Спрашивающий
smpt авторизация

Вопрос
-
доброго дня.
не могу никак настроить smtp авторизацию.
Любой человек может отправить письмо через мой сервер. Но если письмо адресовано внешнему адресату, то его задерживает анти-спам фильтр exchang'a с ошибкой Unable to relay. Если же локальному пользователю, то письмо принимается, но отсеивается ORF'ом. Подскажите ,как правильно настроить авторизацию, чтобы сервер отлупливал неавторизованных клиентов
18 октября 2012 г. 5:10
Все ответы
-
доброго дня.
не могу никак настроить smtp авторизацию.
Любой человек может отправить письмо через мой сервер. Но если письмо адресовано внешнему адресату, то его задерживает анти-спам фильтр exchang'a с ошибкой Unable to relay. Если же локальному пользователю, то письмо принимается, но отсеивается ORF'ом. Подскажите ,как правильно настроить авторизацию, чтобы сервер отлупливал неавторизованных клиентов
В свойствах recieve коннектора уберите галку "anonymous users"18 октября 2012 г. 7:27Отвечающий -
В свойствах recieve коннектора уберите галку "anonymous users"
18 октября 2012 г. 7:41 -
Эта галочка нужна, чтобы принимать почту от внешних почтовых серверов. Если снять галочку, то перестанет приниматься почта.
>>Но если письмо адресовано внешнему адресату, то его задерживает анти-спам фильтр exchang'a с ошибкой Unable to relay
в Exchange по умолчанию smtp требует безопасной утентификации. Вам в свойствах smtp нужно переключить на Basic authentication и снять галочку Offer Basic authentication only after starting TLS
18 октября 2012 г. 8:01 -
после изменения способа аутентификации нужно перезапустить службу Microsoft Exchange Transport
- Изменено Aleksey Lebedev 18 октября 2012 г. 8:31
18 октября 2012 г. 8:09 -
очень хорошая статья про коннекторы получения
это ссылка на четвертую часть, поскольку только в ней есть ссылки на предыдущие 3 части.
18 октября 2012 г. 8:20 -
Эта галочка нужна, чтобы принимать почту от внешних почтовых серверов. Если снять галочку, то перестанет приниматься почта.
>>Но если письмо адресовано внешнему адресату, то его задерживает анти-спам фильтр exchang'a с ошибкой Unable to relay
в Exchange по умолчанию smtp требует безопасной утентификации. Вам в свойствах smtp нужно переключить на Basic authentication и снять галочку Offer Basic authentication only after starting TLS
18 октября 2012 г. 8:43 -
В свойствах recieve коннектора уберите галку "anonymous users"
пробовал, тогда письма с других серверов не приходят
С каких "других" серверов?18 октября 2012 г. 8:48Отвечающий -
В свойствах recieve коннектора уберите галку "anonymous users"
пробовал, тогда письма с других серверов не приходят
С каких "других" серверов?18 октября 2012 г. 8:48 -
В свойствах recieve коннектора уберите галку "anonymous users"
пробовал, тогда письма с других серверов не приходят
С каких "других" серверов? внешних
Все верно. Вы же хотите, чтобы все сервера при отправке вашим пользователям проходили аутентификацию. А для того чтобы они проходили аутентификацию - эти внешние сервера нужно настроить. Вы это делали?18 октября 2012 г. 8:51Отвечающий -
Unable to relay сервер выдает, потому что клиент не проходит аутентификацию перед отправкой. пытается отправить сообщение как анонимный пользователь.
нужно копаться в аутентификации...
18 октября 2012 г. 8:55 -
Unable to relay сервер выдает, потому что клиент не проходит аутентификацию перед отправкой. пытается отправить сообщение как анонимный пользователь.
нужно копаться в аутентификации...
Unable to relay - сервер выдает, потому что по умолчанию он не настроен как open relay - и запрещает анонимную отправку писем не для "своих" почтовых доменов.
Это нормальное поведение.
А вот чего хочет автор, я так пока и не понял.
18 октября 2012 г. 8:57Отвечающий -
Добрый день.
Для сервера принимающего почту из Интернета такое поведение правильное. Вам не нужно на нем настраивать авторизацию.
18 октября 2012 г. 9:09Отвечающий -
у меня есть подозрение что автор хочет простой банальной вещи: разрешить своим юзерам подключаться извне по smtp чтобы отправлять почту, и само собой функционал приема почты от анонимных севреров должен остаться. как в принципе работает большинство публичных почтовиков.
для этого нужно разрешить и анонимный и аутентифицированный доступ. анонимам разрешить посылать только на свои домены (прием почты от других серверов). аутентифицированным разрешить отсылать куда угодно (релей).18 октября 2012 г. 14:42 -
у меня есть подозрение что автор хочет простой банальной вещи: разрешить своим юзерам подключаться извне по smtp чтобы отправлять почту, и само собой функционал приема почты от анонимных севреров должен остаться. как в принципе работает большинство публичных почтовиков.
для этого нужно разрешить и анонимный и аутентифицированный доступ. анонимам разрешить посылать только на свои домены (прием почты от других серверов). аутентифицированным разрешить отсылать куда угодно (релей).да-да, именно так.
Postfix идеально устраивал в этом плане, но вот не знаю как сделать это в exchange
18 октября 2012 г. 16:14 -
да я вроде выше написал как, или еще что то непонятно?18 октября 2012 г. 16:15
-
все описанное сделано, но вот например в postfix'e если пользователь при отправке не авторизовался, то происходит отлуп и сообщение об ошибке. В exchange как я понял такого нет.
18 октября 2012 г. 17:38 -
так ты ж сам разрешил анонимный доступ )))
только разрешая анонимов нужно им запретить отправлять письма от имени авторитативных доменов (то есть твоих), это практически обязательно для внешнего коннектора. посмотри Get-ReceiveConnector “имя внешнего принимающего коннектора” | Get-ADPermission -user “NT AUTHORITY\Anonymous Logon”
если среди прав есть разрешение ms-exch-smtp-accept-authoritative-domain-sender то надо убирать
Get-ReceiveConnector “имя внешнего принимающего коннектора” | Get-ADPermission -user “NT AUTHORITY\Anonymous Logon” | where {$_.ExtendedRights -like “ms-exch-smtp-accept-authoritative-domain-sender”} | Remove-ADPermissionэто командлеты для 2007 но думаю в 2010 они ровно такие же
18 октября 2012 г. 18:15 -
Господа, по дефолту в Exchange так и настроено - для анонимов - прием для отправки только пользователям авторитативных доменов - для авторизованных - прием для отправки куда угодно. Ничего дополнительно настраивать не нужно.
Решительно не понимаю темы дискуссии.
18 октября 2012 г. 18:23Отвечающий -
это так, но в 2007 (пока не знаю как в 2010), анонимные по умолчанию могут отправлять от любого имени, в том числе от имени авторитативных доменов, что открывает дыры для спамеров и социальной инженерии. когда это право убираешь (командлетом выше), то анонимы по прежнему могут слать, но не смгут прикинутся своими. при этом в GUI в свойствах коннектора галочка анонимов снимается.
19 октября 2012 г. 7:59 -
это так, но в 2007 (пока не знаю как в 2010), анонимные по умолчанию могут отправлять от любого имени, в том числе от имени авторитативных доменов, что открывает дыры для спамеров и социальной инженерии. когда это право убираешь (командлетом выше), то анонимы по прежнему могут слать, но не смгут прикинутся своими. при этом в GUI в свойствах коннектора галочка анонимов снимается.
Вы про то, что анонимы могут в MAIL FROM поставить любого из получателей авторитативных доменов? И в exchange 2010 это по умолчанию разрешено, отличить их от настоящих можно, по признаку, что адреса отправителей не разрешаются в дисплейные имена пользователей.
Теперь понял.
- Изменено Ivan BardeenEditor 19 октября 2012 г. 8:57
19 октября 2012 г. 8:56Отвечающий -
дисплейное имя тоже подставить можно, правда выглядеть оно будет Фамилия Имя <адрес> - отличить то можно (у внутренних клиентов не показывает адрес), только биомасса в виде офисного планктона на 90% этого не сделает, буквально пару недель назад сами проводили такое тестирование, причем даже домен в адресе был не наш, отличался на один знак, и в фамилии была опечатка. все равно повелись, даже отсутствие значка presence от коммуникатора не насторожило.
так что запрещать на уровне сервера надо обязательно )19 октября 2012 г. 9:41 -
de1phi, вопрос решен?
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
24 октября 2012 г. 13:48 -
Дабы не плодить тем, попробую спросить здесь.
Господа, подскажите, плиз, где под 2010 настроить именно и конкретно SMTP relay?
Дабы не "описывать пальцами рюмку", соответствующая настройка для SMTP 2008 R2 -
Как то же самое прописать для Edge? Для Hub Transport? Причём последние я вижу под Exchange System Manager от 2003 и могу прописать (с предупреждениями при открытии страницы свойств) оттуда, при повторном открытии сделанные ранее настройки присутствуют. Как это сделать нормально, собственными средствами 2010?
S.A.
26 октября 2012 г. 10:00 -
Господа, неудели это (вопрос выше), настолько просто, или настолько сложно, что никто слова не скажет? :(
S.A.
28 октября 2012 г. 18:43 -
напиши что конкретно хочешь сделать - картинка не показывается
29 октября 2012 г. 14:19 -
напиши что конкретно хочешь сделать - картинка не показывается
Прямая ссылка на картинку - http://stol4you.ru/relay.jpgS.A.
29 октября 2012 г. 20:15 -
то есть надо внутренним клиентам разрешить релей наружу? для этого делается принимающий коннектор, в свойствах которого указывается что принимает он только с конкретного диапазона адресов и разрешить на нем анонимный релей http://technet.microsoft.com/en-us/library/bb232021.aspx
30 октября 2012 г. 10:26 -
Угум, спасибо. Я даже красочный ролик на эту тему посмотрел (http://www.youtube.com/watch?v=gj61RzL_WFc) :).
Теперь я беру, внимательно смотрю на свойства дефолтного коннектора получения (на Edge), и пытаюсь понять, а что же из имеющегося там должно помешать выступать и ему открытым релеем для всех. По любому собственному адресу принимать - пожалуйста. С любых IP - пожалуйста. Anonymous - да (как обсуждалось выше, если убрать анонимуса, входящая почта с чужих доменов вообще приниматься не будет, что понятно). Почему этот коннектор не будет релеем, а будет принимать почту только для собственного домена(ов), в отличие от?
Не ругайтесь, я правда не понимаю (как и самой логики "для отправки делаем коннектор получения", но это уже фигня) :).
S.A.
30 октября 2012 г. 14:43 -
для того чтобы коннектор принимал письма для любых получателей надо делать (в статье это есть):
Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"чтобы релей кому то отправил, он сначала должен получить, поэтому и надо делать получающий коннектор.
30 октября 2012 г. 15:03 -
Так что именно, для Default internal receive connector на Edge определяет, что через него невозможен анонимный релей куда угодно (а только приём для собственных доменов), в отличие от коннектора, созданного в соответствии с материалами Вашей ссылки? Где и как "это" увидеть?
S.A.
30 октября 2012 г. 15:33 -
так я ж выше написал все нужные командлеты, достаточно их элементарно переделать чтобы узнать текущие настройки:
Get-ReceiveConnector "Anonymous Relay" | Get-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON"
получит список разрешений для анонимуса, если в нем нет Ms-Exch-SMTP-Accept-Any-Recipient значит кому угодно аноним слать не может30 октября 2012 г. 15:47 -
Э-э... Сорри. Заначит, на edge - создаю коннектор для релея (как описано в technet и красочном ролике), создаю тестовый коннектор типа Internet (вроде как по определению только на приём), имеется дефолтный коннектор, пытаюсь найти второе (кроме имени коннектора) отличие:
[PS] C:\Windows\system32>Get-ReceiveConnector "Relay" | Get-ADPermission -User "NT AUTHORITY\АНОНИМНЫЙ ВХОД"
Identity User Deny Inherited
-------- ---- ---- ---------
VMX1\Relay NT AUTHORITY\АНОН... False False
VMX1\Relay NT AUTHORITY\АНОН... False False
VMX1\Relay NT AUTHORITY\АНОН... False False
VMX1\Relay NT AUTHORITY\АНОН... False False
[PS] C:\Windows\system32>Get-ReceiveConnector "test" | Get-ADPermission -User "NT AUTHORITY\АНОНИМНЫЙ ВХОД"Identity User Deny Inherited
-------- ---- ---- ---------
VMX1\test NT AUTHORITY\АНОН... False False
VMX1\test NT AUTHORITY\АНОН... False False
VMX1\test NT AUTHORITY\АНОН... False False
VMX1\test NT AUTHORITY\АНОН... False False
[PS] C:\Windows\system32>Get-ReceiveConnector "Default internal receive connector VMX1" | Get-ADPermission -User "NT AUTHORITY\АНОНИМНЫЙ ВХОД"Identity User Deny Inherited
-------- ---- ---- ---------
VMX1\Default inte... NT AUTHORITY\АНОН... False False
VMX1\Default inte... NT AUTHORITY\АНОН... False False
VMX1\Default inte... NT AUTHORITY\АНОН... False False
VMX1\Default inte... NT AUTHORITY\АНОН... False False"Чего-то в этом супе не хватает" :)
S.A.
31 октября 2012 г. 9:44 -
видимо 2010 шелл не все столбцы выводит. добавь в конце скрипта | fl *31 октября 2012 г. 12:36
-
Угум. Теперь так:
[PS] C:\Exchange\Scripts>Get-ReceiveConnector "Relay" | Get-ADPermission -User "NT AUTHORITY\АНОНИМНЫЙ ВХОД"|fl *
AccessRights : {ExtendedRight}
ExtendedRights : {ms-Exch-SMTP-Accept-Authoritative-Domain-Sender}
ChildObjectTypes :
InheritedObjectType :
Properties :
Deny : False
InheritanceType : All
User : NT AUTHORITY\АНОНИМНЫЙ ВХОД
Identity : VMX1\Relay
IsInherited : False
IsValid : TrueAccessRights : {ExtendedRight}
ExtendedRights : {ms-Exch-SMTP-Submit}
ChildObjectTypes :
InheritedObjectType :
Properties :
Deny : False
InheritanceType : All
User : NT AUTHORITY\АНОНИМНЫЙ ВХОД
Identity : VMX1\Relay
IsInherited : False
IsValid : TrueAccessRights : {ExtendedRight}
ExtendedRights : {ms-Exch-Accept-Headers-Routing}
ChildObjectTypes :
InheritedObjectType :
Properties :
Deny : False
InheritanceType : All
User : NT AUTHORITY\АНОНИМНЫЙ ВХОД
Identity : VMX1\Relay
IsInherited : False
IsValid : TrueAccessRights : {ExtendedRight}
ExtendedRights : {ms-Exch-SMTP-Accept-Any-Sender}
ChildObjectTypes :
InheritedObjectType :
Properties :
Deny : False
InheritanceType : All
User : NT AUTHORITY\АНОНИМНЫЙ ВХОД
Identity : VMX1\Relay
IsInherited : False
IsValid : True- и для остальных двух коннекторов, о которых я писал в предыдущем сообщении, равно тот же самый набор ExtendedRights, только в разном порядке выводит. И нету Ms-Exch-SMTP-Accept-Any-Recipient.
S.A.
31 октября 2012 г. 14:47 -
а ту команду, что я давал ранее, выполнял? по умолчанию такого права конечно же нет
и кстати, если у тебя на внешнем получающем коннекторе для анонима есть такое "ms-Exch-SMTP-Accept-Authoritative-Domain-Sender", то это очень плохо - любой внешний анонимный спамер сможет отправить от имени сотрудника твоей организации письмо, что открывает все пути для спама и социальной инженерии, читай тред выше.- Изменено Dmitry Nikitin 31 октября 2012 г. 15:24
31 октября 2012 г. 15:21 -
Угум. Сорри, упустил. В том числе это: "You can't use the EMC to perform this task". То есть, теперь открыть, а главное, увидеть открытый релей для анонимуса через ГУИ нельзя в принципе. Ну...
и кстати, если у тебя на внешнем получающем коннекторе для анонима есть такое "ms-Exch-SMTP-Accept-Authoritative-Domain-Sender", то это очень плохо - любой внешний анонимный спамер сможет отправить от имени сотрудника твоей организации письмо, ...
Да, спасибо, полезно.
S.A.
- Изменено Safronov A. _ 1 ноября 2012 г. 19:40
1 ноября 2012 г. 19:39 -
de1phi, вопрос решен?
нет, боязно на боевом сервере пробовать
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
5 марта 2013 г. 10:48