none
EDGE ошибка 5.0 5.7.1 RRS feed

  • Вопрос

  • Доброго времени суток.

    Запутался с отправкой почты в мир.

    Коротко конфигурация : во внутренней сети 3 сервера Exchange 2013 SP1 в DAG

    В качестве прокси сервера между DMZ  и внутренней сетью выступает TMG 

    В DMZ установлен EDGE , подписка активирована, по 25 порту доступен

    Коннекторы созданы, письма не отправляются , ошибка  550 5.7.1 Unable to relay

    Вот этот путь с созданием принимающего коннектора я прошел , но что то не работает

    https://practical365.com/exchange-server/exchange-2013-configure-smtp-relay-connector/

    На данный момент там же в DMZ установлен Linux + Postfix , через них почта ходит , но хочу прикрутить EDGE

    16 августа 2018 г. 10:07

Ответы

  • На всех 3 mbx ( они же cas ) , 2 в одном сайте и 1 в другом я создал принимающий коннектор edge

    Указал там в параметре : Получать почту с серверов, имеющих эти удаленные IP-адреса  Exchange EDGE сервера

    На каждом сервере mbx+cas применил команду

    [PS] C:\Windows\system32>Get-ReceiveConnector "EDGE" | Add-ADPermission -User 'NT AUTHORITY\Anonymous Logon' -ExtendedRi
    ghts MS-Exch-SMTP-Accept-Any-Recipient
    Identity             User                 Deny  Inherited
    --------             ----                 ----  ---------
    REXCH2013\EDGE       NT AUTHORITY\ANON... False False

    Теперь подключаюсь на сервере mbx+cas телнетом к EDGE и пробую отправить письмо наружу

    220 REDGE.domain.ru Microsoft ESMTP MAIL Service ready at Thu, 16 Aug 2018 14:52:56
    helo redge
    250 REDGE.domain.ru Hello [192.168.10.21]
    mail from:aegor@domain.ru
    250 2.1.0 Sender OK
    rcpt to:domnanare@yandex.ru
    550 5.7.1 Unable to relay
    451 4.7.0 Timeout waiting for client input

    Connection to host lost.
    C:\Users\Administrator.>

    Если отправить с outlook то получим

    Сообщение не было доставлено из-за проблемы с разрешениями или безопасностью. Сообщение мог отклонить модератор, адресат может принимать сообщения электронной почты лишь от некоторых получателей либо же доставке препятствует другое ограничение.

    Организация REDGE.domain.ru отклонила сообщение.

    Формирующий сервер: REXCH2013.domain.ru - это mbx+cas

    domnanare@yandex.ru
    REDGE.domain.ru  -- это EDGE
    Remote Server returned '550 5.7.1 Unable to relay'

    На TMG фильтрация стояла , убрал но что то не очень помогло

    Вы всё совсем смешали в кучу.

    Во-первых, Edge в нормальных условиях - при созданной подписке - взаимодействует только с серверами того сайта, на который импортирована подписка. Поэтому про другой сайт пока что забудьте. Созданные на нем коннектор(ы) для приема почты с Edge уберите: по нему(ним) посылаться ничего не будет.

    Во-вторых, отправка почты и получение почты - это два разных процесса. От того, что вы создали какой-то там Receive Connector на MBX (для приема почты на него) - от этого отправка наружу никак не изменится. Пробовать отправить письмо с MBX на EDGE телнетом при этом бесполезно: вы (в отличие от серверов Exchange) не аутентифицируетесь на нем и TLS не поднимите. А без аутентификации Edge при настройках по умолчанию ничего пересылать (relay) не будет. Максимум, что вы можете проверить telnet'ом - это отклик сервера Edge на команду EHLO (не HELO) - вы увидите поддерживаемые команды, а по их списку - не фильтрует ли TMG. Впрочем, это же можно увидеть и в логах транспорта. Что там происходит при попытке подключения MBX - это сказать вообще сложно, надо логи смотреть. Там может и установка сессии TLS резаться, и вообще сервер MBX может не понять, что надо поднимать TLS (из-за того, что имя не то и т.д.).

    Поэтому уберите-ка вы лучше все публикации с TMG и настройте там отношения маршрутизации между MBX и Edge (для справки, отношения Route в Network Rules на TMG можно настраивать не только между сетями, но и другими объектами - подсетями, наборами IP-адресов, компьютерами...) и сделайте разрешающие правила для протокола SMTP. Так будет сильно проще, только маршруты не забудьте создать на Edge и MBX друг на друга через TMG командой route add -p (если он не Default gateway, конечно).

    Впрочем, есть и альтернатива: настроить на Edge дополнительный Receive Connector, принимающий почту с адреса(ов), который(е) на Edge виден как адрес(а) источника, когда сервер(ы) MBX подключается к нему. И для этого коннектора разрешите анонимную пересылку: добавьте группу разрешений Exchange Servers и метод аутентификации Externally secured (примерно как по вашей ссылке, только делать это надо на не MBX, а на Edge). Но, в целом, это - не лучшая альтернатива.


    Слава России!



    16 августа 2018 г. 13:03

Все ответы

  • Подозреваю, что конфигурация на Edge не среплицировалась.

    Проверяйте:  Test-EdgeSynchronization на MBX

    Если там проблемы, то проверяйте, доступен ли Edge c MBX по порту 50636 (синхронизация выполняется по нему), в частности - не блокирует ли его TMG.


    Слава России!

    16 августа 2018 г. 10:31
  • [PS] C:\Windows\system32>Test-EdgeSynchronization

    RunspaceId                  : 7add6657-e2ec-4d92-85d4-0fd3a7fcf949
    SyncStatus                  : Normal  - я так понимаю все ок
    UtcNow                      : 16.08.2018 10:57:54

    Edge по порту 50636 доступен , проверял telnet ом , на TMG есть правила разрешающие порт, на серверах есть правила на локальных FW так же разрешающие нужные порты.

    На TMG есть публикация которая подменяет адрес сервера mbx и к edge он стучится уже не под своим реальным адресом , не в этом ли может быть дело?

    16 августа 2018 г. 11:12
  • Тогда, пожалуйста, сообщите подробности: как происходит отправка  исходного сообщения - из Outlook из п/я exchange, по SMTP на Receive Connector на MBX ещё как; какой сервер отвечает кодом 550 с сообщением об ошибке - MBX(или CAS), Edge или внешний.

    Слава России!

    16 августа 2018 г. 11:20
  • Дополнительно насчет публикации. Подмена адреса тут вряд ли какую роль играет - разве что вы добавили кроме дефолтного другой коннектор на Edge, в котором в качестве удаленных адресов прописали ваши MBX.

    Но TMG - он не только адрес подменять умеет. Проверьте, в этой публикации фильтрация протокола SMTP не включена ли случайно (ЕМНИП, она в протоколе "Сервер SMTP" как раз по умолчанию присутствует)? А то он запросто может заблокировать команду STARTTLS или X-X-ANONYMOUSTLS - а EDGE именно с помощью TLS аутентифицирует MBX.

    Вы можете это увидеть в логе транспорта на коннекторе отправки MBX - там в ответе на EHLO будет список команд, поддержка которых объявлена. Можете сравнить с тем, что в логе транспорта на коннекторе приема на EDGE было написано.


    Слава России!


    • Изменено M.V.V. _ 16 августа 2018 г. 11:44
    16 августа 2018 г. 11:28
  • На всех 3 mbx ( они же cas ) , 2 в одном сайте и 1 в другом я создал принимающий коннектор edge

    Указал там в параметре : Получать почту с серверов, имеющих эти удаленные IP-адреса  Exchange EDGE сервера

    На каждом сервере mbx+cas применил команду

    [PS] C:\Windows\system32>Get-ReceiveConnector "EDGE" | Add-ADPermission -User 'NT AUTHORITY\Anonymous Logon' -ExtendedRi
    ghts MS-Exch-SMTP-Accept-Any-Recipient
    Identity             User                 Deny  Inherited
    --------             ----                 ----  ---------
    REXCH2013\EDGE       NT AUTHORITY\ANON... False False

    Теперь подключаюсь на сервере mbx+cas телнетом к EDGE и пробую отправить письмо наружу

    220 REDGE.domain.ru Microsoft ESMTP MAIL Service ready at Thu, 16 Aug 2018 14:52:56
    helo redge
    250 REDGE.domain.ru Hello [192.168.10.21]
    mail from:aegor@domain.ru
    250 2.1.0 Sender OK
    rcpt to:domnanare@yandex.ru
    550 5.7.1 Unable to relay
    451 4.7.0 Timeout waiting for client input

    Connection to host lost.
    C:\Users\Administrator.>

    Если отправить с outlook то получим

    Сообщение не было доставлено из-за проблемы с разрешениями или безопасностью. Сообщение мог отклонить модератор, адресат может принимать сообщения электронной почты лишь от некоторых получателей либо же доставке препятствует другое ограничение.

    Организация REDGE.domain.ru отклонила сообщение.

    Формирующий сервер: REXCH2013.domain.ru - это mbx+cas

    domnanare@yandex.ru
    REDGE.domain.ru  -- это EDGE
    Remote Server returned '550 5.7.1 Unable to relay'

    На TMG фильтрация стояла , убрал но что то не очень помогло

    На коннекторе отправки в интернет , который создался после подписки я указал в качестве смартхоста (промежуточный узел)  сервер EDGE

    Проверка подлинности промежуточных узлов: нет

    *Исходный сервер:
    Сопоставить этот соединитель со следующими серверами, содержащими транспортные роли. Можно также добавить в этот список пограничные подписки.

    Указал сервера mbx+cas

    • Изменено Alex347 16 августа 2018 г. 12:10
    16 августа 2018 г. 12:03
  • На всех 3 mbx ( они же cas ) , 2 в одном сайте и 1 в другом я создал принимающий коннектор edge

    Указал там в параметре : Получать почту с серверов, имеющих эти удаленные IP-адреса  Exchange EDGE сервера

    На каждом сервере mbx+cas применил команду

    [PS] C:\Windows\system32>Get-ReceiveConnector "EDGE" | Add-ADPermission -User 'NT AUTHORITY\Anonymous Logon' -ExtendedRi
    ghts MS-Exch-SMTP-Accept-Any-Recipient
    Identity             User                 Deny  Inherited
    --------             ----                 ----  ---------
    REXCH2013\EDGE       NT AUTHORITY\ANON... False False

    Теперь подключаюсь на сервере mbx+cas телнетом к EDGE и пробую отправить письмо наружу

    220 REDGE.domain.ru Microsoft ESMTP MAIL Service ready at Thu, 16 Aug 2018 14:52:56
    helo redge
    250 REDGE.domain.ru Hello [192.168.10.21]
    mail from:aegor@domain.ru
    250 2.1.0 Sender OK
    rcpt to:domnanare@yandex.ru
    550 5.7.1 Unable to relay
    451 4.7.0 Timeout waiting for client input

    Connection to host lost.
    C:\Users\Administrator.>

    Если отправить с outlook то получим

    Сообщение не было доставлено из-за проблемы с разрешениями или безопасностью. Сообщение мог отклонить модератор, адресат может принимать сообщения электронной почты лишь от некоторых получателей либо же доставке препятствует другое ограничение.

    Организация REDGE.domain.ru отклонила сообщение.

    Формирующий сервер: REXCH2013.domain.ru - это mbx+cas

    domnanare@yandex.ru
    REDGE.domain.ru  -- это EDGE
    Remote Server returned '550 5.7.1 Unable to relay'

    На TMG фильтрация стояла , убрал но что то не очень помогло

    Вы всё совсем смешали в кучу.

    Во-первых, Edge в нормальных условиях - при созданной подписке - взаимодействует только с серверами того сайта, на который импортирована подписка. Поэтому про другой сайт пока что забудьте. Созданные на нем коннектор(ы) для приема почты с Edge уберите: по нему(ним) посылаться ничего не будет.

    Во-вторых, отправка почты и получение почты - это два разных процесса. От того, что вы создали какой-то там Receive Connector на MBX (для приема почты на него) - от этого отправка наружу никак не изменится. Пробовать отправить письмо с MBX на EDGE телнетом при этом бесполезно: вы (в отличие от серверов Exchange) не аутентифицируетесь на нем и TLS не поднимите. А без аутентификации Edge при настройках по умолчанию ничего пересылать (relay) не будет. Максимум, что вы можете проверить telnet'ом - это отклик сервера Edge на команду EHLO (не HELO) - вы увидите поддерживаемые команды, а по их списку - не фильтрует ли TMG. Впрочем, это же можно увидеть и в логах транспорта. Что там происходит при попытке подключения MBX - это сказать вообще сложно, надо логи смотреть. Там может и установка сессии TLS резаться, и вообще сервер MBX может не понять, что надо поднимать TLS (из-за того, что имя не то и т.д.).

    Поэтому уберите-ка вы лучше все публикации с TMG и настройте там отношения маршрутизации между MBX и Edge (для справки, отношения Route в Network Rules на TMG можно настраивать не только между сетями, но и другими объектами - подсетями, наборами IP-адресов, компьютерами...) и сделайте разрешающие правила для протокола SMTP. Так будет сильно проще, только маршруты не забудьте создать на Edge и MBX друг на друга через TMG командой route add -p (если он не Default gateway, конечно).

    Впрочем, есть и альтернатива: настроить на Edge дополнительный Receive Connector, принимающий почту с адреса(ов), который(е) на Edge виден как адрес(а) источника, когда сервер(ы) MBX подключается к нему. И для этого коннектора разрешите анонимную пересылку: добавьте группу разрешений Exchange Servers и метод аутентификации Externally secured (примерно как по вашей ссылке, только делать это надо на не MBX, а на Edge). Но, в целом, это - не лучшая альтернатива.


    Слава России!



    16 августа 2018 г. 13:03