none
Exchange 2013 и 1_С RRS feed

  • Общие обсуждения

  • Есть Exchange 2013 и есть 1_С 8.2. Пользователи ее загружают, под своими доменными учетками. А потом из 1_С отправляют сообщения от имени одной учетки 158ked. Когда были разрешены анонимные подключения на дефолтном коннекторе все работало. 

    Анонимов на дефолтном убрали.

    Создали отдельный коннектор для 1_с с разрешенными анонимами - работает. Неудобство в том, что отправка-то идет с рабочей станции и в коннекторе ( я так понимаю)надо прописывать IP  всех компов.

    Лог коннектора 1_С

    \1_C,08D2ADD6E79DEDD4,0,192.168.6.136:25,192.168.1.137:49759,+,,
    \1_C,08D2ADD6E79DEDD4,1,192.168.6.136:25,192.168.1.137:49759,*,SMTPSubmit SMTPAcceptAnyRecipient SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
    \1_C,08D2ADD6E79DEDD4,2,192.168.6.136:25,192.168.1.137:49759,>,"220 SERV-EXCHANGE-1.constr.kbp Microsoft ESMTP MAIL Service ready at Wed, 30 Sep 2015 09:25:33 +0300",
    \1_C,08D2ADD6E79DEDD4,3,192.168.6.136:25,192.168.1.137:49759,<,EHLO uiis-01,
    \1_C,08D2ADD6E79DEDD4,4,192.168.6.136:25,192.168.1.137:49759,*,SMTPSubmit SMTPAcceptAnyRecipient SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
    \1_C,08D2ADD6E79DEDD4,5,192.168.6.136:25,192.168.1.137:49759,>,250-SERV-EXCHANGE-1.constr.kbp Hello [192.168.1.137],
    \1_C,08D2ADD6E79DEDD4,6,192.168.6.136:25,192.168.1.137:49759,>,250-SIZE 36700160,
    \1_C,08D2ADD6E79DEDD4,7,192.168.6.136:25,192.168.1.137:49759,>,250-PIPELINING,
    \1_C,08D2ADD6E79DEDD4,8,192.168.6.136:25,192.168.1.137:49759,>,250-DSN,
    \1_C,08D2ADD6E79DEDD4,9,192.168.6.136:25,192.168.1.137:49759,>,250-ENHANCEDSTATUSCODES,
    \1_C,08D2ADD6E79DEDD4,10,192.168.6.136:25,192.168.1.137:49759,>,250-STARTTLS,
    \1_C,08D2ADD6E79DEDD4,11,192.168.6.136:25,192.168.1.137:49759,>,250-AUTH LOGIN,
    \1_C,08D2ADD6E79DEDD4,12,192.168.6.136:25,192.168.1.137:49759,>,250-8BITMIME,
    \1_C,08D2ADD6E79DEDD4,13,192.168.6.136:25,192.168.1.137:49759,>,250-BINARYMIME,
    \1_C,08D2ADD6E79DEDD4,14,192.168.6.136:25,192.168.1.137:49759,>,250 CHUNKING,
    \1_C,08D2ADD6E79DEDD4,15,192.168.6.136:25,192.168.1.137:49759,<,AUTH LOGIN,
    \1_C,08D2ADD6E79DEDD4,16,192.168.6.136:25,192.168.1.137:49759,>,334 <authentication response>,
    \1_C,08D2ADD6E79DEDD4,17,192.168.6.136:25,192.168.1.137:49759,>,334 <authentication response>,
    \1_C,08D2ADD6E79DEDD4,18,192.168.6.136:25,192.168.1.137:49759,*,SMTPSubmit SMTPAcceptAnyRecipient BypassAntiSpam AcceptRoutingHeaders,Set Session Permissions
    \1_C,08D2ADD6E79DEDD4,19,192.168.6.136:25,192.168.1.137:49759,*,158ked@constr.kbp,authenticated
    \1_C,08D2ADD6E79DEDD4,20,192.168.6.136:25,192.168.1.137:49759,*,,Proxy session was successfully set up. Session for158ked@constr.kbp will now be proxied
    1\1_C,08D2ADD6E79DEDD4,21,192.168.6.136:25,192.168.1.137:49759,>,235 2.7.0 Authentication successful,
    1\1_C,08D2ADD6E79DEDD4,22,192.168.6.136:25,192.168.1.137:49759,-,,Remote(SocketError)

    Нельзя ли настроить дефолтный коннектор? Я так понимаю, что проблема в аутентификации пользователя.

    Лог дефолтного коннектора

    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,3,192.168.6.136:25,192.168.1.137:59579,<,EHLO uiis-01,
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,4,192.168.6.136:25,192.168.1.137:59579,*,None,Set Session Permissions
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,5,192.168.6.136:25,192.168.1.137:59579,>,250-SERV-EXCHANGE-1.constr.kbp Hello [192.168.1.137],
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,6,192.168.6.136:25,192.168.1.137:59579,>,250-SIZE 37748736,
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,7,192.168.6.136:25,192.168.1.137:59579,>,250-PIPELINING,
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,8,192.168.6.136:25,192.168.1.137:59579,>,250-DSN,
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,9,192.168.6.136:25,192.168.1.137:59579,>,250-ENHANCEDSTATUSCODES,
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,10,192.168.6.136:25,192.168.1.137:59579,>,250-STARTTLS,
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,11,192.168.6.136:25,192.168.1.137:59579,>,250-X-ANONYMOUSTLS,
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,12,192.168.6.136:25,192.168.1.137:59579,>,250-AUTH NTLM,
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,13,192.168.6.136:25,192.168.1.137:59579,>,250-X-EXPS GSSAPI NTLM,
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,14,192.168.6.136:25,192.168.1.137:59579,>,250-8BITMIME,
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,15,192.168.6.136:25,192.168.1.137:59579,>,250-BINARYMIME,
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,16,192.168.6.136:25,192.168.1.137:59579,>,250-CHUNKING,
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,17,192.168.6.136:25,192.168.1.137:59579,>,250 XRDST,
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,18,192.168.6.136:25,192.168.1.137:59579,<,RSET,
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,19,192.168.6.136:25,192.168.1.137:59579,*,Tarpit for '0.00:00:05',
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,20,192.168.6.136:25,192.168.1.137:59579,>,250 2.0.0 Resetting,
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,21,192.168.6.136:25,192.168.1.137:59579,<,MAIL FROM:<158ked@constr.kbp>,
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,22,192.168.6.136:25,192.168.1.137:59579,*,Tarpit for '0.00:00:05' due to '530 5.7.1 Client was not authenticated',
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,23,192.168.6.136:25,192.168.1.137:59579,>,530 5.7.1 Client was not authenticated,
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,24,192.168.6.136:25,192.168.1.137:59579,-,,Local
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DB0,0,192.168.6.136:25,192.168.245.150:64141,+,,
    3 октября 2015 г. 9:37

Все ответы

  • Судя по логу, 1С даже не пытается аутентифицироваться. Мы видим:

    <,EHLO uiis-01
    
    <,RSET
    
    <,MAIL FROM:<158ked@constr.kbp>

    Ничего про попытку аутентификации не говорится. Поэтому варианта два.

    1. Сложный. Разбираться с 1С, возможно придется обращаться в техподдержку. Большая вероятность, что в итоге придете к варианту 2 :)

    2. Простой. Настроить как и было раньше - коннектор с возможностью отправки без аутентификации для определенных IP.



    5 октября 2015 г. 8:26
  • Да, еще. Можно для 1С создать отдельный коннектор на нестандартном порту. Например 2525. На нем разрешаете анонимные подключения и отправку почты без аутентификации, можно для всего внутреннего диапазона (маловероятно что у вас внутри организации есть злобные спамеры, которые будут подключаться на этот порт и вредить, а если и появятся, очень быстро будут отловлены и уволены).
    5 октября 2015 г. 8:30
  • -STARTTLS,
    \1_C,08D2ADD6E79DEDD4,11,192.168.6.136:25,192.168.1.137:49759,>,250-AUTH LOGIN,
    \1_C,08D2ADD6E79DEDD4,12,192.168.6.136:25,192.168.1.137:49759,>,250-8BITMIME,
    \1_C,08D2ADD6E79DEDD4,13,192.168.6.136:25,192.168.1.137:49759,>,250-BINARYMIME,
    \1_C,08D2ADD6E79DEDD4,14,192.168.6.136:25,192.168.1.137:49759,>,250 CHUNKING,
    \1_C,08D2ADD6E79DEDD4,15,192.168.6.136:25,192.168.1.137:49759,<,AUTH LOGIN,

    А вот это строка с AUTH LOGIN не говорит о том, что они пытаются использовать аутентификацию по логину и паролю?

    5 октября 2015 г. 9:50
  • Да, это в коннекторе для 1С действительно видим, что идет аутентификация и завершается она корректно. Но вот для дефолтного коннектора этой строки нет.

    Кстати, обратите внимание, что в настройках дефолтного коннектора так же нет в приветствии строки 

    250-AUTH LOGIN

    Может из-за этого 1С и не пытается аутентифицироваться?

    Проверьте, включена ли на корректоре галочка "Basic authentication"? И должна отсутствовать галочка на "Offer basic authentication only after starting TLS".

    P.S. Эти настройки дадут возможность подключаться клиентам без шифрования.




    • Изменено Tema_BYMVP 5 октября 2015 г. 10:20
    5 октября 2015 г. 10:19
  • По моему мы запутались..

    Смотрите: на коннекторе 1_С разрешены анонинмные подключения поэтому способом аутентификции не важен. 

    аутентификация не проходит на дефолтном, где анонимы отключены

    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,12,192.168.6.136:25,192.168.1.137:59579,>,250-AUTH NTLM,

    ......\Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,21,192.168.6.136:25,192.168.1.137:59579,<,MAIL FROM:<158ked@constr.kbp>,
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,22,192.168.6.136:25,192.168.1.137:59579,*,Tarpit for '0.00:00:05' due to '530 5.7.1 Client was not authenticated',
    \Default Frontend SERV-EXCHANGE-1,08D2ADD6E79E0DAF,23,192.168.6.136:25,192.168.1.137:59579,>,530 5.7.1 Client was not authenticated,

    Т.е люди логинятся в системе под одной учеткой, а отправлять из 1_С пытаются через другую учетку 158ked, которая и не проходит аутентификацию.. 

    5 октября 2015 г. 10:31
  • Не совсем так. Анонимные подключения дадут возможность отправки почты на внутренние адреса. Это не то же самое, что и Relay.

    В коннекторе 1С мы четко видим, что идет аутентификация:

    \1_C,08D2ADD6E79DEDD4,15,192.168.6.136:25,192.168.1.137:49759,<,AUTH LOGIN,
    \1_C,08D2ADD6E79DEDD4,16,192.168.6.136:25,192.168.1.137:49759,>,334 <authentication response>,
    \1_C,08D2ADD6E79DEDD4,17,192.168.6.136:25,192.168.1.137:49759,>,334 <authentication response>,
    \1_C,08D2ADD6E79DEDD4,18,192.168.6.136:25,192.168.1.137:49759,*,SMTPSubmit SMTPAcceptAnyRecipient BypassAntiSpam AcceptRoutingHeaders,Set Session Permissions
    \1_C,08D2ADD6E79DEDD4,19,192.168.6.136:25,192.168.1.137:49759,*,158ked@constr.kbp,authenticated
    \1_C,08D2ADD6E79DEDD4,20,192.168.6.136:25,192.168.1.137:49759,*,,Proxy session was successfully set up. Session for158ked@constr.kbp will now be proxied
    1\1_C,08D2ADD6E79DEDD4,21,192.168.6.136:25,192.168.1.137:49759,>,235 2.7.0 Authentication successful,
    1\1_C,08D2ADD6E79DEDD4,22,192.168.6.136:25,192.168.1.137:49759,-,,Remote(SocketError)

    Попробуйте включить AUTH LOGIN на дефолтном коннекторе, как я писал выше.

    P.S. Ну и вообще мне кажется, что вы сами себе проблему создали (отключив анонимные подключения), а теперь пытаетесь ее решить :) 

    5 октября 2015 г. 11:21
  • К сожалению проблемы придумывает начальство...:)

    Т.е получается, что анонимные подключения на дефолтном коннекторе - это нормальная стандартныя ситуация? Ну а как-же проблема безопасности?

    5 октября 2015 г. 11:40
  • Так работает вся электронная почта в интернете. Gmail, mail.ru, yahoo тоже :) МХ сервер примет письма для домена, который он обслуживает, без авторизации. Можете проверить - это легко сделать с помощью telnet. В качестве защиты от вредоносной активности используют SPF записи. Вот в них уже перечисляются доверенные IP для отправки почты от имени домена. Еще может использоваться DKIM. Но внутри домена для вас это не актуально вообще.
    5 октября 2015 г. 12:09
  • Вот начальство telnet и проверило. Ужаснулось, обругало и велело убрать анонимов... :)

    А потом прибежали люди из поддержки 1_С и тоже обругали, что у них ничего не работает....

    Пока получается, что  создание отдельного коннектора с фильтрацией по IP это единственный путь? 

    Но тогда получается в этот коннектор  надо прописывать все IP пользователей отправляющих почту по SMTP, в том числе и всякие принтеры и МФУ. А через дефолтный коннектор будут идти только клиенты Outlook?

    5 октября 2015 г. 12:30
  • Да, конечно. Это единственный путь в вашей конкретной ситуации.

    Или показать этот тред начальству и вернуть настройки дефолтного коннектора к стандартным.

    P.S. Если ваш сервер доступен снаружи, то начальство может точно так же подключиться по telnet к внешнему IP и отправить письмо на ВНУТРЕННИЙ адрес без аутентификации. Если почтовый сервер работает правильно, то у них это получится :)

    5 октября 2015 г. 14:18
  • Не понятен до конца вопрос - ключевой момент, нужно ли отправлять из 1С на внешние адреса вне организации?

    Если не нужно, то можно вообще отключить аутентификацию SMTP в 1С, и слать спокойно письма на дефолтный коннектор. Это уже по умолчанию будет работать. Хотя вообще-то это потенциальная возможность для спуфинга (любой желающий может написать от лица кого угодно из организации, при условии что адресат внутри организации), и должно где-то фильтроваться хотя бы для входящих из интернета писем. 

    Имейте в виду только, что если в outlook включен спам-фильтр (JMF), то эти письма могут туда попадать, так как с т.з. Exchange такие письма внешние, не авторизованные. Решается по-разному, самый простой костыль - транспортное правило для 1С-ного отправителя c действием Set SCL.

    Если же нужно отправлять внешним адресатам, то наиболее правильным мне кажется сделать отдельный коннектор, чтобы не менять настройки на дефолтном. 

    На этом отдельном коннекторе нужно разрешить отправку писем только для пользователя 158ked и разрешить ему же отправку любому адресату. Это можно сделать через Grant-ADPermission/Remove-ADPermission -ExtendedRights , нужные разрешения - ms-exch-smtp-submit (разрешение на отправку через коннектор) и ms-exch-smtp-accept-any-recipient (разрешение отправлять письма кому угодно - SMTP relaying). Само собой, в этом случае подключаться 1С должна с аутентификаций, тип будет Basic (AUTH LOGIN).

    Фильтрацию по IP с 1С путную не сделать (при использовании толстых клиентов) так как, действительно, все пользователи отправляют письма со своих компьютеров, а не через сервер 1С.

    5 октября 2015 г. 19:07
  • Господа, в чем вопрос-то?

    Подружите 1С и эксчэндж, 1С прекрасно умеет отправлять письма и с аутентификацией. Внутри кода 1С пробейте нужные данные и все. Вопрос можно будет закрыть раз и навсегда, безопасно и надежно.

    6 октября 2015 г. 8:27
  • Не совсем, потому что 1С не всегда умеет TLS/SSL, и умеет только AUTH LOGIN, т.е. учетные данные в открытом виде. В Exchange это запрещенная конфигурация на коннекторах по умолчанию, и в этом есть рациональное зерно.
    6 октября 2015 г. 8:59