Сервер Hub Transport Exchange с выходом в Интернет с ограниченными доступом в Интернет и копировальным аппаратом Canon
Это довольно запутанная проблема, но я надеюсь, что кто-то сталкивался с подобной ситуацией. Вот факты о том, что происходит:
- У нас есть один сервер Exchange 2010 с выходом в Интернет, следовательно, нет пограничного сервера.
- У нас есть несколько пользователей с почтовыми ящиками в группе под названием NoInternetMail. Эта группа предназначена для того, чтобы заблокировать этих пользователей от отправки и получения интернет-почты. Им по-прежнему разрешено получать почту от других пользователей внутри компании.
- Мы достигаем этого блока с помощью правил транспорта. Входящее правило выглядит так:
- Правило было проверено и признано работающим.
- Теперь войдите в копировальный аппарат Canon, который есть у нас на производстве, которым пользуются многие из этих сотрудников, это ImageRunner 2270. Я создал коннектор приема специально для этого копировального аппарата, чтобы он мог отправлять сканированные изображения через SMTP на наш сервер Exchange. Коннектор приема ограничен копировальным аппаратом и настроен для анонимного доступа. Я также добавил разрешения к коннектору, позволяющие отправлять любому получателю как любому отправителю. Кроме того, этот копировальный аппарат предназначен только для отправки сканированных изображений сотрудникам, а не в Интернет.
- Коннектор приема работает, однако любые электронные письма от этого копировального аппарата Canon, отправляемые пользователю в группе NoInternetMail, блокируются правилом транспорта, описанным выше.
- Копировальный аппарат Canon, похоже, использует NTLM-аутентификацию при обмене данными с SMTP. Я создал пользователя с именем ProductionCopier в нашей AD и настроил копировальный аппарат Canon на использование этого имени входа при аутентификации на приемном соединителе.
- Основная проблема заключается в том, что я пробовал различные комбинации аутентифицированных и анонимных подключений, но ни один из них не позволяет Canon отправлять почту пользователям в группе NoInternetMail. Я могу без проблем отправлять электронную почту анонимно или с аутентификацией любому пользователю за пределами группы NoInternetMail.
- По данным Microsoft (https://technet.microsoft.com/en-us/library/dd638183(v=exchg.141).aspx) критерии того, что считается «За пределами Организации», здесь не применяются. В частности, потому что доменное имя копировального аппарата Canon эквивалентно авторитетному доменному имени, указанному в Exchange.
Я мог бы создать почтовый ящик для пользователя ProductionCopier, но не хочу. Я не уверен, в чем проблема, кроме, возможно, несовместимых настроек и ограниченных знаний. Я ни в коем случае не являюсь опытным пользователем Exchange, но я потратил несколько дней на изучение этой проблемы и все еще не понимаю.
Прочие примечания:
Вот скриншот электронной почты, заблокированной правилом транспорта из Tracking Log Explorer:
Журналы SMTP для коннектора приема подтверждают, что копировальный аппарат Canon использует аутентификацию NTLM и выполняет следующие действия:
После тщательного изучения различных доступных файлов журналов (в первую очередь журналов отслеживания) я считаю, что пришел к выводу. Правило транспорта считает копировальный аппарат Canon «вне организации» из-за домена, который он использует. Microsoft заявляет об этом в своей документации, но неясно, как именно это определяет. Значение FROM заголовков сообщений пришло из моего домена (productioncopier@mydomain.com), а Message-ID - нет. Идентификатор сообщения имел что-то вроде Canon2270@Canon2270.mydomain.com. Несмотря на то, что он отображался как поддомен для моего домена, правило все равно считало это электронное письмо «За пределами Организации». Как только я создал это исключение в правиле транспорта, оно начало доставлять сообщения от копировального аппарата Canon пользователям в группе NoInternetMail.
Из Википедии о идентификаторе сообщения: «Идентификаторы сообщений, если они есть, генерируются клиентской программой, отправляющей электронное письмо (почтовый агент пользователя или MUA), или первым почтовым сервером»
Итак, я предполагаю, что Canon Copier решает, как отформатировать этот идентификатор, когда он создает электронное письмо и отправляет его. Я просмотрел все настройки, доступные на копировальном аппарате, и не могу найти способ их изменить. Увы, не лучшее решение, но работает.
Я был бы очень удивлен, если бы копировальный аппарат использовал аутентификацию NTLM. Обычная аутентификация более вероятна. Поэтому я бы начал с изменения настроек аутентификации, чтобы использовать базовую. Также необходимо отключить анонимный доступ к соединителю и перезапустить транспорт. Если анонимный включен и получатель является внутренним, проверка подлинности никогда не будет проводиться, поэтому может случиться так, что ваша проверка подлинности вообще не используется из-за совпадения анонимности.
Саймон.