Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | |
Как-то все тоже сложно, должен же быть (по идее) какой-то вариант попроще... 19.02.03 17:42 Число просмотров: 764
Автор: Sandy <Alexander Stepanov> Статус: Elderman
|
Заводить 2 сервера не хочется, менять адреса на некие левые тоже (люди ДОЛЖНЫ получать почту с инета, но НЕ ДОЛЖНЫ посылать ее в инет).
Через конектор, как казалось сначала, самый правильный вариант, но он не работает :((
|
|
<sysadmin>
|
Как и где разрулить Exchange 2000 Server... 14.02.03 15:53
Автор: Sandy <Alexander Stepanov> Статус: Elderman
Отредактировано 14.02.03 16:10 Количество правок: 1
|
|
чтобы одни пользователи могли посылать почту только внутри самого Экса, а другие как внутри, так и во внешний инет?
|
|
Как и где разрулить Exchange 2000 Server... 15.02.03 14:54
Автор: W00nder Статус: Незарегистрированный пользователь
|
|
В настройках SMTP протокола ищи кнопку Relay и там настраиваешь каким IP можно перенаправлять в и-нет почту или каким нельзя
|
| |
Этот вариант не прокатывает по определению: юзеры получают IP-адрес динамически через DHCP :( 17.02.03 09:57
Автор: Sandy <Alexander Stepanov> Статус: Elderman
|
|
|
| | |
прокатывает, только вместо IP - FQDN, смотри :) 17.02.03 15:30
Автор: Woonder <Бученков Андрей> Статус: Member
|
Жмёшь кнопку Relay, далее ADD, только потом заполняешь поле не Single Computer, а поле Domain. Вводишь Fully Qualified Domain Name (FQDN), то есть например ComputerName.Domain.ru
Далее SMTP сервер делает ReverseLookup запрос к DNS серверу и сравнивает полученный IP с IP с которого пришло письмо.
И естественно разрешает или запрещает Relay.
А по поводу динамически выдаваемых IP, то на клиентах Win2K/xp регистрация (обновление) записей в DNS стоит флажок по умолчанию, а для клиентов *nix и win95/98/me можно настроить DHCP сервер, чтобы ОН регистрировал записи в DNS за клиентов, главное чтобы в DNS была зона обратного просмотра, что-то типа 0.168.192.in-addr.arpa
А самое главное не паникуй когда сделаешь изменения в SMTP, станешь проверять - а ничего не работает.
Exchange2000 хранит все настройки SMTP в AD и если ты вносишь изменения с места админа, а не с сервера, то будь готов подождать 5-10 минут, пока эти изменения дойдут до сервера.
|
| | | |
Видимо, я не достаточно полно проблему описал... 17.02.03 16:47
Автор: Sandy <Alexander Stepanov> Статус: Elderman
|
Релеи у меня ВСЕ оторваны вообще, просто стоит галочка, которая разрешает всем успешно аутентифицировавшимся хостам релеить куда угодно.
Я хочу сделать так, чтобы определенная часть пользователей могла отправлять почту только внутри моего экса, а другая часть и внутри экса и во внешний инет.
> Жмёшь кнопку Relay, далее ADD, только потом заполняешь поле
> не Single Computer, а поле Domain. Вводишь Fully Qualified
> Domain Name (FQDN), то есть например ComputerName.Domain.ru
> Далее SMTP сервер делает ReverseLookup запрос к DNS серверу
> и сравнивает полученный IP с IP с которого пришло письмо.
> И естественно разрешает или запрещает Relay.
Мне кажется, что через релеи разруливать это дело - не самый правильный вариант, потому как добавлять в список релеев несколько сотен хостов долго и муторно.
> А по поводу динамически выдаваемых IP, то на клиентах
> Win2K/xp регистрация (обновление) записей в DNS стоит
> флажок по умолчанию, а для клиентов *nix и win95/98/me
> можно настроить DHCP сервер, чтобы ОН регистрировал записи
> в DNS за клиентов, главное чтобы в DNS была зона обратного
> просмотра, что-то типа 0.168.192.in-addr.arpa
Да, так у меня и сделано, хосты динамически обновляют свои записи в ДНСе.
> А самое главное не паникуй когда сделаешь изменения в SMTP,
> станешь проверять - а ничего не работает.
> Exchange2000 хранит все настройки SMTP в AD и если ты
> вносишь изменения с места админа, а не с сервера, то будь
> готов подождать 5-10 минут, пока эти изменения дойдут до
> сервера.
Я тут начал рассматривать такой вариант: создал SMTP коннектор, привязал его (local bridgehead) к моему виртуальному СМТП серверу, на вкладке Delivery Restrictions указал принимать по умолчанию сообщения от всех отправителей, в списке Reject messages from указал себя самого.
По идее (как я это понимаю) т.к. коннектор у меня один, весь почтовый трафик проходит через него, а уже коннектор решает, разрешить почте пройти через него дальше или нет. Только вот ничего не получилось! :(
Не смотря на то, что мой ящик перечислен в списке Reject, почта от меня все равно во внешний мир уходит, а хотелось бы чтобы она возвращалась ко мне в виде NDR типа Access denied или Unable to relay
Может где еще покрутить?
|
| | | | |
Можно так попробовать (три варианта). 17.02.03 18:10
Автор: Konstantin <Konstantin Leontiev> Статус: Member
|
Есть несколько вариантов. Каждый со своими плюсами и минусами.
Первый вариант:
1) Создать два почтовых домена (один такой который будет ходить в интернете по записям MX будет находиться ответственный хост), а другой такой чтобы не ходил в интернете (напримет local.own).
2) Для всех пользователей которым надо отправлять в мир почту указать в качестве Primary SMTP адреса нормальный адрес, для остальных поставить дефолтным адресом local.own а другой удалить.
3) Запретить релеинг на смарт-хост в случае если не удаётся отправить непосредственно с использованием DNS.
Второй вариант:
1) Сделать шаги 1 и 2 из варианта 1.
2) Завести ДВА почтовых сервака один Exchange 2000 другой можно тоже Exchange, а проще обычный SMTP от из Windows 2000 сервера например... Настроить между ними коннектор и фильтровать на нём сообщения от *@local.own
3) Из мира принимать почту на Exchange 2000, а отправлять только через коннектор на вышестоящий SMTP server.
Третий вариант:
Ну и наконец самый радикальный вариант... У всех юзеров кто не должен слать почту в Интернет в свойствах удалить все SMTP адреса оставить только X.400.. Но тогда пользователям нужно предоставить адресуню книгу Outlook и чтобы они почту тоже через Outlook все отправляли - иначе замучаються набирать X.400 адреса, а так будут из адресной книги выбирать....
|
| | | | | |
Как-то все тоже сложно, должен же быть (по идее) какой-то вариант попроще... 19.02.03 17:42
Автор: Sandy <Alexander Stepanov> Статус: Elderman
|
Заводить 2 сервера не хочется, менять адреса на некие левые тоже (люди ДОЛЖНЫ получать почту с инета, но НЕ ДОЛЖНЫ посылать ее в инет).
Через конектор, как казалось сначала, самый правильный вариант, но он не работает :((
|
| | | | |
Видимо, я не достаточно полно проблему описал... 17.02.03 17:19
Автор: Woonder <Бученков Андрей> Статус: Member
|
> Я тут начал рассматривать такой вариант: создал SMTP
> коннектор, привязал его (local bridgehead) к моему
> виртуальному СМТП серверу, на вкладке Delivery Restrictions
> указал принимать по умолчанию сообщения от всех
> отправителей, в списке Reject messages from указал себя
> самого.
> По идее (как я это понимаю) т.к. коннектор у меня один,
> весь почтовый трафик проходит через него, а уже коннектор
> решает, разрешить почте пройти через него дальше или нет.
> Только вот ничего не получилось! :(
> Не смотря на то, что мой ящик перечислен в списке Reject,
> почта от меня все равно во внешний мир уходит, а хотелось
> бы чтобы она возвращалась ко мне в виде NDR типа Access
> denied или Unable to relay
> Может где еще покрутить?
Я тоже так же пробовал сделать, у меня тоже не получилось и не могу понять почему именно, если на ум что нибудь придёт, напиши.
Я тоже мозгами пошевелю, может какой другой способ придумаю :(
К стати у тебя пользователи проходят SMTP авторизацию?
|
| | | | | |
Видимо, я не достаточно полно проблему описал... 19.02.03 17:38
Автор: Sandy <Alexander Stepanov> Статус: Elderman
|
> Я тоже так же пробовал сделать, у меня тоже не получилось и
> не могу понять почему именно, если на ум что нибудь придёт,
> напиши.
Причем, после отправки письма я сразу смотрю состояние очередей, там написано: очередь через коннектор такой-то для домена такого-то, Ремотная доставка, т.е. все правильно настроено, почта уходит во внешний мир через коннектор, но почему он (коннектор) не хочет правила соблюдать, которые я написал - не понятно! :((
> Я тоже мозгами пошевелю, может какой другой способ придумаю
> :(
> К стати у тебя пользователи проходят SMTP авторизацию?
Да, у меня релеи прибиты совсем, только галочка стоит разрешить релеи тем хостам, которые успешно аутентифицировались. Без СМТП авторизации у меня почта на другие домены не уходит. Может здесь надо искать ключ к решению проблемы? Но у меня почтовый клиент Outlook XP СП1, по идее он через ИМАП работает и чтобы получить доступ к почтовому ящику проходит авторизацию.
|
| | | | | | |
Видимо, я не достаточно полно проблему описал... 19.02.03 18:03
Автор: Konstantin <Konstantin Leontiev> Статус: Member
|
> > Да, у меня релеи прибиты совсем, только галочка стоит
> разрешить релеи тем хостам, которые успешно
> аутентифицировались. Без СМТП авторизации у меня почта на
> другие домены не уходит. Может здесь надо искать ключ к
> решению проблемы? Но у меня почтовый клиент Outlook XP СП1,
> по идее он через ИМАП работает и чтобы получить доступ к
> почтовому ящику проходит авторизацию.
Outlook на Exchange 2000 ходит не по IMAP4 а по MAPI (это фактически расширенный RPC).
Раз уж это так критично.. Я попробую на своём стенде построить подобную конфигурацию и проверить работоспособность всех в том числе и ваших решений.
|
| | | | | | | |
Ну да, конечно, MAPI, сорьки! :) 20.02.03 15:30
Автор: Sandy <Alexander Stepanov> Статус: Elderman
|
|
|
| | | | | | | | |
Решение проблемы. 21.02.03 07:31
Автор: Woonder <Бученков Андрей> Статус: Member
|
Проблема решается прописыванием в реестре ключа, разрешающего проверку ограничений для коннекторов.
По крайней мере у меня всё заработало, указываю кому нельзя (в свойствах коннектора SMTP) пользователю возвращается ошибка, а если указываю что такому можно , а другим нельзя то тоже работает.
С клиентами Outlook проблемм нет, так как они и так проходят авторизацию, а вот клиенты, работающие по SMTP протоколу обязательно должны проходить авторизацию.
В общем смотрите сами :
http://support.microsoft.com/default.aspx?scid=kb%3ben-us%3b277872
Если не заработает, пишите, будем дальше разбираться
|
| | | | | | | | | |
Огромное спасибо!!! Вот теперь все заработало как надо!!! :))) 21.02.03 17:37
Автор: Sandy <Alexander Stepanov> Статус: Elderman
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
