none
Настройка Exchange 2003 на пересылку исходящей почты на сервер DLP RRS feed

  • Вопрос

  • Здравствуйте!

    Есть организация Exchange 2003 (2 внутренних сервера и один внешний (relay-сервер) - пересылает почту на вышестоящий почтовый сервер (Провайдер).

    Задача:

    1. Настроить внешний почтовый сервер на пересылку исходящих e-mail сообщений на сервер DLP (port 25).
    2. Настроить внешний почтовый сервер на пересылку e-mail сообщений, полученных от сервера DLP (port 10026) на сервер электронной почты Провайдера.
    3. E-mail сообщения должны отправляться на сервер электронной почты Провайдера, в случае отказа сервера DLP.

    На relay-сервере есть 1 виртуальный "Default SMTP Server".  Для пересылки на внешние адреса настроен smtp-коннектор,  который направляет почту с  виртуального "Default SMTP Server" на вышестоящий почтовый сервер (провайдер).

    Подскажите, как можно организовать данную схему в Exchange 2003?

    3 июня 2013 г. 10:01

Ответы

  • 1. Нужно настроить новый SMTP-коннектор для внешних ажреслв ("SMTP:*") с меньшей стоимостью, указав в нем в качестве smarthost сервер DLP

    2. Нужно настроить дополнительный вирутальный сервер, принимающий сообщения SMTP по указанному нестандартному порту.

    3. В случае недоступности сервера DLP сообщения будут уходить по существующему сейчас коннектору с большей стоимостью.

    PS Поповоду того, как именно настраивать - см. документацию.


    Слава России!


    • Изменено M.V.V. _ 3 июня 2013 г. 13:24
    • Помечено в качестве ответа Alexvlg 7 июня 2013 г. 10:52
    3 июня 2013 г. 13:23

Все ответы

  • 1. Нужно настроить новый SMTP-коннектор для внешних ажреслв ("SMTP:*") с меньшей стоимостью, указав в нем в качестве smarthost сервер DLP

    2. Нужно настроить дополнительный вирутальный сервер, принимающий сообщения SMTP по указанному нестандартному порту.

    3. В случае недоступности сервера DLP сообщения будут уходить по существующему сейчас коннектору с большей стоимостью.

    PS Поповоду того, как именно настраивать - см. документацию.


    Слава России!


    • Изменено M.V.V. _ 3 июня 2013 г. 13:24
    • Помечено в качестве ответа Alexvlg 7 июня 2013 г. 10:52
    3 июня 2013 г. 13:23
  • Разве коннектор с большей стоимостью не имеет больший приоритет. Т.е. если на существующем коннекторе будет большая стоимость, то по-умолчанию почта будет отправляться через него, т.е. мимо DLP. И только если сервер провайдера будет недоступен, только тогда почта завернется на коннектор с DLP, который имеет меньшую стоимость. Или я не прав?
  • чем больше стоимость тем хуже, в жизни также, при прочих равных условиях выбирается вариант с меньшей стоимостью

  • Может мы по-разному понимаем понятие "стоимость"? В моем понимании наибольшая стоимость = 1, все что больше - 2, 3, ... имеет меньшую стоимость. Таким образом, вначале используется коннектор со стоимостью 1 (в моем понимании - наибольшая стоимость), если он не доступен, используются коннекторы 2, 3 и т.д. (меньшая стоимость).
  • вы путаете стоимость и приоритет. в нашей нормальной математике 1 не может быть больше чем 2 )) 1 имеет наименьшую стоимость и поэтому более выскоий приоритет при выборе.
  • ну да, напутал немного ))) спасибо, будем пробовать...
  • Попробовал... Для начала сделал на макете - заработало, но отказоустойчивой схемы не получилось, получилось только завернуть на DLP и далее на вышестоящий почтовый сервер. Ну да ладно, пока на этом остановился, решил сделать на рабочей системе. Сделал все тоже самое: добавил второй виртуальный сервер (Secondary SMTP Server - порт 10026), второй коннектор, который направляет почту на DLP. Результат - Образуется затор на "Default SMTP Server". Причем почта проходит через DLP и попадает обратно на Default SMTP Server, хотя должна попадать на Secondary SMTP Server. На Default SMTP Server поставил настройку: принимать соединения от всех кроме [ip-адрес DLP]. Результат тот же самый.

    В чем может быть проблема?

    7 июня 2013 г. 11:03
  • Попадает почта туда, потому что Exchange маршрутизирует ее.

    Почему маршрутизирует именно так - надо смотреть, какая именно почта попадает на Default SMTP:

    а) направленная внутренним получателям;

    б) направленная в домен обслуживаемый Exchange но получателям, которых в Exchange нет;

    в)направленная вовне.

    В первом случае имеет место какая-то проблема с маршрутизацией внутри Exchange, следует разбираться с ней.

    Во-втором, это - нормальное поведение, если на Exchange включено перенаправление неизвестным пользователям из обслуживаемого домена через Default SMTP Server (это могло быть сделано, например, в процессе переноса почты от провайдера к Exchange). В таком случае, лучше включить фильтрацию пользователей на Exchange или на DLP (но можно и отключить перенаправление для неизвестных пользователей а также - посылку NDR).

    В третьем случае следует разбираться с настройками DLP


    Слава России!

    7 июня 2013 г. 12:40
  • Насколько я понял по логам - там только почта направленная на внешние адреса и приходящая с внешних адресов. В очереди были только сообщения направленные на внешние адреса. Я думаю, DLP тут не причем - на макете с этим же сервером все работает без проблем.
    10 июня 2013 г. 11:50
  • Если у вас почта идет через Exchange с внешних адресов на внешние адреса, то у вас, похоже, получился open relay. Крайне рекомендую немедленно разобраться и, если это так - устранить, пока не попали в "черные списки" антиспама.

    По поводу DLP - как он фильтрует, на какие адреса получателей принимать почту, а не какие нет? Разбирайтесь с этим. В идеале, он должен принимать почту только на адреса получателей, прописанные в AD (многие решения третьих фирм умеют проеверять наличие получателя в AD по LDAP), и уж, как минимум - только на адреса из того домена(доменов), которые обслуживает Exchange.


    Слава России!

    10 июня 2013 г. 12:39
  • С внешних на внешние не идет, имелось ввиду, что в логах дефолтного smtp-сервера есть информация о письмах, приходящих с внешних на внутренние адреса.

    Сервер DLP (Symantec DLP 11.5) должен проверять только исходящую почту. Ему по сути без разницы с каких и на какие адреса отправляет почту, он будет проверять все, что на него завернут. Согласно документации Symantec он работает как RFC-2821 ESMTP proxy server. По логам DLP я вижу, что он после получения сообщений от Esxchange на порт 25 их проверяет и отправляет обратно на этот же сервер на порт 10026. Порт 10026 открыт только на виртуальном "Secondary SMTP Server", с которого SMTP-коннектор должен эти сообщения забирать и отправлять на вышестоящий сервер. Но очередь сообщений после прохождения DLP почему-то возникает на "Default SMTP Server".  Я вот этого не могу понять, как такое возможно? Такое ощущение, что он вместо того, чтобы отправить эти сообщения на вышестоящий сервер отправляет их сам себе...

    11 июня 2013 г. 6:33
  • Я понял так, что Вы хотите, чтобы почта отправленная изнутри Exchange шла через DLP, потом обратно на Exchange а потом на сервер провадера?

    Такая схема, скорее всего, не реализуема. Exchange маршрутизирует почту одинаковым образом, вне зависимости от того, с какого сервера она попала, поэтому почту, пришедшую с DLP, он отправит по тому же маршруту, что и внутреннюю исходящую.

    Единственно, что я вижу, можно попытаться сделать - это попробовать поменять разрешения для отправки на коннекторе к DLP, чтобы права на отправку имели только прошедшие проверку пользователи (почту, пришедшую с DLP, Exchange, скорее всего, считает отправленной анонимным пользователем, но точно я это утверждать не могу). Тогда, если почте, пересланной с DLP будет запрещена отправка через коннектор на DLP, она будет отправлена через коннектор с большей стоимостью - т.е. на сервер провадера. Только вот если у вас есть клиенты POP3/SMTP отпралвяющие почту без проверки подлинности, то их письма тоже пойдут в обход DLP.

    PS У Symantec в документации с большой степенью вероятности должны быть стандартные схемы встраивания их продукта в инфраструктуру Exchange. Если они есть, то лучше следовать им - они, по крайней мере, протестированы.


    Слава России!

    11 июня 2013 г. 9:21
  • Я понял так, что Вы хотите, чтобы почта отправленная изнутри Exchange шла через DLP, потом обратно на Exchange а потом на сервер провадера?

    Такая схема, скорее всего, не реализуема.

    Да, совершенно верно, нужна такая схема. Делал по вашей инструкции:

    1. Нужно настроить новый SMTP-коннектор для внешних ажреслв ("SMTP:*") с меньшей стоимостью, указав в нем в качестве smarthost сервер DLP
    2. Нужно настроить дополнительный вирутальный сервер, принимающий сообщения SMTP по указанному нестандартному порту.
    3. В случае недоступности сервера DLP сообщения будут уходить по существующему сейчас коннектору с большей стоимостью.

    На макете, эта же схема работает без проблем (правда, отказоустойчивости добиться пока не удалось)... И это несколько сбивает с толку: на макете работает, на реальной системе нет...

    В любом случае, спасибо за ответы! Будем пытать дальше... ))

    11 июня 2013 г. 10:06