Не знаю, как назвать этот вопрос ...
У нас есть сервер Exchange с 80 внутренними пользователями. Вся исходящая почта ретранслируется через смарт-хост (сервер SMTP ISP), поэтому на самом деле ничего не отправляется в мир напрямую с нашего сервера. Хотел проверить сервер. Локально я могу без проблем подключиться к порту 25 по telnet и получить готовый ответ службы ESMTP. Всякий раз, когда я делаю это с внешнего адреса (за пределами нашей локальной сети), я получаю сообщение об ошибке 10060.
Может это быть из-за проблем с записями SPF или обратным DNS? Должен ли мой сервер Exchange принимать SMTP-запросы, требующие проверки подлинности, прежде чем я смогу отправлять сообщения с внешних адресов? Если да, то как?
Кроме того, сервер Exchange находится за устройством NAT (asa). Я думаю, что NAT не настроен для маршрутизации запроса SMTP-порта 25 на сервер Exchange.
Если ваш сервер Exchange успешно принимает электронные письма из внешнего мира, значит, порт 25 уже был перенаправлен на вашем устройстве NAT на внутренний сервер Exchange. Вы должны иметь возможность подключаться к своему серверу через порт 25 из внешнего мира по telnet - в противном случае вы не сможете получать электронные письма из-за пределов сети.
Похоже, вы хотите знать, как использовать свой сервер в качестве ретранслятора извне. Вам необходимо настроить это в настройках виртуального SMTP-сервера в Exchange (в зависимости от версии Exchange).
Вы должны быть осторожны, чтобы не создавать открытый ретранслятор - иначе вы будете атакованы спамерами, занесены в черный список, и ваш интернет-провайдер, вероятно, отключит этот порт.
В Соединенных Штатах и во многих других частях мира для домашних широкополосных подключений довольно часто используются фильтры трафика, предотвращающие доступ к порту 25 на любом другом сервере, кроме сервера поставщика широкополосной связи. Чтобы было понятно, это очень хорошая вещь. Это не позволяет людям напрямую подключаться и пытаться доставлять спам прямо на ваши почтовые серверы. Скорее всего, это фильтрация пакетов, с которой вы сталкиваетесь в кофейне. Я предлагаю вам попробовать подключиться к другим почтовым серверам через порт 25. Если вы не можете связаться с ними, то, скорее всего, это заблокировал интернет-провайдер.
Можно попробовать хосты sncwsrelay1.nai.com и sncwsrelay2.nai.com в McAfee или mail.messaging.microsoft.com в Microsoft.
Кроме того, вы указали в продолжении другого ответа, что ваш Cisco ASA был настроен для приема электронной почты от серверов mxlogic. Кроме того, вы указываете, что электронная почта не отправляется напрямую с сервера, а пересылается через интеллектуальный хост. Что это значит в отношении SPF и обратного DNS?
Что ж, любые записи SPF должны авторизовать все машины, которые независимо от того, какой ваш электронный адрес вы используете, имеет в качестве внешних серверов smtp. Помните, что SPF предназначен для того, чтобы сообщить миру, какие серверы в Интернете должны пытаться отправлять почту с вашего домена. Поскольку вы на самом деле не пытаетесь выполнить окончательную доставку электронной почты самостоятельно - вы отправляете все свои исходящие электронные письма на свой смарт-хост, в ваших записях SPF должны быть перечислены все внешние серверы провайдера смарт-хоста. Если вы обратитесь к ним, они смогут предоставить вам список хостов для включения в вашу запись SPF.
Что касается обратного DNS, поскольку вы никогда напрямую не получаете и не отправляете электронную почту, это не должно быть проблемой.
Кроме того, предположительно, у вас есть записи MX в DNS, которые перечисляют почтовые серверы mxlogic в качестве обменников электронной почты для вашего домена. Замечательно.
Кроме того, большинство современных программ электронной почты требует значительных усилий для настройки для работы в качестве открытого ретранслятора. Я бы попросил кого-нибудь из mxlogic или вашего коммерческого интернет-провайдера проверить настройку открытого ретранслятора вашего сервера обмена. Однако, честно говоря, со смарт-хостом и при условии, что смарт-хост имеет разумную фильтрацию адресов отправителя, я бы сказал, что вы, скорее всего, не открытый ретранслятор.
Ура.
Извините, это так долго, я жду завершения резервного копирования на магнитную ленту.
К какому IP-адресу вы на самом деле подключаетесь, когда пытаетесь сделать это из-за пределов своей сети? Если вы используете внутренний (частный) адрес сервера, это, конечно, не сработает, так как этот адрес недоступен извне.
Вы должны сделать простой DNS-запрос для MX-записи вашего почтового домена и посмотреть, какой общедоступный IP-адрес зарегистрирован в качестве вашего почтового сервера; тогда вы должны подключиться к порту 25 из который адрес и посмотрите, кто отвечает. Если NAT вашего брандмауэра настроен правильно, вы получите ответ либо от самого Exchange, либо от какого-либо другого устройства, которое может предварительно обрабатывать вашу почту, прежде чем она будет разрешена на ваш почтовый сервер, например, от антиспама / антивирусного устройства.