Remove From My Forums

smpt авторизация

Вопрос
0

Нужно войти

доброго дня.

не могу никак настроить smtp авторизацию.

Любой человек может отправить письмо через мой сервер. Но если письмо адресовано внешнему адресату, то его задерживает анти-спам фильтр exchang'a с ошибкой Unable to relay. Если же локальному пользователю, то письмо принимается, но отсеивается ORF'ом. Подскажите ,как правильно настроить авторизацию, чтобы сервер отлупливал неавторизованных клиентов

18 октября 2012 г. 5:10

Ответить

|

Цитировать

Все ответы

0

Нужно войти

доброго дня.

не могу никак настроить smtp авторизацию.

Любой человек может отправить письмо через мой сервер. Но если письмо адресовано внешнему адресату, то его задерживает анти-спам фильтр exchang'a с ошибкой Unable to relay. Если же локальному пользователю, то письмо принимается, но отсеивается ORF'ом. Подскажите ,как правильно настроить авторизацию, чтобы сервер отлупливал неавторизованных клиентов

В свойствах recieve коннектора уберите галку "anonymous users"

18 октября 2012 г. 7:27

Ответить

|

Цитировать

Отвечающий
0

Нужно войти

В свойствах recieve коннектора уберите галку "anonymous users"

пробовал, тогда письма с других серверов не приходят

18 октября 2012 г. 7:41

Ответить

|

Цитировать
0

Нужно войти

Эта галочка нужна, чтобы принимать почту от внешних почтовых серверов. Если снять галочку, то перестанет приниматься почта.

>>Но если письмо адресовано внешнему адресату, то его задерживает анти-спам фильтр exchang'a с ошибкой Unable to relay

в Exchange по умолчанию smtp требует безопасной утентификации. Вам в свойствах smtp нужно переключить на Basic authentication и снять галочку Offer Basic authentication only after starting TLS

18 октября 2012 г. 8:01

Ответить

|

Цитировать
0

Нужно войти
после изменения способа аутентификации нужно перезапустить службу Microsoft Exchange Transport
- Изменено Aleksey Lebedev 18 октября 2012 г. 8:31
18 октября 2012 г. 8:09

Ответить

|

Цитировать
0

Нужно войти

очень хорошая статья про коннекторы получения

http://www.redline-software.com/rus/support/articles/msexchange/2007/managing-receive-connectors-part4.php

это ссылка на четвертую часть, поскольку только в ней есть ссылки на предыдущие 3 части.

18 октября 2012 г. 8:20

Ответить

|

Цитировать
0

Нужно войти

Эта галочка нужна, чтобы принимать почту от внешних почтовых серверов. Если снять галочку, то перестанет приниматься почта.

>>Но если письмо адресовано внешнему адресату, то его задерживает анти-спам фильтр exchang'a с ошибкой Unable to relay

в Exchange по умолчанию smtp требует безопасной утентификации. Вам в свойствах smtp нужно переключить на Basic authentication и снять галочку Offer Basic authentication only after starting TLS

так было настроено с самого начала

18 октября 2012 г. 8:43

Ответить

|

Цитировать
0

Нужно войти

В свойствах recieve коннектора уберите галку "anonymous users"

пробовал, тогда письма с других серверов не приходят

С каких "других" серверов?

18 октября 2012 г. 8:48

Ответить

|

Цитировать

Отвечающий
0

Нужно войти

В свойствах recieve коннектора уберите галку "anonymous users"

пробовал, тогда письма с других серверов не приходят

С каких "других" серверов?
внешних

18 октября 2012 г. 8:48

Ответить

|

Цитировать
0

Нужно войти

В свойствах recieve коннектора уберите галку "anonymous users"

пробовал, тогда письма с других серверов не приходят

С каких "других" серверов?
внешних

Все верно. Вы же хотите, чтобы все сервера при отправке вашим пользователям проходили аутентификацию. А для того чтобы они проходили аутентификацию - эти внешние сервера нужно настроить. Вы это делали?

18 октября 2012 г. 8:51

Ответить

|

Цитировать

Отвечающий
0

Нужно войти

Unable to relay сервер выдает, потому что клиент не проходит аутентификацию перед отправкой. пытается отправить сообщение как анонимный пользователь.

нужно копаться в аутентификации...

18 октября 2012 г. 8:55

Ответить

|

Цитировать
0

Нужно войти

Unable to relay сервер выдает, потому что клиент не проходит аутентификацию перед отправкой. пытается отправить сообщение как анонимный пользователь.

нужно копаться в аутентификации...

Unable to relay - сервер выдает, потому что по умолчанию он не настроен как open relay - и запрещает анонимную отправку писем не для "своих" почтовых доменов.

Это нормальное поведение.

А вот чего хочет автор, я так пока и не понял.

18 октября 2012 г. 8:57

Ответить

|

Цитировать

Отвечающий
0

Нужно войти

Добрый день.

Для сервера принимающего почту из Интернета такое поведение правильное. Вам не нужно на нем настраивать авторизацию.

18 октября 2012 г. 9:09

Ответить

|

Цитировать

Отвечающий
0

Нужно войти

у меня есть подозрение что автор хочет простой банальной вещи: разрешить своим юзерам подключаться извне по smtp чтобы отправлять почту, и само собой функционал приема почты от анонимных севреров должен остаться. как в принципе работает большинство публичных почтовиков.
для этого нужно разрешить и анонимный и аутентифицированный доступ. анонимам разрешить посылать только на свои домены (прием почты от других серверов). аутентифицированным разрешить отсылать куда угодно (релей).

18 октября 2012 г. 14:42

Ответить

|

Цитировать
0

Нужно войти

у меня есть подозрение что автор хочет простой банальной вещи: разрешить своим юзерам подключаться извне по smtp чтобы отправлять почту, и само собой функционал приема почты от анонимных севреров должен остаться. как в принципе работает большинство публичных почтовиков.
для этого нужно разрешить и анонимный и аутентифицированный доступ. анонимам разрешить посылать только на свои домены (прием почты от других серверов). аутентифицированным разрешить отсылать куда угодно (релей).

да-да, именно так.

Postfix идеально устраивал в этом плане, но вот не знаю как сделать это в exchange

18 октября 2012 г. 16:14

Ответить

|

Цитировать
0

Нужно войти

да я вроде выше написал как, или еще что то непонятно?

18 октября 2012 г. 16:15

Ответить

|

Цитировать
0

Нужно войти

все описанное сделано, но вот например в postfix'e если пользователь при отправке не авторизовался, то происходит отлуп и сообщение об ошибке. В exchange как я понял такого нет.

18 октября 2012 г. 17:38

Ответить

|

Цитировать
0

Нужно войти

так ты ж сам разрешил анонимный доступ )))

только разрешая анонимов нужно им запретить отправлять письма от имени авторитативных доменов (то есть твоих), это практически обязательно для внешнего коннектора. посмотри Get-ReceiveConnector “имя внешнего принимающего коннектора” | Get-ADPermission -user “NT AUTHORITY\Anonymous Logon”
если среди прав есть разрешение ms-exch-smtp-accept-authoritative-domain-sender то надо убирать
Get-ReceiveConnector “имя внешнего принимающего коннектора” | Get-ADPermission -user “NT AUTHORITY\Anonymous Logon” | where {$_.ExtendedRights -like “ms-exch-smtp-accept-authoritative-domain-sender”} | Remove-ADPermission

это командлеты для 2007 но думаю в 2010 они ровно такие же

18 октября 2012 г. 18:15

Ответить

|

Цитировать
0

Нужно войти

Господа, по дефолту в Exchange так и настроено - для анонимов - прием для отправки только пользователям авторитативных доменов - для авторизованных - прием для отправки куда угодно. Ничего дополнительно настраивать не нужно.

Решительно не понимаю темы дискуссии.

18 октября 2012 г. 18:23

Ответить

|

Цитировать

Отвечающий
0

Нужно войти

это так, но в 2007 (пока не знаю как в 2010), анонимные по умолчанию могут отправлять от любого имени, в том числе от имени авторитативных доменов, что открывает дыры для спамеров и социальной инженерии. когда это право убираешь (командлетом выше), то анонимы по прежнему могут слать, но не смгут прикинутся своими. при этом в GUI в свойствах коннектора галочка анонимов снимается.

19 октября 2012 г. 7:59

Ответить

|

Цитировать
0

Нужно войти
это так, но в 2007 (пока не знаю как в 2010), анонимные по умолчанию могут отправлять от любого имени, в том числе от имени авторитативных доменов, что открывает дыры для спамеров и социальной инженерии. когда это право убираешь (командлетом выше), то анонимы по прежнему могут слать, но не смгут прикинутся своими. при этом в GUI в свойствах коннектора галочка анонимов снимается.

Вы про то, что анонимы могут в MAIL FROM поставить любого из получателей авторитативных доменов? И в exchange 2010 это по умолчанию разрешено, отличить их от настоящих можно, по признаку, что адреса отправителей не разрешаются в дисплейные имена пользователей.

Теперь понял.
- Изменено Ivan BardeenEditor 19 октября 2012 г. 8:57
19 октября 2012 г. 8:56

Ответить

|

Цитировать

Отвечающий
0

Нужно войти

дисплейное имя тоже подставить можно, правда выглядеть оно будет Фамилия Имя <адрес> - отличить то можно (у внутренних клиентов не показывает адрес), только биомасса в виде офисного планктона на 90% этого не сделает, буквально пару недель назад сами проводили такое тестирование, причем даже домен в адресе был не наш, отличался на один знак, и в фамилии была опечатка. все равно повелись, даже отсутствие значка presence от коммуникатора не насторожило.
так что запрещать на уровне сервера надо обязательно )

19 октября 2012 г. 9:41

Ответить

|

Цитировать
0

Нужно войти

de1phi, вопрос решен?
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

24 октября 2012 г. 13:48

Ответить

|

Цитировать
0

Нужно войти

Дабы не плодить тем, попробую спросить здесь.

Господа, подскажите, плиз, где под 2010 настроить именно и конкретно SMTP relay?

Дабы не "описывать пальцами рюмку", соответствующая настройка для SMTP 2008 R2 -

Как то же самое прописать для Edge? Для Hub Transport? Причём последние я вижу под Exchange System Manager от 2003 и могу прописать (с предупреждениями при открытии страницы свойств) оттуда, при повторном открытии сделанные ранее настройки присутствуют. Как это сделать нормально, собственными средствами 2010?
S.A.

26 октября 2012 г. 10:00

Ответить

|

Цитировать
0

Нужно войти

Господа, неудели это (вопрос выше), настолько просто, или настолько сложно, что никто слова не скажет? :(
S.A.

28 октября 2012 г. 18:43

Ответить

|

Цитировать
0

Нужно войти

напиши что конкретно хочешь сделать - картинка не показывается

29 октября 2012 г. 14:19

Ответить

|

Цитировать
0

Нужно войти

напиши что конкретно хочешь сделать - картинка не показывается

Прямая ссылка на картинку - http://stol4you.ru/relay.jpg
S.A.

29 октября 2012 г. 20:15

Ответить

|

Цитировать
0

Нужно войти

то есть надо внутренним клиентам разрешить релей наружу? для этого делается принимающий коннектор, в свойствах которого указывается что принимает он только с конкретного диапазона адресов и разрешить на нем анонимный релей http://technet.microsoft.com/en-us/library/bb232021.aspx

30 октября 2012 г. 10:26

Ответить

|

Цитировать
0

Нужно войти

Угум, спасибо. Я даже красочный ролик на эту тему посмотрел (http://www.youtube.com/watch?v=gj61RzL_WFc) :).

Теперь я беру, внимательно смотрю на свойства дефолтного коннектора получения (на Edge), и пытаюсь понять, а что же из имеющегося там должно помешать выступать и ему открытым релеем для всех. По любому собственному адресу принимать - пожалуйста. С любых IP - пожалуйста. Anonymous - да (как обсуждалось выше, если убрать анонимуса, входящая почта с чужих доменов вообще приниматься не будет, что понятно). Почему этот коннектор не будет релеем, а будет принимать почту только для собственного домена(ов), в отличие от?

Не ругайтесь, я правда не понимаю (как и самой логики "для отправки делаем коннектор получения", но это уже фигня) :).
S.A.

30 октября 2012 г. 14:43

Ответить

|

Цитировать
0

Нужно войти

для того чтобы коннектор принимал письма для любых получателей надо делать (в статье это есть):
Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

чтобы релей кому то отправил, он сначала должен получить, поэтому и надо делать получающий коннектор.

30 октября 2012 г. 15:03

Ответить

|

Цитировать
0

Нужно войти

Так что именно, для Default internal receive connector на Edge определяет, что через него невозможен анонимный релей куда угодно (а только приём для собственных доменов), в отличие от коннектора, созданного в соответствии с материалами Вашей ссылки? Где и как "это" увидеть?
S.A.

30 октября 2012 г. 15:33

Ответить

|

Цитировать
0

Нужно войти

так я ж выше написал все нужные командлеты, достаточно их элементарно переделать чтобы узнать текущие настройки:
Get-ReceiveConnector "Anonymous Relay" | Get-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON"
получит список разрешений для анонимуса, если в нем нет Ms-Exch-SMTP-Accept-Any-Recipient значит кому угодно аноним слать не может

30 октября 2012 г. 15:47

Ответить

|

Цитировать
0

Нужно войти

Э-э... Сорри. Заначит, на edge - создаю коннектор для релея (как описано в technet и красочном ролике), создаю тестовый коннектор типа Internet (вроде как по определению только на приём), имеется дефолтный коннектор, пытаюсь найти второе (кроме имени коннектора) отличие:

[PS] C:\Windows\system32>Get-ReceiveConnector "Relay" | Get-ADPermission -User "NT AUTHORITY\АНОНИМНЫЙ ВХОД"

Identity             User                 Deny Inherited
--------             ----                 ---- ---------
VMX1\Relay           NT AUTHORITY\АНОН... False False
VMX1\Relay           NT AUTHORITY\АНОН... False False
VMX1\Relay           NT AUTHORITY\АНОН... False False
VMX1\Relay           NT AUTHORITY\АНОН... False False

[PS] C:\Windows\system32>Get-ReceiveConnector "test" | Get-ADPermission -User "NT AUTHORITY\АНОНИМНЫЙ ВХОД"

Identity             User                 Deny Inherited
--------             ----                 ---- ---------
VMX1\test            NT AUTHORITY\АНОН... False False
VMX1\test            NT AUTHORITY\АНОН... False False
VMX1\test            NT AUTHORITY\АНОН... False False
VMX1\test            NT AUTHORITY\АНОН... False False

[PS] C:\Windows\system32>Get-ReceiveConnector "Default internal receive connector VMX1" | Get-ADPermission -User "NT AUTHORITY\АНОНИМНЫЙ ВХОД"

Identity             User                 Deny Inherited
--------             ----                 ---- ---------
VMX1\Default inte... NT AUTHORITY\АНОН... False False
VMX1\Default inte... NT AUTHORITY\АНОН... False False
VMX1\Default inte... NT AUTHORITY\АНОН... False False
VMX1\Default inte... NT AUTHORITY\АНОН... False False

"Чего-то в этом супе не хватает" :)
S.A.

31 октября 2012 г. 9:44

Ответить

|

Цитировать
0

Нужно войти

видимо 2010 шелл не все столбцы выводит. добавь в конце скрипта | fl *

31 октября 2012 г. 12:36

Ответить

|

Цитировать
0

Нужно войти

Угум. Теперь так:

[PS] C:\Exchange\Scripts>Get-ReceiveConnector "Relay" | Get-ADPermission -User "NT AUTHORITY\АНОНИМНЫЙ ВХОД"|fl *

AccessRights        : {ExtendedRight}
ExtendedRights      : {ms-Exch-SMTP-Accept-Authoritative-Domain-Sender}
ChildObjectTypes    :
InheritedObjectType :
Properties          :
Deny                : False
InheritanceType     : All
User                : NT AUTHORITY\АНОНИМНЫЙ ВХОД
Identity            : VMX1\Relay
IsInherited         : False
IsValid             : True

AccessRights        : {ExtendedRight}
ExtendedRights      : {ms-Exch-SMTP-Submit}
ChildObjectTypes    :
InheritedObjectType :
Properties          :
Deny                : False
InheritanceType     : All
User                : NT AUTHORITY\АНОНИМНЫЙ ВХОД
Identity            : VMX1\Relay
IsInherited         : False
IsValid             : True

AccessRights        : {ExtendedRight}
ExtendedRights      : {ms-Exch-Accept-Headers-Routing}
ChildObjectTypes    :
InheritedObjectType :
Properties          :
Deny                : False
InheritanceType     : All
User                : NT AUTHORITY\АНОНИМНЫЙ ВХОД
Identity            : VMX1\Relay
IsInherited         : False
IsValid             : True

AccessRights        : {ExtendedRight}
ExtendedRights      : {ms-Exch-SMTP-Accept-Any-Sender}
ChildObjectTypes    :
InheritedObjectType :
Properties          :
Deny                : False
InheritanceType     : All
User                : NT AUTHORITY\АНОНИМНЫЙ ВХОД
Identity            : VMX1\Relay
IsInherited         : False
IsValid             : True

- и для остальных двух коннекторов, о которых я писал в предыдущем сообщении, равно тот же самый набор ExtendedRights, только в разном порядке выводит. И нету Ms-Exch-SMTP-Accept-Any-Recipient.
S.A.

31 октября 2012 г. 14:47

Ответить

|

Цитировать
1

Нужно войти
а ту команду, что я давал ранее, выполнял? по умолчанию такого права конечно же нет
и кстати, если у тебя на внешнем получающем коннекторе для анонима есть такое "ms-Exch-SMTP-Accept-Authoritative-Domain-Sender", то это очень плохо - любой внешний анонимный спамер сможет отправить от имени сотрудника твоей организации письмо, что открывает все пути для спама и социальной инженерии, читай тред выше.
- Изменено Dmitry Nikitin 31 октября 2012 г. 15:24
31 октября 2012 г. 15:21

Ответить

|

Цитировать
0

Нужно войти
Угум. Сорри, упустил. В том числе это: "You can't use the EMC to perform this task". То есть, теперь открыть, а главное, увидеть открытый релей для анонимуса через ГУИ нельзя в принципе. Ну...

и кстати, если у тебя на внешнем получающем коннекторе для анонима есть такое "ms-Exch-SMTP-Accept-Authoritative-Domain-Sender", то это очень плохо - любой внешний анонимный спамер сможет отправить от имени сотрудника твоей организации письмо, ...
Да, спасибо, полезно.

S.A.
- Изменено Safronov A. _ 1 ноября 2012 г. 19:40
1 ноября 2012 г. 19:39

Ответить

|

Цитировать
0

Нужно войти

de1phi, вопрос решен?

Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

нет, боязно на боевом сервере пробовать

5 марта 2013 г. 10:48

Ответить

|

Цитировать