» Microsoft Exchange Server

AdminNovichok

Цитата:

Как обезопасить сервак

как всегда, хорошо настроеным фаерволом.

AdminNovichok


Цитата:

Так ага вроде понял,запрос с записи MX у провайдера сразу попадает на внешний сетевой интерфейс на сервере, а дальше отрабатывает Hub Transport Server Role? Ну и в DNS надо запись MX сделать. Еще такой момент AD тоже на этом сервере стоит, все на одной железке короче.... Знаю что плохо это но такая ситуация вот... Как обезопасить сервак на котором все понапихано на одну железку?

За подключения пользователей отвечает CAS, а не HUB. Hub - только пересылка писем и что с этим связанное.

Если все на одной, то имеет смысл поставить какой-нить шлюз между сервером и интернетом и на нем пробросить 25, 443 порты на твой сервер.

проблема: сотрудники отправляют письма на внешние ящики. Адресат заявляет, что к ниму ничего не пришло.
Подскажите, как в эксче 2010 промониторить судьбу конкретного отправленного письма?

rezets

Включайте протоколирования на нужных конекторах и смотрите логи...

kuk2000
А не подскажите в cas где это сделать?

rezets
Это на хабах делается

для конекторов отправки:
EMC => Organization Configuration => Hub Transport => Send Connectors => [Name Connector] => Properties => General => Protocol logging level => Verbose

для конекторов получения:
EMC => Server Configuration => Hub Transport => Receive Connectors => [Name Connector] => Properties => General => Protocol logging level => Verbose

Более разжеванное
http://technet.microsoft.com/en-us/library/bb124531(v=exchg.141).aspx

kuk2000, спасибо, пошел смотреть логи


Добавлено:
kuk2000, может заодно подскажете, куда он по умолчанию сваливает их?

artemk
вообще если отбой не пришел, значит все отправилось... или поставьте на клиенте подтверждение доставки в свойствах аутлука.

golychev, в аутлуке стоит галка подтверждения.
В логах такие письма имеют id DEFER, со следующей причиной: possibly forged hostname for 176.110.121.66.
Подскажите, как верно должны выглядеть записи, ptr в частности, чтобы всё работало корректно:
имя сервера exchange: vmexch.stof.ru (stokf.ru - внутренний домен)
имя внешнего сервера почты: mail.stocf.ru (stocf.ru - внешний домен).

rezets
ну.. как всегда чтобы адрес с которого уходит мог резолвится в имя, желательно имя сервера на который указывает mx запись.

Non-authoritative answer:
66.121.110.176.in-addr.arpa    name = vmexch.stokf.ru.

сейчас выглядит так, а должно как я понял выдавать stocf.ru имя с таким доменом...

stocf.ru    mail exchanger = 10 mail.stocf.ru.

тоесть mail.stocf.ru

golychev
да, у меня сейчас эксч подставляет свое локальное имя vmexch, а надо, чтобы ставил mail.stocf.ru.
в smtp коннекторе в fqdn прописан mail.stocf.ru.

stocf.ru mail exchanger = 10 mail.stocf.ru. - как и куда с этим?

Добавлено:
И ещё момент. Я сейчас запросил у провайдера изменить PTR запись с vmexch.stokf.ru на mail.stocf.ru
Но когда это заработает, пропадет лишь блокировка почты по причине отличия прямой записи от обратной. И встанет вопрос несоответствия fqdn отправителя. Как сделать так, чтобы эксч отправлял письма с fqdn mail.nic.ru???

rezets

Цитата:

stocf.ru    mail exchanger = 10 mail.stocf.ru.  - как и куда с этим?

это я тебе показал как резолвится МХ запись.

в коннекторе и должно прописываться, должно быть правильное имя, ты уверен что в нужном коннекторе прописал?

Добавлено:
rezets

Цитата:

Как сделать так, чтобы эксч отправлял письма с fqdn mail.nic.ru???

чето тут я ваще непонял... причем тут nic.ru?

Добавлено:
тока что проверил, просто в коннекторе который отправляет в интернет написан fqdn нужный внешний и все.. проверено годами.

упрс, не mail.nic.ru, а конечно же mail.stocf.ru.

коннектор единственный, в нем указан mail.stocf.ru.
Ладно, сегодня думаю исправят ptr запись, тогда и буду ошибки смотреть.

rezets
применяется коннектор сразу, даже перезапускать не надо ничего.
и ПТР тоже быстро меняется.. сразу..
как это единственный коннектор?
должно быть 2 как минимум, 1 в локальную сеть, 2 в инет, на них надо нужные диапазоны адресов настроить.

у меня один, привожу настройки:
helo или ehlo: mail.stocf.ru
адресное пространство:
тип - smtp
адрес - *
стоимость - 1

сеть:
использовать mx-записи dns для авт...
установлена галка включить безопасность домена
исходный сервер vmexch

добрый день! столкнулся со следующей проблемой, не уходят письма на адреса в домене gmail.com, они повисают в очереди. После таймаута приходит отчет (**Не удалось доставить сообщение в указанные временные рамки. Повторите попытку или обратитесь к администратору. **<domain.com #4.4.7> )
На все остальные домены, к примеру mail.ru письма уходят моментально и без ошибок. Exchange 2003.
вот лог smtp diag:
C:\Program Files\Support Tools>C:\smtp\SmtpDiag\smtpdiag m.shagivaleev@2wings.lo
cal dogidogi48@gmail.com

Searching for Exchange external DNS settings.
Computer name is EX.
VSI 1 has the following external DNS servers:
109.195.1.1,109.195.0.1

Checking SOA for gmail.com.
Checking external DNS servers.
Checking internal DNS servers.
SOA serial number match: Passed.

Checking local domain records.
Checking MX records using TCP: 2wings.local.
Checking MX records using UDP: 2wings.local.
Both TCP and UDP queries succeeded. Local DNS test passed.

Checking remote domain records.
Checking MX records using TCP: gmail.com.
Checking MX records using UDP: gmail.com.
Both TCP and UDP queries succeeded. Remote DNS test passed.

Checking MX servers listed for dogidogi48@gmail.com.
Connecting to gmail-smtp-in.l.google.com [173.194.71.26] on port 25.
Successfully connected to gmail-smtp-in.l.google.com.
Connecting to alt1.gmail-smtp-in.l.google.com [173.194.64.27] on port 25.
Successfully connected to alt1.gmail-smtp-in.l.google.com.
Connecting to alt2.gmail-smtp-in.l.google.com [74.125.142.26] on port 25.
Successfully connected to alt2.gmail-smtp-in.l.google.com.
Connecting to alt3.gmail-smtp-in.l.google.com [74.125.134.27] on port 25.
Successfully connected to alt3.gmail-smtp-in.l.google.com.
Connecting to alt4.gmail-smtp-in.l.google.com [173.194.74.26] on port 25.
Successfully connected to alt4.gmail-smtp-in.l.google.com.

C:\Program Files\Support Tools>

rezets

Цитата:

установлена галка включить безопасность домена

галка должна быть одна "анонимные пользователи"

поэтому коннекторов должно быть несколько.

о блин я тебе другие коннекторы пишу, отправки у меня один


Цитата:

тип - smtp
адрес - *
стоимость - 1

также


Цитата:

сеть:
использовать mx-записи dns для авт...

также

Цитата:

исходный сервер

также


Цитата:

helo или ehlo: mail.stocf.ru

настроено все правильно, попробуй рестартануть "Транспорт Exchange".


Добавлено:
и также, проверяй не сделали ли тебе обратную зону:

C:\Users\y>ping -a 176.110.121.66

Обмен пакетами с vmexch.stokf.ru [176.110.121.66] с 32 байтами данных:

видимо пока нет.

также проверяй тут, узнаешь когда распространится на весь инет.

[root@]# dig -x 176.110.121.66 @8.8.8.8

; <<>> DiG 9.6.0-P1 <<>> -x 176.110.121.66 @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33595
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;66.121.110.176.in-addr.arpa. IN PTR

;; ANSWER SECTION:
66.121.110.176.in-addr.arpa. 600 IN PTR vmexch.stokf.ru.

;; Query time: 69 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Mon Oct 7 18:22:14 2013
;; MSG SIZE rcvd: 74


Добавлено:
dogidogi
обратные зоны и тп настроены?
приведите также отбой сервера... когда клиенту приходит типа недоставлено...

golychev
и вот о чем я ещё подумал, вот у меня в коннекторе указано, что использовать mx-записи dns для авт..., а ведь у меня mx запись на своем внутреннем dns сервере vmexch.stokf.ru.

rezets
stocf.ru    mail exchanger = 10 mail.stocf.ru.
думаю зона stocf.ru не на твоих серверах... на nic.ru она лежит, редактируй ее там...
еще один момент, у тебя в ДНС много адресов для mail.stocf.ru, у тебя не 1 сервер почты?

mail.stocf.ru    internet address = 176.110.121.66
mail.stocf.ru    internet address = 193.106.73.156
mail.stocf.ru    internet address = 193.106.73.159

у провайдера прописана ptr запись на mail.domain.net в DNS у mail.nic.ru прописаны записи A с адресом mail.domain.net

Сообщение не было получено одним или несколькими получателями.

Тема:    test
Отправлено:    07.10.2013 13:38

Сообщение не получили следующие получатели:

  dogidogi48@gmail.com на 07.10.2013 17:41
  Не удалось доставить сообщение в указанные временные рамки. Повторите попытку или обратитесь к администратору.
  <2wings.net #4.4.7>

dogidogi
правильно ли настроен днс на почтовом сервере? может у вас указано использовать днс сервер, который ниче не резолвит, в настройках SMTP?

golychev
вы имели ввиду несколько ip адресов.
Дело в том, что у нас 2 провайдера 176 выдает один пров, а 193 второй.
так что прописываем в обоих местах.

По поводу nic.ru: для домена stocf.ru указано было 2 A записи для ip 176.110.121.66:
1. vmexch
2. mail.

странно, что там vmexch делал, ведь он всё равно получался как vmexch.stocf.ru, что фактически не соответствует его локальному имени vmexch.stocf.ru. в общем vmexch оттуда убрал.

Подскажите, какие записи должны где присутствовать, чтобы почта отправлялась на внешние адреса, проходя все стандартные проверки антиспамов и пр. систем?


Добавлено:
блин, вот так выглядит отправленная почта:
Received: from mxfront7o.mail.yandex.net ([127.0.0.1])
    by mxfront7o.mail.yandex.net with LMTP id fQAGo9CH
    for <111@yandex.ru>; Tue, 8 Oct 2013 09:41:26 +0400
Received: from vmexch.stokf.ru (vmexch.stokf.ru [176.110.121.66])

и опять этот vmexch. Блин, как сделать так, чтобы сервер отправления виден был как mail.stocf.ru???

golychev
dns указан валидный, в FQDN должно быть указано mail.domain.com или просто domain.com в настройках default smtp сервер?
и каким должен быть address space в настройках smtp connector ?
Мне тогда непонятно почему на другие домены ходит без проблем.

dogidogi

Цитата:

mail.domain.com

так должно быть.


Цитата:

каким должен быть address space в настройках smtp connector ?

если у вас сервер почты имеет прямой выход в интернет, никакой smtp коннектор не нужен для его работы (помоему вы писали у вас 2003 экчендж). Если у вас 2007 пространство адресов в коннекторе должно быть *



Добавлено:
rezets

Цитата:

Подскажите, какие записи должны где присутствовать, чтобы почта отправлялась на внешние адреса, проходя все стандартные проверки антиспамов и пр. систем?

1. МХ с возможностью ПТР.
2. SPF правильно настроеный - в твоем случае лучше настроить.
3. отсутствие тебя в блэклистах.

Цитата:

если у вас сервер почты имеет прямой выход в интернет, никакой smtp коннектор не нужен для его работы (помоему вы писали у вас 2003 экчендж). Если у вас 2007 пространство адресов в коннекторе должно быть *  

у меня exchange ходит через прокси в интернет, сам почтовый хостинг у меня на nic.ru (там лежат ящики типа user@domain.com)

1 и 2 пункты сейчас обновляются.
3. надеюсь, что нет, но как я понимаю мне всё равно должны приходить письма о том, что я блек. но опять же это маловероятно.
Ладно, после того, как всё обновится проверим ещё раз всю почту.

есть вот какой вопрос:
пользователь отправляет ответ нескольким людям во вне письмо, оно зависает в исходящих и всё.
Я подхожу, создаю аналогичное письмо (переношу оттуда текст письма, адресатов) и повторяю отправку. Также висит.
Берем входящее письмо (на которое отвечали), нажимаем на ответить всем, вставляем тот же текст, отправляем, это письмо уходит.

Лезу в эксч, чтобы понять, почему висим. Выбираю этого пользователя и загружаю все письма за этот период. Нахожу это письмо вот с такими параметрами:
event id: tansfered, routing, content conversion, reference: 4006
Что есть обозначать сей запис???
как я понимаю, send - нормально отправленное письмо.
и ещё один момент, у некоторых пользователей очень много писем в состоянии defer, я так понимаю, что это отложенные письма. Вопрос:
1. как узнать причину отложенного письма?
2. как протолкнуть такое письмо заново?
3. почему уведомление об отложенном письме приходит спустя 1-2 дня?
4. что дальше происходит с отложенными письмами? я к тому, что удаляются они, остаются в базе? если, допустим, они отложены из-за антиспама получателя, то когда всё заработает (устранятся причины блокировки) отложенные письма сами отправятся или нет?

rezets
так много вопросов.. ужс..

если письмо висит в исходящих, значит чтото у вас внутри сети не так, возможно проблемы с ДНС в локалке, я админю экч. начиная с 5.5, могу сказать что по опыту, если письмо висит в исходящих, значит с коннектом проблемы между клиентом и сервером.
отложена доставка только в случае если сервер не видит удаленный сервер, тоесть у них никогда не было коннекта, если попытка доставки была, то либо письмо уходит, либо возвращается - делай вывод.


Цитата:

у меня exchange ходит через прокси в интернет, сам почтовый хостинг у меня на nic.ru (там лежат ящики типа user@domain.com)

ваще ничего непонятно, какието никру, подробнее схему сети опишите.

Цитата:

ваще ничего непонятно, какието никру, подробнее схему сети опишите.

есть домен domain.local, в нем есть exchange server 2003. Есть почтовый хостинг, купленный на nic.ru, domain.com, на нем созданы почтовые ящики типа users@domain.com. Забирается почта pop3 коннектором с внешнего почтового сервера и кладется в ящик user@domain.local. Отправляется почта во вне через smtp коннектор. Раньше все работало замечательно, но сейчас на некоторые почтовые сервера почта не ходит.

golychev
спасибо за ответы. Сделаю проще, сначала разрешу вопросы с отправкой на внешние, а там с каждым случаем потом буду разбираться отдельно.

dogidogi
тоесть вся твоя почта отправляется через никру, так тогда тебе надо с ними разговаривать, они не могут отправить в интернет или вы не можете отправить к ним, в любом случае все вопросы к никру.