none
почта с вновь созданных ящиков не уходит во внешний мир. ошибка #554 5.7.1 Sender address rejected: Access denied ## RRS feed

  • Вопрос

  • Добрый день!

    Имеется MS Exchange 2007 на Windows 2003 server R2 Standatr

    проанализировав все действия по настройке сервера за последнее время (а их было немного) предположу, что началом послужили именно описанные мной

    как было, когда работало:

    для пользователей внутри домена по умолчанию создавались ящики вида: для пользователя user - ящик user@local-domain-name. После этого в свойствах почтового ящика на вкладке "адреса электронной почты" добавлялся и устанавливался по-умолчанию адрес smtp вида: user@mydomain.ru (где mydomain.ru - имя домена, доступного из интернета) после этих действий почта ходила как внутри локалки так и наружу.

    что делал, чтобы все сломалось:

    в АД пользователь user1 был переименован в user2 и в Exchange в свойствах почтового ящика на вкладке "адреса электронной почты" были внесены изменения user1@local-domain-name -> user2@local-domain-name и user1@mydomain.ru -> user2@mydomain.ru

    что имеем в итоге:

    почта от пользователя user2 ходит по внутренней сети, но при попытке пойти наружу получаю ошибку:

    Не удалось выполнить доставку следующим получателям или лицам из следующих списков рассылки:

    mail@mail.ru

    Сообщение не было доставлено из-за настройки политик безопасности. Microsoft Exchange не будет повторять попытку доставить это сообщение электронной почты. Передайте следующее диагностическое сообщение системному администратору.

    Следующая организация отклонила сообщение: www.mydomain.ru.

    Диагностические сведения для администраторов:

    Формирующий сервер: local-domain-name

    mail@mail.ru
    www.mydomain.ru #554 5.7.1 <user2@mydomain.ru>: Sender address rejected: Access denied ##

    наблюдения:

    Если для user2 в свойствах почтового ящика на вкладке "адреса электронной почты" поменять smtp адрес по-умолчанию обратно на user1@mydomain.ru - почта начинает ходить наружу

    более того, если smtp адресом по-умолчанию выставить адрес ранее существовавших пользователей, почта для которых работает корректно, то почта идет наружу.

    если создать нового пользователя и настроить для него все по этой же схеме, то почта уже не идет наружу

    если пользователя user1 (того самого, которого переименовывали в user2) вообще удалить из АД, то почта с smtp адресом по-умолчанию user1@mydomain.ru - всеравно идет наружу

    Складывается ощущение, что Exchange сформировал себе некий список адресов, с которых идти наружу можно и пускает туда только согласно ему

    PS: Возможно причиной было не переименование, но других придумать я не могу

    что пробовал делать по этому поводу:

    прочитав темы: http://technet.microsoft.com/ru-ru/library/aa997170%28EXCHG.80%29.aspx

    http://www.isadocs.ru/forum/read.php?FID=7&TID=2460

    http://forum.ru-board.com/topic.cgi?forum=8&topic=18200&start=7&limit=1&m=2#1

    http://social.technet.microsoft.com/Forums/en-US/exchangesvrtransport/thread/a719cf6f-0481-414f-bee2-f563c3c685ed

    пробовал выполнять команды в консоли:

    Add-AdPermission -Identity "Default Hub1" -User domain-name\user2 -ExtendedRights ms-Exch-SMTP-Submit, ms-Exch-SMTP-Accept-Any-Recipient

    и

    add-adpermission <Receivername> -User domen-name\user2 -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

    тоесть все измененияпытался подвязать конкретно к учетке user2 (еще не проверял, что не будет работать для всех вновьсозданных пользователей)

    лучше не стало.

    На уровне интуиции чувствую, что где-то прав не хватает, но не могу ни вспомнить что делал, чтобы сломать, ни найти решение в уженаписанном

    Жду ваших комментариев

    • Перемещено Hengzhe Li 12 марта 2012 г. 7:21 forum merge (От:Exchange Server 2007)
    14 апреля 2010 г. 10:05

Ответы

  • еще есть Kaspersky Security для Microsoft Exchange Server 2007 и установлен он недавно, но он не может делать такие пакости т.к. если ему что-то ненравится, то он добавляет текст в письмо и пропускает его дальше, да и инициатор сообщения - явно сам Exchange

    раз я могу получать почту из вне и не могу отправлять туда, сдается мне, что проблема может быть в соединителе отправки. Но я бы понял, если бы не работало у всех пользователей, а ведь у старосозданных работает. да и не трогал я этих настроек

     

    Чисто теоретически может.

    Пересоздайте send connector

     


    Exchange MVP. _ This posting is provided "AS IS" with no warranties, and confers no rights.
    15 апреля 2010 г. 13:11

Все ответы

  • вы не используете политики назначения адресов ?

    покажите настройки коннектора(ов)


    Exchange MVP. _ This posting is provided "AS IS" with no warranties, and confers no rights.
    14 апреля 2010 г. 10:48
  • >вы не используете политики назначения адресов ?

    это в "конфигурация организации" -> "Транспортный сервер-конентратор" -> "политики адресов электронной почты"?

    там стоит Default Policy которую никто не менял с момента установки сервера

    >покажите настройки коннектора(ов)

    get-sendconnector

    Identity         AddressSpaces Enabled
    --------         ------------- -------
    send.mydomain.ru {smtp:*;1}    True

    **************************

    Get-sendconnector | List

    AddressSpaces                : {smtp;1}
    AuthenticationCredential     :
    Comment                      :
    ConnectedDomains             : {}
    ConnectionInactivityTimeOut  : 00:10:00
    DNSRoutingEnabled            : True
    DomainSecureEnabled          : True
    Enabled                      : True
    ForceHELO                    : False
    Fqdn                         : mydomain.ru
    HomeMTA                      : Microsoft MTA
    HomeMtaServerId              : SERVER
    Identity                     : send.mydomain.ru
    IgnoreSTARTTLS               : False
    IsScopedConnector            : False
    IsSmtpConnector              : True
    LinkedReceiveConnector       :
    MaxMessageSize               : 20MB
    Name                         : send.mydomain.ru
    Port                         : 25
    ProtocolLoggingLevel         : None
    RequireTLS                   : False
    SmartHostAuthMechanism       : None
    SmartHosts                   : {}
    SmartHostsString             :
    SourceIPAddress              : 0.0.0.0
    SourceRoutingGroup           : Exchange Routing Group (DWBGZMFD01QNBJR)
    SourceTransportServers       : {SERVER}
    UseExternalDNSServersEnabled : True

     

    14 апреля 2010 г. 11:43
  • 1. т.е. политики на обслуживание не домена AD ,а доменов smtp нет\ не настроена дефолтная на присвоение адресов

     


    Exchange MVP. _ This posting is provided "AS IS" with no warranties, and confers no rights.
    14 апреля 2010 г. 12:21
  • 1. т.е. политики на обслуживание не домена AD ,а доменов smtp нет\ не настроена дефолтная на присвоение адресов

     


    Exchange MVP. _ This posting is provided "AS IS" with no warranties, and confers no rights.

    чтобы не ошибится - подскажите, где это посмотреть?
    14 апреля 2010 г. 12:26
  • Organization Configuration - Hub Transport - e-mail address policies


    Exchange MVP. _ This posting is provided "AS IS" with no warranties, and confers no rights.
    14 апреля 2010 г. 15:38
  • есть такая политика

    на вкладке мастера "Адреса электронной почты" стоит маска @local-domain-name

    но ведь так было всегда, как я писал выше, все вновь созданные адреса имеют по-умолчанию ящик видаuser@local-domain-name. И вручную добавляется и делается дефолтным обратным адресом адрес smtp вида:user@mydomain.ru (где mydomain.ru - имя домена, доступного из интернета)

    А входящая почта из вне нормлаьно приходит на все (в том числе вновь созданные) ящики. Тоесть проблема, мне кажется, в том, что почему-то не хватает прав у пользователей, для выхода почты во вне...

    • Изменено nepri 15 апреля 2010 г. 4:48 думаю, это важно
    15 апреля 2010 г. 4:40
  • А входящая почта из вне нормлаьно приходит на все (в том числе вновь созданные) ящики. Тоесть проблема, мне кажется, в том, что почему-то не хватает прав у пользователей, для выхода почты во вне...
    Если у вас используются клиенты MAPI, то при изменении алиаса необходимо пересоздать у клиента учетную запись в Ms Outlook.
    • Предложено в качестве ответа Konstantin Frantsev 15 апреля 2010 г. 7:53
    15 апреля 2010 г. 7:53
  • Я пытался пересоздавать учетку в Ms Outlook - лучше не стало. Кроме того, создав нового пользователя в АД и привязав к нему почтовый ящик для проверки работоспособности почты использовал вэб-интерфейс (owa) и результат такой же: #554 5.7.1 Sender address rejected: Access denied ##. Так что думаю, что Ms Outlook тут не при чем.

    15 апреля 2010 г. 8:05
  • Я пытался пересоздавать учетку в Ms Outlook - лучше не стало. Кроме того, создав нового пользователя в АД и привязав к нему почтовый ящик для проверки работоспособности почты использовал вэб-интерфейс (owa), вообще не подключая Аутлук, и результат такой же: #554 5.7.1 Sender address rejected: Access denied ##. Так что думаю, что Ms Outlook тут не при чем.

    15 апреля 2010 г. 8:06
  • Я пытался пересоздавать учетку в Ms Outlook - лучше не стало. Кроме того, создав нового пользователя в АД и привязав к нему почтовый ящик для проверки работоспособности почты использовал вэб-интерфейс (owa) и результат такой же: #554 5.7.1 Sender address rejected: Access denied ##. Так что думаю, что Ms Outlook тут не при чем.
    Какая у вас на сервере задана периодичность обновления GAL? Обновите его вручную.
    15 апреля 2010 г. 8:18
  • get-recipient -recipienttype usermailbox - итак содержит нового пользователя

    всеравно обновил GAL в ручную - не помогло.

    да и как GAL влияет на отправку почты во внешний мир? это же только список

     

    получается как-то странно: это не похоже на какие-то права или политики, ибо они рпименяются к группам, а ранее созданные пользователи нормлаьно функционируют. еще, если в качесте smtp по-умолчанию для вновьсозданного пользователя поставить значениеuserX@mydomain.ru где userX - это пользователь, который существовал в домене и имел почту ранее, а сейчас - удален из АД, то почта будет нормлаьно ходить...

    не могу придумать ни одного логичного объяснения этим фактам

    15 апреля 2010 г. 9:23
  • есть такая политика

    на вкладке мастера "Адреса электронной почты" стоит маска @local-domain-name

    но ведь так было всегда, как я писал выше, все вновь созданные адреса имеют по-умолчанию ящик видаuser@local-domain-name. И вручную добавляется и делается дефолтным обратным адресом адрес smtp вида:user@mydomain.ru (где mydomain.ru - имя домена, доступного из интернета)

    А входящая почта из вне нормлаьно приходит на все (в том числе вновь созданные) ящики. Тоесть проблема, мне кажется, в том, что почему-то не хватает прав у пользователей, для выхода почты во вне...


    пока отвлеченно - а почему вы политики то не настроите на автоматическое присвоение\создание требуемых адресов ?
    Exchange MVP. _ This posting is provided "AS IS" with no warranties, and confers no rights.
    15 апреля 2010 г. 10:39
  • да хз, так было настроено, когда я пришел. При том, что нечасто юзверей добавлять приходится - не напрягает

    но, мне кажется, к данной проблеме это отношения не имеет, ведь раньше все работало. и сейчас работает у ранее созданных пользователей.

    что может вот так заварачивать одних и не заворачивать других, если все одинаково у всех настроено? у меня даже идеи уже закончились, в чем еще может быть проблема =(

    15 апреля 2010 г. 11:00
  • 1. перенастройте по "нормальному" -)

    2. какое еще ПО для Exchange  используется  ?


    Exchange MVP. _ This posting is provided "AS IS" with no warranties, and confers no rights.
    15 апреля 2010 г. 11:24
  • еще есть Kaspersky Security для Microsoft Exchange Server 2007 и установлен он недавно, но он не может делать такие пакости т.к. если ему что-то ненравится, то он добавляет текст в письмо и пропускает его дальше, да и инициатор сообщения - явно сам Exchange

    раз я могу получать почту из вне и не могу отправлять туда, сдается мне, что проблема может быть в соединителе отправки. Но я бы понял, если бы не работало у всех пользователей, а ведь у старосозданных работает. да и не трогал я этих настроек

    15 апреля 2010 г. 11:38
  • А что рассказывает о разрешениях Get-CASMailbox? Сравнить новый и старый.

    15 апреля 2010 г. 12:34
  • для старого (рабочего) ящика и для нового (не ходящего наружу) различаются только "Guid" и "дата создания"
    15 апреля 2010 г. 12:50
  • еще есть Kaspersky Security для Microsoft Exchange Server 2007 и установлен он недавно, но он не может делать такие пакости т.к. если ему что-то ненравится, то он добавляет текст в письмо и пропускает его дальше, да и инициатор сообщения - явно сам Exchange

    раз я могу получать почту из вне и не могу отправлять туда, сдается мне, что проблема может быть в соединителе отправки. Но я бы понял, если бы не работало у всех пользователей, а ведь у старосозданных работает. да и не трогал я этих настроек

     

    Чисто теоретически может.

    Пересоздайте send connector

     


    Exchange MVP. _ This posting is provided "AS IS" with no warranties, and confers no rights.
    15 апреля 2010 г. 13:11
  • это был пинок в нужную сторону

    в настройках отправляющего соединителя нашел галку включения логов, которые помогли решить проблему.

    Exchange работал грамотно, а вот шлюз между локалкой и инетом с postfix-ом на борту словил большого глюка с блеклистами и стал причиной этих плясок с выборочно неработающими учетками.

    Спасибо всем за участие. Тема закрыта

    16 апреля 2010 г. 8:01