none
Проблема отправки почты в интернет с IMAP клиентов RRS feed

  • Вопрос

  • доброго дня! 
    Такая конфигурация:
    Exchange 2010 за ним Personal SMTP сервер, исходящее письмо с EX поступает на него а потом в интернет, дальше на ящики NIC.ru

    Есть определённая группа пользователей подключенных через Imap к одной общей учётке в exchange. 
    Периодически возникает ситуация, при отправке сообщения с этого, общего, почтового ящика в интернет, возвращается письмо с ошибка: 

    Если в параметрах учётной записи outloock, на вкладке сервер исходящей почты, поставить галку: "SMTP-серверу требуется проверка подлинности" -всё начинает работать.

    Но вот вопрос, почему работало до этого, тут сломалось, и теперь требует проверку подленности?
    Перерыл интренеты, решения не нашёл. 
    Вот так настроен коннектор приёма в данный момент: 

    26 августа 2014 г. 13:04

Ответы

  • Ок,

    Нужно сделать так, чтоб исправления не привели к краху системы.

    Я не хочу Вас обвинять, но "Есть Exchange'вская группа Organizationa Management. В неё добавлены все клиенты подключенные к серверу по IMAP. " это просто нонсенс.

    Тот кто Вас кидает на амбразуру, должен понимать чем это чревато.

    Донесите до этого человека, что Вам необходима помощь или как минимум пройти советующие курсы для поддержки данного продукта.

    Извините, за критичность.

    Что же касается данной проблемы:

    1. Создайте новый ящик (тестовый)

    2. Учетная запись должна быть членом только данной группы безопасности "Domain Users"

    3. В ADUC, закладе безопасность, дополнительно, должна стоять галочка "Наследовать права"

    4. Там же, или через консоль Exchange  проверьте, что SELF есть права на "Send As"

    5. Что у Вас соединителях отправки?

    6. Какие ошибки получаете? Пробовали воспользоваться Отслеживанием сообщений?

    "Если в параметрах учётной записи outloock, на вкладке сервер исходящей почты, поставить галку: "SMTP-серверу требуется проверка подлинности" -всё начинает работать.

    Но вот вопрос, почему работало до этого, тут сломалось, и теперь требует проверку подленности?
    Перерыл интренеты, решения не нашёл. 
    Вот так настроен коннектор приёма в данный момент: "

    Возможно, был настроен релей, такой коннектор позволяющий отправлять письма без авторизации, где были перечислены IP клиентов. IP могли поменяться или был изменен соединитель


    • Изменено Zaza Abramov 29 августа 2014 г. 10:42
    • Помечено в качестве ответа Lester_strange 1 сентября 2014 г. 6:11
    29 августа 2014 г. 10:26
  • Группа входила в print operators. 
    Спасибо за помощь ещё раз! 
    • Помечено в качестве ответа Lester_strange 4 сентября 2014 г. 7:57
    4 сентября 2014 г. 7:56

Все ответы

  • Привет,

    А с какой ошибкой возвращается письмо?


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    27 августа 2014 г. 12:38
    Модератор
  • Question
    Голосование за собственную запись не разрешается
    0
    550 5.7.1 Unable to relay

    Ещё заметил вот что: 
    Есть Exchange'вская группа Organizationa Management. В неё добавлены все клиенты подключенные к серверу по IMAP. 
    Если удалить юзеров из этой группы то они получают ошибку при отправке почты 550 5.7.1 Unable to relay, либо ещё что-то про адреса. 

    Если создать аналогичную группу,с таким же набором ролей, и переместить в неё пользователей, всё равно не работает. 

    Пробовал создавать новый коннектор, с аутентификацие по TLS, внешней защитой и всё, не помогло ( 
    29 августа 2014 г. 7:31
  • Question
    Голосование за собственную запись не разрешается
    0
    550 5.7.1 Unable to relay

    Ещё заметил вот что: 
    Есть Exchange'вская группа Organizationa Management. В неё добавлены все клиенты подключенные к серверу по IMAP. 
    Если удалить юзеров из этой группы то они получают ошибку при отправке почты 550 5.7.1 Unable to relay, либо ещё что-то про адреса. 

    Если создать аналогичную группу,с таким же набором ролей, и переместить в неё пользователей, всё равно не работает. 

    Пробовал создавать новый коннектор, с аутентификацие по TLS, внешней защитой и всё, не помогло ( 
    Lester_strange, настало время прочитать: что такое Exchange Server, как он работает и как им управлять!

    • Изменено Zaza Abramov 29 августа 2014 г. 7:43
    29 августа 2014 г. 7:42
  • Просто сервер поднимал и настраевал не я. Человек который это делал, ушёл. 
    А меня кидают на амбразуру, нужно исправлять проблемы ( 
    29 августа 2014 г. 8:34
  • Ок,

    Нужно сделать так, чтоб исправления не привели к краху системы.

    Я не хочу Вас обвинять, но "Есть Exchange'вская группа Organizationa Management. В неё добавлены все клиенты подключенные к серверу по IMAP. " это просто нонсенс.

    Тот кто Вас кидает на амбразуру, должен понимать чем это чревато.

    Донесите до этого человека, что Вам необходима помощь или как минимум пройти советующие курсы для поддержки данного продукта.

    Извините, за критичность.

    Что же касается данной проблемы:

    1. Создайте новый ящик (тестовый)

    2. Учетная запись должна быть членом только данной группы безопасности "Domain Users"

    3. В ADUC, закладе безопасность, дополнительно, должна стоять галочка "Наследовать права"

    4. Там же, или через консоль Exchange  проверьте, что SELF есть права на "Send As"

    5. Что у Вас соединителях отправки?

    6. Какие ошибки получаете? Пробовали воспользоваться Отслеживанием сообщений?

    "Если в параметрах учётной записи outloock, на вкладке сервер исходящей почты, поставить галку: "SMTP-серверу требуется проверка подлинности" -всё начинает работать.

    Но вот вопрос, почему работало до этого, тут сломалось, и теперь требует проверку подленности?
    Перерыл интренеты, решения не нашёл. 
    Вот так настроен коннектор приёма в данный момент: "

    Возможно, был настроен релей, такой коннектор позволяющий отправлять письма без авторизации, где были перечислены IP клиентов. IP могли поменяться или был изменен соединитель


    • Изменено Zaza Abramov 29 августа 2014 г. 10:42
    • Помечено в качестве ответа Lester_strange 1 сентября 2014 г. 6:11
    29 августа 2014 г. 10:26

  • 3. В ADUC, закладе безопасность, дополнительно, должна стоять галочка "Наследовать права"

    Не могу найти где эта галка ставится. Правой кнопкой по юзеру в пользователях и компьютерах AD- безопасность -  дополнительно. Там 4 вкладки: разрешения, Аудит, Владаелец, Действуюище разрешения. 
    На первой вкладке есть глака "Добавить разрешения, наследуемые от родительский объектов" -эта галка? 

    Не могли бы Вы, хотя бы в кратце, но доступно разъяснить мне суть предпринимаемых действий? Какую роль тут играют разрешения, что за группа SELF, и причём здесь коннекторы exchange?
    29 августа 2014 г. 11:16

  • 3. В ADUC, закладе безопасность, дополнительно, должна стоять галочка "Наследовать права"


    в актив директори -польз и комп - вид -поставить галку "доп параметры" - и потом появляется В ADUC, закладка безопасность

    29 августа 2014 г. 11:43

  • 3. В ADUC, закладе безопасность, дополнительно, должна стоять галочка "Наследовать права"


    в актив директори -польз и комп - вид -поставить галку "доп параметры" - и потом появляется В ADUC, закладка безопасность

    Так и есть. Дополнительные параметры отображаются,иначе бы я в безопасность вообще не вошёл.
    29 августа 2014 г. 11:51
  • Ошибки двух типов:

    Если на внешку то 5.7.1 Unable to Relay. 

    Если внутри прелдприятия то 5.7.1: cliend does not have permissions to send as this sender

    Клиент мозила фаербёрд
    29 августа 2014 г. 12:22
  • Указанные Вами галки проставил. 

    Подключился к этому ящику по IMAP, отправил почту, ушло и на внешку и внутри предприятия. 

    Объясните пожалуйста механизм сего действа? Как я понимаю, это как-то связанно с разрешениями на группы, которые есть в соединителях? 
    29 августа 2014 г. 12:53
  • Lester_strange, я постараюсь это сделать, только не сейчас. К счастью у меня тоже есть работа, и мне нужно успеть выполнить поставленные задачи.

    Скорее всего учетные записи в ходят в защищенные группы безопасности, такие как "администраторы домена, предприятия, схемы" и так далее, и наследование прав убирается автоматический.

    Пользовательские учетные записи не должны находиться в таких группах. 


    • Изменено Zaza Abramov 29 августа 2014 г. 13:31
    29 августа 2014 г. 13:20
  • Lester_strange, я постараюсь это сделать, только не сейчас. К счастью у меня тоже есть работа, и мне нужно успеть выполнить поставленные задачи.

    Скорее всего учетные записи в ходят в зачищенные группы безопасности, такие как "администраторы домена, предприятия, схемы" и так далее, и наследование прав убирается автоматический.

    Пользовательские учетные записи не должны находиться в таких группах. 

    Нет, только пользователи домена. И organization management. 
    Начал читать обширную библиотеку по exchnge и группы ролей. Но механизм пока не понимаю и чую не скоро пойму. Почему например пользователь который подключается к почтовому ящику напрямую может спокойно отправлять почту, а пользователь подключенный по IMAP сталкивается с такими проблемами? 

    В общем если объясните буду Вам очень признателен!!

    P.S. По моей проблема, что теперь нужно сделать: удалить всех пользователей из группы Organization Management, всем проставить данные галки в AD и в клиентах, и всё должно работать нормально? Unable to relay тоже относится к этому? 
    29 августа 2014 г. 13:35
  • Управление организацией

    "Группа ролей Управление организацией является многофункциональной ролью, и поэтому членами этой группы могут быть только пользователи или универсальные группы безопасности, выполняющие административные задачи на уровне организации, которые могут влиять на всю организацию Exchange."

    Да, скорее всего должно помочь удаление из лишних групп.


    • Изменено Zaza Abramov 29 августа 2014 г. 13:58
    29 августа 2014 г. 13:58
  • Управление организацией

    "Группа ролей Управление организацией является многофункциональной ролью, и поэтому членами этой группы могут быть только пользователи или универсальные группы безопасности, выполняющие административные задачи на уровне организации, которые могут влиять на всю организацию Exchange."

    Да, скорее всего должно помочь удаление из лишних групп.


    Но еасли например какого нибудь IMAP пользователя удалить из этой группы, он лишается возможности отправки почты. 
    Вы объясните почему так? И про механизм который я проделал по Вашему совету, пожалуйста! 
    Почему например только IMAP пользователи от этого страдают? 
    Может хотя бы дадите ссылки где почитать и получить крепкие знания на этот счёт? 
    30 августа 2014 г. 7:38
  • Но еасли например какого нибудь IMAP пользователя удалить из этой группы, он лишается возможности отправки почты. 
    Вы объясните почему так? И про механизм который я проделал по Вашему совету, пожалуйста! 
    Почему например только IMAP пользователи от этого страдают? 
    Может хотя бы дадите ссылки где почитать и получить крепкие знания на этот счёт? 

    1. Для того, чтоб иметь возможность отправлять письма, не нужно входить в привилегированные группы безопасности, это грубое нарушение.

    2. Почему страдают только IMAP?  Это не IMAP, в POP3 будет все тоже самое. Дело в SMTP и неправильной настройке соединителей для приема и клиентского ПО.

    3. После удаления пользователя из данной группы, проверили все настройки которые вчера проверяли? Есть все нужные права? В клиентском ПО Порт 587? TLS? ставите галочку авторизации smtp?

    Покажите настройки клиентского ПО, соединителей получения Client, и ошибки которые вы получаете.

    Настройка Outlook 2010 для доступа к учетной записи электронной почты по протоколу POP или IMAP

    Общие сведения о протоколах POP3 и IMAP4

    Как работает электронная почта. Действующая система. Сервер SMTP


    • Изменено Zaza Abramov 1 сентября 2014 г. 5:00
    30 августа 2014 г. 8:58

  • 3. После удаления пользователя из данной группы, проверили все настройки которые вчера проверяли? Есть все нужные права? В клиентском ПО Порт 587? TLS? ставите галочку авторизации smtp?

    Один пользователь был удалён из группы Organization Management, я проверил и проставил нужные разрешения в правах,как описано выше. В клиенте толком не разобрался, так как не могу найти включение аналогичного параметра в thunderbird. Но почта исправно работает - это говорит о том, что цель достигнута: Пользователь удалён из административной группы, пользователь имеет возможность отправки почты. 

    Осталось теперь придумать как массово проставить эти галки всем пользователям находящимся в группе Organization Management. 

    В порядке размышлений: получается что, у пользователей изначально не настроены права доступа к коннекторам, и членство в административной группе каким -то образом даёт открывает им такой доступ. -Верно ли я мыслю? 

    1 сентября 2014 г. 6:16
  • В порядке размышлений: получается что, у пользователей изначально не настроены права доступа к коннекторам, и членство в административной группе каким -то образом даёт открывает им такой доступ. -Верно ли я мыслю? 

    Вы уже очень близки.

    Изначально все у пользователя хорошо, это подтверждается тем, что при создании нового пользователя у Вас не возникло проблем при отправке писем.

    После того, как учетная запись пользователя добавляется в защищенные группы безопасности, у него удаляются права.

    Почитайте про Admincount=1 и защищенные группы.

    Получите список проблемных пользователей

    Get-ADuser -LDAPFilter "(admincount=1)" | select name

    Дальше или руками или скриптом. Думаю в интернете найдете информацию.


    • Изменено Zaza Abramov 1 сентября 2014 г. 7:00
    1 сентября 2014 г. 6:59
  • А нет! Всё равно с некоторыми учётками подключенными по IMAP проблемка осталась. 
    При попытке отправить почту на внешний домен gmail выдаёт ошибку 5.7.1 unable to relay
    1 сентября 2014 г. 9:34
  • Еще раз,

    IMAP не виноват, и не может быть виновен в этом.

    Проверяйте права, smtp настройки на клиенте, соединитель приема на сервере Exchange.

    1 сентября 2014 г. 9:45
  • А у группы пользователей Domain User должен ли быть AdminCount = 1 ?
    Или это не нормально и она унаследовала 1 от какой -нибудь защищённой группы в которую входит/входила?
    2 сентября 2014 г. 5:29
  • А у группы пользователей Domain User должен ли быть AdminCount = 1 ?
    Или это не нормально и она унаследовала 1 от какой -нибудь защищённой группы в которую входит/входила?

    Не, не нормально.

    Да, учетная запись находилась в защищенной группе.
    • Изменено Zaza Abramov 2 сентября 2014 г. 5:43
    2 сентября 2014 г. 5:37

  • Не, не нормально.

    Да, учетная запись находилась в защищенной группе.

    А если учётная запись пользователя находится в незащищённой группе, а та в свою очередь -член защищённой? Параметр AdminCount = 1 передаётся через группу, включая промежуточных членов? 
    И ещё вопрос: разрешение "отправлять как" -можно выставить как в ADUC так и в оснастке Exchange, только в EX разрешение даётся несколько по-другому: в список добавляются конкретные учётные записи. 

    Объясните пожалуйста, верно ли я понимаю отличие ADUC от оснастки Exchange:в активных каталогах можно домавить разрешение пользователю,со своей учётки отправлять почту с любого ящика. 

    В ЕХ можно добавить на почтовый ящик любого пользователя Вася_Пупкин, сказав этим: Вася_Пупкин со своей учётки имеет право отправлять почту из ящика X??

    Или почтовые ящики тут вообще не причём? 




    3 сентября 2014 г. 4:55
  • 1. Да, наследует.

    2. Разрешение на отправку. Через консоль Exchange тоже можно добавить группу безопасности. А группу потом править или через Powershell или ADUC.

    Дальше не очень понял. Принцип один и тот же. Если Вам нужно отправлять письма от имени X, то на учетной записи в ADUC добавляете права Send AS пользователям A, B, C, D.

    Или через консоль Exchange, находите ящик X, и на нем правите Send AS права.

    Или используйте EMS для назначения прав.

    P.S.

    У Вас имеется незакрытый вопрос Очистить значение атрибута пользователей AD массово Вы его решили?

    3 сентября 2014 г. 6:30
  • Спасибо за разъяснения! 
    Выходит что IMAP ящики действительно имеют лишь косвенное отношение к возникшей ошибке. 

    Дело в том что пользователи должны иметь разрешение "отправить как", в том случае, если пользуются не принадлежащим им ящиком.

    P.S. Да, задачу с Вашей помощью решил. Но как всегда,есть дополнительные вопросы ))) 

    3 сентября 2014 г. 6:48
  • Можно ещё вопрос не совсем по теме? Вы уж извините за чрезмерную пытливость. ) 

    Процесс AdminSDHolder каждый час ходит по AD и сбрасывает настройки разрешений всем тем  у кого AdminCount = 1. 
    Есть учётная запись,которая постоянно подвергается обнулению: 
    она не состоит в защищённых группах, только в пользователях домена, у которой AdminCount = 1. 
    Каждый раз проставляю ей нужные галки, и параметр в 0ю и каждый раз они снова слетают, и параметр принимает значение 1. 

    Как это исправить? 

    4 сентября 2014 г. 5:00
  • Группа входила в print operators. 
    Спасибо за помощь ещё раз! 
    • Помечено в качестве ответа Lester_strange 4 сентября 2014 г. 7:57
    4 сентября 2014 г. 7:56