В большинстве организаций, использующих Exchange Server 2010, возникает необходимость разрешения пересылки почты (relay) определенным классам хостов и устройств, позволяя им самостоятельно пересылать почту через сервера Exchange. Обычно это нужно различным многофункциональным устройствам (принтеры, сетевые сканеры, МФУ) или же специализированному инфраструктурному софту (софт резервного копированию, мониторинга), которые должны отсылать отчеты и алерты в виде электронных писем.
Все SMTP коммуникации в архитектуре Exchange 2010 обрабатываются серверами с ролью Hub Transport. Служба доставки на этих серверах ожидает SMTP подключений на свой коннектор(Receive Connector). Однако, данный коннектор по умолчанию настроен на высокий уровень безопасности, которые запрещает анонимные подключения (а именно так подключаются для отправки почты практически все не Exchange системы).
Проверить данное утверждение, можно, попытавшись подключиться к серверу с помощью telnet на 25 порт и попробовать инициировать неавторизованное SMTP соединение.
220 EX3.winitpro.ru Microsoft ESMTP MAIL Service ready at Wed, 18 Au
g 2011 19:42:27 +1000
helo
250 EX3.winitpro.ru Hello [192.168.0.9]
mail from: [email protected]
530 5.7.1 Client was not authenticated
На некоторых серверах Hub Transport, которые подключены к интернету или другим сетям, анонимные подключения могут быть разрешены. Но и в этом случае relay (пересылка) почты будет запрещена, однако ошибка будет отличаться от указанной в первом случае.
220 EX3.winitpro.ru Microsoft ESMTP MAIL Service ready at Wed, 18 Oct 2011 20:01:44 +1000
helo
250 EX3.winitpro.ru Hello [192.168.0.9]
mail from: [email protected]
250 2.1.0 Sender OK
rcpt to: [email protected]
550 5.7.1 Unable to relay
Вы увидите, что сервер выдаст ошибку о невозможности пересылки (Unable to relay) при попытке отправить письмо с ящика @mail.ru на ящик на @gmail.com, т.к. ни один из этих доменов не является верным доменом в организации Exchange. Однако, анонимному пользователю на данном коннекторе разрешено отправлять письма с внешнего домена @mail.ru на существующий в домене Exchange внутренний адрес.
220 EX3.winitpro.ru Microsoft ESMTP MAIL Service ready at Wed, 18 Oct 2011 20:05:54 +1000
helo
250 EX3.winitpro.ru Hello [192.168.0.9]
mail from: [email protected]
250 2.1.0 Sender OK
rcpt to: [email protected]
250 2.1.5 Recipient OK
data
354 Start mail input; end with .
test
.
250 2.6.0 [In
ternalId=2] Queued mail for delivery
Но, если попытаться отправить письмо внешнему получателю, сервер Exchange не позволит сделать это.
220 EX3.winitpro.ru Microsoft ESMTP MAIL Service ready at Wed, 18 Oct 2011 20:11:27 +1000
helo
250 EX3.winitpro.ru Hello [192.168.0.9]
mail from: [email protected]
250 2.1.0 Sender OK
rcpt to: [email protected]
550 5.7.1 Unable to relay
Чтобы разрешить не-Exchange устройствам внутри сети пересылать (relay) почту, необходимо создать новый коннектор на сервере Hub Transport. Откроем консоль Exchange Management и перейдем в раздел Server Management, затем в Hub Transport. Выберите сервер с ролью Hub Transport, на котором необходимо создать новый коннектор получения и выбрать меню New Receive Connector.
Укажем имя коннектора, например, “Relay ” и жмем Next.
Настройки локальной сети можно оставить по-умолчанию или же задать выделенный IP адрес для данного коннектора. Использование отдельного адреса целесообразно, когда нужно создать коннектор с нестандартными настройками аутентификации, но когда настройки главного коннектора менять нельзя.
Выделите стандартный диапазон IP адресом в окне настройки удаленных сетей (remote network settings) и удалите его.
Затем нажмите кнопку Add и введите IP адрес устройства (сервера) которому вы хотите разрешить пересылку почты через сервер Exchange. Нажмите OK и Next.
Чтобы заверить работу мастера нажмите кнопку New.
Итак, мы создали новый коннектор (Receive Connector), однако на данный момент он не может выполнять пересылку почты. В консоли управления Exchange Management щелкните правой кнопкой мыши по только что созданному коннектору и выберите его свойства.
На вкладке Permission Groups установите флажок на опции Exchange Servers.
На вкладке Authentication отметьте опцию Externally Secured.
Применим изменения к данному коннектору, и удостоверимся что теперь можно выполнить relay.
220 EX3.winitpro.ru Microsoft ESMTP MAIL Service ready at Wed, 18 Oct 2011 20:31:00 +1000
helo
250 EX3.winitpro.ru Hello [192.168.0.9]
mail from: [email protected]
250 2.1.0 Sender OK
rcpt to: [email protected]
250 2.1.5 Recipient OK
data
354 Start mail input; end with .
test
.
250 2.6.0 <[email protected]> [InternalId=3] Queued mail for delivery
Т.к. диапазон удаленных IP адресов, мы сузили до 1 адреса, это означает, что с других серверов или устройств почта пересылаться не будет. Если попытаться подключиться к данному коннектору с другого IP адреса и попробовать выполнить relay, доступ будет запрещен.
220 EX3.winitpro.ru Microsoft ESMTP MAIL Service ready at Wed, 18 Oct 2011 20:46:06 +1000
helo
250 EX3.winitpro.ru Hello [192.168.0.2]
mail from: [email protected]
250 2.1.0 Sender OK
rcpt to: alerts@ microsoft.com
550 5.7.1 Unable to relay
В дальнейшем список ip адресов, которым разрешена пересылка можно модифицировать, добавляя в него ip адреса конкретных устройств, диапазоны адресов или целые подсети.
Спасибо! пригодилась статья!
До сих пор актуально! Exchange 2019
Огромное спасибо за блог!