Включение анонимной ретрансляции на серверах Exchange

  • Статья

Открытая ретрансляция не подходит для серверов обмена сообщениями в Интернете. Открытая ретрансляция позволяет прозрачно перенаправлять почту из любого источника через сервер открытой ретрансляции. Такое поведение маскирует источник сообщений, создавая впечатление, что почта отправлена с сервера открытой ретрансляции. Серверы открытой ретрансляции пользуются большой популярностью у рассылающих нежелательную почту, поэтому никогда не настраивайте свои серверы обмена сообщениями на открытую ретрансляцию.

С другой стороны, анонимная ретрансляция — обычное требование для многих компаний с внутренними веб-серверами, серверами баз данных, приложениями мониторинга и другими сетевыми устройствами, которые создают сообщения электронной почты, но не могут их отправлять.

В Exchange Server можно создать выделенный соединитель получения в транспортной службе переднего плана на сервере почтовых ящиков, который разрешает анонимный ретранслятор из определенного списка узлов внутренней сети. Ниже приведены основные моменты, которые следует учесть при настройке соединителя получения для анонимной ретрансляции.

  • Необходимо создать выделенный соединитель получения, чтобы указать сетевые узлы, которым разрешено анонимно ретранслировать сообщения, чтобы вы могли исключить из использования соединителя кого-либо или что-либо еще. Не пытайтесь добавить возможность анонимного ретранслятора в соединители получения по умолчанию, созданные Exchange. Ограничение доступа к соединителю получения имеет решающее значение, так как вы не хотите настраивать сервер в качестве открытого ретранслятора.

  • Выделенный соединитель получения нужно создавать во внешней службе транспорта, а не в службе транспорта. В Exchange Server служба транспорта переднего плана и транспортная служба всегда находятся вместе на серверах почтовых ящиков. Служба внешнего транспорта имеет соединитель получения по умолчанию с именем Default Frontend <ServerName> , настроенный для прослушивания входящих SMTP-подключений из любого источника через TCP-порт 25. Вы можете создать еще один соединитель получения во внешней службе транспорта, который также прослушивает TCP-порт 25 в ожидании входящих SMTP-подключений, но необходимо указать IP-адреса, которым разрешено использовать этот соединитель. Выделенный соединитель получения всегда будет использоваться для входящих подключений из этих конкретных узлов сети (соединитель получения, в конфигурации которого указано наиболее точное соответствие IP-адресу подключающегося сервера, имеет приоритет).

    В отличие от этого, в транспортной службе есть соединитель получения по умолчанию с именем Default <ServerName> , который также настроен для входящих SMTP-подключений из любого источника, но этот соединитель прослушивает TCP-порт 2525, чтобы он не конфликтовал с соединителем Receive в транспортной службе переднего плана. Кроме того, в вашей организации этот соединитель получения должны использовать только другие службы транспорта и серверы Exchange, так как методы проверки подлинности и шифрования настроены соответствующим образом.

    Дополнительные сведения см. в разделах Mail flow and the transport pipeline и Соединители получения по умолчанию, созданные во время установки.

  • После того как вы создали выделенный соединитель получения, необходимо изменить его разрешения, чтобы разрешить анонимную ретрансляцию определенным узлам сети. Для анонимной ретрансляции сообщений узлам сети необходимы как минимум следующие разрешения на уровне соединителя получения:

    • ms-Exch-Accept-Headers-Routing

    • ms-Exch-SMTP-Accept-Any-Recipient

    • ms-Exch-SMTP-Accept-Any-Sender

    • ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

    • ms-Exch-SMTP-Submit

      Дополнительные сведения о разрешениях на уровне соединителей получения см. в разделах Группы разрешений соединителя получения и Разрешения соединителя получения.

      Настроить разрешения на уровне соединителя получения, необходимые для анонимной ретрансляции, можно двумя способами. Эти способы описаны в приведенной ниже таблице.

Метод Предоставляемые разрешения Достоинства Недостатки
Добавьте группу разрешений Анонимные пользователи (Anonymous) в соединитель получения и добавьте Ms-Exch-SMTP-Accept-Any-Recipient разрешение субъекту NT AUTHORITY\ANONYMOUS LOGON безопасности на соединителе получения. Подключения используют NT AUTHORITY\ANONYMOUS LOGON субъект безопасности со следующими разрешениями:
  • ms-Exch-Accept-Headers-Routing
  • ms-Exch-SMTP-Accept-Any-Recipient
  • ms-Exch-SMTP-Accept-Any-Sender
  • ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
  • ms-Exch-SMTP-Submit
 Предоставляет минимальный объем разрешений, необходимый для анонимной ретрансляции. Сложнее настроить (необходимо использовать Командная консоль Exchange).

Сетевые узлы считаются анонимными отправителями. Сообщения не обходят проверки антиспама или ограничения размера сообщений, и адрес электронной почты отправителя не может быть разрешен в соответствующее отображаемое имя (если оно есть) в глобальном списке адресов.
Добавьте группу разрешений серверов Exchange (ExchangeServers) и механизм проверки подлинности для внешней защиты (ExternalAuthoritative) в соединитель получения. Подключения используют MS Exchange\Externally Secured Servers субъект безопасности со следующими разрешениями:
  • ms-Exch-Accept-Headers-Routing
  • ms-Exch-Bypass-Anti-Spam
  • ms-Exch-Bypass-Message-Size-Limit
  • ms-Exch-SMTP-Accept-Any-Recipient
  • ms-Exch-SMTP-Accept-Any-Sender
  • ms-Exch-SMTP-Accept-Authentication-Flag
  • ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
  • ms-Exch-SMTP-Accept-Exch50
  • ms-Exch-SMTP-Submit
 Проще настроить (все можно сделать в Центр администрирования Exchange).

Узлы сети считаются отправителями, прошедшими проверку подлинности. Сообщения обходят проверки антиспамов и ограничения размера сообщений, и адрес электронной почты отправителя может быть разрешен в соответствующее отображаемое имя в глобальном списке адресов.

 Разрешает отправлять сообщения от имени пользователей организации Exchange. Узлы сети считаются полностью надежными, независимо от объема, размера и содержания отправляемых сообщений.

Вам необходимо выбрать способ, наиболее подходящий для вашей организации. Мы покажем, как настроить разрешения обоими способами. Помните: использовать можно только один способ, а не два одновременно.

Что нужно знать перед началом работы?

  • Предполагаемое время выполнения задачи: 10 минут.

  • Для некоторых из этих процедур требуется командная консоль Exchange. Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. в статье Open the Exchange Management Shell.

  • Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Получение соединителей" в разделе Разрешения потока обработки почты .

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу: Exchange Server, Exchange Online или Exchange Online Protection.

Шаг 1. Создайте выделенный соединитель получения для анонимной ретрансляции

Вы можете создать соединитель получения в EAC или в Командная консоль Exchange.

Создание выделенного соединителя получения для анонимной ретрансляции с помощью Центра администрирования Exchange

  1. В EAC перейдите в разделСоединители полученияпотока> обработки почты и нажмите кнопку Добавитьзначок. Запустится мастер создания соединителя получения.

  2. На первой странице укажите следующие сведения:

    • Имя. Введите описательное имя соединителя получения, например Анонимный ретранслятор.

    • Роль. Выберите Внешний транспорт.

    • Тип: выберите Пользовательский.

      По завершении нажмите кнопку Далее.

  3. На следующей странице, в разделе Привязки сетевого адаптера, выполните одно из указанных ниже действий.

    • Если у сервера Exchange один сетевой адаптер, а внешний и внутренний трафик не разделены с помощью разных подсетей, примите существующую запись (Все доступные IPv4) на порте 25.

    • Если у сервера Exchange есть внутренний и внешний сетевой адаптер, а внутренний и внешний сетевой трафик разделены с помощью разных подсетей, безопасность можно улучшить, ограничив использование соединителя запросами, исходящими от внутреннего сетевого адаптера. Выполните следующие действия:

      1. Выберите существующую запись (Все доступные IPv4), щелкните удалитьзначок удалить, а затем щелкните Добавитьзначок добавить.

      2. В появившемся диалоговом окне Привязки сетевого адаптера выберите параметр Указать адрес IPv4 или IPv6, введите доступный IP-адрес, настроенный на внутреннем сетевом адаптере, и нажмите кнопку Сохранить.

    По завершении нажмите кнопку Далее.

  4. На следующей странице в разделе Параметры удаленной сети выполните следующие действия.

    1. Выберите существующую запись 0.0.0.0-255.255.255.255, а затем нажмите кнопку Удалитьзначок удаления и нажмите кнопку Добавитьзначок.

    2. В появившемся диалоговом окне Параметры удаленного адреса введите IP-адрес или диапазон IP-адресов, указанных для узлов сети, которым разрешено использовать этот соединитель, и нажмите кнопку Сохранить. Вы можете повторить этот шаг, чтобы добавить несколько IP-адресов или диапазонов IP-адресов. Не используйте общие конструкции: максимально точно укажите узлы сети, которым разрешено использовать этот соединитель.

    Закончив, нажмите кнопку Готово.

Создание выделенного соединителя получения для анонимной ретрансляции с помощью Командная консоль Exchange

Чтобы создать такой же соединитель получения в Командная консоль Exchange, используйте следующий синтаксис:

New-ReceiveConnector -Name <ConnectorName> -TransportRole FrontendTransport -Custom -Bindings <LocalIPAddresses>:25 -RemoteIpRanges <RemoteIPAddresses>

В этом примере создается соединитель получения со следующими параметрами:

  • Имя: Анонимный ретранслятор

  • Роль транспорта: FrontEndTransport

  • Тип использования: Пользовательский

  • Привязки: 0.0.0.0:25 (прослушивание входящих сообщений на всех IP-адресах, настроенных на всех сетевых адаптерах на сервере Exchange Server через TCP-порт 25.)

  • Удаленные IP-адреса, которым разрешено использовать этот соединитель: 192.168.5.10 и 192.168.5.11

New-ReceiveConnector -Name "Anonymous Relay" -TransportRole FrontendTransport -Custom -Bindings 0.0.0.0:25 -RemoteIpRanges 192.168.5.10,192.168.5.11

Примечания:

  • Параметр Bindings является обязательным при указании настраиваемого типа использования.

  • Параметр RemoteIpRanges принимает отдельный IP-адрес, диапазон IP-адресов (например, 192.168.5.10-192.168.5.20) или межклассовую маршрутизацию (CIDR) (например, 192.168.5.1/24). Вы можете указать несколько значений, разделив их запятыми.

Шаг 2. Настройте разрешения для анонимной ретрансляции на уровне выделенного соединителя получения

Как отмечалось выше, настроить необходимые разрешения на уровне соединителя получения можно двумя разными способами:

  • настройка анонимных соединений;

  • настройка соединений с внешней защитой.

Выберите один из этих способов. В примерах используется соединитель получения Anonymous Relay, созданный на шаге 1.

Настройка анонимных соединений

Выполните следующие команды в Командная консоль Exchange:

1.

Set-ReceiveConnector "Anonymous Relay" -PermissionGroups AnonymousUsers

Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

Настройка соединений с внешней защитой

  1. В EAC перейдите в разделСоединители получения потока >обработки почты, выберите соединитель Анонимный ретранслятор и щелкните Изменить значок.

  2. В окне свойств соединителя откройте вкладку Безопасность и сделайте следующее:

    • Проверка подлинности. Снимите флажок TLS и выберите Внешняя защита (например, с помощью IPsec).

    • Группы разрешений. Выберите Серверы Exchange.

    По завершении нажмите кнопку Сохранить.

Чтобы выполнить те же действия в Командная консоль Exchange, запустите следующую команду:

Set-ReceiveConnector "Anonymous Relay" -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers

Как проверить, все ли получилось?

Чтобы убедиться, что вы успешно настроили анонимный ретранслятор, выполните следующие действия.

  • Проверьте настройки выделенного соединителя получения.

    Get-ReceiveConnector "Anonymous Relay" | Format-List Enabled,TransportRole,Bindings,RemoteIPRanges

  • Проверьте разрешения выделенного соединителя получения.

    Get-ADPermission "Anonymous Relay" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

    Или

    Get-ADPermission "Anonymous Relay" -User "MS Exchange\Externally Secured Servers" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

  • Используйте Telnet, чтобы проверить подключение одного или нескольких указанных узлов сети к выделенному соединителю получения и анонимную ретрансляцию почты через соединитель. По умолчанию клиент Telnet не устанавливается в большинстве клиентских или серверных версий Microsoft Windows. Сведения об установке см. в статье Установка клиента Telnet.

    Дополнительные сведения см. в статье Проверка связи по протоколу SMTP на серверах Exchange с помощью Telnet.

    Если узел сети — устройство без Telnet, вы можете временно добавить IP-адрес компьютера в соединитель получения, а после проверки удалить его.

    Для проверки потребуются следующие значения:

    • Назначение. Это IP-адрес или полное доменное имя, которое используется для подключения к выделенному соединителю получения. Скорее всего, это IP-адрес сервера почтовых ящиков, на котором задан соединитель получения. Это значение связано со свойством Привязки сетевого адаптера (или параметром Bindings), которое вы настроили на уровне соединителя. Используйте значение, допустимое для вашей среды. В этом примере мы используем значение 10.1.1.1.

    • Адрес электронной почты отправителя. Вероятно, вы настроите серверы или устройства, которые анонимно ретранслируют почту, чтобы использовать адрес электронной почты для отправки, который находится в авторитетном домене вашей организации. В этом примере мы будем использовать chris@contoso.com.

    • Адрес электронной почты получателя. Используйте допустимый адрес электронной почты. В этом примере мы будем использовать kate@fabrikam.com.

    • Тема сообщения: Тест

    • Текст сообщения: это тестовое сообщение

    1. В командной строке введите telnet и нажмите клавишу ВВОД.

    2. Введите set localecho и нажмите клавишу ВВОД.

    3. Введите OPEN 10.1.1.1 25 и нажмите клавишу ВВОД.

    4. Введите EHLO и нажмите клавишу ВВОД.

    5. Введите MAIL FROM:chris@contoso.com, а затем нажмите клавишу ВВОД.

    6. Введите RCPT TO:kate@fabrikam.com, а затем нажмите клавишу ВВОД.

      • При получении ответа 250 2.1.5 Recipient OKсоединитель получения разрешает анонимный ретранслятор с сетевого узла. Перейдите к следующему шагу, чтобы закончить отправку проверочного сообщения.

      • Если вы получили ответ 550 5.7.1 Unable to relay, соединитель получения не разрешает анонимный ретранслятор с сетевого узла. В этом случае сделайте следующее:

        • Убедитесь, что вы подключаетесь к правильному IP-адресу или полному доменному имени для выделенного соединителя получения.

        • Убедитесь, что компьютеру, на котором запущен Telnet, разрешено использовать соединитель получения.

        • Проверьте разрешения на уровне соединителя получения.

    7. Введите DATA и нажмите клавишу ВВОД.

      Вы должны получить приблизительно такой ответ:

      354 Start mail input; end with <CLRF>.<CLRF>

    8. Введите Subject: Test и нажмите клавишу ВВОД.

    9. Еще раз нажмите клавишу ВВОД.

    10. Введите This is a test message и нажмите клавишу ВВОД.

    11. Нажмите клавишу ВВОД, введите точку (.) и нажмите клавишу ВВОД.

      Вы должны получить приблизительно такой ответ:

      250 2.6.0 <GUID> Queued mail for delivery

    12. Чтобы отключиться от сервера SMTP, введите QUIT и нажмите клавишу ВВОД.

      Вы должны получить приблизительно такой ответ:

      221 2.0.0 Service closing transmission channel

    13. Чтобы закрыть сеанс Telnet, введите quit и нажмите клавишу ВВОД.

  • Если анонимная ретрансляция работает с перебоями, возможно, необходимо изменить частоту отправки сообщений и ограничения по умолчанию на уровне соединителя получения. Дополнительные сведения см. в разделе Регулирование количества сообщений на соединителях получения.