none
smpt авторизация RRS feed

  • Вопрос

  • доброго дня.

    не могу никак настроить smtp авторизацию.

    Любой человек может отправить письмо через мой сервер. Но если письмо адресовано внешнему адресату, то его задерживает анти-спам фильтр exchang'a с ошибкой Unable to relay. Если же локальному пользователю, то письмо принимается, но отсеивается ORF'ом. Подскажите ,как правильно настроить авторизацию, чтобы сервер отлупливал неавторизованных клиентов

    18 октября 2012 г. 5:10

Все ответы

  • доброго дня.

    не могу никак настроить smtp авторизацию.

    Любой человек может отправить письмо через мой сервер. Но если письмо адресовано внешнему адресату, то его задерживает анти-спам фильтр exchang'a с ошибкой Unable to relay. Если же локальному пользователю, то письмо принимается, но отсеивается ORF'ом. Подскажите ,как правильно настроить авторизацию, чтобы сервер отлупливал неавторизованных клиентов


    В свойствах recieve коннектора уберите галку "anonymous users"
    18 октября 2012 г. 7:27
    Отвечающий
  • В свойствах recieve коннектора уберите галку "anonymous users"

    пробовал, тогда письма с других серверов не приходят
    18 октября 2012 г. 7:41
  • Эта галочка нужна, чтобы принимать почту от внешних почтовых серверов. Если снять галочку, то перестанет приниматься почта.

    >>Но если письмо адресовано внешнему адресату, то его задерживает анти-спам фильтр exchang'a с ошибкой Unable to relay

    в Exchange по умолчанию smtp требует безопасной утентификации. Вам в свойствах smtp нужно переключить на  Basic authentication и снять галочку Offer Basic authentication only after starting TLS

    18 октября 2012 г. 8:01
  • после изменения способа аутентификации нужно перезапустить службу Microsoft Exchange Transport


    18 октября 2012 г. 8:09
  • очень хорошая статья про коннекторы получения

    http://www.redline-software.com/rus/support/articles/msexchange/2007/managing-receive-connectors-part4.php

    это ссылка на четвертую часть, поскольку только в ней есть ссылки на предыдущие 3 части.

    18 октября 2012 г. 8:20
  • Эта галочка нужна, чтобы принимать почту от внешних почтовых серверов. Если снять галочку, то перестанет приниматься почта.

    >>Но если письмо адресовано внешнему адресату, то его задерживает анти-спам фильтр exchang'a с ошибкой Unable to relay

    в Exchange по умолчанию smtp требует безопасной утентификации. Вам в свойствах smtp нужно переключить на  Basic authentication и снять галочку Offer Basic authentication only after starting TLS

    так было настроено с самого начала
    18 октября 2012 г. 8:43
  • В свойствах recieve коннектора уберите галку "anonymous users"

    пробовал, тогда письма с других серверов не приходят

    С каких "других" серверов?
    18 октября 2012 г. 8:48
    Отвечающий
  • В свойствах recieve коннектора уберите галку "anonymous users"

    пробовал, тогда письма с других серверов не приходят


    С каких "других" серверов?
    внешних
    18 октября 2012 г. 8:48
  • В свойствах recieve коннектора уберите галку "anonymous users"

    пробовал, тогда письма с других серверов не приходят


    С каких "других" серверов?

    внешних

    Все верно. Вы же хотите, чтобы все сервера при отправке вашим пользователям проходили аутентификацию. А для того чтобы они проходили аутентификацию - эти внешние сервера нужно настроить. Вы это делали?
    18 октября 2012 г. 8:51
    Отвечающий
  • Unable to relay сервер выдает, потому что клиент не проходит аутентификацию перед отправкой. пытается отправить сообщение как анонимный пользователь.

    нужно копаться в аутентификации...

    18 октября 2012 г. 8:55
  • Unable to relay сервер выдает, потому что клиент не проходит аутентификацию перед отправкой. пытается отправить сообщение как анонимный пользователь.

    нужно копаться в аутентификации...

    Unable to relay - сервер выдает, потому что по умолчанию он не настроен как open relay - и запрещает анонимную отправку писем не для "своих" почтовых доменов.

    Это нормальное поведение.

    А вот чего хочет автор, я так пока и не понял.

    18 октября 2012 г. 8:57
    Отвечающий
  • Добрый день.

    Для сервера принимающего почту из Интернета такое поведение правильное. Вам не нужно на нем настраивать авторизацию.

    18 октября 2012 г. 9:09
    Отвечающий
  • у меня есть подозрение что автор хочет простой банальной вещи: разрешить своим юзерам подключаться извне по smtp чтобы отправлять почту, и само собой функционал приема почты от анонимных севреров должен остаться. как в принципе работает большинство публичных почтовиков.
    для этого нужно разрешить и анонимный и аутентифицированный доступ. анонимам разрешить посылать только на свои домены (прием почты от других серверов). аутентифицированным разрешить отсылать куда угодно (релей).

    18 октября 2012 г. 14:42
  • у меня есть подозрение что автор хочет простой банальной вещи: разрешить своим юзерам подключаться извне по smtp чтобы отправлять почту, и само собой функционал приема почты от анонимных севреров должен остаться. как в принципе работает большинство публичных почтовиков.
    для этого нужно разрешить и анонимный и аутентифицированный доступ. анонимам разрешить посылать только на свои домены (прием почты от других серверов). аутентифицированным разрешить отсылать куда угодно (релей).

    да-да, именно так. 

    Postfix идеально устраивал в этом плане, но вот не знаю как сделать это в exchange

    18 октября 2012 г. 16:14
  • да я вроде выше написал как, или еще что то непонятно?
    18 октября 2012 г. 16:15
  • все описанное сделано, но вот например в postfix'e если пользователь при отправке не авторизовался, то происходит отлуп и сообщение об ошибке. В exchange как я понял такого нет.

    18 октября 2012 г. 17:38
  • так ты ж сам разрешил анонимный доступ )))

    только разрешая анонимов нужно им запретить отправлять письма от имени авторитативных доменов (то есть твоих), это практически обязательно для внешнего коннектора. посмотри Get-ReceiveConnector “имя внешнего принимающего коннектора” | Get-ADPermission -user “NT AUTHORITY\Anonymous Logon”
    если среди прав есть разрешение ms-exch-smtp-accept-authoritative-domain-sender то надо убирать
    Get-ReceiveConnector “имя внешнего принимающего коннектора” | Get-ADPermission -user “NT AUTHORITY\Anonymous Logon” | where {$_.ExtendedRights -like “ms-exch-smtp-accept-authoritative-domain-sender”} | Remove-ADPermission

    это командлеты для 2007 но думаю в 2010 они ровно такие же

    18 октября 2012 г. 18:15
  • Господа, по дефолту в Exchange так и настроено - для анонимов - прием для отправки только пользователям авторитативных доменов - для авторизованных - прием для отправки куда угодно. Ничего дополнительно настраивать не нужно.

    Решительно не понимаю темы дискуссии.

    18 октября 2012 г. 18:23
    Отвечающий
  • это так, но в 2007 (пока не знаю как в 2010), анонимные по умолчанию могут отправлять от любого имени, в том числе от имени авторитативных доменов, что открывает дыры для спамеров и социальной инженерии. когда это право убираешь (командлетом выше), то анонимы по прежнему могут слать, но не смгут прикинутся своими. при этом в GUI в свойствах коннектора галочка анонимов снимается.

    19 октября 2012 г. 7:59
  • это так, но в 2007 (пока не знаю как в 2010), анонимные по умолчанию могут отправлять от любого имени, в том числе от имени авторитативных доменов, что открывает дыры для спамеров и социальной инженерии. когда это право убираешь (командлетом выше), то анонимы по прежнему могут слать, но не смгут прикинутся своими. при этом в GUI в свойствах коннектора галочка анонимов снимается.

    Вы про то, что анонимы могут в MAIL FROM поставить любого из получателей авторитативных доменов? И в exchange 2010 это по умолчанию разрешено, отличить их от настоящих можно, по признаку, что адреса отправителей не разрешаются в дисплейные имена пользователей.

    Теперь понял.


    19 октября 2012 г. 8:56
    Отвечающий
  • дисплейное имя тоже подставить можно, правда выглядеть оно будет Фамилия Имя <адрес> - отличить то можно (у внутренних клиентов не показывает адрес), только биомасса в виде офисного планктона на 90% этого не сделает, буквально пару недель назад сами проводили такое тестирование, причем даже домен в адресе был не наш, отличался на один знак, и в фамилии была опечатка. все равно повелись, даже отсутствие значка presence от коммуникатора не насторожило. 
    так что запрещать на уровне сервера надо обязательно )
    19 октября 2012 г. 9:41
  • de1phi, вопрос решен?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    24 октября 2012 г. 13:48
  • Дабы не плодить тем, попробую спросить здесь.

    Господа, подскажите, плиз, где под 2010 настроить именно и конкретно SMTP relay?

    Дабы не "описывать пальцами рюмку", соответствующая настройка для SMTP 2008 R2 -

    Как то же самое прописать для Edge? Для Hub Transport? Причём последние я вижу под Exchange System Manager от 2003 и могу прописать (с предупреждениями при открытии страницы свойств) оттуда, при повторном открытии сделанные ранее настройки присутствуют. Как это сделать нормально, собственными средствами 2010?


    S.A.

    26 октября 2012 г. 10:00
  • Господа, неудели это (вопрос выше), настолько просто, или настолько сложно, что никто слова не скажет? :(

    S.A.

    28 октября 2012 г. 18:43
  • напиши что конкретно хочешь сделать - картинка не показывается

    29 октября 2012 г. 14:19
  • напиши что конкретно хочешь сделать - картинка не показывается


    Прямая ссылка на картинку - http://stol4you.ru/relay.jpg

    S.A.

    29 октября 2012 г. 20:15
  • то есть надо внутренним клиентам разрешить релей наружу? для этого делается принимающий коннектор, в свойствах которого указывается что принимает он только с конкретного диапазона адресов и разрешить на нем анонимный релей http://technet.microsoft.com/en-us/library/bb232021.aspx

    30 октября 2012 г. 10:26
  • Угум, спасибо. Я даже красочный ролик на эту тему посмотрел (http://www.youtube.com/watch?v=gj61RzL_WFc) :).

    Теперь я беру, внимательно смотрю на свойства дефолтного коннектора получения (на Edge), и пытаюсь понять, а что же из имеющегося там должно помешать выступать и ему открытым релеем для всех. По любому собственному адресу принимать - пожалуйста. С любых IP - пожалуйста. Anonymous - да (как обсуждалось выше, если убрать анонимуса, входящая почта с чужих доменов вообще приниматься не будет, что понятно). Почему этот коннектор не будет релеем, а будет принимать почту только для собственного домена(ов), в отличие от?

    Не ругайтесь, я правда не понимаю (как и самой логики "для отправки делаем коннектор получения", но это уже фигня) :).


    S.A.

    30 октября 2012 г. 14:43
  • для того чтобы коннектор принимал письма для любых получателей надо делать (в статье это есть):
    Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

    чтобы релей кому то отправил, он сначала должен получить, поэтому и надо делать получающий коннектор.

    30 октября 2012 г. 15:03
  • Так что именно, для Default internal receive connector на Edge определяет, что через него невозможен анонимный релей куда угодно (а только приём для собственных доменов), в отличие от коннектора, созданного в соответствии с материалами Вашей ссылки? Где и как "это" увидеть?

    S.A.

    30 октября 2012 г. 15:33
  • так я ж выше написал все нужные командлеты, достаточно их элементарно переделать чтобы узнать текущие настройки:
    Get-ReceiveConnector "Anonymous Relay" | Get-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON"
    получит список разрешений для анонимуса, если в нем нет Ms-Exch-SMTP-Accept-Any-Recipient значит кому угодно аноним слать не может

    30 октября 2012 г. 15:47
  • Э-э... Сорри. Заначит, на edge - создаю коннектор для релея (как описано в technet и красочном ролике), создаю тестовый коннектор типа Internet (вроде как по определению только на приём), имеется дефолтный коннектор, пытаюсь найти второе (кроме имени коннектора) отличие:

    [PS] C:\Windows\system32>Get-ReceiveConnector "Relay" | Get-ADPermission -User "NT AUTHORITY\АНОНИМНЫЙ ВХОД"

    Identity             User                 Deny  Inherited
    --------             ----                 ----  ---------
    VMX1\Relay           NT AUTHORITY\АНОН... False False
    VMX1\Relay           NT AUTHORITY\АНОН... False False
    VMX1\Relay           NT AUTHORITY\АНОН... False False
    VMX1\Relay           NT AUTHORITY\АНОН... False False


    [PS] C:\Windows\system32>Get-ReceiveConnector "test" | Get-ADPermission -User "NT AUTHORITY\АНОНИМНЫЙ ВХОД"

    Identity             User                 Deny  Inherited
    --------             ----                 ----  ---------
    VMX1\test            NT AUTHORITY\АНОН... False False
    VMX1\test            NT AUTHORITY\АНОН... False False
    VMX1\test            NT AUTHORITY\АНОН... False False
    VMX1\test            NT AUTHORITY\АНОН... False False


    [PS] C:\Windows\system32>Get-ReceiveConnector "Default internal receive connector VMX1" | Get-ADPermission -User "NT AUTHORITY\АНОНИМНЫЙ ВХОД"

    Identity             User                 Deny  Inherited
    --------             ----                 ----  ---------
    VMX1\Default inte... NT AUTHORITY\АНОН... False False
    VMX1\Default inte... NT AUTHORITY\АНОН... False False
    VMX1\Default inte... NT AUTHORITY\АНОН... False False
    VMX1\Default inte... NT AUTHORITY\АНОН... False False

    "Чего-то в этом супе не хватает" :)


    S.A.

    31 октября 2012 г. 9:44
  • видимо 2010 шелл не все столбцы выводит. добавь в конце скрипта | fl *
    31 октября 2012 г. 12:36
  • Угум. Теперь так:

    [PS] C:\Exchange\Scripts>Get-ReceiveConnector "Relay" | Get-ADPermission -User "NT AUTHORITY\АНОНИМНЫЙ ВХОД"|fl *


    AccessRights        : {ExtendedRight}
    ExtendedRights      : {ms-Exch-SMTP-Accept-Authoritative-Domain-Sender}
    ChildObjectTypes    :
    InheritedObjectType :
    Properties          :
    Deny                : False
    InheritanceType     : All
    User                : NT AUTHORITY\АНОНИМНЫЙ ВХОД
    Identity            : VMX1\Relay
    IsInherited         : False
    IsValid             : True

    AccessRights        : {ExtendedRight}
    ExtendedRights      : {ms-Exch-SMTP-Submit}
    ChildObjectTypes    :
    InheritedObjectType :
    Properties          :
    Deny                : False
    InheritanceType     : All
    User                : NT AUTHORITY\АНОНИМНЫЙ ВХОД
    Identity            : VMX1\Relay
    IsInherited         : False
    IsValid             : True

    AccessRights        : {ExtendedRight}
    ExtendedRights      : {ms-Exch-Accept-Headers-Routing}
    ChildObjectTypes    :
    InheritedObjectType :
    Properties          :
    Deny                : False
    InheritanceType     : All
    User                : NT AUTHORITY\АНОНИМНЫЙ ВХОД
    Identity            : VMX1\Relay
    IsInherited         : False
    IsValid             : True

    AccessRights        : {ExtendedRight}
    ExtendedRights      : {ms-Exch-SMTP-Accept-Any-Sender}
    ChildObjectTypes    :
    InheritedObjectType :
    Properties          :
    Deny                : False
    InheritanceType     : All
    User                : NT AUTHORITY\АНОНИМНЫЙ ВХОД
    Identity            : VMX1\Relay
    IsInherited         : False
    IsValid             : True

    - и для остальных двух коннекторов, о которых я писал в предыдущем сообщении, равно тот же самый набор ExtendedRights, только в разном порядке выводит. И нету Ms-Exch-SMTP-Accept-Any-Recipient.


    S.A.

    31 октября 2012 г. 14:47
  • а ту команду, что я давал ранее, выполнял? по умолчанию такого права конечно же нет
    и кстати, если у тебя на внешнем получающем коннекторе для анонима есть такое "ms-Exch-SMTP-Accept-Authoritative-Domain-Sender", то это очень плохо - любой внешний анонимный спамер сможет отправить от имени сотрудника твоей организации письмо, что открывает все пути для спама и социальной инженерии, читай тред выше.
    31 октября 2012 г. 15:21
  • Угум. Сорри, упустил. В том числе это: "You can't use the EMC to perform this task". То есть, теперь открыть, а главное, увидеть открытый релей для анонимуса через ГУИ нельзя в принципе. Ну...

    и кстати, если у тебя на внешнем получающем коннекторе для анонима есть такое "ms-Exch-SMTP-Accept-Authoritative-Domain-Sender", то это очень плохо - любой внешний анонимный спамер сможет отправить от имени сотрудника твоей организации письмо, ...
    Да, спасибо, полезно.

    S.A.


    1 ноября 2012 г. 19:39
  • de1phi, вопрос решен?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    нет, боязно на боевом сервере пробовать
    5 марта 2013 г. 10:48