none
все же новая тема - 5.7.1 - Сlient does not have permission to send as this sender RRS feed

  • Вопрос

  • сначала написал тут - http://social.technet.microsoft.com/Forums/ru-RU/ocses2007ru/thread/205b411a-fd50-49e7-815b-e86840840273
    но судя по отвеченной теме народ не активно туда заглядывает.
    Итак.. соединитель по умолчанию сам создается.
    сервер зовется - EXCHANGE.domain.LOCAL
    сидит только во внутренней сетке.
    наружу публикация через isa ( owa,ActiveSync, Outlook Anywhere)
    isa в свою очередь имеет как бы два "внешних адреса". тоесть один то реально внешний второй скажем так "псевдовнешний"( так надо и не спрашивайте почему :) ) через этот как раз псевдовнешний народ и ходит в инет.
    команду - add-adpermission 'Client EXCHANGE" -User AU -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
    тоже ввел.
    Что имеем - сообщения отправляются ТОЛЬКО если пользователь является Exchange Organization Administrator
    все остальные получают
    5.7.1 -  Сlient does not have permission to send as this sender

    клиент- Mozilla Thunderbird
    Все вроде настроено правильно..
    указываю себя в поле для авторизации - все проходит и все отправляется ( я естественно админ), указываю пользователя с дефолтовыми правами - 5.7.1

    попутно выяснено - что если обращаться к серверу напрямую ( тоесть указывать внутреннее fqdn имя) то все ок. и обыкновенные пользователи и админы отправляют почту.
    если же прокинуть порт через isa то получаем - client does not have permission to send as this sender.
    с домен админами такое естественно не прокатывает - они отправляют почту на ура.
    пробовал прокинуть порт через cisco 2811 - ситуация не меняется.
    поменять в настройках isa ( запросы приходят от ISA сервер), как вы понимаете, ни к чему не приводят.
    Где эти настройки? где разрешения?

    ICQ-75090030
    • Перемещено Hengzhe Li 12 марта 2012 г. 8:40 forum merge (От:Exchange Server 2007)
    1 декабря 2009 г. 8:35

Ответы

  • Есть другой вариант про раздельные адреса SMTP: http://technet.microsoft.com/ru-ru/library/bb676395.aspx

    Тогда считаем, что у вас один сетевой интерфейс и 3 получателя:
    1 - для приема почты с юникс сервера
    2 - Client Exchange для приема почты от авторизованных пользователей домена порт 587
    3 - дефолтный на 25 порту

    Нормальная практика оставить тот, который Default порт 25 для получения почты извне, там надо будет включить Anonymous Users. Потом на него переключить юникс сервер, а в дальнейшем оставить для приема почты из интернет.

    Второй Client Exchange порт 587 использовать для ваших нужд отправки писем для внутренних пользователей с авторизацией. Вы говорите, что нормально работает внутри сети. Оба коннектора слушают на сет. интерфейсе 192.168.11.11

    Создать еще один для тех, кто будет подключаться снаружи с авторизацией
    New-ReceiveConnector "name" -parameters
    Get-ReceiveConnector "name" | Add-ADPermission -User AU -ExtendedRights "ms-Exch-SMTP-Accept-Authoritative-Domain-
    Sender
    "
    Настроить в коннекторе response to HELO/EHLO: mail.exchange.domain.ru (в соответствии с вашими потребностями) и анонимную авторизацию.

    Далее делать проброс на циске/исе, потом подключиться снаружи телнетом, проверить что ответ будет - mail.exchange.domain.ru
    Отключить на получателе анонимную авторизацию.
    Далее снова настроить авторизацию по SMTP на почтовом клиенте (адрес, порт) и пробовать отправить сообщение.
    Проверять логи.
    Одним словом минимизировать совпадение чего-либо.


    • Помечено в качестве ответа Vladimir Novikov 4 декабря 2009 г. 14:03
    • Изменено Andrey Larin 4 декабря 2009 г. 22:28
    2 декабря 2009 г. 14:12

Все ответы

  • Что говорит команда get-mailboxpermission –identity USERNAME | ft deny,user, AccessRights ?

    У вас один получатель?
    • Изменено Andrey Larin 1 декабря 2009 г. 9:23
    1 декабря 2009 г. 9:15
  • vnovikov - соответственно я.
    artem.b - тестовый ящик от кого пытаюсь отправлять.
    да и что то мне подсказывает что не там дело то?
    проблема не в доступе к ящику.. проблема в отправке писем через smtp ( 587 порт) отимени пользователя artem.b
    вот от меня ( vnovikov), я являюсь администратором предприятия, все ок. все отправляется.

    [PS] C:\Documents and Settings\vnovikov>get-mailboxpermission -identity artem.b | ft deny,user, AccessRights

    Deny                                        User                                       AccessRights
    ----                                        ----                                       ------------
    False                                       NT AUTHORITY\SELF                          {FullAccess, ReadPermission}
    False                                       S-1-5-21-649532096-3246116915-180890321... {ReadPermission}
    True                                        DOMAIN\Exchange Servers                    {FullAccess}
    True                                        DOMAIN\Администраторы домена               {FullAccess}
    True                                        DOMAIN\Администраторы предприятия          {FullAccess}
    True                                        DOMAIN\vnovikov                            {FullAccess}
    True                                        DOMAIN\Exchange Organization Administra... {FullAccess}
    False                                       NT AUTHORITY\NETWORK SERVICE               {ReadPermission}
    False                                       DOMAIN\Exchange Servers                    {FullAccess}
    False                                       DOMAIN\Exchange Public Folder Administr... {ReadPermission}
    False                                       S-1-5-21-649532096-3246116915-180890321... {FullAccess, DeleteItem, ReadPermission
    False                                       S-1-5-21-649532096-3246116915-180890321... {ReadPermission}
    False                                       S-1-5-21-649532096-3246116915-180890321... {FullAccess, DeleteItem, ReadPermission
    False                                       S-1-5-21-649532096-3246116915-180890321... {ReadPermission}
    False                                       DOMAIN\vnovikov                            {FullAccess, DeleteItem, ReadPermission
    False                                       S-1-5-21-649532096-3246116915-180890321... {ReadPermission}
    False                                       S-1-5-21-649532096-3246116915-180890321... {FullAccess, DeleteItem, ReadPermission
    False                                       S-1-5-21-649532096-3246116915-180890321... {ReadPermission}
    False                                       DOMAIN\Exchange Servers                    {ReadPermission}
    False                                       DOMAIN\Exchange Organization Administra... {FullAccess, DeleteItem, ReadPermission
    False                                       DOMAIN\Exchange View-Only Administrators   {ReadPermission}
    False                                       DOMAIN\Администраторы предприятия          {FullAccess, DeleteItem, ReadPermission
    False                                       DOMAIN\Администраторы домена               {FullAccess, DeleteItem, ReadPermission

    насчет получателя - не понял.
    если Вы имеете ввиду - отправляю ли я письмо в адрес одного получателя - да. одного.
    предвкушая следующий вопрос - да я отправляю письмо получателю имеющему ящик  в этом же домене и на этом же сервере.
    проще говря я отправляю его - пользователю - vnovikov.



    ICQ-75090030
    1 декабря 2009 г. 9:20
  • Получатель - receive connector.
    Вы внутри сети и снаружи используете один receive connector или разные?
    1 декабря 2009 г. 10:48
  • один естественно.

    тот который создался по умолчанию при установке Exchange Server.
    только при условии "внутри сети" сервер имеет имя exchange.domain.local
    снаружи же ( порт пробрасывается через isa server) - exchange.domain.ru

    ICQ-75090030
    1 декабря 2009 г. 11:01
  • По-умолчанию их создается 2, один слушает на 25 порты , другой на 587.
    Вы говорите почта нормально ходит внутри при обращении по fqdn сервера.
    Проблема при доступе снаружи? Может быть дело в публикации на иСЕ?
    1 декабря 2009 г. 14:48
  • я использую тот который слушает 587 порт ( для пущей уверенности) , хотя с той же уверенностью могу использовать и тот что слушает 25 порт ( там ситуация идентична ( админы могут, юзеры нет).
    Вполне может быть что проблема в публикации на isa.
    но это только один путь. вторая публикация на проброс порта через cisco 2811. вот там то особых извратов быть и не может. ибо там просто пробрасывается 587 порт.
    сегодня попробую дать exchange внешний ip ( закрыв все порты кроме 25,587,110,995,143,993). и попробую так отправить письмо.
    меня главным образом сейчас интересует - КАК Exchange определяет сеть с которой идет запрос ( внешняя сеть или внутреняя)? и где могут выставляться permission на разрешение отправки писем?
    с теоретической точки зрения - без разницы откуда я буду посылать запрос ( тоесть не важно с какой сети). При условии правильной авторизации он, просто таки обязан, дать возможность отправить почту. а не отшибать с мотивацией 5.7.1.

    ICQ-75090030
    2 декабря 2009 г. 5:53
  • У вас отсутствует разрешение send as:
    [PS] C:\Documents and Settings\vnovikov>get-mailboxpermission -identity artem.b | ft deny,user, AccessRights

    Deny                                        User                                       AccessRights
    ----                                        ----                                       ------------
    False                                       NT AUTHORITY\SELF                          {FullAccess, ReadPermission}

    должно быть так:
    Deny                                    User                                    AccessRights
    ----                                    ----                                    ------------
    False                                   NT AUTHORITY\SELF                       {FullAccess, SendAs, ReadPermission}
    2 декабря 2009 г. 7:24

  • [PS] C:\Documents and Settings\vnovikov>get-mailboxpermission -identity artem.b | ft deny,user, AccessRights

    Deny                                      User                                      AccessRights
    ----                                      ----                                      ------------
    False                                     NT AUTHORITY\SELF                         {FullAccess, SendAs, ReadPermission}
    False                                     S-1-5-21-649532096-3246116915-18089032... {ReadPermission}
    True                                      DOMAIN\Exchange Servers                   {FullAccess}
    True                                      DOMAIN\Администраторы домена              {FullAccess}
    True                                      DOMAIN\Администраторы предприятия         {FullAccess}
    True                                      DOMAIN\vnovikov                           {FullAccess}
    True                                      DOMAIN\Exchange Organization Administr... {FullAccess}
    False                                     NT AUTHORITY\NETWORK SERVICE              {ReadPermission}
    False                                     DOMAIN\Exchange Servers                   {FullAccess}
    False                                     DOMAIN\Exchange Public Folder Administ... {ReadPermission}
    False                                     S-1-5-21-649532096-3246116915-18089032... {FullAccess, DeleteItem, ReadPermissio...
    False                                     S-1-5-21-649532096-3246116915-18089032... {ReadPermission}
    False                                     S-1-5-21-649532096-3246116915-18089032... {FullAccess, DeleteItem, ReadPermissio...
    False                                     S-1-5-21-649532096-3246116915-18089032... {ReadPermission}
    False                                     DOMAIN\vnovikov                           {FullAccess, DeleteItem, ReadPermissio...
    False                                     S-1-5-21-649532096-3246116915-18089032... {ReadPermission}
    False                                     S-1-5-21-649532096-3246116915-18089032... {FullAccess, DeleteItem, ReadPermissio...
    False                                     S-1-5-21-649532096-3246116915-18089032... {ReadPermission}
    False                                     DOMAIN\Exchange Servers                   {ReadPermission}
    False                                     DOMAIN\Exchange Organization Administr... {FullAccess, DeleteItem, ReadPermissio...
    False                                     DOMAIN\Exchange View-Only Administrators  {ReadPermission}
    False                                     DOMAIN\Администраторы предприятия         {FullAccess, DeleteItem, ReadPermissio...
    False                                     DOMAIN\Администраторы домена              {FullAccess, DeleteItem, ReadPermissio...


    мне не жалко..
    но разве FullAccess не предполагает этого параметра?
    ибо через панель управления поставить это в качестве дополнительного нельзя. он там уже есть.
    через power shell можно. что я и сделал.
    но это все равно не решило проблемы.
    и опять же.. разве проблема в ящике данного конкретного пользователя?
    где выставить права на коннектор.
    и по какому принципу он определяет принадлежность хоста к "внутренней" или "внешней" сети.
    для сведения - сервера у меня в отдельной сети. и когда я говорю что отправляю письма "изнутри" сети и они уходят , то это означает что я обращаюсь к серверу exchange по порту 587 с адреса , ну допустим, 192.168.2.10. Сервер же сам находится по адресу - 192.168.1.10. маски у обоих сетей 255.255.255.0. маршрутизацией занимается cisco. и вот как интересно exchange определяет что пользователь из внутренней или из внешней сети - мне не понятно.
    может надо оставить еще какие либо порты открытыми - что бы уж точно все было ок?
    очень уж не хочется пытаться отлавливать все пакеты по всем портам , что бы удостоверится что это все требуемые порты.

    ICQ-75090030
    2 декабря 2009 г. 8:54
  • Внутри сети у вас обычный роутинг, для Exchange все прозрачно. Коннектор не определяет принадлежность к внешней или внутренней сети, он принимает соединения с разрешенных хостов или сетей, которые указаны в его свойствах. Посмотрите логи SMTP, увидите с каких хостов происходят соединения.
    Разрешения на коннектор устанавливаются следующим способом:

    Get-ReceiveConnector "name" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "ms-Exch-SMTP-Accept-Authoritative-Domain-Sender "
     Но вы уже делали это, как я понимаю

    Что в вашем понимании внешняя и внутреняя сеть? Опишите подробней вашу топологию.

    Для проверки вы можете использовать коннектор принимающий на порту 25, поставить там разрешение для Anonymous Users и попробовать послать снаружи через него.
    2 декабря 2009 г. 9:19
  • сделал как и планировал.
    внешний ip. порты оставил только перечисленные.
    все тоже самое.. админы могут. юзеры нет.
    вот КАК? и где..
    и вообще . хоть у кого то работает подобная схема? пользователи из ДОМА могут отправлять почту через сервера exchange ( порты 587,25)?
    или все  только через RPC over HTTPS?
    ICQ-75090030
    2 декабря 2009 г. 9:41
  • топология веселая. :))
    существует 3 основных сервера
    1.sqlserv (роль сервера почтовых ящиков) 192.168.11.13
    2.exchange ( все роли. опять же - так надо.) 192.168.11.11
    3. unix сервер (qmail, так исторически сложилось и сейчас до сих пор идет перевод ящиков с него на exchange)
    это сервер имеет два интерфейса. один - 192.168.11.100 второй внешний адрес.

    так же имеется ( на данный момент) 5 филиалов.
    в каждом из филиалов своя внутренняя сеть типа 192.168.x.x ( маршрутизация через cisco).
    в каждом филиале стоит по серверу exchange ( все роли).

    вся почта отправляется через unix сервер (он принимает сообщения от всех этих серверов без авторизации).
    то есть существует коннектор отправки (в который включены все сервера филиалов и 192.168.11.11) котрый весь поток почты отдает на сервер unix.

    в обратную же сторону поток почты осуществляется следующим образом
    принимает её unix. на нем заведен ящик типа user@domain.ru
    и далее в настройках юзера стоит что бы вс почту он пересылал на адрес - user@exchange.domain.ru/ сервер для приема почты на домен exchange.domain.ru  - 192.168.11.11

    в настройках user на exchange серверах. в закладках адреса у каждого пользователя два адреса типа user@domain.ru и user@exchange.domain.ru) на exchange домен exchange.domain.ru является обслуживаемым.

    это собственно как ходит поток почты.

    зачем задумана попытка заставить работать smtp - что бы все таки наконец исключить сервер unix из системы вообще. а все ящики пользователей ( которых нет в exchange) перевести таки в него.
    Но. все равно требуется некоторым пользователям оставить возможность подключения по pop3 и smtp ( обусловленно слишком медленным каналом связи с интернет в некоторых местах).

    вот собственно и все.

    ====
    относительно включения анонимных пользователей на коннектере по 25 порту. - интересно - сколько успеет народу наспамить через этот открытый релей пока я буду его тестировать?:)))

    да и собственно говоря - зачем. что мне это даст? то что сервер может работаь как анонимный релей? так я это и так знаю. коннектор для unix сервера является как раз анонимным. и он работает. ( правда вот сервер unix то все равно имеет "внутренний" ip ( 192.168.11.100)).



    ICQ-75090030
    2 декабря 2009 г. 10:40
  • Вы путаете анонимный релей это не то.
    Если там включено Anonymous Users, это не значит что он анонимный релей стал, а просто принимает не авторизованные коннекты и почту для пользователей вашей организации. Вам в любом случае придется это сделать после исключения UNix сервера из схемы.
    Сказал я это для того, что бы вы протестировали, действительно дело в получателе и авторизации.

    Сейчас в вашей локальной сети можно послать через сервер 192.168.11.11 от любого пользователя(админ , не админ)?
    Проблема наблюдается только если вы посылаете снаружи, из интернет скажем?

    2 декабря 2009 г. 11:05
  • 1.ок. сейчас проверю.
    2. насчет посылки - именно так. порты ( 587,25) первоначально были прокинут через isa сервер. потом через cisco 2811/ на данный момент сервер exchange ( 192.168.11.11) вторым своим интерфейсом смотрит во внешнюю сеть ( адрес 89.221.x.x). фаерволом закрыты все входящие порты акромя - 25,587,110,995,143,993.

    соответственно - если пытаюсь отправить письмо с адреса - 192.168.11.50 то оно уходит. не зависимо какой пользователь отправляет ( админ и не админ).
    если же пытаюсь обратится к внешнему интерфейсу (89.221.х.х) то письмо могу отправить только если я админ. в противном случае - 5.7.1.


    ICQ-75090030
    2 декабря 2009 г. 11:14
  • включение анонимных пользователей результатов так же не дало.
    все осталось как и прежде.
    P.S. после выставления опций - службу транспорта требуется перегружать? Или и так должо все понять?

    ICQ-75090030
    2 декабря 2009 г. 11:19
  • У вас в сервере exchange 2 интерфейса? Один 192.168.11.11, другой 89.221.x.x
    Что значит вкл. анонимных не помогло. В этом случае вы можете посылать письма через этот коннектор без авторизации. Вы уверены, что проброс работает туда , куда нужно? После выставление опций службу рестартить не нужно.

    У коннектора также есть свойство, на каком IP он слушает use this local IP address to receive mail

    У меня подозрение, что вы используете разные коннекторы.

    Могу посоветовать сделать 2 разных: один для внутр сети, он слушает на интерфейсе 192.168.11.11, другой для внешней - 89.221.x.x
    2 декабря 2009 г. 11:31
  • при включенной анонимности - на коннекторе Client Exchange и выключении авторизации на клиенте - выдало сообщение - 5.7.1 Unable to Relay

    обращаюсь я точно - туда куда нужно.

    при установке Exchange автоматом создаются два коннектора. У него прописывается - все доступные ipv4-адреса порт 587 и 25
    принимать от адресов - 0.0.0.0-255.255.255.255

    на данный момент у меня три коннектора.
    два дефолтных и один специальный ( с включенной анонимностью) для unix сервера.
    Для последнего указан точный ip-адрес откуда принимать.

    ICQ-75090030
    2 декабря 2009 г. 13:13
  • 5.7.1 Unable to Relay означает, что вы через этот коннектор посылаете письмо наружу, в домен, за который exchange не отвечает. Для неавторизованных пользователей по умолчанию закрыто.

    Для чего 2 интерфейса в exchange и как они используются? Client Exchange принимает на 2-ух?

    2 декабря 2009 г. 13:23
  • Вы правы. именно так. получается что домен - domain.ru сервер exchange не обслуживает ( ибо его нет в обслуживаемых).
    обслуживает он домен exchange.domain.ru
    я не могу добавить домен - domain.ru в обслуживаемые, по причине того, что часть ящиков почтовых все еще находится на unix сервере. И основным, все еще, остается именно он.

    и если указать адрес получателя в этом домене(exchange.domain.ru) то все ок.
    правда вот меня это не устраивает. :(
    а по какой причине не авторизуется клиент - мне не понятно. :(

    то есть если поставить везде - анонимность - то можно и отправить письмо.. НО ТОЛЬКО на адреса в домене exchange.domain.ru
    по понятным причинам меня это не устроит. :) 
    причины две -
    1. авторизация не работает
    2. не хочу делать открытый релей.

    второй интерфейс в exchange был активирован только для тестов. что бы на него повесить клиентский коннектор.
    Ибо была мысль что авторизация не проходит из за механизма "проброса портов". и где то по дороге все теряется.
    эксперимент провалился.
    вопрос - почему не работает авторизация и где я напортачил?
    ICQ-75090030
    2 декабря 2009 г. 13:59
  • Есть другой вариант про раздельные адреса SMTP: http://technet.microsoft.com/ru-ru/library/bb676395.aspx

    Тогда считаем, что у вас один сетевой интерфейс и 3 получателя:
    1 - для приема почты с юникс сервера
    2 - Client Exchange для приема почты от авторизованных пользователей домена порт 587
    3 - дефолтный на 25 порту

    Нормальная практика оставить тот, который Default порт 25 для получения почты извне, там надо будет включить Anonymous Users. Потом на него переключить юникс сервер, а в дальнейшем оставить для приема почты из интернет.

    Второй Client Exchange порт 587 использовать для ваших нужд отправки писем для внутренних пользователей с авторизацией. Вы говорите, что нормально работает внутри сети. Оба коннектора слушают на сет. интерфейсе 192.168.11.11

    Создать еще один для тех, кто будет подключаться снаружи с авторизацией
    New-ReceiveConnector "name" -parameters
    Get-ReceiveConnector "name" | Add-ADPermission -User AU -ExtendedRights "ms-Exch-SMTP-Accept-Authoritative-Domain-
    Sender
    "
    Настроить в коннекторе response to HELO/EHLO: mail.exchange.domain.ru (в соответствии с вашими потребностями) и анонимную авторизацию.

    Далее делать проброс на циске/исе, потом подключиться снаружи телнетом, проверить что ответ будет - mail.exchange.domain.ru
    Отключить на получателе анонимную авторизацию.
    Далее снова настроить авторизацию по SMTP на почтовом клиенте (адрес, порт) и пробовать отправить сообщение.
    Проверять логи.
    Одним словом минимизировать совпадение чего-либо.


    • Помечено в качестве ответа Vladimir Novikov 4 декабря 2009 г. 14:03
    • Изменено Andrey Larin 4 декабря 2009 г. 22:28
    2 декабря 2009 г. 14:12
  • это не решит проблему.
    это решит проблему с внутренней почтой. и не более того.
    а как мне отправлять почту наружу?
    тоесть я не смогу же объяснить пользователю сидящему.. ну скажем в каком нить ауле с gprs модемом что на данный момент он сможет отправлять почту ТОЛЬКО внутри нашего домена. .а если , скажем ему понадобится отправить письмо для какого-нибудь клиента , то он должен воспользоваться бесплатынми сервисами типа mail.ru, gmail.com и т.д.

    как понять - почему не работает авторизация? а может она и работает на самом то деле?
    ICQ-75090030
    2 декабря 2009 г. 14:56
  • а вот это - Get-ReceiveConnector "name" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "ms-Exch-SMTP-Accept-Authoritative-Domain-Sender "

    что то я наверное не совсем понимаю..
    это правильная строчка?
    NT AUTHORITY\ANONYMOUS LOGON
    это вот зачем?
    почему анонимы?

    у меня строка иная..
    add-adpermission 'Client EXCHANGE" -User AU -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
    ICQ-75090030
    2 декабря 2009 г. 15:14
  • Пардон, это строка из примера, открытия релея. Ваш вариант правильный.
    2 декабря 2009 г. 15:35
  • в принципе ответ кроется в первой строчке.. что то я ступил все же..
    сделал домен внутренней ретрансляции - domain.ru и .. вуаля - все работает.
    спасибо. :)
    ICQ-75090030
    4 декабря 2009 г. 14:04