а тот и не при делах.

    При "нормальной" ситуации - чтобы отправить от имени обслуживаемого данным сервером домена нужна авторизация (как минимум с внешних IP).


    • Изменено GOID1 3 декабря 2016 г. 16:35
    3 декабря 2016 г. 16:30
  • И всё-таки не до конца понятно. Вы хотите запретить получение через входной соединитель SMTP почты на свой домен от всех отправителей, или только от отправителей с адресом из вашего домена?

    Слава России!

    3 декабря 2016 г. 16:45
  • Принимать от всех отправителей (mail.ru, gmail.com и т.д.). НО! если отправитель принадлежит обслуживаемому домену И находиться вне организации (подключился из интернета) - требовать авторизацию.
    • Изменено GOID1 3 декабря 2016 г. 17:00
    3 декабря 2016 г. 16:58
  • Вот вывод:

    220 mail.OURDOMAIN.RU Microsoft ESMTP MAIL Service ready at Sat, 3 Dec 2016 20:01:
    37 +0300
    ehlo lo
    250-mail.OURDOMAIN.RU Hello [52.183.206.249]
    250-SIZE 73400320
    250-PIPELINING
    250-DSN
    250-ENHANCEDSTATUSCODES
    250-AUTH NTLM
    250-8BITMIME
    250-BINARYMIME
    250 CHUNKING
    mail from: o@OURDOMAIN.RU
    250 2.1.0 Sender OK
    rcpt to: admin@OURDOMAIN.RU
    250 2.1.5 Recipient OK
    data
    354 Start mail input; end with <CRLF>.<CRLF>
    Subject:test
    text
    .
    250 2.6.0 <61865f84-dd70-4893-a925-ca4e8aae72e0@OURDOMAIN.local> [InternalId=6580
    298606541, Hostname=mail.OURDOMAIN.local] Queued mail for delivery

    Причем ящик o@OURDOMAIN.RU даже не существует. Подозреваю, что требуется дополнительная настройка, когда речь идет о размещении всех ролей на одном сервере, выставленном наружу.

    При попытке отправить от имени почты обслуживаемого домена, клиент подключившийся из интернета должен получать отказ (насколько помню) с таким кодом:

    5.7.1 Client does not have permissions to send as this sender
    Коннектор получения на сервере один. Возможно надо создавать второй, указав им разные диапазоны IP обслуживаемых сетей ?


    • Изменено GOID1 3 декабря 2016 г. 17:57
    3 декабря 2016 г. 17:08
  • встроенный анти-спам у вас включен?

    Посмотрите тему: https://social.technet.microsoft.com/Forums/ru-RU/6c3e9b79-f883-4006-acf1-6ae3f0376f05/-?forum=exchange2013ru 

    Плюс вот эту статью: http://markgossa.blogspot.ru/2016/01/block-spoofed-email-exchange-2010-2013-2016-part1.html


    • Изменено Egor Vasilev 5 декабря 2016 г. 10:50
    5 декабря 2016 г. 10:49
  • Добрый день,

    Remove-ADPermission Имя_коннектора_приема_из_Интернета –user “NT AUTHORITY\Anonymous Logon” –ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender


    В 2016 вроде пофиксили, в 2013 это не работает, баг.

    Если сами отдельный коннектор получения не создавали, то имя коннектора будет "Default Frontend имя_сервера"

    Для русскоязычных продуктов меняете “NT AUTHORITY\Anonymous Logon” на “NT AUTHORITY\Анонимный вход”


    5 декабря 2016 г. 11:01