none
Проблема с доставкой сообщений в группу рассылки. RRS feed

  • Вопрос

  • Всем добрый день. Имеется почтовая организация на основе Exchange 2007 sp1. Имеются группы рассылки. Собственно проблема в том, что если пользователи из внутренней сети пытаются отправить сообщение на группу рассылки при помощи не MAPI клиента (через SMTP), то им возвращается ошибка

    Delivery has failed to these recipients or distribution lists:

    имя группы рассылки

    Your message wasn't delivered because of security policies. Microsoft Exchange will not try to redeliver this message for you. Please provide the following diagnostic text to your system administrator.

    Sent by Microsoft Exchange Server 2007


    Diagnostic information for administrators:

    Generating server: почтовый сервер

    имя группы рассылки

    #550 5.7.1 RESOLVER.RST.AuthRequired; authentication required ##



    Собственно вопрос, почему такое может быть?



    Как вариант решения данной проблемы многие предлагают снять галку с поля "Требовать проверку поддлинности всех отправителей" в параметрах потока почты, но это не вариант, так как это потенциальная дыра для спама.

    В свойствах receive коннектора пользователям Exchange подключения разрешены, анонимам соответственно нет.

    Релей из внутренней сети разрешён.


    • Перемещено Hengzhe Li 12 марта 2012 г. 9:08 forum merge (От:Exchange Server 2007)
    11 июня 2008 г. 10:22

Все ответы

  • настройте на клиентах SMTP c авторизацией или на группе уберите параметр требовать аутентификацию

    EMC - Microsoft Exchange - Recipient Configuration - Dustribution Group - <ваша группа> - Propirties - Mailflow Settings - Message Delivery Restrictions - Requuire that all senders are authenticated

    11 июня 2008 г. 11:31
  • Авторизация SMTP включена, в клиенте всё настроено как нужно, то есть для авторизации используется точно валидное доменное имя.
    Ещё раз повторюсь, что убирать галку про требование авторизации не хочу, это неправильно.
    11 июня 2008 г. 11:42
  • telnet на 25 порт сервера и попытка отправить письмо к чему приводит?

    HELO moskow.ru

    MAIL FROM: v.putin@moskow.ru

    выполните эти две команды в телнете из внутренней сети

    результат выполнения сюда.

     

    11 июня 2008 г. 12:03
  • В логе The Bat всё очень хорошо видно. Кстати, ещё обязательно использование TLS

    [13:16:04]  C: Connected to почтовик, port 25
    [13:16:04]  S: 220 почтовик Microsoft ESMTP MAIL Service ready at Wed, 11 Jun 2008 13:16:03 +0400
    [13:16:04]  C: EHLO localhost
    [13:16:04]  S: 250-почтовик Hello [Тут IP]
    [13:16:04]  S: 250-SIZE
    [13:16:04]  S: 250-PIPELINING
    [13:16:04]  S: 250-DSN
    [13:16:04]  S: 250-ENHANCEDSTATUSCODES
    [13:16:04]  S: 250-STARTTLS
    [13:16:04]  S: 250-X-ANONYMOUSTLS
    [13:16:04]  S: 250-AUTH NTLM
    [13:16:04]  S: 250-X-EXPS GSSAPI NTLM
    [13:16:04]  S: 250-8BITMIME
    [13:16:04]  S: 250-BINARYMIME
    [13:16:04]  S: 250-CHUNKING
    [13:16:04]  S: 250-XEXCH50
    [13:16:04]  S: 250 XRDST
    [13:16:04]  C: STARTTLS
    [13:16:04]  S: 220 2.0.0 SMTP server ready
    [13:16:04]  C: EHLO localhost
    [13:16:04]  S: 250-почтовик Hello [Тут IP]
    [13:16:04]  S: 250-SIZE
    [13:16:04]  S: 250-PIPELINING
    [13:16:04]  S: 250-DSN
    [13:16:04]  S: 250-ENHANCEDSTATUSCODES
    [13:16:04]  S: 250-AUTH NTLM LOGIN
    [13:16:04]  S: 250-X-EXPS GSSAPI NTLM
    [13:16:04]  S: 250-8BITMIME
    [13:16:04]  S: 250-BINARYMIME
    [13:16:04]  S: 250-CHUNKING
    [13:16:04]  S: 250-XEXCH50
    [13:16:04]  S: 250 XRDST
    [13:16:15]  C: AUTH LOGIN
    [13:16:15]  S: 334 VXNlcm5hbWU6
    [13:16:15]  C: S2xca292eXJvdg==
    [13:16:15]  S: 334 UGFzc3dvcmQ6
    [13:16:15]  C: UGVwc2lMaWdodCMyMDA2
    [13:16:15]  S: 235 2.7.0 Authentication successful
    [13:16:15]  C: MAIL FROM:<Мой адрес> SIZE=439
    [13:16:15]  S: 250 2.1.0 Sender OK
    [13:16:15]  C: RCPT TO:<Адрес получателя>
    [13:16:15]  S: 250 2.1.5 Recipient OK
    [13:16:15]  C: DATA
    [13:16:15]  S: 354 Start mail input; end with <CRLF>.<CRLF>
    [13:16:15]  C: Date: Wed, 11 Jun 2008 13:15:59 +0400
    [13:16:15]  C: From: Моя учётка <Мой адрес>
    [13:16:15]  C: X-Mailer: The Bat! (v4.0.24) UNREG
    [13:16:15]  C: X-Priority: 3 (Normal)
    [13:16:15]  C: Message-ID: <Идентификатор письма>
    [13:16:15]  C: To: Адрес получателя
    [13:16:15]  C: Subject: Test
    [13:16:15]  C: MIME-Version: 1.0
    [13:16:15]  C: Content-Type: text/plain; charset=windows-1251
    [13:16:15]  C: Content-Transfer-Encoding: quoted-printable
    [13:16:15]  C:
    [13:16:15]  C: =D2=E5=F1=F2=EE=E2=EE=E5 =F1=EE=EE=E1=F9=E5=ED=E8=E5.
    [13:16:15]  C:
    [13:16:15]  C: .
    [13:16:15]  C: {444 bytes sent}
    [13:16:15]  S: 250 2.6.0 <Идентификатор письма> Queued mail for delivery
    [13:16:15]  C: RSET
    [13:16:15]  S: 250 2.0.0 Resetting
    [13:16:15]  C: QUIT
    [13:16:15]  S: 221 2.0.0 Service closing transmission channel
    11 июня 2008 г. 12:17
  • В логе The Bat всё очень хорошо видно
    а можно все таки сделать то о чем я попросил?

    и вот эту команду тоже

    Code Snippet

    Get-ReceiveConnector | FL Name, AuthMechanism, PermissionGroups, Bindings, RemoteIPRanges

     

     

    11 июня 2008 г. 12:50
  • Ок, результаты -

    на helo moscow.ru всё корректно откликается  - 250 имя сервера Hello [IP адрес]
    на mail from: v.putin@moscow.ru  - 530 5.7.1 Client was not authenticated

    Что касается инфы по ресиверам -

    Name             : Имя1
    AuthMechanism    : Tls, Integrated, BasicAuth, BasicAuthRequireTLS, ExchangeServer
    PermissionGroups : ExchangeUsers, ExchangeServers, ExchangeLegacyServers, Custom
    Bindings         : {IP интерфейса:25}
    RemoteIPRanges   : {0.0.0.0-255.255.255.255}

    Name             : Имя2
    AuthMechanism    : Tls, Integrated, BasicAuth, BasicAuthRequireTLS
    PermissionGroups : ExchangeUsers, Custom
    Bindings         : {IP интерфейса:587}
    RemoteIPRanges   : {0.0.0.0-255.255.255.255}

    11 июня 2008 г. 13:21
  • и еще такой вопросик Smile сори за назойливость.

    А если все таки снять галочку и отправить тестовое письмо для группы не меняя остальных параметров оно дойдет? Пробовали?

     

    PS И еще меня смущает PermissionGroups - Custom .... что бы это могло быть?!

    PPS SP1 стоит? Rollups? Restart сервера что нибудь меняет?

    11 июня 2008 г. 14:31
  •  

    Если снять галку всё становится нормально, но это же не правильно. Раз клиент письмо отсылает, то аутентификацию он проходит, так почему отбой возвращается?

     

    Насчёт custom, я думаю это от того, что добавляли "ExtendedRights" вручную. Вот как выглядит результат команды get-receiveconnector -identity "нужный коннектор" | Get-Adpermission -user "NT AUTHORITY\Прошедшие проверку" |select-object user, extendedrights

     

    User                                                               ExtendedRights
    ----                                                                       --------------
    NT AUTHORITY\Прошедшие проверку         {ms-Exch-SMTP-Submit}
    NT AUTHORITY\Прошедшие проверку         {ms-Exch-Bypass-Anti-Spam}
    NT AUTHORITY\Прошедшие проверку         {ms-Exch-Accept-Headers-Routing}
    NT AUTHORITY\Прошедшие проверку         {ms-Exch-SMTP-Accept-Any-Recipient}
    NT AUTHORITY\Прошедшие проверку         {ms-Exch-SMTP-Accept-Any-Sender}

     

     

    То есть по логике все авторизированные пользователи слать нормально должны, проблем быть не должно.

     

    На сервере все апдейты есть, версия Exchange - Version 8.1 (Build 240.6). Рестарт ничего не меняет.

     

    Кстати, вот тема точно такая же, там ответа тоже нет -

    http://forums.microsoft.com/TechNet/ShowPost.aspx?PostID=2507601&SiteID=17

     

    Ещё какие-нибудь мысли?

    16 июня 2008 г. 10:21
  • Этот проблемный пользователь испытвает трудности аналогичного рода при отправке по MAPI ?

    16 июня 2008 г. 11:15
  • Вся беда в том, что никто не может отправить через клиента отличного от MAPI. Через MAPI отсылается у всех нормально.

    16 июня 2008 г. 11:36
  •  kovy написано:

    Вся беда в том, что никто не может отправить через клиента отличного от MAPI. Через MAPI отсылается у всех нормально.

     

    что с использованием 587-порта (дефолтного в 2007-м для клиента )

    16 июня 2008 г. 12:08
  •  

    Даже если используется 587 порт, всё равно возвращается отбой, то же самое, что и при отправке на 25 порт.

     

    Господа, может кто-нибудь попробует у себя в организации создать группу рассылки и отправить с любого не MAPI клиента сообщение в эту группу. Результат такой же будет?

    16 июня 2008 г. 13:05
  •  kovy написано:

     

    Даже если используется 587 порт, всё равно возвращается отбой, то же самое, что и при отправке на 25 порт.

     

    Господа, может кто-нибудь попробует у себя в организации создать группу рассылки и отправить с любого не MAPI клиента сообщение в эту группу. Результат такой же будет?

    Использовал Outlook Express. тип соединения SMTP\POP3 SSL.

    Результат положительный. Сообщение ушло.

     

    хм... боюсь предположить... но стоит ли у вас галочка на аутентификацию до отправки сообщения?

    В общем у меня похожее выдалось только при отключенной галке. Хотя судя по сообщениям до этого стоит.

     kovy написано:
    Насчёт custom, я думаю это от того, что добавляли "ExtendedRights" вручную.

    это относится к решению этой задачи?

     

    в общем в таком варианте сообщения доходят: 

    Code Snippet

    Name             : Default S-BETA
    AuthMechanism    : Tls, Integrated, BasicAuth, BasicAuthRequireTLS, ExchangeServer
    PermissionGroups : ExchangeUsers, ExchangeServers, ExchangeLegacyServers
    Bindings         : {0.0.0.0:25}
    RemoteIPRanges   : {0.0.0.0-255.255.255.255}

    Name             : Client S-BETA
    AuthMechanism    : Tls, Integrated, BasicAuth, BasicAuthRequireTLS
    PermissionGroups : ExchangeUsers
    Bindings         : {0.0.0.0:587}
    RemoteIPRanges   : {0.0.0.0-255.255.255.255}

     

     

    У вас случайно не две сетевых карты в Exchange?

    16 июня 2008 г. 13:59
  •  kovy написано:

     

     Результат такой же будет?

     

    Нет

    16 июня 2008 г. 14:05
  • В общем большие подозрения, что всё-таки проблема в авторизации. Проверю несколько предположений, о результатах отпишу!

     

    16 июня 2008 г. 14:30
  •  kovy написано:
    В общем большие подозрения, что всё-таки проблема в авторизации. Проверю несколько предположений, о результатах отпишу!

     

     

    Посмотрите лог receive коннектора

    16 июня 2008 г. 14:40
  • Спасибо, что попробовали.

    Ещё один момент - проблема возникает только если отсылать именно на группу рассылки, если слать на определённого пользователя, то всё нормально уходит. Следовательно появляется мысль, что проблема возникает в процессе разворачивания группы. Сейчас пытаюсь ещё раз пройтись по technet, посмотреть статьи про группы, если результаты будут - напишу.

     

    16 июня 2008 г. 15:22
  • Лог тоже сейчас проверю!

     

    16 июня 2008 г. 15:25
  • Повысьте диагностику транспорта - особенно в часи категорайзера

     

    п.с. у вас чистая платформа 2007  - т.е. 2003(0) нет в топологии ?

     

    16 июня 2008 г. 16:50
  •  

    Прошу прощения, что долго не отвечал.

    Платформа чистая, exchange 2003 нет, только 2007. Диагностику транспорта выставил в "Expert", пытаюсь отправить SMTP клиентом - в логе НИЧЕГО. Ошибок нет. Нашёл ссылку про процесс разрешения получателей из группы - http://technet.microsoft.com/ru-ru/library/bb430743(EXCHG.80).aspx. Ничем особо ссылка не помогла.

     

     

    Ещё есть интересная картинка - http://technet.microsoft.com/ru-ru/library/Aa996349.6f548b64-6ac2-4e98-9098-69ad6cd9f569(ru-ru,EXCHG.80).gif 

     

    Глядя на неё всё-таки кажется, что проблема именно в разрешении получателей из группы.

     

    Господа, ещё мысли есть? Куда ещё смотреть?

     

    P.S. Сетевой интерфейс один.

    20 июня 2008 г. 12:41
  • Code Snippet
    Get-DistributionGroup YOURGROUP | fl RequireSenderAuthenticationEnabled, ExpansionServer

     

     

    момжно еще это глянуть?

    23 июня 2008 г. 9:02
  •  

    Вот результат запроса.

     

    RequireSenderAuthenticationEnabled : True
    ExpansionServer                    :

    23 июня 2008 г. 9:41
  • а не пробовали явно указать ExpansionServer сервер?

     

    23 июня 2008 г. 11:05
  • Задействуйте pipeline tracing

     

    23 июня 2008 г. 11:55
  • ExpansionServer выставил руками - то же самое.

    23 июня 2008 г. 14:40
  •  Sergey Krylov написано:
    Задействуйте pipeline tracing

     

     

    Спасибо за идею, попробую

    23 июня 2008 г. 14:43
  •  Jоker написано:
    http://forums.microsoft.com/TechNet/ShowPost.aspx?PostID=2507601&SiteID=17

     

    Не Ваш случай?

     

    Нет, я эту ссылку преводил на предыдущей странице. У меня ситуация иная, проблема именно в том, что отсылается из почтового клиента по SMTP сообщение на группу, авторизация включена и всё равно возвращается ошибка, что пользователь не авторизирован, хотя если слать на отдельного пользователя всё нормально уходит!

    24 июня 2008 г. 13:56
  •  

    Включил pipeline tracing, вот результаты -

     

    X-CreatedBy: MessageSnapshot-Begin injected headers
    X-MessageSnapshot-UTC-Time: 2008-06-24T13:47:00.958Z
    X-MessageSnapshot-Record-Id: 13867356
    X-MessageSnapshot-Source: OnSubmittedMessage,Journaling Agent
    X-Sender: адрес отправителя
    X-Receiver: адрес группы
    X-EndOfInjectedXHeaders: MessageSnapshot-End injected headers
    Received: from имя компа откуда слали (IP откуда слали) by имя сервера (IP сервера)
     with Microsoft SMTP Server (TLS) id 8.1.263.0; Tue, 24 Jun 2008 17:47:00
     +0400
    From: <адрес отправителя>
    To: адрес группы
    Subject:
    X-Mailer: febooti Command line email v3.1 (Unregistered)
    Content-Type: text/plain; charset="iso-8859-1"
    Date: Tue, 24 Jun 2008 17:47:00 +0400
    X-Priority: 3 (normal)
    MIME-Version: 1.0
    Message-ID: <ID сообщения>
    Return-Path: адрес отправителя
    X-MS-Exchange-Organization-OriginalArrivalTime: 24 Jun 2008 13:47:00.5680
     (UTC)
    X-MS-Exchange-Organization-AuthSource: имя сервера

    X-MS-Exchange-Organization-AuthAs: Anonymous
    X-MS-Exchange-Organization-OriginalSize: 432

    email sent through STARTTLS enabled SMTP server

    ---
    email sent by unregistered version
    of febooti Command line email v3.1
    visit http://www.febooti.com to get full version

     

     

     

     

    Мне кажется самой интересной вот эта строка - X-MS-Exchange-Organization-AuthAs: Anonymous
    Почему анонимный пользователь, если я указываю принудительную авторизацию?

    24 июня 2008 г. 14:37
  • Вы настройки коннекторов (принимающих) приведите ( для начала ) к дефолтному состоянию (без всяких custom)

     

    24 июня 2008 г. 16:30
  •  kovy написано:

    email sent by unregistered version
    of febooti Command line email v3.1
    visit http://www.febooti.com to get full version

     

    Мне кажется самой интересной вот эта строка - X-MS-Exchange-Organization-AuthAs: Anonymous
    Почему анонимный пользователь, если я указываю принудительную авторизацию?

    Во-первых, аутентификацию. а не авторизацию, это разные вещи.

    Во-вторых, а что это за клиент такой странный? Вы не из Outlook посылаете?? Приведите настройки клиента, я пока что не убежден, что клиент использует аутентификацию для SMTP.

    24 июня 2008 г. 18:12
  •  Jоker написано:

    Во-первых, аутентификацию. а не авторизацию, это разные вещи.

    Во-вторых, а что это за клиент такой странный? Вы не из Outlook посылаете?? Приведите настройки клиента, я пока что не убежден, что клиент использует аутентификацию для SMTP.

     

    Насчёт аутентификации - да, неправильно выразился. Клиент не странный, просто он для командной строки, чтобы лучше процесс видеть, из Outlook, The Bat, Thunderbird - всё равно ошибка.

     

    Настройки, например в Бате -

     

    В свойствах транспорта -

    В разделе отправка почты -

     

    Соединение: Безопасное на станд. порт (STARTTLS)  Порт 587

     

    В свойствах Аутентификации SMTP  -

    1) "Использовать указанные ниже параметры" -> Логин и пароль

    2) Требовать безопасную аутентификацию

     

     Кстати, по поводу второго пункта ситуация интересная - если данную галку установить, то ошибка пишется сразу, письмо не уходит даже на отдельного получателя, если галку снять, то письмо на обычного получателя нормально доходит, на группу - ошибка.

    В любом случае в Pipeline Tracing логе письма вот эта строчка -

    X-MS-Exchange-Organization-AuthAs: Anonymous

    25 июня 2008 г. 7:38
  •  Sergey Krylov написано:
    Вы настройки коннекторов (принимающих) приведите ( для начала ) к дефолтному состоянию (без всяких custom)

     

     

    Займусь, как сделаю и проверю - напишу.

    25 июня 2008 г. 7:39
  •  kovy написано:

    Соединение: Безопасное на станд. порт (STARTTLS)  Порт 587

     

    В свойствах Аутентификации SMTP  -

    1) "Использовать указанные ниже параметры" -> Логин и пароль

    2) Требовать безопасную аутентификацию

     

     Кстати, по поводу второго пункта ситуация интересная - если данную галку установить, то ошибка пишется сразу, письмо не уходит даже на отдельного получателя, если галку снять, то письмо на обычного получателя нормально доходит, на группу - ошибка.

    Галочка SPA не нужна, неудивительно, что с ней не работает. А вот тип encryption на последней вкладке (в Outlook) нужно указывать: Use the following type of encrypted connection - auto. Правда, к аутентификации это отношения не имеет...

    Судя по последнему Вашему предложению, проблема действительно не в клиенте, а в свойствах группы или установках сервера.

    На другие группы письма доходят?

    25 июня 2008 г. 16:42
  •  

    Проблема с доставкой на все группы, для которых RequireSenderAuthenticationEnabled : True.

     

    Как мне кажется проблема не с коннектором и не с разрешением на него

     

    User           : NT AUTHORITY\Прошедшие проверку
    ExtendedRights : {ms-Exch-SMTP-Accept-Any-Sender}

    User           : NT AUTHORITY\Прошедшие проверку
    ExtendedRights : {ms-Exch-SMTP-Accept-Any-Recipient}

    User           : NT AUTHORITY\Прошедшие проверку
    ExtendedRights : {ms-Exch-Accept-Headers-Routing}

    User           : NT AUTHORITY\Прошедшие проверку
    ExtendedRights : {ms-Exch-Bypass-Anti-Spam}

    User           : NT AUTHORITY\Прошедшие проверку
    ExtendedRights : {ms-Exch-SMTP-Submit}

    User           : NT AUTHORITY\Прошедшие проверку
    ExtendedRights :

     

    Вот extendedrights, которые имеются у прошедших проверку security principa`лов на данном коннекторе, следовательно права слать через коннектор есть. Проблема в том, что система не считает посылающего прошедшим проверку.

    26 июня 2008 г. 7:26
  •  kovy написано:

     

    . Проблема в том, что система не считает посылающего прошедшим проверку.

     

    Еще раз : приведите для начала систему к состоянию по умолчанию

    26 июня 2008 г. 9:18
  • В моем случае (точно такая же проблема возникла, как описывается в первоначальном посте) помогло

    Remove-ADpermission "TLS Connector" -user "NT AUTHORITY\Authenticated Users" -extendedrights MS-Exch-SMTP-Accept-Authoritative-Domain-Sender


    т.е. БЫЛО:
    [PS] C:\>Get-ReceiveConnector -identity "TLS Connector" | FL Name, AuthMechanism, PermissionGroups, Bindings, RemoteIPRanges

    Name             : TLS Connector
    AuthMechanism    : Tls, BasicAuth, BasicAuthRequireTLS
    PermissionGroups : ExchangeUsers, Custom
    Bindings         : {0.0.0.0:465}
    RemoteIPRanges   : {0.0.0.0-255.255.255.255}

    [PS] C:\>Get-ReceiveConnector -identity "TLS Connector" |Get-AdPermission -user "NT AUTHORITY\Authenticated Users" |select-object user, extendedrights

    User                                                                  ExtendedRights
    ----                                                                  --------------
    NT AUTHORITY\Authenticated Users                                      {ms-Exch-SMTP-Submit}
    NT AUTHORITY\Authenticated Users                                      {ms-Exch-SMTP-Accept-Any-Recipient}
    NT AUTHORITY\Authenticated Users                                      {ms-Exch-Bypass-Anti-Spam}
    NT AUTHORITY\Authenticated Users                                      {ms-Exch-Accept-Headers-Routing}
    NT AUTHORITY\Authenticated Users                                      {ms-Exch-SMTP-Accept-Authoritative-Domain-Sender}
    NT AUTHORITY\Authenticated Users

    СТАЛО:
    [PS] C:\>Get-ReceiveConnector -identity "TLS Connector" | FL Name, AuthMechanism, PermissionGroups, Bindings, RemoteIPRanges

    Name             : TLS Connector
    AuthMechanism    : Tls, BasicAuth, BasicAuthRequireTLS
    PermissionGroups : ExchangeUsers
    Bindings         : {0.0.0.0:465}
    RemoteIPRanges   : {0.0.0.0-255.255.255.255}

    [PS] C:\>Get-ReceiveConnector -identity "TLS Connector" |Get-AdPermission -user "NT AUTHORITY\Authenticated Users" |select-object user, extendedrights

    User                                                                  ExtendedRights
    ----                                                                  --------------
    NT AUTHORITY\Authenticated Users                                      {ms-Exch-SMTP-Submit}
    NT AUTHORITY\Authenticated Users                                      {ms-Exch-SMTP-Accept-Any-Recipient}
    NT AUTHORITY\Authenticated Users                                      {ms-Exch-Bypass-Anti-Spam}
    NT AUTHORITY\Authenticated Users                                      {ms-Exch-Accept-Headers-Routing}
    NT AUTHORITY\Authenticated Users


    Однако, почему наличие права ms-Exch-SMTP-Accept-Authoritative-Domain-Sender у аутентифицированных пользователей не дает им отправлять письмо через такой коннектор -- совершенно непонятно.
    Может, кто объяснит доходчиво?

    25 сентября 2009 г. 2:05