У більшості організацій, що використовують Exchange Server 2010, виникає необхідність дозволу пересилання пошти (relay) певних класів хостів і пристроїв, дозволяючи їм самостійно пересилати пошту через сервера Exchange. Зазвичай це потрібно різним багатофункціональних пристроїв (принтери, мережеві сканери, МФУ) або ж спеціалізованому інфраструктурного софту (софт резервного копіювання, моніторингу), які повинні відсилати звіти і Алерт у вигляді електронних листів.
Все SMTP комунікації в архітектурі Exchange 2010 обробляються серверами з роллю Hub Transport. Служба доставки на цих серверах очікує SMTP підключень на свій коннектор (Receive Connector). Однак, даний коннектор за замовчуванням налаштований на високий рівень безпеки, які забороняє анонімні підключення (а саме так підключаються для відправки пошти практично все не Exchange системи).
Перевірити дане твердження, можна, спробувавши підключитися до сервера за допомогою telnet на 25 порт і спробувати ініціювати неавторизоване SMTP з'єднання.
220 EX3.winitpro.ru Microsoft ESMTP MAIL Service ready at Wed, 18 Au% MINIFYHTML7d4de5b7146fc5a245ce5c30892a7dc35% g 2011 19:42:27 +1000 helo 250 EX3.winitpro.ru Hello [192.168.0.9] mail from: [email protected] 530 5.7.1 Client was not authenticated
На деяких серверах Hub Transport, які підключені до інтернету або інших мереж, анонімні підключення можуть бути дозволені. Але і в цьому випадку relay (пересилання) пошти буде заборонена, однак помилка буде відрізнятися від зазначеної в першому випадку.
220 EX3.winitpro.ru Microsoft ESMTP MAIL Service ready at Wed, 18 Oct 2011 20:01:44 +1000 helo 250 EX3.winitpro.ru Hello [192.168.0.9] mail from: [email protected] 250 2.1.0 Sender OK rcpt to: [email protected] 550 5.7.1 Unable to relay
Ви побачите, що сервер видасть помилку про неможливість пересилання (Unable to relay) при спробі відправити лист з ящика @ mail.ru на ящик на @ gmail.com, тому що жоден з цих доменів не є вірним доменом в організації Exchange. Однак, анонімному користувачу на даному коннекторе дозволено відправляти листи з зовнішнього домену @ mail.ru на існуючий в домені Exchange внутрішній адреса.
220 EX3.winitpro.ru Microsoft ESMTP MAIL Service ready at Wed, 18 Oct 2011 20:05:54 +1000 helo 250 EX3.winitpro.ru Hello [192.168.0.9] mail from: [email protected] 250 2.1.0 Sender OK rcpt to: [email protected] 250 2.1.5 Recipient OK data 354 Start mail input; end with. test. 250 2.6.0 [In ternalId = 2] Queued mail for delivery
Але, якщо спробувати відправити лист зовнішньому одержувачу, сервер Exchange не дозволить зробити це.
220 EX3.winitpro.ru Microsoft ESMTP MAIL Service ready at Wed, 18 Oct 2011 20:11:27 +1000 helo 250 EX3.winitpro.ru Hello [192.168.0.9] mail from: [email protected] 250 2.1.0 Sender OK rcpt to: [email protected] 550 5.7.1 Unable to relay
Щоб дозволили не-Exchange пристроїв всередині мережі пересилати (relay) пошту, необхідно створити новий коннектор на сервері Hub Transport. відкриємо консоль Exchange Management і перейдемо в розділ Server Management, потім в Hub Transport. Виберіть сервер з роллю Hub Transport, на якому необхідно створити новий коннектор отримання і вибрати меню New Receive Connector.
Зазначимо ім'я коннектора, наприклад, "Relay" і тиснемо Next.
Налаштування локальної мережі можна залишити за замовчуванням або ж задати виділений IP адреса для даного коннектора. Використання окремого адреси доцільно, коли потрібно створити коннектор з нестандартними настройками аутентифікації, але коли вигляд стартового коннектора міняти не можна.
Виділіть стандартний діапазон IP адресою у вікні настройки віддалених мереж (remote network settings) і видаліть його.
Потім натисніть кнопку Add і введіть IP адресу пристрою (сервера) якому ви хочете дозволити пересилання пошти через сервер Exchange. Натисніть OK і Next.
Щоб запевнити роботу майстра натисніть кнопку New.
Отже, ми створили новий коннектор (Receive Connector), однак на даний момент він не може виконувати пересилання пошти. В консолі управління Exchange Management клацніть правою кнопкою миші по щойно створеному коннектор і виберіть його властивості.
На вкладці Permission Groups встановіть прапорець на опції Exchange Servers.
На вкладці Authentication відзначте опцію Externally Secured.
Застосуємо зміни до даного коннектор, і переконався що тепер можна виконати relay.
220 EX3.winitpro.ru Microsoft ESMTP MAIL Service ready at Wed, 18 Oct 2011 20:31:00 +1000 helo 250 EX3.winitpro.ru Hello [192.168.0.9] mail from: [email protected] 250 2.1.0 Sender OK rcpt to: [email protected] 250 2.1.5 Recipient OK data 354 Start mail input; end with. test. 250 2.6.0 [InternalId = 3] Queued mail for delivery
Оскільки діапазон віддалених IP адрес, ми звузили до 1 адреси, це означає, що з інших серверів або пошта пересилатися не буде. Якщо спробувати підключитися до даного коннектор з іншого IP адреси і спробувати виконати relay, доступ буде заборонений.
220 EX3.winitpro.ru Microsoft ESMTP MAIL Service ready at Wed, 18 Oct 2011 20:46:06 +1000 helo 250 EX3.winitpro.ru Hello [192.168.0.2] mail from: [email protected] 250 2.1.0 Sender OK rcpt to: alerts @ microsoft.com 550 5.7.1 Unable to relay
Надалі список ip адрес, яким дозволено пересилання можна модифікувати, додаючи в нього ip адреси конкретних пристроїв, діапазони адрес або цілі підмережі.
