|
Exchange как обычный почтовик.
|
|
|
|
Gvan |
Вторник, 30 Января 2007, 13:07
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Здравствуйте, Гуру! Если в общем - суть проблемы в том, что я никогда не видел данного продукта, а проблему, как обычно, нужно решить очень срочно... Итак. Необходимо перенести всю конторскую почту от провайдера в офис, причем обязательно почтовиком должен быть Exchange. В конторе есть локальный домен DOMAIN.LOCAL, с 350 пользователями. Эти пользователи имели почтовые ящики в домене COMPANYMAIL.RU Установил Exchange 2003 на сервер Win2k3 EE (перед установкой пользовался ключами /ForestPrep и /DomainPrep), который входит в локальный домен DOMAIN.LOCAL. А теперь вопросы чайника, если можно поподробнее: 1. Как мне завести пользователя, у которого должна быть почта в домене COMPANYMAIL.RU (user@companymail.ru), и где можно потом посмотреть свойства этого пользователя и его статистику (кому, куда, когда, сколько и т.д.) 2. Где регулируются правила для почты: - максимальный объём пересылаемого сообщения; - фильтр по вложенным файлам (например, запрет по расширению файла); - можно ли прикрутить проверку на спам по DNSBL; - как организуется отправка почты на внешние адреса, и соответственно, получение сервером писем извне; - можно ли прикрутить к нему какой-нить антивирус. Это, пока, основные вопросы... Не ругайтесь, если решения проблемы тривиально... Просто я его поставил и... не знаю, куда дальше смотреть Завел в AD пару юзеров, назначил им там же адреса (пока для локального домена domain.local)... Потом включил POP3 на сервере... Авторизацию по POP проходят, но отправить что-нибудь друг другу не могут: письмо уходит, а потом присылается отлуп c сообщением did not reach the following recipient(s):
user@domain.local on Mon, 29 Jan 2007 21:06:28 +0300 Такая учетная запись не существует в организации, в которую было отправлено сообщение. Чтобы найти правильный адрес, проверьте адрес, найдите получателя в адресной книге или напрямую обратитесь к нему за помощью. <mail.domain.local #5.1.1>
|
|
|
|
|
Egor |
Вторник, 30 Января 2007, 14:05
|
reader
Профиль
Группа: Профессионалы
Сообщений: 4172
Регистрация: 29.03.2001
Из: Подмосковья
Пользователь №: 55
Конфигурация
Корпус: ASCOT Premium Edition 500 Wt Процессор: Core2 Duo/Extreme Материнская плата: ASUS P5K Deluxe Оперативная память: (4x1G) PC2-6400 800MHz DDR2 Kingston Видеокарта: ATI Radeon HD 4730 Жесткий диск (винчестер): (2x1TB) Western Digital WD10EADS Green Power Дисковод: Нет дисковода CD/DVD: DVD-RW Lite-on iHAS124-19 SATA Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: Acer AL2216W Операционная система: Win7 x64 Pro Прочее: --
|
Цитата(Gvan @ Сегодня, 13:07) а проблему, как обычно, нужно решить очень срочно... Извини, но срочно не выйдет. Тебе надо научиться с ним работать не абы как, иначе рискуешь потерять всю почту юзьверей Да и вопросы ты задаешь из серии - "Домен не ставил и не знаю, что это такое, но очень хочется, научите за пять минут." Рассказывай, где у тебя стоИт сам Exchange (DC/отделная машина), что на ней еще "крутится"? Цитата(Gvan @ Сегодня, 13:07) Завел в AD пару юзеров, назначил им там же адреса (пока для локального домена domain.local)... Потом включил POP3 на сервере... Авторизацию по POP проходят, но отправить что-нибудь друг другу не могут: письмо уходит, а потом присылается отлуп c сообщением
did not reach the following recipient(s): Угу. Есть предположение, что не там ты завел ящики. У тебя оснастка Exchange есть на DC, где заводил юзверей? Как заводил им ящики? Внутри сети РОР3 не нужен. 1. В System Manager на Exchange в дефолтных ресипиент полисях либо создаешь свою политику. На остальное надо рисовать трактат. Может, ты литературу какую купишь и почитаешь, в начале?
|
|
|
|
|
Gvan |
Вторник, 30 Января 2007, 15:38
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Цитата Рассказывай, где у тебя стоИт сам Exchange (DC/отделная машина), что на ней еще "крутится"? Exchange стоит на машине с двумя сетевыми картами (одна смотрит внутрь, другая - наружу), принадлежит локальному домену DOMAIN.LOCAL. Эта машина не является контроллером домена. На машине, помимо ОС и Exchange, установлен антивирус Symantec Antivirus Corporate Edition (управляемая клиентская часть). Цитата У тебя оснастка Exchange есть на DC, где заводил юзверей? Юзверей заводил на машине, где установлен Exchange, пользовался оснасткой Active Directory Users and Computers, в свойствах пользователя появились четыре новых закладки: "E-mail Addresses", "Exchange Features", "Exchange Advanced" и "Exchange General". На DC (в сети их два) оснастки Exchange нет и в свойствах пользователя нет дополнительных закладок. Цитата Как заводил им ящики? Пользовался визардом "Exchange Task Wizard" из оснастки "Active Directory Users and Computers" на сервере с Exchange. Цитата Внутри сети РОР3 не нужен. Хм... Возможно и не нужен (а что тогда..?). Но много сотрудников работают вдали от офиса, да и перенастраивать учетные записи в почтовых клиентах было бы не очень хорошо... Многим нужны ещё и папки IMAP и веб-интерфейс... Цитата В System Manager на Exchange в дефолтных ресипиент полисях либо создаешь свою политику. Создал новую политику в "Recipient policies", в SMTP указал "@companymail.ru". Этого достаточно..? Про литературу я все прекрасно понимаю. Но мне нужно именно срочно. А о том, чтобы не потерять всю почту юзверей (которой, кстати, пока нет), уже заботятся мои роботы-бэкаперы;-) Так что всегда есть возможность откатить назад.
|
|
|
|
|
Egor |
Среда, 31 Января 2007, 12:38
|
reader
Профиль
Группа: Профессионалы
Сообщений: 4172
Регистрация: 29.03.2001
Из: Подмосковья
Пользователь №: 55
Конфигурация
Корпус: ASCOT Premium Edition 500 Wt Процессор: Core2 Duo/Extreme Материнская плата: ASUS P5K Deluxe Оперативная память: (4x1G) PC2-6400 800MHz DDR2 Kingston Видеокарта: ATI Radeon HD 4730 Жесткий диск (винчестер): (2x1TB) Western Digital WD10EADS Green Power Дисковод: Нет дисковода CD/DVD: DVD-RW Lite-on iHAS124-19 SATA Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: Acer AL2216W Операционная система: Win7 x64 Pro Прочее: --
|
Цитата(Gvan @ Вчера, 15:38) в SMTP указал "@companymail.ru". Этого достаточно..? Достаточно. Только сделай его дефолтным, а с @domain.local галочку убери. Цитата(Gvan @ Вчера, 15:38) установлен антивирус Symantec Antivirus Corporate Edition (управляемая клиентская часть). Напрасно. Он не умеет проверять сам почтовик. С этим симантеком можешь получить проблемы: при получении письма с вирусом (оно перед тем, как запишется в сторе, пишется в "промежуточную" папку, где ловится симантеком) оно блокируется/удалятся, но заголовок уже есть в почтовике. У Exchange запросто можест снести крышу Ставь симантека для Exchange, а лучше используй Trend Micro OfficeScan, IMHO. Цитата(Gvan @ Вчера, 15:38) Exchange стоит на машине с двумя сетевыми картами Не самое удачное решение, использовать почтовик на шлюзе. Уж лучше на DC, но внутри локалки. Чем защищать его собираешься? Цитата(Gvan @ Вчера, 15:38) Юзверей заводил на машине, где установлен Exchange Поставь оснастку на DC и не майся. Цитата(Gvan @ Вчера, 15:38) (а что тогда..?) Х400 & RPC. По дефолту они уже работают, а наружу OWA & SSL (IMHO защиты болше, чем у РОР3, да и возможностей) Цитата(Gvan @ Вчера, 13:07) посмотреть свойства этого пользователя и его статистику В самом Exchange нигде. Это надо использовать софт третьих фирм (GFI, ORF и.т.д.). ORF еще и антиспамер (IMHO самый лучший из существующих для виндовой платформы).
|
|
|
|
|
Gvan |
Среда, 31 Января 2007, 15:10
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Спасибо, Egor, за участие! Цитата Цитата(Gvan @ Вчера, 15:38) в SMTP указал "@companymail.ru". Этого достаточно..?
Достаточно. Только сделай его дефолтным, а с @domain.local галочку убери.
Я создал новую политику, в которой в "E-Mail Addresses (Policy)" указал только один SMTP ("@companymail.ru)... Или правильней было бы править дефолтовую политику (Default Policy)..? Цитата У Exchange запросто можест снести крышу Ставь симантека для Exchange, а лучше используй Trend Micro OfficeScan, IMHO. Спасибо за совет! Про снос крыши я не учел... Просто я работал с почтовиком Merak, который легко переносит убийство антивирусом вируса (вернее, самого письма) в темповой директории... Наверное, я просто исключу из сканирования промежуточную папку и сторе... Кстати, не подскажете, где эти папки (файлы) находятся на диске и можно ли изменить пути к ним..? А антивирус для эксчейнджа использовать, наверное, вообще не буду. У меня симантек на пользователях настроен на автоматическое сканирование 110 и 25 портов... Цитата Не самое удачное решение, использовать почтовик на шлюзе. Уж лучше на DC, но внутри локалки. Чем защищать его собираешься? Почему не самое удачное..? Защищать планирую обычным виндовым ipsec'ом, настроенным на фильтрацию пакетов по портам (планирую, на первое время, наружу оставить только 25, 110 и 143 порты). Кстати я бы поменял дефолтовые банеры на POP3-IMAP4 и SMTP... Только пока не знаю, где это делается Цитата а наружу OWA & SSL Да, пожалуй, так будет правильнее, спасибо. М-да... Как обычно, статистика - один из самых муторных, но все же необходимых моментов... Спасибо за подсказки по фирмам. А что вы скажете про фильтрацию писем по расширению вложенного файла (например, запретить вложения *.pif, *.scr и т.д. ) и по спам-спискам DNSBL..? Возможность такая есть? И ещё вопрос... Совсем забыл что есть ещё один удаленный филиал со 150 пользователями... У них свой локальный домен (DOMAIN_2.LOCAL), который связан с доменом DOMAIN.LOCAL обычными двустронними доверительными отношениями. Однако почтовые ящики у них тоже в companymail.ru... Каким наименее геморройным (или единственно возможным) способом можно осчастливить их ящиками в Exchange?
|
|
|
|
|
Egor |
Среда, 31 Января 2007, 20:39
|
reader
Профиль
Группа: Профессионалы
Сообщений: 4172
Регистрация: 29.03.2001
Из: Подмосковья
Пользователь №: 55
Конфигурация
Корпус: ASCOT Premium Edition 500 Wt Процессор: Core2 Duo/Extreme Материнская плата: ASUS P5K Deluxe Оперативная память: (4x1G) PC2-6400 800MHz DDR2 Kingston Видеокарта: ATI Radeon HD 4730 Жесткий диск (винчестер): (2x1TB) Western Digital WD10EADS Green Power Дисковод: Нет дисковода CD/DVD: DVD-RW Lite-on iHAS124-19 SATA Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: Acer AL2216W Операционная система: Win7 x64 Pro Прочее: --
|
Цитата(Gvan @ Сегодня, 15:10) Или правильней было бы править дефолтовую политику (Default Policy)..? Монопеносуально. Как тебе больше понравится. Цитата(Gvan @ Сегодня, 15:10) Кстати, не подскажете, где эти папки (файлы) находятся на диске и можно ли изменить пути к ним..? С:\Program Files\Exchsrvr\Mailroot\vsi 1\ Пути изменить можно и нужно. Все делается в System Manager в дефолтном виртуальном SMTP сервере Настоятельно рекомендую Microsoft Exchange Best Practices Analyzer, лежит на мелкософтовском сайте. Очень говорливая софтина, помогающая правильно настроить Exchange. Цитата(Gvan @ Сегодня, 15:10) А что вы скажете про фильтрацию писем по расширению вложенного файла (например, запретить вложения *.pif, *.scr и т.д. ) и по спам-спискам DNSBL..? Возможность такая есть? Цитата(Egor @ Сегодня, 12:38) ORF еще и антиспамер (IMHO самый лучший из существующих для виндовой платформы).
|
|
|
|
|
Gvan |
Четверг, 01 Февраля 2007, 18:47
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Пока все понятно, спасибо! А про это что скажете..? Цитата И ещё вопрос... Совсем забыл что есть ещё один удаленный филиал со 150 пользователями... У них свой локальный домен (DOMAIN_2.LOCAL), который связан с доменом DOMAIN.LOCAL обычными двустронними доверительными отношениями. Однако почтовые ящики у них тоже в companymail.ru... Каким наименее геморройным (или единственно возможным) способом можно осчастливить их ящиками в Exchange?
|
|
|
|
|
Egor |
Четверг, 01 Февраля 2007, 20:19
|
reader
Профиль
Группа: Профессионалы
Сообщений: 4172
Регистрация: 29.03.2001
Из: Подмосковья
Пользователь №: 55
Конфигурация
Корпус: ASCOT Premium Edition 500 Wt Процессор: Core2 Duo/Extreme Материнская плата: ASUS P5K Deluxe Оперативная память: (4x1G) PC2-6400 800MHz DDR2 Kingston Видеокарта: ATI Radeon HD 4730 Жесткий диск (винчестер): (2x1TB) Western Digital WD10EADS Green Power Дисковод: Нет дисковода CD/DVD: DVD-RW Lite-on iHAS124-19 SATA Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: Acer AL2216W Операционная система: Win7 x64 Pro Прочее: --
|
Два Exchange-сервера объединенные routing group. Связь между филиалами есть?
|
|
|
|
|
Gvan |
Четверг, 01 Февраля 2007, 20:43
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Цитата Связь между филиалами есть? Да, связь между филиалами есть... Направление исследований понял... Попробую разобраться... Тут объявилась проблема с релеем... Я в виртуальном SMTP сервере прописал локальную сеть (granted) и оставил галку напротив "Allow all computers which successfully authenticate to relay, regardless of the list above"... В результате из локальной сети на внешние адреса письма уходят, а из удаленного офиса (адреса которого я прописывать не стал) даже при наличии галки в почтовом клиенте (как на сервер входящей почты), что мол требуется аутентификация для отправки почты, почта на внешние адреса не уходит (ошибка 550 5.7.1 Unable to relay...). Как мне научить сервер отправлять почту во вне, если удаленный пользователь проходит авторизацию по smtp..? И ещё вопрос... Теперь, как отучить сервер отправлять почту клиентов, находящимся за пределами локальной сети, на адреса домена без авторизации по smtp..?
|
|
|
|
|
Egor |
Пятница, 02 Февраля 2007, 12:14
|
reader
Профиль
Группа: Профессионалы
Сообщений: 4172
Регистрация: 29.03.2001
Из: Подмосковья
Пользователь №: 55
Конфигурация
Корпус: ASCOT Premium Edition 500 Wt Процессор: Core2 Duo/Extreme Материнская плата: ASUS P5K Deluxe Оперативная память: (4x1G) PC2-6400 800MHz DDR2 Kingston Видеокарта: ATI Radeon HD 4730 Жесткий диск (винчестер): (2x1TB) Western Digital WD10EADS Green Power Дисковод: Нет дисковода CD/DVD: DVD-RW Lite-on iHAS124-19 SATA Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: Acer AL2216W Операционная система: Win7 x64 Pro Прочее: --
|
Цитата(Gvan @ Вчера, 20:43) Тут объявилась проблема с релеем... Угу. Я ждал этого. И не зря говорил про не самую умную идею почтовика на рутере и использовании РОР3 Ситуация, до банальности, проста. Но ломать голову с решением будешь сам. Ты хочешь, чтобы была связь извне по РОР3. А это бэйсик авторизация. Как-бы там чего не говорили... ну не умеют РОР3-клиенты проходить интегрированную авторизацию. Соответственно и релей для них - бэйсик. Для релея ты можешь либо прописать диапазон разрешенных адресов (отдельные адреса или все вместе), либо разрешить всем, но с бэйсик-авторизацией, почтовик стоящий на рутере, вскрывается как два пальца об асфальт. У тебя есть два выхода: 1. Переносить почтовик внутрь сетки 2. Вешать его только на внутренний интерфейс, настраивать NAT. А внешний интерфейс защищать хорошим фаерволом. ЗЫ Рекомендую посмотреть в сторону ISA. Но это тоже серьезный продукт, с которым наду учиться работать. Вообщем - думай сам Цитата(Gvan @ Вчера, 20:43) как отучить сервер отправлять почту клиентов, находящимся за пределами локальной сети, на адреса домена без авторизации по smtp..? Не совсем понял, чего надо. На пальцах объяснить сможешь? Сообщение отредактировал Egor - Пятница, 02 Февраля 2007, 12:18
|
|
|
|
|
Gvan |
Пятница, 02 Февраля 2007, 15:00
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Цитата Ты хочешь, чтобы была связь извне по РОР3. А это бэйсик авторизация. Как-бы там чего не говорили... ну не умеют РОР3-клиенты проходить интегрированную авторизацию. Соответственно и релей для них - бэйсик. Для релея ты можешь либо прописать диапазон разрешенных адресов (отдельные адреса или все вместе), либо разрешить всем, но с бэйсик-авторизацией Если честно, то я не совсем понимаю про интегрированную авторизацию Интегрированную куда..? Диапазон прописанных адресов не совсем устраивает, т.к. многие работают с почтой из дома (например, пользуясь стримом... а прописывать в разрешенные адреса всю подсеть стрима не есть очень хорошо). Проблема в том, что у меня в свойствах виртуального SMTP сервера на закладке "Access" в настройках "Authentication" стоят галки напротив следующих пунктов: - "Anonymous access" - "Basic authentication" --- "Requires TLS encription" - "Integrated Windows Authentication" В "Users": - "Submit Permission" - галка "Разрешить" - "Relay Permission" - галок нет (установка галки разрешить ни на что не влияет) В настройках "Relay Restrictions" в разрешенных прописана локальная сеть и стоит галка "Allow all computers which successfully authenticate to relay, regardless of the list above". У пользователя почтовый клиент Outlook Express, стоит имя и пароль на POP3 и на SMTP. Так вот при этих настройках релей у пользователя не работает. Никак не пойму почему... Где мне чего надо прикрутить, чтобы юзер мог отправлять письма, если он успешно проходит авторизацю при отправке почты? Цитата почтовик стоящий на рутере, вскрывается как два пальца об асфальт. Не совсем понял... Как он вскрывается..? в интернет торчать только два порта 110 и 25... Ты имеешь в виду, что один из этих сервисов очень уязвим..? и сервис этот POP3, так? и ещё, почтовик не стоит на рутере, просто это машина с двумя сетевыми картами... Цитата У тебя есть два выхода: 1. Переносить почтовик внутрь сетки 2. Вешать его только на внутренний интерфейс, настраивать NAT. А внешний интерфейс защищать хорошим фаерволом.
Можно на пальцах пример реализации..? Цитата Цитата(Gvan @ Вчера, 20:43) как отучить сервер отправлять почту клиентов, находящимся за пределами локальной сети, на адреса домена без авторизации по smtp..?
Не совсем понял, чего надо. На пальцах объяснить сможешь? Попробую на пальцах... Если удаленный клиент отправляет письмо не на внешний адрес, а на адрес домена companymail.ru, то сделать это он может даже при отсутствующей в его почтовом клиенте (OE 6.0) галке "Проверка подлинности пользователя" в сервере исходящей почты Это обозначает, что в домен companymail.ru может быть отправлено письмо с ЛЮБОЙ учетной записи, где в качестве сервера исходящей почты будет прописан почтовый сервер mail.companymail.ru... Вот я и спрашиваю, как это запретить...
|
|
|
|
|
Egor |
Понедельник, 05 Февраля 2007, 12:05
|
reader
Профиль
Группа: Профессионалы
Сообщений: 4172
Регистрация: 29.03.2001
Из: Подмосковья
Пользователь №: 55
Конфигурация
Корпус: ASCOT Premium Edition 500 Wt Процессор: Core2 Duo/Extreme Материнская плата: ASUS P5K Deluxe Оперативная память: (4x1G) PC2-6400 800MHz DDR2 Kingston Видеокарта: ATI Radeon HD 4730 Жесткий диск (винчестер): (2x1TB) Western Digital WD10EADS Green Power Дисковод: Нет дисковода CD/DVD: DVD-RW Lite-on iHAS124-19 SATA Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: Acer AL2216W Операционная система: Win7 x64 Pro Прочее: --
|
Цитата(Gvan @ Пятница, 02 Февраля 2007, 15:00) Ты имеешь в виду, что один из этих сервисов очень уязвим..? и сервис этот POP3, так? Нет, SMTP. Цитата(Gvan @ Пятница, 02 Февраля 2007, 15:00) просто это машина с двумя сетевыми картами... Это и есть рутер (Router - (маршрутизатор) блок, обеспечивающий выбор маршрута передачи данных между сетями, имеющими различную архитектуру или различные протоколы). Цитата(Gvan @ Пятница, 02 Февраля 2007, 15:00) Интегрированную куда..? Цитата(Gvan @ Пятница, 02 Февраля 2007, 15:00) - "Integrated Windows Authentication" Цитата(Gvan @ Пятница, 02 Февраля 2007, 15:00) В настройках "Relay Restrictions" в разрешенных прописана локальная сеть и стоит галка "Allow all computers which successfully authenticate to relay, regardless of the list above". Совершенно "беспонтовая" и, кстати, очень опасная галочка - "Разрешить релей всем компьютерам, прошедшим авторизацию, невзирая на list below. А если учесть, что у тебя разрешен Цитата(Gvan @ Пятница, 02 Февраля 2007, 15:00) - "Basic authentication" передача логина и пароля в незашифрованном текстовом виде... Цитата(Gvan @ Пятница, 02 Февраля 2007, 15:00) Можно на пальцах пример реализации..? Реализации чего? Переноса Exchange внутрь локалки или защита сети фаерволом? Дочитал вопрос до конца. Даже и не знаю, что тебе сказать... либо выдергивай шнур с и-нетом, либо останавливай Exchange. В любом случае, срочно чего-нибудь делай. Цитата(Gvan @ Пятница, 02 Февраля 2007, 15:00) Это обозначает, что в домен companymail.ru может быть отправлено письмо с ЛЮБОЙ учетной записи, где в качестве сервера исходящей почты будет прописан почтовый сервер mail.companymail.ru... У тебя открыт релей. И то, что об этом еще не разнюхали... тебе катастрофически везет.
|
|
|
|
|
Gvan |
Понедельник, 05 Февраля 2007, 13:44
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Цитата Цитата(Gvan @ Пятница, 02 Февраля 2007, 15:00) В настройках "Relay Restrictions" в разрешенных прописана локальная сеть и стоит галка "Allow all computers which successfully authenticate to relay, regardless of the list above".
Совершенно "беспонтовая" и, кстати, очень опасная галочка - "Разрешить релей всем компьютерам, прошедшим авторизацию, невзирая на list below. А если учесть, что у тебя разрешен
Цитата(Gvan @ Пятница, 02 Февраля 2007, 15:00) - "Basic authentication"
передача логина и пароля в незашифрованном текстовом виде...
У меня в "Basic authentication" стоит ещё галка "Requires TLS encryption", которая, как я понимаю, требует шифрования имени пользователя и пароля между удаленным клиентом и сервером (не буду врать, снифером пока не проверял)... Т.е., чтобы удаленный пользователь мог отправить письмо в другой домен, ему нужно прежде пройти аутентификацию на сервере, иначе письмо принято не будет. По моему, только что до меня дошло то, что ты пытаешься мне втолковать: ты считаешь, что уязвим сам виндовый сервис SMTPSVC и предлагаешь отключить возможность аутентификации smtp для удаленных пользователей, прописав в "Relay Restrictions" локальные подсети... А для удаленных пользователей разрешить веб-интерфейс..? Теперь я правильно понимаю? Цитата Цитата(Gvan @ Пятница, 02 Февраля 2007, 15:00) Это обозначает, что в домен companymail.ru может быть отправлено письмо с ЛЮБОЙ учетной записи, где в качестве сервера исходящей почты будет прописан почтовый сервер mail.companymail.ru...
У тебя открыт релей. И то, что об этом еще не разнюхали... тебе катастрофически везет. Позволю не согласиться... Под релеем понимается пересылка почты данным сервером в другие домены. Так вот этой возможности (без авторизации) у меня нет, т.е. открытый релей у меня все-таки закрыт (на всякий пожарный проверил на www.dnsreport.com). Цитата либо выдергивай шнур с и-нетом, либо останавливай Exchange В настоящий момент на этом сервере, если смотреть со стороны интернета, для всех закрыты ВСЕ порты (политикой ipsec), за исключением одного адреса, который я использую для тестирования работы удаленных пользователей. Да и на свой вопрос я, наверное, нашел ответ... Я писал, что "в домен companymail.ru может быть отправлено письмо с ЛЮБОЙ учетной записи, где в качестве сервера исходящей почты будет прописан почтовый сервер mail.companymail.ru"... Допустим, что у меня есть учетная запись user@companymail.ru. На этот адрес можно написать письмо с любого адреса, допустим с адреса user@inbox.ru, и письмо будет доставлено. Соответственно, нет разницы, как пользователь user@inbox.ru будет отправлять письмо пользователю user@companymail.ru, через сервер smtp.inbox.ru или через сервер mail.companymail.ru... Возможно это спорная точка зрения, но она ведь логичная..? Важно, другое, чтобы пользователь user@inbox.ru не мог отправить письмо в другой домен, используя сервер mail.companymail.ru (то бишь не должно быть открытого релея), без авторизации.
|
|
|
|
|
Egor |
Понедельник, 05 Февраля 2007, 14:59
|
reader
Профиль
Группа: Профессионалы
Сообщений: 4172
Регистрация: 29.03.2001
Из: Подмосковья
Пользователь №: 55
Конфигурация
Корпус: ASCOT Premium Edition 500 Wt Процессор: Core2 Duo/Extreme Материнская плата: ASUS P5K Deluxe Оперативная память: (4x1G) PC2-6400 800MHz DDR2 Kingston Видеокарта: ATI Radeon HD 4730 Жесткий диск (винчестер): (2x1TB) Western Digital WD10EADS Green Power Дисковод: Нет дисковода CD/DVD: DVD-RW Lite-on iHAS124-19 SATA Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: Acer AL2216W Операционная система: Win7 x64 Pro Прочее: --
|
Цитата(Gvan @ Сегодня, 13:44) По моему, только что до меня дошло то, что ты пытаешься мне втолковать: ты считаешь, что уязвим сам виндовый сервис SMTPSVC и предлагаешь отключить возможность аутентификации smtp для удаленных пользователей, прописав в "Relay Restrictions" локальные подсети... А для удаленных пользователей разрешить веб-интерфейс..? Теперь я правильно понимаю? Да. Пускай удаленные пользователи используют для отправки SMTP своего провайдера (если пользуют клиента по РОР3). Зачем тебе головная боль с такой дыркой? Да сам РОР3 уже вчерашний день. Зачем нужен почтовый клиент, если по IE есть возможность получить подключение со всеми "вкусностями" (глобальной одресной книгой, списком задачь и.т.д.) не заморачиваясь "лишними" настройками. Цитата(Gvan @ Сегодня, 13:44) У меня в "Basic authentication" стоит ещё галка "Requires TLS encryption", которая, как я понимаю, требует шифрования имени пользователя и пароля между удаленным клиентом и сервером Позволяет, сертификатом. Т.е. у тебя поднят сервер сертификатов. Ты клиентам выдаешь сертификат и позволяешь работать через SSL (в настройке учетной записи клиента, ты ставишь обязательное шифрование на авторизацию)? Если так, то извиняюсь, а если нет, то о какой закрытой передаче логина и пороля ты говоришь? Цитата(Gvan @ Сегодня, 13:44) Допустим, что у меня есть учетная запись user@companymail.ru. На этот адрес можно написать письмо с любого адреса, допустим с адреса user@inbox.ru, и письмо будет доставлено. Так и должно быть. Иначе, зачем вообще сервер мыла. Он у тебя и должен принимать почту *@companymail.ru с любого адреса. Другой вопрос, необходимо отфильтровывать несуществующие в домене адреса. Тебе-же не хочется получать сообщения на адрес dkjhda@companymail.ru (к примеру). ЗЫ Извини, изначально не понял тебя... или ты так объяснил Цитата(Gvan @ Пятница, 02 Февраля 2007, 15:00) Это обозначает, что в домен companymail.ru может быть отправлено письмо с ЛЮБОЙ учетной записи, где в качестве сервера исходящей почты будет прописан почтовый сервер mail.companymail.ru... Если я могу отправить с любой учетной записи письмо в твой домен, всего лишь прописав SMTP твоего сервера (иными словами, твой SMTP-сервер принимает любую учетную запись), значит я могу отправить письмо и в любой другой домен. А это открытый релей. ЗЫЫ Закрытие релея
|
|
|
|
|
Gvan |
Понедельник, 05 Февраля 2007, 18:33
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Цитата Если я могу отправить с любой учетной записи письмо в твой домен, всего лишь прописав SMTP твоего сервера (иными словами, твой SMTP-сервер принимает любую учетную запись), значит я могу отправить письмо и в любой другой домен. А это открытый релей. Все верно, но с некоторыми поправками: да, если прописать в любой учетной записи в качестве SMTP мой сервер, то можно отправить письмо только учетной записи из этого домена, но при попытке отправки письма на адрес из другого домена, сервер даст отлуп ( релей запрещен) Спасибо, за ссылку на мануал от микрософта. Я читал статью и попытался найти компромисс между своей реальностью и их пожеланиями Цитата Т.е. у тебя поднят сервер сертификатов. Ты клиентам выдаешь сертификат и позволяешь работать через SSL (в настройке учетной записи клиента, ты ставишь обязательное шифрование на авторизацию)? Если так, то извиняюсь, а если нет, то о какой закрытой передаче логина и пороля ты говоришь? Прочитал, то, что сам написал, и стало стыдно Сервера сертификатов у меня нет Попробую поднять его на DC... Пока только создал запрос на сертификат в SMTP, пользуясь визардом в System Manager...
|
|
|
|
|
Egor |
Вторник, 06 Февраля 2007, 9:30
|
reader
Профиль
Группа: Профессионалы
Сообщений: 4172
Регистрация: 29.03.2001
Из: Подмосковья
Пользователь №: 55
Конфигурация
Корпус: ASCOT Premium Edition 500 Wt Процессор: Core2 Duo/Extreme Материнская плата: ASUS P5K Deluxe Оперативная память: (4x1G) PC2-6400 800MHz DDR2 Kingston Видеокарта: ATI Radeon HD 4730 Жесткий диск (винчестер): (2x1TB) Western Digital WD10EADS Green Power Дисковод: Нет дисковода CD/DVD: DVD-RW Lite-on iHAS124-19 SATA Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: Acer AL2216W Операционная система: Win7 x64 Pro Прочее: --
|
Да закрыт, закрыт Я это говорил к тому, что тебе надо объяснять более понятно, чтобы не возникало непонимания. Цитата(Gvan @ Вчера, 18:33) Пока только создал запрос на сертификат в SMTP, пользуясь визардом в System Manager... Рано. Тебе требуется его опубликовать - сделать доступным для любого пользователя по его требованию (надобности, запросу). А это муторно (можно, но муторно ) без работающего сервера сертификатов.
|
|
|
|
|
Gvan |
Вторник, 06 Февраля 2007, 9:45
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Цитата Тебе требуется его опубликовать - сделать доступным для любого пользователя по его требованию (надобности, запросу). А это муторно (можно, но муторно ) без работающего сервера сертификатов. Только что подумал... Если я подниму сервер сертификатов, то он должен быть доступен извне удаленным пользователям..?
|
|
|
|
|
Egor |
Вторник, 06 Февраля 2007, 11:08
|
reader
Профиль
Группа: Профессионалы
Сообщений: 4172
Регистрация: 29.03.2001
Из: Подмосковья
Пользователь №: 55
Конфигурация
Корпус: ASCOT Premium Edition 500 Wt Процессор: Core2 Duo/Extreme Материнская плата: ASUS P5K Deluxe Оперативная память: (4x1G) PC2-6400 800MHz DDR2 Kingston Видеокарта: ATI Radeon HD 4730 Жесткий диск (винчестер): (2x1TB) Western Digital WD10EADS Green Power Дисковод: Нет дисковода CD/DVD: DVD-RW Lite-on iHAS124-19 SATA Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: Acer AL2216W Операционная система: Win7 x64 Pro Прочее: --
|
Да.
|
|
|
|
|
Gvan |
Понедельник, 12 Февраля 2007, 19:59
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Разобрался я как настроить принудительную аутентификацию с использованием SSL/TLS... Сначала возникли трудности с сертификатом... Потом разобрался и сделал себе самоподписанный сертификат. Для создания сертификатов пользовался следующими статьями: Creating a Self-Signed Certificate using OpenSSL for use with Microsoft Internet Information ServicesЗащита OWA 2003 с использованием бесплатного SSL-сертификата стороннего производителяПосле того, как все заработало, понял, что мне это не совсем подходит по двум причинам: 1. В конторе работает Symantec AntiVirus, который рубит по прослушиваемым портам (25 и 110) все зашифрованные соединения (вот статья самого симантека, где рекомендуется отключить сканирование почты : Norton AntiVirus email scanning is not compatible with Internet service providers using Secured Socket Layer protocol) Отключать сканирование входящей/исходящей почты я не хочу. 2. В случае принудительного включения TLS, данное правило распространяется на ВСЕХ пользователей, в том числе и на пользователей, которые находятся и внутри сети, т.е. каждому пользователю надо прописывать безопасную проверку пароля (SPA), авторизацию на smtp, а также подключение через безопасное соединение SSL... Но у меня в сети 500 пользователей, а с наружи приходят только человек 20... И ради этих 20 не хочется огород городить... Может действительно, прописать локальные сети пользователей внутри, а для внешних оставить только веб-интерфейс через SSL..? Или я что-то не так понимаю и мои 2 пункта проблем легко решаются..?
|
|
|
|
|
Egor |
Вторник, 13 Февраля 2007, 12:58
|
reader
Профиль
Группа: Профессионалы
Сообщений: 4172
Регистрация: 29.03.2001
Из: Подмосковья
Пользователь №: 55
Конфигурация
Корпус: ASCOT Premium Edition 500 Wt Процессор: Core2 Duo/Extreme Материнская плата: ASUS P5K Deluxe Оперативная память: (4x1G) PC2-6400 800MHz DDR2 Kingston Видеокарта: ATI Radeon HD 4730 Жесткий диск (винчестер): (2x1TB) Western Digital WD10EADS Green Power Дисковод: Нет дисковода CD/DVD: DVD-RW Lite-on iHAS124-19 SATA Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: Acer AL2216W Операционная система: Win7 x64 Pro Прочее: --
|
Еще раз повторюсь. Ты изначально выбрал не тот путь. Оно, конечно, можно приветствовать реанимирование прекрасных идей комсомола о создании трудностей и успешных их преодолений, но, в наше время, тебя могут не правильно понять.
|
|
|
|
|
|
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)
|
0 Пользователей:
|
|
© Copyright by WinCity.Ru 2001 - 2008 | Обратная связьУслуги веб-хостинга предоставлены компанией MTW.RU
|
|