У більшості організацій, що використовують Exchange Server 2010, виникає необхідність дозволу пересилання пошти (relay) певних класів хостів і пристроїв, дозволяючи їм самостійно пересилати пошту через сервера Exchange. Зазвичай це потрібно різним багатофункціональних пристроїв (принтери, мережеві сканери, МФУ) або ж спеціалізованому інфраструктурного софту (софт резервного копіювання, моніторингу), які повинні відсилати звіти і Алерт у вигляді електронних листів.

Все SMTP комунікації в архітектурі Exchange 2010 обробляються серверами з роллю Hub Transport. Служба доставки на цих серверах очікує SMTP підключень на свій коннектор (Receive Connector). Однак, даний коннектор за замовчуванням налаштований на високий рівень безпеки, які забороняє анонімні підключення (а саме так підключаються для відправки пошти практично все не Exchange системи).

Перевірити дане твердження, можна, спробувавши підключитися до сервера за допомогою telnet на 25 порт і спробувати ініціювати неавторизоване SMTP з’єднання.

220 EX3.winitpro.ru Microsoft ESMTP MAIL Service ready at Wed, 18 Au
%MINIFYHTML2b0258b90a3c19e7af534847fd0d01315%g 2011 19:42:27 +1000
helo
250 EX3.winitpro.ru Hello [192.168.0.9]
mail from: somebody@mail.ru
530 5.7.1 Client was not authenticated

На деяких серверах Hub Transport, які підключені до інтернету або інших мереж, анонімні підключення можуть бути дозволені. Але і в цьому випадку relay (пересилання) пошти буде заборонена, однак помилка буде відрізнятися від зазначеної в першому випадку.

220 EX3.winitpro.ru Microsoft ESMTP MAIL Service ready at Wed, 18 Oct 2011 20:01:44 +1000
helo
250 EX3.winitpro.ru Hello [192.168.0.9]
mail from: somebody@mail.ru
250 2.1.0 Sender OK
rcpt to: somebody@gmail.com
550 5.7.1 Unable to relay

Ви побачите, що сервер видасть помилку про неможливість пересилання (Unable to relay) при спробі відправити лист з ящика @ mail.ru на ящик на @ gmail.com, тому що жоден з цих доменів не є вірним доменом в організації Exchange. Однак, анонімному користувачу на даному коннекторе дозволено відправляти листи з зовнішнього домену @ mail.ru на існуючий в домені Exchange внутрішній адресу.

220 EX3.winitpro.ru Microsoft ESMTP MAIL Service ready at Wed, 18 Oct 2011 20:05:54 +1000
helo
250 EX3.winitpro.ru Hello [192.168.0.9]
mail from: somebody@mail.ru
250 2.1.0 Sender OK
rcpt to: itpro@winitpro.ru
250 2.1.5 Recipient OK
data
354 Start mail input; end with .
test
.
250 2.6.0 [In
ternalId=2] Queued mail for delivery

Але, якщо спробувати відправити лист зовнішньому одержувачу, сервер Exchange не дозволить зробити це.

220 EX3.winitpro.ru Microsoft ESMTP MAIL Service ready at Wed, 18 Oct 2011 20:11:27 +1000
helo
250 EX3.winitpro.ru Hello [192.168.0.9]
mail from: backups@winitpro1.net
250 2.1.0 Sender OK
rcpt to: alerts@microsoft.com
550 5.7.1 Unable to relay

Щоб дозволили не-Exchange пристроїв всередині мережі пересилати (relay) пошту, необхідно створити новий коннектор на сервері Hub Transport. відкриємо консоль Біржове управління і перейдемо в розділ Управління сервером, Потім в Транспортний центр. Виберіть сервер з роллю Hub Transport, на якому необхідно створити новий коннектор отримання і вибрати меню Новий з’єднувач отримання.

Зазначимо ім’я коннектора, наприклад, “Relay” і тиснемо Далі.

Налаштування локальної мережі можна залишити за замовчуванням або ж задати виділений IP адреса для даного коннектора. Використання окремого адреси доцільно, коли потрібно створити коннектор з нестандартними настройками аутентифікації, але коли вигляд стартового коннектора міняти не можна.

Виділіть стандартний діапазон IP адресою у вікні настройки віддалених мереж (remote network settings) і видаліть його.

Потім натисніть кнопку Додати і введіть IP адресу пристрою (сервера) якому ви хочете дозволити пересилання пошти через сервер Exchange. Натисніть OK і Next.

Щоб запевнити роботу майстра натисніть кнопку Новий.

Отже, ми створили новий коннектор (Receive Connector), однак на даний момент він не може виконувати пересилання пошти. В консолі управління Exchange Management клацніть правою кнопкою миші по щойно створеному коннектор і виберіть його властивості.

На вкладці Permission Groups встановіть прапорець на опції Обмінні сервери.

На вкладці Authentication відзначте опцію Зовнішньо захищений.

Застосуємо зміни до даного коннектор, і переконався що тепер можна виконати relay.

220 EX3.winitpro.ru Microsoft ESMTP MAIL Service ready at Wed, 18 Oct 2011 20:31:00 +1000
helo
250 EX3.winitpro.ru Hello [192.168.0.9]
mail from: backups@winitpro1.ru
250 2.1.0 Sender OK
rcpt to: alerts@microsoft.com
250 2.1.5 Recipient OK
data
354 Start mail input; end with .
test
.
250 2.6.0 <924bab1e-0f07-4054-8700-d121577993b4@EX3.winitpro.ru> [InternalId=3] Queued mail for delivery

Оскільки діапазон віддалених IP адрес, ми звузили до 1 адреси, це означає, що з інших серверів або пошта пересилатися не буде. Якщо спробувати підключитися до даного коннектор з іншого IP адреси і спробувати виконати relay, доступ буде заборонений.

220 EX3.winitpro.ru Microsoft ESMTP MAIL Service ready at Wed, 18 Oct 2011 20:46:06 +1000
helo
250 EX3.winitpro.ru Hello [192.168.0.2]
mail from: backups@winitpro1.ru
250 2.1.0 Sender OK
rcpt to: alerts@ microsoft.com
550 5.7.1 Unable to relay

Надалі список ip адрес, яким дозволено пересилання можна модифікувати, додаючи в нього ip адреси конкретних пристроїв, діапазони адрес або цілі підмережі.

Leave a Reply

Your email address will not be published. Required fields are marked *