Как-то все тоже сложно, должен же быть (по идее) какой-то вариант попроще...19.02.03 17:42 Число просмотров: 827 Автор: Sandy <Alexander Stepanov> Статус: Elderman
Заводить 2 сервера не хочется, менять адреса на некие левые тоже (люди ДОЛЖНЫ получать почту с инета, но НЕ ДОЛЖНЫ посылать ее в инет).
Через конектор, как казалось сначала, самый правильный вариант, но он не работает :((
Как и где разрулить Exchange 2000 Server...14.02.03 15:53 Автор: Sandy <Alexander Stepanov> Статус: Elderman Отредактировано 14.02.03 16:10 Количество правок: 1
В настройках SMTP протокола ищи кнопку Relay и там настраиваешь каким IP можно перенаправлять в и-нет почту или каким нельзя
Этот вариант не прокатывает по определению: юзеры получают IP-адрес динамически через DHCP :(17.02.03 09:57 Автор: Sandy <Alexander Stepanov> Статус: Elderman
Жмёшь кнопку Relay, далее ADD, только потом заполняешь поле не Single Computer, а поле Domain. Вводишь Fully Qualified Domain Name (FQDN), то есть например ComputerName.Domain.ru
Далее SMTP сервер делает ReverseLookup запрос к DNS серверу и сравнивает полученный IP с IP с которого пришло письмо.
И естественно разрешает или запрещает Relay.
А по поводу динамически выдаваемых IP, то на клиентах Win2K/xp регистрация (обновление) записей в DNS стоит флажок по умолчанию, а для клиентов *nix и win95/98/me можно настроить DHCP сервер, чтобы ОН регистрировал записи в DNS за клиентов, главное чтобы в DNS была зона обратного просмотра, что-то типа 0.168.192.in-addr.arpa
А самое главное не паникуй когда сделаешь изменения в SMTP, станешь проверять - а ничего не работает.
Exchange2000 хранит все настройки SMTP в AD и если ты вносишь изменения с места админа, а не с сервера, то будь готов подождать 5-10 минут, пока эти изменения дойдут до сервера.
Видимо, я не достаточно полно проблему описал...17.02.03 16:47 Автор: Sandy <Alexander Stepanov> Статус: Elderman
Релеи у меня ВСЕ оторваны вообще, просто стоит галочка, которая разрешает всем успешно аутентифицировавшимся хостам релеить куда угодно.
Я хочу сделать так, чтобы определенная часть пользователей могла отправлять почту только внутри моего экса, а другая часть и внутри экса и во внешний инет.
> Жмёшь кнопку Relay, далее ADD, только потом заполняешь поле > не Single Computer, а поле Domain. Вводишь Fully Qualified > Domain Name (FQDN), то есть например ComputerName.Domain.ru > Далее SMTP сервер делает ReverseLookup запрос к DNS серверу > и сравнивает полученный IP с IP с которого пришло письмо. > И естественно разрешает или запрещает Relay.
Мне кажется, что через релеи разруливать это дело - не самый правильный вариант, потому как добавлять в список релеев несколько сотен хостов долго и муторно.
> А по поводу динамически выдаваемых IP, то на клиентах > Win2K/xp регистрация (обновление) записей в DNS стоит > флажок по умолчанию, а для клиентов *nix и win95/98/me > можно настроить DHCP сервер, чтобы ОН регистрировал записи > в DNS за клиентов, главное чтобы в DNS была зона обратного > просмотра, что-то типа 0.168.192.in-addr.arpa
Да, так у меня и сделано, хосты динамически обновляют свои записи в ДНСе.
> А самое главное не паникуй когда сделаешь изменения в SMTP, > станешь проверять - а ничего не работает. > Exchange2000 хранит все настройки SMTP в AD и если ты > вносишь изменения с места админа, а не с сервера, то будь > готов подождать 5-10 минут, пока эти изменения дойдут до > сервера.
Я тут начал рассматривать такой вариант: создал SMTP коннектор, привязал его (local bridgehead) к моему виртуальному СМТП серверу, на вкладке Delivery Restrictions указал принимать по умолчанию сообщения от всех отправителей, в списке Reject messages from указал себя самого.
По идее (как я это понимаю) т.к. коннектор у меня один, весь почтовый трафик проходит через него, а уже коннектор решает, разрешить почте пройти через него дальше или нет. Только вот ничего не получилось! :(
Не смотря на то, что мой ящик перечислен в списке Reject, почта от меня все равно во внешний мир уходит, а хотелось бы чтобы она возвращалась ко мне в виде NDR типа Access denied или Unable to relay
Может где еще покрутить?
Можно так попробовать (три варианта).17.02.03 18:10 Автор: Konstantin <Konstantin Leontiev> Статус: Member
Есть несколько вариантов. Каждый со своими плюсами и минусами.
Первый вариант:
1) Создать два почтовых домена (один такой который будет ходить в интернете по записям MX будет находиться ответственный хост), а другой такой чтобы не ходил в интернете (напримет local.own).
2) Для всех пользователей которым надо отправлять в мир почту указать в качестве Primary SMTP адреса нормальный адрес, для остальных поставить дефолтным адресом local.own а другой удалить.
3) Запретить релеинг на смарт-хост в случае если не удаётся отправить непосредственно с использованием DNS.
Второй вариант:
1) Сделать шаги 1 и 2 из варианта 1.
2) Завести ДВА почтовых сервака один Exchange 2000 другой можно тоже Exchange, а проще обычный SMTP от из Windows 2000 сервера например... Настроить между ними коннектор и фильтровать на нём сообщения от *@local.own
3) Из мира принимать почту на Exchange 2000, а отправлять только через коннектор на вышестоящий SMTP server.
Третий вариант:
Ну и наконец самый радикальный вариант... У всех юзеров кто не должен слать почту в Интернет в свойствах удалить все SMTP адреса оставить только X.400.. Но тогда пользователям нужно предоставить адресуню книгу Outlook и чтобы они почту тоже через Outlook все отправляли - иначе замучаються набирать X.400 адреса, а так будут из адресной книги выбирать....
Как-то все тоже сложно, должен же быть (по идее) какой-то вариант попроще...19.02.03 17:42 Автор: Sandy <Alexander Stepanov> Статус: Elderman
Заводить 2 сервера не хочется, менять адреса на некие левые тоже (люди ДОЛЖНЫ получать почту с инета, но НЕ ДОЛЖНЫ посылать ее в инет).
Через конектор, как казалось сначала, самый правильный вариант, но он не работает :((
Видимо, я не достаточно полно проблему описал...17.02.03 17:19 Автор: Woonder <Бученков Андрей> Статус: Member
> Я тут начал рассматривать такой вариант: создал SMTP > коннектор, привязал его (local bridgehead) к моему > виртуальному СМТП серверу, на вкладке Delivery Restrictions > указал принимать по умолчанию сообщения от всех > отправителей, в списке Reject messages from указал себя > самого. > По идее (как я это понимаю) т.к. коннектор у меня один, > весь почтовый трафик проходит через него, а уже коннектор > решает, разрешить почте пройти через него дальше или нет. > Только вот ничего не получилось! :( > Не смотря на то, что мой ящик перечислен в списке Reject, > почта от меня все равно во внешний мир уходит, а хотелось > бы чтобы она возвращалась ко мне в виде NDR типа Access > denied или Unable to relay > Может где еще покрутить?
Я тоже так же пробовал сделать, у меня тоже не получилось и не могу понять почему именно, если на ум что нибудь придёт, напиши.
Я тоже мозгами пошевелю, может какой другой способ придумаю :(
К стати у тебя пользователи проходят SMTP авторизацию?
Видимо, я не достаточно полно проблему описал...19.02.03 17:38 Автор: Sandy <Alexander Stepanov> Статус: Elderman
> Я тоже так же пробовал сделать, у меня тоже не получилось и > не могу понять почему именно, если на ум что нибудь придёт, > напиши.
Причем, после отправки письма я сразу смотрю состояние очередей, там написано: очередь через коннектор такой-то для домена такого-то, Ремотная доставка, т.е. все правильно настроено, почта уходит во внешний мир через коннектор, но почему он (коннектор) не хочет правила соблюдать, которые я написал - не понятно! :((
> Я тоже мозгами пошевелю, может какой другой способ придумаю > :( > К стати у тебя пользователи проходят SMTP авторизацию?
Да, у меня релеи прибиты совсем, только галочка стоит разрешить релеи тем хостам, которые успешно аутентифицировались. Без СМТП авторизации у меня почта на другие домены не уходит. Может здесь надо искать ключ к решению проблемы? Но у меня почтовый клиент Outlook XP СП1, по идее он через ИМАП работает и чтобы получить доступ к почтовому ящику проходит авторизацию.
Видимо, я не достаточно полно проблему описал...19.02.03 18:03 Автор: Konstantin <Konstantin Leontiev> Статус: Member
> > Да, у меня релеи прибиты совсем, только галочка стоит > разрешить релеи тем хостам, которые успешно > аутентифицировались. Без СМТП авторизации у меня почта на > другие домены не уходит. Может здесь надо искать ключ к > решению проблемы? Но у меня почтовый клиент Outlook XP СП1, > по идее он через ИМАП работает и чтобы получить доступ к > почтовому ящику проходит авторизацию.
Outlook на Exchange 2000 ходит не по IMAP4 а по MAPI (это фактически расширенный RPC).
Раз уж это так критично.. Я попробую на своём стенде построить подобную конфигурацию и проверить работоспособность всех в том числе и ваших решений.
Проблема решается прописыванием в реестре ключа, разрешающего проверку ограничений для коннекторов.
По крайней мере у меня всё заработало, указываю кому нельзя (в свойствах коннектора SMTP) пользователю возвращается ошибка, а если указываю что такому можно , а другим нельзя то тоже работает.
С клиентами Outlook проблемм нет, так как они и так проходят авторизацию, а вот клиенты, работающие по SMTP протоколу обязательно должны проходить авторизацию.
В общем смотрите сами :
http://support.microsoft.com/default.aspx?scid=kb%3ben-us%3b277872
Если не заработает, пишите, будем дальше разбираться
Огромное спасибо!!! Вот теперь все заработало как надо!!! :)))21.02.03 17:37 Автор: Sandy <Alexander Stepanov> Статус: Elderman
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
