Добрый день!

Нужен совет для решения следующей задачи.
В организации есть сторонний почтовый сервер Х, который обслуживает домен contoso.com. Сервер находится во внутренней сети, есть AD.
На данный момент у сервера есть определенные ограничения, которые создают неудобство в работе.

Для обхода существующих ограничений есть идея "поднять" во внутренней сети еще один почтовый сервер-шлюз. Т.е. сервер Х настраивается на отправку всех исходящих писем в Интернет через почтовый сервер-шлюз, равно как и входящая почта из Интернета приходит на сервер-шлюз и затем перенаправляется на сервер Х для доставки в почтовые ящики клиентов. Данная идея рассматривается как решение на "быструю руку" до полноценного перехода на новую версию почтового сервера.

Пробовал настраивать в качестве такого сервера-шлюза Postfix. В принципе получилось и заработало в тестовой реализации, но поскольку не силен в Никсах, хочу еще попробовать сделать такое на Exchange.

Не силен также и в Exchange, но будет проще разобраться и настроить. Вопрос в следующем: Можно ли настроить Exchange 2010 для выполнения данной задачи? Можно ли это сделать только используя только роль транспортного сервера-концентратора? В общем, какие шаги по настройке нужно сделать (конкретно как настроить разберусь сам)?

На данный момент у сервера есть определенные ограничения, которые создают неудобство в работе. »
давайте попробуем понять причины.
EX как smarthost это странно (IMHO), обычно SM ставят перед ним как AV\AS.

Для обхода существующих ограничений есть идея "поднять" во внутренней сети еще один почтовый сервер-шлюз. Т.е. сервер Х настраивается на отправку всех исходящих писем в Интернет через почтовый сервер-шлюз, равно как и входящая почта из Интернета приходит на сервер-шлюз и затем перенаправляется на сервер Х для доставки в почтовые ящики клиентов. Данная идея рассматривается как решение на "быструю руку" до полноценного перехода на новую версию почтового сервера. »
вот это похоже на SM.

в целом я не очень поняла задачу.

давайте попробуем понять причины. »
Есть очень старая версия MDaemon (v7), которая работает на Win2003. Проблема заключается в том, что в некоторых случаях сервер не может отправить или получить письмо из-за невозможности согласовать параметры безопасного соединения. Если быть более точным, сервер не поддерживает современные протоколы шифрования, которые требуют некоторые почтовые сервера для отправки или получения почты. Насколько я понимаю, дело тут даже не в MDaemon а в Win2003, которая не поддерживает эти самые более современные протоколы шифрования и возможности их установить на Win2003 нет. Пробовал перенести MDaemon на Win2008R2, но работает нестабильно.

Поэтому и стоит задача решить быстро проблему используя смарт-хост, а потом не спеша перейти на новый почтовый сервер.

Поскольку нелицензионными версиями софта не пользуюсь, есть два варианта: либо настроить смарт-хост на Никсах (что и сделал в тестовом варианте на Debian+Postfix), либо использовать существующую лицензию Exchange и попробовать настроить на нем.

Надеюсь, объяснил суть задачи. Хотя, когда писал это сообщение, вспомнил про бесплатный почтовик под Windows HMail. Надо будет его глянуть, хотя буду очень благодарен за любые подсказки и советы по решению данной проблемы.

Есть очень старая версия MDaemon (v7), которая работает на Win2003. Проблема заключается в том, что в некоторых случаях сервер не может отправить или получить письмо из-за невозможности согласовать параметры безопасного соединения. Если быть более точным, сервер не поддерживает современные протоколы шифрования, которые требуют некоторые почтовые сервера для отправки или получения почты. Насколько я понимаю, дело тут даже не в MDaemon а в Win2003, которая не поддерживает эти самые более современные протоколы шифрования и возможности их установить на Win2003 нет. Пробовал перенести MDaemon на Win2008R2, но работает нестабильно. »
MD отлично работает на 2008R2 и выше.
пошаговая инструкция:
обновляетесь на последний 10, потом на 15, потом на текущий 17.0.3.
при желании переносите это на 2008R2 методом установки такого же билда, как у вас на 2003 и копированием папки поверх.
если именится буква диска - поправите в INI файлах.
там 2-3 места.
это быстро (меньше часа). только бэкап сперва сделайте.

с другой стороны я ещё не встречала серверов, который отказывались бы принимать почту на стандартном SMTP (без TLS и прочего).
возможно изучение логов MD (которые более чем исчерпывающие и понятные), даст понимание корня проблемы.

ну и разу в вас уже есть установленный ЕХ - настройте его как отправщика почты, если уж так хочется покостылить.

обновляетесь на последний 10, потом на 15, потом на текущий 17.0.3. »
Я прекрасно понимаю, что новые версии прекрасно работают на Win2008R2 :), но речь об обновлении не идет.

при желании переносите это на 2008R2 методом установки такого же билда, как у вас на 2003 и копированием папки поверх. »
Переносил, работает не стабильно.

с другой стороны я ещё не встречала серверов, который отказывались бы принимать почту на стандартном SMTP (без TLS и прочего). »
Как вариант.

но речь об обновлении не идет. »
а в чём проблема обновить демона?
Переносил, работает не стабильно. »
в общем без логов это всё пустой трёп.
как и нестабильность, так и проблемы с отправкой.
я использую MD уже почти два десятка лет (с первых билдов) и могу ответственно сказать, что это крайне надёжное и неприхотливое решение.

а в чём проблема обновить демона? »
То есть вы мне предлагаете купить новую лицензию?

в общем без логов это всё пустой трёп. как и нестабильность, »
Логов к сожалению нет, т.к. делал в Hyper-V и уже откатился назад.

так и проблемы с отправкой. »

Mon 2017-XX-XX 19:38:26: Session 705; child 1
Mon 2017-XX-XX 19:38:23: ...
Mon 2017-XX-XX 19:38:23: From: i@contoso.com
Mon 2017-XX-XX 19:38:23: To: you@cameron.name
Mon 2017-XX-XX 19:38:23: Subject: The problem
Mon 2017-XX-XX 19:38:23: ...
Mon 2017-XX-XX 19:38:23: MX-record resolution of [cameron.name] in progress (DNS Server: My DNS Server)...
Mon 2017-XX-XX 19:38:23: ...
Mon 2017-XX-XX 19:38:23: ...
Mon 2017-XX-XX 19:38:23: Attempting SMTP connection to [Your IP : 25]
Mon 2017-XX-XX 19:38:23: Waiting for socket connection...
Mon 2017-XX-XX 19:38:23: Socket connection established (My IP : 2553 -> Your IP : 25)
Mon 2017-XX-XX 19:38:23: Waiting for protocol initiation...
Mon 2017-XX-XX 19:38:25: <-- 220 smtp.cameron.name ESMTP ready.
Mon 2017-XX-XX 19:38:25: --> EHLO smtp.contoso.com
Mon 2017-XX-XX 19:38:25: <-- 250-smtp.cameron.name Hello smtp.contoso.com [My IP]
Mon 2017-XX-XX 19:38:25: <-- 250-SIZE 524288000
Mon 2017-XX-XX 19:38:25: <-- 250-8BITMIME
Mon 2017-XX-XX 19:38:25: <-- 250-PIPELINING
Mon 2017-XX-XX 19:38:25: <-- 250-STARTTLS
Mon 2017-XX-XX 19:38:25: <-- 250 HELP
Mon 2017-XX-XX 19:38:25: --> STARTTLS
Mon 2017-XX-XX 19:38:25: <-- 220 TLS go ahead
Mon 2017-XX-XX 19:38:26: SSL negotation failed, error code 0x80090326
Mon 2017-XX-XX 19:38:26: SMTP session abnormally terminated (Bytes in/out: 196/27)


Wed 2017-XX-XX 00:00:49: Session 5; child 1; thread 740
Wed 2017-XX-XX 00:00:49: Accepting SMTP connection from [Your IP]
Wed 2017-XX-XX 00:00:49: Looking up PTR record for ...
Wed 2017-XX-XX 00:00:49: ...
Wed 2017-XX-XX 00:00:49: Gathering A-records for PTR hosts
Wed 2017-XX-XX 00:00:49: ...
Wed 2017-XX-XX 00:00:49: --> 220 smtp.contoso.com ...
Wed 2017-XX-XX 00:00:49: <-- EHLO smtp.cameron.name
Wed 2017-XX-XX 00:00:49: Performing lookup on smtp.cameron.name ...
Wed 2017-XX-XX 00:00:49: ...
Wed 2017-XX-XX 00:00:49: --> 250-smtp.contoso.com Hello smtp.cameron.name, pleased to meet you
Wed 2017-XX-XX 00:00:49: --> 250-ETRN
Wed 2017-XX-XX 00:00:49: --> 250-AUTH=LOGIN
Wed 2017-XX-XX 00:00:49: --> 250-AUTH LOGIN CRAM-MD5
Wed 2017-XX-XX 00:00:49: --> 250-8BITMIME
Wed 2017-XX-XX 00:00:49: --> 250-STARTTLS
Wed 2017-XX-XX 00:00:49: --> 250 SIZE 0
Wed 2017-XX-XX 00:00:49: <-- STARTTLS
Wed 2017-XX-XX 00:00:49: --> 220 Begin TLS negotiation
Wed 2017-XX-XX 00:00:49: SSL error 80090308
Wed 2017-XX-XX 00:00:49: SMTP session abnormally terminated (Bytes in/out: 318/247)


я использую MD уже почти два десятка лет (с первых билдов) и могу ответственно сказать, что это крайне надёжное и неприхотливое решение.
Раз Вы настаиваете, возможно попробую еще раз :)

То есть вы мне предлагаете купить новую лицензию? »
то есть он сейчас у вас варезный? :) ведь максимальный срок лицензии MD - 3 года.
а 7-ка была в 2000-ных.
ну и есть опция Renew. это так, между делом (кто-то выше писал про варез и тп).
Логов к сожалению нет, т.к. делал в Hyper-V и уже откатился назад. »
очень жаль. ведь папка с логами занимает так мало места.
Mon 2017-XX-XX 19:38:25: <-- 250-STARTTLS
Mon 2017-XX-XX 19:38:25: <-- 250 HELP
Mon 2017-XX-XX 19:38:25: --> STARTTLS
Mon 2017-XX-XX 19:38:25: <-- 220 TLS go ahead
Mon 2017-XX-XX 19:38:26: SSL negotation failed, error code 0x80090326
Mon 2017-XX-XX 19:38:26: SMTP session abnormally terminated (Bytes in/out: 196/27) »
обратите внимание, вы сами начинаете TLS на сервере, который его не умеет (2003 давно EOL).
зачем вы его включили? ;) выключите.
или
https://support.microsoft.com/en-us/help/968730/windows-server-2003-and-windows-xp-clients-cannot-obtain-certificates
ну и обновлять его не забывайте, так корневые серты всякие и прочее. может даже ещё приедет через WU.
Wed 2017-XX-XX 00:00:49: --> 250-STARTTLS
Wed 2017-XX-XX 00:00:49: --> 250 SIZE 0
Wed 2017-XX-XX 00:00:49: <-- STARTTLS
Wed 2017-XX-XX 00:00:49: --> 220 Begin TLS negotiation
Wed 2017-XX-XX 00:00:49: SSL error 80090308
Wed 2017-XX-XX 00:00:49: SMTP session abnormally terminated (Bytes in/out: 318/247) »
тоже самое. вы говорите, что умеете в TLS. а сами не умеете.

ведь максимальный срок лицензии MD - 3 года.
Если я правильно помню, то 2 года на возможность апгрейда. Хотя, это к делу не относится :)

обратите внимание, вы сами начинаете TLS на сервере, который его не умеет (2003 давно EOL).
зачем вы его включили? выключите.
Сейчас выключено, но это решает только проблему отправки. Если отключить совсем, то отключится и для клиентов, что не совсем устраивает.

В общем варианты решения ясны, благодарю за помощь!

но это решает только проблему отправки. »
покажите лог приёмки.
какая там теперь проблема.
Если отключить совсем, то отключится и для клиентов, что не совсем устраивает. »
а апдейт на 2к3 вы не хотите поставить?

если уж так хочется покостылить »
"Покостылял" с помощью hMailServer