none
某些郵件寄不出去!? RRS feed

  • 問題

  • 這個問題困擾我好一陣子了
    某些地方的郵件會無法寄出
    比如說pchome

    我第一個想法是pchome會做反查吧
    所以我就向Hinet申請了DNS反解
    但是我只申請了mail server的IP
    結果還是一樣
    信件仍然會Q住

    我這裡的架構是這樣的
    有DMZ、Internal
    AD(內部DNS)在Internal,Mail、外部DNS在DMZ
    外部DNS沒有加入網域(所以應該沒辦法申請反解吧)

    AD(內部DNS)設定:
    IP:192.168.1.10
    G/W:192.168.1.254
    慣用DNS:192.168.1.10

    Mail設定:
    IP:192.168.5.11
    G/W:192.168.5.254
    慣用DNS:192.168.1.10

    外部DNS設定:
    IP:192.168.5.10
    G/W:192.168.5.254
    慣用DNS:無

    請問我哪裡設定有問題呢?
    還是Exchange設定哪裡出錯了嗎?
    2007年6月25日 上午 07:55

解答

    1. Yes
    2. DMZ最主要的目的是倘若主機被攻破時也只能到達DMZ區,所以在安全考量下通常被擺放在DMZ區的Server應該是不太重要的主機,而且是與內部網段隔絕的主機.
    3. 對Excahgne 2000/2003而言會使用RPC 1024~65535的動態Port去連結查詢內部的DC,所以如果將它擺在DMZ區不就等於將DMZ到內部網段的Firewall開了一個大洞?除非你手動去修改固定住Exchange Server IS所使用的Port number,但一旦被固定住後又會產生容易被掃瞄猜中的危險
    4. 所以官方的技術文件都不建議將Exchange Server部署到DMZ區
    5. 在Exchange 2007中甚致在文件中明白指出不再支援(指的是Tech Support)將CAS擺放在DMZ區的架構
    2007年6月27日 下午 04:12

所有回覆

  • 寄不出去應該有退件訊息吧?

    DNS申請反解與你的機器有沒有加入網域沒有任何關聯

    只要你的主機FQDN符合反解的IP即可

    你把Exchaneg 2003放在DMZ區嗎?

    2007年6月25日 下午 03:48
  •  Jammy-MVP 寫信:

    寄不出去應該有退件訊息吧?

    DNS申請反解與你的機器有沒有加入網域沒有任何關聯

    只要你的主機FQDN符合反解的IP即可

    你把Exchaneg 2003放在DMZ區嗎?



    假定網域名稱為 aaa.com

    以下為退件訊息:
    電子郵件系統無法傳送郵件,但是未回報明確的原因。請檢查地址後再試一
    次。若仍然失敗,請連絡您的系統管理員。
        <mail.aaa.com #4.0.0 smtp;450 Client host rejected: cannot find your hostname,[外部DNS ip]

    關於DQDN方面
    mail server的FQDN是「mail.aaa.com」對吧
    但外部dns server沒有加入網域
    所以FQDN僅是主機名稱「dns」是嗎

    另外Exchange 2003放在DMZ中
    2007年6月26日 上午 03:10
  • 就你所提供的錯誤訊息來看是沒有反解所以被退件

    standalone的機器也可設定host name加Domain Name

    在電腦名稱的變更>其他>輸入主要的網域名稱

    再重開機生效後就OK了

    為什麼把Exchange 2003放在DMZ?然後又從DMZ區開放一堆Port到Internal?

    這樣不就失去DMZ的安全意義了嗎?

    2007年6月26日 上午 07:17
  •  Jammy-MVP 寫信:

    就你所提供的錯誤訊息來看是沒有反解所以被退件

    standalone的機器也可設定host name加Domain Name

    在電腦名稱的變更>其他>輸入主要的網域名稱

    再重開機生效後就OK了

    為什麼把Exchange 2003放在DMZ?然後又從DMZ區開放一堆Port到Internal?

    這樣不就失去DMZ的安全意義了嗎?



    原來standalone的機器是要這樣設定...
    所以我設定好之後再向Hinet申請反解就OK囉?

    Exchange不應該放在DMZ!?
    因為之前工程師在裝機時就是把外部DNS、Web、Exchange三台機器放在DMZ
    我以為本來就應該這樣放
    不過防火牆是採用FortiGate 800
    這樣還是會不安全嗎?
    2007年6月26日 上午 09:19
    1. Yes
    2. DMZ最主要的目的是倘若主機被攻破時也只能到達DMZ區,所以在安全考量下通常被擺放在DMZ區的Server應該是不太重要的主機,而且是與內部網段隔絕的主機.
    3. 對Excahgne 2000/2003而言會使用RPC 1024~65535的動態Port去連結查詢內部的DC,所以如果將它擺在DMZ區不就等於將DMZ到內部網段的Firewall開了一個大洞?除非你手動去修改固定住Exchange Server IS所使用的Port number,但一旦被固定住後又會產生容易被掃瞄猜中的危險
    4. 所以官方的技術文件都不建議將Exchange Server部署到DMZ區
    5. 在Exchange 2007中甚致在文件中明白指出不再支援(指的是Tech Support)將CAS擺放在DMZ區的架構
    2007年6月27日 下午 04:12