Аутентификация на смарт-хосте Exchange 2010?
У меня есть почтовый сервер postfix, который должен ретранслировать всю исходящую почту на сервер Exchange 2010 (ящик Exchange - это мой smarthost). У меня есть доступ администратора к системе Exchange 2010, но я не очень хорошо с ней знаком. Как мне настроить аутентификацию в системе Exchange 2010?
Думаю, я мог бы добавить обычного пользователя с почтовым ящиком в ящик Exchange, а затем настроить свой почтовый ящик для входа в порт 587 для ретрансляции почты. Этот вариант кажется неправильным - похоже, должен быть способ аутентификации сервера на сервер, а не только аутентификации клиента на сервер. Здесь? Если да, то как мне его настроить?
Редактировать:
- почтовый сервер postfix находится на удаленном сайте с динамическим IP-адресом, поэтому аутентификация по IP-адресу не работает
- Я хочу, чтобы трафик электронной почты между ними был зашифрован
- Я хотел бы взаимную аутентификацию (ящик Postfix знает, что он разговаривает с ящиком Exchange, а не с человеком посередине; Exchange знает, что он разговаривает с ящиком Postfix)
- настройка туннеля IPsec кажется слишком сложной для того, что должно быть тривиальной конфигурацией Exchange
- Exchange должен разрешить ящику Postfix отправлять сообщения в любой пункт назначения
- сообщения, отправленные ящиком Postfix, не должны отклоняться как спам, даже если они выглядят как спам
Обычно у меня Linux и внутренние серверы не проходят аутентификацию на сервере Exchange, если они находятся в одной сети. То же самое для других устройств, которым может потребоваться ретрансляция (копировальные устройства, системы мониторинга и т. Д.). Хотя мне все еще может понадобиться функция smarthost.
Подход, который я использую для включения немой ретрансляции сервер / устройство-сервер, как то, что вы ищете, - это включить интеллектуальный хост в системе Postfix или Sendmail. Кажется, что вы знаете эту часть. Для Sendmail нужно раскомментировать строку "dnl", относящуюся к записи SMARTHOST в /etc/mail/sendmail.mc, и определение адреса. Для Postfix это определение relayhost в /etc/postfix/main.cf. (перезапустите оба демона после изменения)
На стороне Exchange 2010 вам необходимо создать новый коннектор получения:
Exchange System Manager -> Server Configuration -> Hub Transport -> Receive Connector
Добавьте новый, щелкнув правой кнопкой мыши фрейм и выбрав «Новый коннектор получения».
Назовите это как-нибудь описательно, например FQDN сервера Linux, с которого вы хотите отправить (например, postfix.abc.com).
Укажите адрес / маску сервера ретрансляции; 172.16.2.30/32 в этом примере.
Следуйте инструкциям и добавьте соединитель приема.
Открой Exchange Management Shell окно командной строки.
Вы захотите предоставить своему новому коннектору приема анонимные права.
Выполнить:
Get-ReceiveConnector RelayConnector | Add-ADPermission -User "NT AUTHORITY \ ANONYMOUS LOGON" -ExtendedRights "ms-Exch-SMTP-Accept-Any-Recipient"
... где "RelayConnector" postfix.abc.com в моем примере.
Немедленно выберите вновь созданную запись в графическом интерфейсе управления и выберите «Свойства».
На вкладке «Аутентификация» снимите выделение со всех записей. На вкладке «Группы разрешений» убедитесь, что установлен флажок «Анонимные пользователи». Вот и все!
Я считаю, что решение состоит из двух компонентов:
- Настройте postfix для ретрансляции: здесь есть руководство, в котором подробно описывается конфигурация sendmail. http://www.walkernews.net/2010/05/18/how-to-configure-sendmail-to-relay-email-to-exchange-server/
- Конфигурация сервера Exchange для ретрансляции писем, отправленных с помощью постфикса: вам необходимо настроить сервер Exchange, чтобы разрешить ретрансляцию писем из Unix. Руководство здесь: http://blogs.technet.com/b/exchange/archive/2006/12/28/3397620.aspx
Вы можете управлять ретрансляцией электронной почты в обмен по IP, по разрешению, с помощью IPSec или mTLS. Для внутреннего блока постфиксов unix проще всего ограничить по IP. Вам необходимо создать коннектор отправки и ограничить область IP, как подробно описано в руководстве выше.
Возможно, вам придется поискать специальные руководства по пересылке на smarthost для postfix.
Настройка аутентификации сервер-сервер между постфиксом и обменом: Exchange 2010 использует mTLS для ретрансляции почты с внешней защитой. Вот руководство о том, как настроить это со стороны Exchange. http://technet.microsoft.com/en-us/library/bb123543.aspx
Postfix также поддерживает TLS-аутентификацию, но я не уверен, как настроить постфиксную сторону решения. http://www.postfix.org/TLS_README.html