none
Exchange 2007 Pop3寄信權限問題 RRS feed

  • 問題

  • Exchange server 2007已經開啟POP3、IMAP4服務,

    LoginType 採用預設的 SecureLogin 加密方式,

    用戶端使用 Outlook Express & Windows Mail,

    在進階的部分也都開啟了使用 SSL 加密 port 的選項,

    使用 POP3 或 IMAP4 收信也都正常

    但是在某部分使用者寄信的時候,會出現下列錯誤而無法寄出郵件

     

    ====

     

    無法傳送郵件,因為伺服器拒絕寄件者的電子郵件地址。寄件者的地址是 abc@abc.com.tw'。主旨 '1', 帳戶: 'abc', 伺服器: 'cas.abc.com.tw', 通訊協定: SMTP, 伺服器回應: '550 5.7.1 Client does not have permissions to send as this sender', 連接埠: 25, 安全(SSL): , 伺服器錯誤: 550, 錯誤碼: 0x800CCC78

     

    ====

     

    看起來似乎是調整一下權限即可,

    不過卻不知道從何下手,請問有人解決過這個問題嗎?

     

    2007年8月3日 上午 07:58

解答

  •  

    Hi Joseph,

     

    再仔細分析你的情況,假設是Exchange 2000 或Exchange 2003升級上來的,那麼曾經加入或現在還是Enterprise Admins或Domain Admins的帳號,在升級至Exchange 2007後,最有可能發生這情況,那是因為加入了這些群組後,AD的繼承自動會被拿掉,因此會造成升級後OWA及POP3有問題。Administrator、Enterprise admins、Domain Admins等帳號或群組的成員有許多權限是被設為『拒絕』的。

     

    你可以使用『Active Directory使用者及電腦』程式,將檢視選擇為『進階功能』,然後點選『有問題的帳號』-->內容-->安全性標籤,檢查看看有沒有SELF帳號,若沒有把它加進來(選擇新增-->手動輸入SELF-->確定),正常應有此帳號,接著在『安全性標籤頁選擇『進階』,檢查一下『允許從父項繼承權限套用到這個物件和所有的子物件,包括明確定義於此的項目(A)』選項是否未勾選,一般的帳號應會勾選起來,若沒有勾選,接著直接點選『預設』按鈕,會自動勾選起來,然後再按確定-->等同步後再重試一次寄信,記得按『預設』按鈕,它會把原來該有的權限加入。

     

    即使有SELF帳號,『允許從父項繼承權限套用到這個物件和所有的子物件,包括明確定義於此的項目(A)』選項也有勾選,也應按一下『預設』按鈕,因為有些權限有可能某些因素被拿掉。

     

    Best regards,

    Frank Hsieh

    2007年8月6日 下午 05:03

所有回覆

  • 當使用者的Outlook Express中所設定的POP3 Profile中的寄件者與實際的寄件者不同時便會出現此錯誤.

    例如,登入的帳號是UserA,但在寄信的時候的寄件者欄位卻設為UserB

     

    2007年8月3日 上午 08:48
  • 我已經確認過寄件者跟登入的帳號都是同一個人,

    接收郵件的部分也都正常,就只有寄信時會出現這個問題,

    所以應該不是您說的登入帳號跟寄件者欄位不一致的情形耶...

     

    另外我在國外的網站上有看到類似的文章,

    也輸入了一個指令來增加接收連接器的權限,

    add-adpermission '<receivername>' -User 'NT AUTHORITY\ANONYMOUS LOGON' -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

    不過似乎沒有效果.. >_<

    是不是因為服務必須要重新啟動呢?

    2007年8月3日 上午 09:20
  • 請檢查POP3及SMTP的使用者帳號欄位是輸入:Domain\UserName的格式

    2007年8月3日 上午 10:15
  • 使用者名稱的確是使用 Domain\Username的格式,不過問題仍然存在,還有其他的可能性嗎?謝謝!

     

    2007年8月6日 上午 02:26
  • 你好:

    請問伺服器設定中的->外寄郵件伺服器->我的伺服器需要驗證 有勾選嗎?

    2007年8月6日 上午 03:51
    版主
  • 謝謝您的回答,我有勾選,所以應該不是這個造成的。

    2007年8月6日 上午 06:17
  • Hi Joseph,

     

    你的情況,應不是Exchange Server 2007上面設定的問題,而是你的使用者的寄件者地址abc@abc.com.tw與他在Exchagne 2007的信箱地址不一樣所導致,Exchange 2003與Exchange 2007均有此一安全管制機制,例如在Outlook Express的POP3 一般設定中的『電子郵件地址』是frank@contoso.com,但他在Exchagne Server上面的實際e-mail address是frank@microsoft.msft,那麼在整合驗證的機制下,會自動去Check是否與信箱上的e-mail Address相符合,若不符合就會出現上述的錯誤,主要的目的是在防止公司的使用者偽造同仁的帳號寄信。

     

    Best regards,

    Frank Hsieh

    2007年8月6日 上午 07:42
  •  

    謝謝您的回答,不過我確認過,Outlook Express中設定的寄件者地址,跟Exchange 2007 EMC看到的該使用者的信箱地址是一樣的,所以應該不是這個問題。

     

    我試過幾個帳號,其中有個能成功寄信,所以我才往權限上的問題去思考,請問有沒有SMTP receiver權限設定的文件可以參考呢?

    2007年8月6日 上午 10:14
  • Hi Joseph,

     

    1.首先必須先確認,在Exchange 2007建置完成後,你做了那些HTS的設定更改,正常的情況,若沒有更改,應是沒有問題,除非你改了某些設定或是執行了某些權限的設定...。尤其是你曾經下了權限設定的指令,你若沒有講清楚...,大家恐難幫助你。一般來說,Exchange 2007建置好後,若有ETS則由EdgeSync處理,不必更改,若沒有ETS,則也只要將預設的SMTP Receive Connector的Anonymous可以寄信進來的權限打勾即可。

     

    2.你說有帳號可以成功的寄信,那麼新建的帳號可不可以寄? 測試一下...

    3.另外你是升級上來的? 還是純的Exchange 2007安裝?這會有差別。單一網域?還是多網域?

     

    Best regards,

     

    Frank Hsieh

    2007年8月6日 上午 11:04
  •  

    Hi Joseph,

     

    再仔細分析你的情況,假設是Exchange 2000 或Exchange 2003升級上來的,那麼曾經加入或現在還是Enterprise Admins或Domain Admins的帳號,在升級至Exchange 2007後,最有可能發生這情況,那是因為加入了這些群組後,AD的繼承自動會被拿掉,因此會造成升級後OWA及POP3有問題。Administrator、Enterprise admins、Domain Admins等帳號或群組的成員有許多權限是被設為『拒絕』的。

     

    你可以使用『Active Directory使用者及電腦』程式,將檢視選擇為『進階功能』,然後點選『有問題的帳號』-->內容-->安全性標籤,檢查看看有沒有SELF帳號,若沒有把它加進來(選擇新增-->手動輸入SELF-->確定),正常應有此帳號,接著在『安全性標籤頁選擇『進階』,檢查一下『允許從父項繼承權限套用到這個物件和所有的子物件,包括明確定義於此的項目(A)』選項是否未勾選,一般的帳號應會勾選起來,若沒有勾選,接著直接點選『預設』按鈕,會自動勾選起來,然後再按確定-->等同步後再重試一次寄信,記得按『預設』按鈕,它會把原來該有的權限加入。

     

    即使有SELF帳號,『允許從父項繼承權限套用到這個物件和所有的子物件,包括明確定義於此的項目(A)』選項也有勾選,也應按一下『預設』按鈕,因為有些權限有可能某些因素被拿掉。

     

    Best regards,

    Frank Hsieh

    2007年8月6日 下午 05:03
  • 補充一下,新建的Exchange 2007也有可能發生...。因為只要把帳號加入至Domain Admins、Enterprise Admins就有可能發生上述情況...,但不一定發生。這種案例,已碰過多例...,你可以先找一個有問題的帳號依據前文把它的安全性設定預設,再測試SMTP寄信。

     

    Frank Hsieh

    2007年8月7日 上午 10:49
  • 謝謝您詳細的回答,按照您的步驟,問題解決了,十分感謝!

     

    我們的確是由Exchange 2003升級並且目前與Exchange 2007並存在AD中,之前在遷移帳號的過程中也確實發生了原本一些有domain admin權限的人,在遷移過後會沒有權限登入OWA的情況,後來也是在該帳戶安全性的進階中,把允許繼承權限的選項勾起來才能正常登入。

    沒想到原來POP3&IMAP4寄信權限並未因勾選了繼承而正確被設定,後來是到使用者的進階功能中按下"預設"按鈕之後才正常。

     

    不過令我有好奇的是,為何Exchange 2007要把Enterprise Admins或是Domain Admins帳號的繼承給移除,甚至是設定權限為"拒絕"呢?

     

    2007年8月9日 上午 01:35
  • Hi Joseph,

     

    綠由:早期Exchange 5.5的Service Account,預設就可以打開任何人的信箱,為了安全的考量,及管理AD與Exchange帳號的區分,因此Exchange 2000/2003就開始針對administrator、Domain Admins、Enterprise等帳號限制Exchange 的某些權限,只是Exchange 2007限制的更嚴格。

     

    Best regards,

    Frank Hsieh

     

    2007年8月9日 上午 11:25
  •  Frank Hsieh 寫信:

    Hi Joseph,

     

    你的情況,應不是Exchange Server 2007上面設定的問題,而是你的使用者的寄件者地址abc@abc.com.tw與他在Exchagne 2007的信箱地址不一樣所導致,Exchange 2003與Exchange 2007均有此一安全管制機制,例如在Outlook Express的POP3 一般設定中的『電子郵件地址』是frank@contoso.com,但他在Exchagne Server上面的實際e-mail address是frank@microsoft.msft,那麼在整合驗證的機制下,會自動去Check是否與信箱上的e-mail Address相符合,若不符合就會出現上述的錯誤,主要的目的是在防止公司的使用者偽造同仁的帳號寄信。

     

    Best regards,

    Frank Hsieh

     

     

    請問,我需要在使用者的電腦用公司的公用帳號寄送信件,這樣寄件者的地址就與使用者在Exchange2007的信箱地址不一樣,有發生

    550 5.7.1 Client does not have permissions to send as this sender 的錯誤訊息,如果我要在很多的使用者電腦都可以用公司公用帳號寄信,這樣有可能達到嗎?
    2007年11月13日 上午 03:34
  • Frank 老師

                    我也有相同的pop3寄信權限問題,一樣是由exchange 5.5 to exchange 2003,exchange 2003 to exchange 2007,然後就發現使用者無法使用pop3方式寄信,在照您的方式更改後短暫時間(約半小時內)可以寄信,但沒多久就又出現同樣無法寄信情況,在檢查帳號內SELF的權限發現很多權限被取消掉了,重覆試了幾次都是相同的結果,我的環境如下:

    1台windwos server 2003 r2 sp2(dc)

    1台windows server 2003 r2 sp2 x64 (dc + exchange 2007 + 5FSMO角色)

    1台windows 2000 server sp4 (dc)

     

    請問您有遇到類似的情況嗎?

    2007年11月21日 下午 01:45
  • 這問題的解決方案是:

    凡是帳號屬於Enterprise Admins,Domain Admins,Administrators這些群組的成員,都要退出這些群組。

     

    Frank Hsieh

    2007年11月26日 下午 02:04
  • sir

       不過我是所有帳號都是這種情況哩,而且這些使用者都是domain user,最近domain中的2000 dc意外掛點,所以domain已直接昇級為windows 2003 native mode,最近會將exchange 2007 sp1安裝上去再觀察是否有所改善,謝謝您。

    2007年12月26日 下午 02:48
  • 引述『當使用者的Outlook Express中所設定的POP3 Profile中的寄件者與實際的寄件者不同時便會出現此錯誤.

    例如,登入的帳號是UserA,但在寄信的時候的寄件者欄位卻設為UserB』


    就上面引述的內容請問各位先進,如果希望在公司內部網路上登入的帳號是
    UserA,但在寄信的時候的寄件者欄位卻設為UserB,而依然可以寄信的話,
    Exchange 2007可否允許此一設定?又應該在那個地方進行設定?

    先感謝後續答覆此一問題的先進們。
    2008年1月11日 下午 01:13
  • 將Exchange server 2007升級到SP1之後,使用者信箱會有"管理「以下列傳送」"這個功能,

    使用這個功能,就可以讓其他使用者也有權限來利用某個公用信箱寄信。

     

    若沒有升級到SP1也可以做,只是要搭配Exchange 2003的管理console就是...

    2008年1月16日 上午 02:42
  • 您好

    這個問題我遇過

    參考一下我的文件

    http://www.pmail.idv.tw/plog/index.php?load=read&id=365

    2008年5月11日 上午 02:17