Наши пользователи получали спам-сообщения из своих учетных записей (тот же домен / логин, например, от madboy@company.com до madboy@company.com). Это стандартный трюк, и я решил заблокировать его, чтобы анонимные пользователи не могли отправлять электронные письма как @ company.com.
Это принесло нам некоторые проблемы, например, наши принтеры не могли отправлять электронные письма и т. Д., Но я решил это с помощью вторичного приемника smtp на другом порту с ограничениями IP.
Однако, похоже, это также влияет на пересылку некоторыми почтовыми серверами:
Здравствуй. Это программа qmail-send из дома home.pl. Боюсь, мне не удалось доставить ваше сообщение по следующим адресам. Это постоянная ошибка; Я сдался. Извините, это не сработало.
: 89.14.1.26 не удалось после отправки сообщения. Удаленный хост сказал: 550 5.7.1 У клиента нет разрешений на отправку в качестве этого отправителя
--- Под этой строкой находится копия сообщения.
Return-Path: Return-Path: Получено: from mail.company.com [89.14.1.26] (HELO mail.company.com) от company.ho.pl [79.93.31.43] с SMTP (IdeaSmtpServer v0.70) id 488fcb01c2f069d9 ; Вт, 3 января 2012 г. 09:46:55 +0100 Получено: от EXCHANGE1.COMPANY ([fe80 :: d425: 135f: b655: 1223]) от EXCHANGE2.COMPANY ([fe80 :: 193f: 51ac: 9316: cb27% 14 ]) с идентификатором карты 14.01.0355.002; Вт, 3 января 2012 г., 09:46:55 +0100 Откуда: =? Iso-8859-2? Q? MadBoy? =
Таким образом, в основном сервер пересылает его, не затрагивая адрес электронной почты, с которого он был отправлен, и наши серверы рассматривают его как спам.
Я использовал эту команду, чтобы заблокировать вещи:
Get-ReceiveConnector "DEFAULT Exchange2" | Get-ADPermission -user "NT AUTHORITY\Anonymous Logon" | where {$_.ExtendedRights -like "ms-exch-smtp-accept-authoritative-domain-sender"} | Remove-ADPermission
Могу ли я продолжать получать такие вещи, как пересылки, но иметь возможность их блокировать (кроме специального решения для защиты от спама - это будет добавлено позже).
Также как мне "вернуть" обратно удаленные разрешения?
ИЗМЕНИТЬ, чтобы уточнить:
У меня есть домен domain.com, настроенный как Authorative. Несколько наших пользователей находятся в проекте на differentcompany.com которого нет ни на наших серверах, ни где-либо поблизости. Теперь, когда они отправляют электронное письмо со своих учетных записей, скажем, myuser@domain.com на specialalias@differentcompany.com этот специальный псевдоним настроен таким образом, что любое полученное письмо пересылается нескольким людям, включая псевдоним группы в нашем домене. group@domain.com и этот псевдоним группы помещает электронную почту в почтовые ящики пользователей.
После того, как письмо будет отправлено specialalias@differentcompany.com и он достигает нашего сервера, это отклоняется, потому что пересылка, выполняемая «внешним» сервером, не влияет на информацию о пользователе, поэтому для сервера это похоже на myuser@domain.com действительно был отправителем, и он рассматривает его как спам и отрицает его. Сервер в differentcompany.com просто добавляет себя в заголовок, который он прошел через него, и никоим образом не изменяет отправителя (похоже, так работает пересылка).
Хотя я, вероятно, мог бы разрешить этому конкретному серверу ретрансляцию, но это, похоже, повлияет на большее количество серверов / пользователей, поскольку любой может настроить пересылку своей электронной почты обратно в наш домен ...
О да, есть.
В новом коннекторе получения, где вы применяете ограничения IP, добавьте серверы, которые должны иметь возможность пересылки в качестве удаленных хостов, и дайте "NT AUTHORITY \ ANONYMOUS LOGON" разрешение ms-Exch-SMTP-Accept-Any-Sender, чтобы разрешить серверу ретрансляции ретранслировать с любым адресом отправителя.
Get-ReceiveConnector "The name of the IP restricted one" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "ms-Exch-SMTP-Accept-Any-Sender"
Если сервер ретрансляции также должен иметь возможность отправлять почту за пределы вашей организации (я предполагаю, что вы имеете в виду пересылку), вам также может потребоваться предоставить ms-Exch-SMTP-Accept-Any-Recipient разрешение
Чтобы узнать о разрешениях, см. @MadBoy.
Если вы знаете IP-адрес сервера пересылки и ваш Exchange-сервер выходит в Интернет (NAT или DMZ), вы можете добавить IP-адрес к коннектору, который принимает анонимные электронные письма.
Кстати, менять порт не нужно. Exchange всегда выбирает соединитель с наиболее точным соответствием.
Подключение происходит из 10.3.4.5, выбирается разъем 2. Подключение происходит из 10.3.4.6, выбирается разъем 1.
Что касается вашего аспекта пользователей, можно настроить более внешнюю пересылку. Если вы считаете петли почты и все такое, это совсем не весело. И если вы позволите пользователю настроить это, у вас когда-нибудь будут проблемы. Если вы можете сказать «нет», я бы сказал «нет».
Чтобы удалить разрешение:
remove-ADPermission -Identity <receive connector> -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Чтобы восстановить разрешение, которое решает проблему
add-ADPermission -Identity <receive connector> -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Кажется, что нет никакого способа обойти это (оставить это разрешение удаленным и иметь пересылку).