На всех 3 mbx ( они же cas ) , 2 в одном сайте и 1 в другом я создал принимающий коннектор edge
Указал там в параметре : Получать почту с серверов, имеющих эти удаленные IP-адреса Exchange
EDGE сервера
На каждом сервере mbx+cas применил команду
[PS] C:\Windows\system32>Get-ReceiveConnector "EDGE" | Add-ADPermission -User 'NT AUTHORITY\Anonymous Logon' -ExtendedRi
ghts MS-Exch-SMTP-Accept-Any-Recipient
Identity User Deny Inherited
-------- ---- ---- ---------
REXCH2013\EDGE NT AUTHORITY\ANON... False False
Теперь подключаюсь на сервере mbx+cas телнетом к EDGE и пробую отправить письмо наружу
220 REDGE.domain.ru Microsoft ESMTP MAIL Service ready at Thu, 16 Aug 2018 14:52:56
helo redge
250 REDGE.domain.ru Hello [192.168.10.21]
mail from:aegor@domain.ru
250 2.1.0 Sender OK
rcpt to:domnanare@yandex.ru
550 5.7.1 Unable to relay
451 4.7.0 Timeout waiting for client input
Connection to host lost.
C:\Users\Administrator.>
Если отправить с outlook то получим
Сообщение не было доставлено из-за проблемы с разрешениями или безопасностью. Сообщение мог отклонить модератор, адресат может принимать
сообщения электронной почты лишь от некоторых получателей либо же доставке препятствует другое ограничение.
Организация REDGE.domain.ru отклонила сообщение.
Формирующий сервер: REXCH2013.domain.ru - это mbx+cas
domnanare@yandex.ru
REDGE.domain.ru -- это EDGE
Remote Server returned '550 5.7.1 Unable to relay'
На TMG фильтрация стояла , убрал но что то не очень помогло
Вы всё совсем смешали в кучу.
Во-первых, Edge в нормальных условиях - при созданной подписке - взаимодействует только с серверами того сайта, на который импортирована подписка. Поэтому про другой сайт пока что забудьте. Созданные на нем коннектор(ы)
для приема почты с Edge уберите: по нему(ним) посылаться ничего не будет.
Во-вторых, отправка почты и получение почты - это два разных процесса. От того, что вы создали какой-то там Receive Connector на MBX (для приема почты на него) - от этого отправка наружу никак не изменится. Пробовать отправить письмо
с MBX на EDGE телнетом при этом бесполезно: вы (в отличие от серверов Exchange) не аутентифицируетесь на нем и TLS не поднимите. А без аутентификации Edge при настройках по умолчанию ничего пересылать (relay) не будет. Максимум,
что вы можете проверить telnet'ом - это отклик сервера Edge на команду EHLO (не HELO) - вы увидите поддерживаемые команды, а по их списку - не фильтрует ли TMG. Впрочем, это же можно увидеть и в логах транспорта. Что
там происходит при попытке подключения MBX - это сказать вообще сложно, надо логи смотреть. Там может и установка сессии TLS резаться, и вообще сервер MBX может не понять, что надо поднимать TLS (из-за того, что имя
не то и т.д.).
Поэтому уберите-ка вы лучше все публикации с TMG и настройте там отношения маршрутизации между MBX и Edge (для справки, отношения Route в Network Rules на TMG можно настраивать не только между сетями, но и другими
объектами - подсетями, наборами IP-адресов, компьютерами...) и сделайте разрешающие правила для протокола SMTP. Так будет сильно проще, только маршруты не забудьте создать на Edge и MBX друг на друга через TMG командой
route add -p (если он не Default gateway, конечно).
Впрочем, есть и альтернатива: настроить на Edge дополнительный Receive Connector, принимающий почту с адреса(ов), который(е) на Edge виден как адрес(а) источника, когда сервер(ы) MBX подключается к нему. И для этого коннектора
разрешите анонимную пересылку: добавьте группу разрешений Exchange Servers и метод аутентификации Externally secured (примерно как по вашей ссылке, только делать это надо на не MBX, а на Edge). Но, в целом, это - не лучшая альтернатива.
Слава России!
