Почтовый сервер провайдер и внедрение Exchange 2010

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Exchange Server (http://forum.oszone.net/forumdisplay.php?f=76)

Почтовый сервер провайдер и внедрение Exchange 2010

Добрый день товарищи!

Помогите с вопросом, а то уже мозг взрывается.

Доменное имя одно общее.

Два почтовика, MX наивысший приоритет в ДНС у Exchange, дальше идет почтовик провайдера.

В Exchange политика адресов, совпадает с правилами на почтовике у провайдера.

В Exchange еще закручена привязка адреса к именовании организации.

Например на серваке провайдера есть юзер ivanov@test.ru, в Exchange он имеет такой же адрес (Политика именования адресов по псевдониму). Если у юзера добавлен ящик в Exchange и указана определенная организация, то политика адреса применяется и он получает почту на Exchange.

Если у юзера нет ящика в Exchange или не указана организация, то политика не применяется и письмо посылаемое юзеру пересылается на почтовик провайдера mail.test.ru

Итого мы имеем:

1. Почтовый домен, на нем настроена провайдерская почта (FreeBSD, Squriel Mail). Около 120 ящиков.

2. На виртуальной машине в сети организации поднят Exchange 2010, сконфигурированы два коннектора получения по командам:

первый -

New-ReceiveConnector -Name Inet -Usage Internet -Bindings 0.0.0.0:25 -Server server_name
Get-ReceiveConnector -Identity 'server_name\Receive_From_Inet' | Remove-ADPermission -User 'NT AUTHORITY\Anonymous Logon' -ExtendedRights 'ms-Exch-SMTP-Accept-Authoritative-Domain-Sender'

второй -

New-ReceiveConnector -Name Receive_From_Local -Usage Client -Bindings 0.0.0.0:25 -RemoteIPRanges 192.168.0.1-192.168.0.254 -Server server_name
Get-ReceiveConnector -Identity 'server_name\Receive_From_Local' | Add-ADPermission -User 'NT AUTHORITY\Anonymous Logon' -ExtendedRights 'ms-Exch-SMTP-Accept-Any-Recipient'
Get-ReceiveConnector -Identity 'server_name\Receive_From_Local' | Set-ReceiveConnector -AuthMechanism 'Tls, Integrated, BasicAuth, BasicAuthRequireTLS, ExchangeServer' -PermissionGroups 'ExchangeUsers, ExchangeServers, ExchangeLegacyServers, Partners'

потом было выполнено

Set-ReceiveConnector -PermissionGroups 'AnonymousUsers, ExchangeUsers, ExchangeServers, ExchangeLegacyServers' -Identity 'server_name\Local'

и

Get-ReceiveConnector “server_name\Inet” | Get-ADPermission -user “NT AUTHORITY\Anonymous Logon” | where {$_.ExtendedRights -like “ms-exch-smtp-accept-authoritative-domain-sender”} | Remove-ADPermission

В коннекторах отправки один коннектор настроен на адресное пространство test.ru и пересылкой на сервер mail.test.ru

Второй коннектор на адресное пространство * и использует маршрутизацию MX.

Третий коннектор:

Галка на "Анонимные пользователи" на этом коннекторе стоит.

[PS] C:\Windows\system32>New-ReceiveConnector -Name prov -Usage Internet -Bindings 141.101.175.20:25 -Server MAIL

Identity Bindings Enabled

-------- -------- -------

MAIL\prov {141.101.175.20:25} True

PROV - для пересылки провайдеру,

локальные адреса стоит * 25 порт, удаленные адреса - адрес почтовика провайдера.

галка в разрешениеях на "Анонимные пользователи" установлена.

INET - для инета, LOCAL - для локалки.

Так вот

Все ходит везде отлично, кроме одного направления.

От юзера с почтовика провайдера на ящик юзера Exchange не уходит письмо, а приходит ответ 550 Unknow user. Причем мгновенно.

Права на коннекторы:

C:\Windows\system32>Get-ReceiveConnector | Get-ADPermission -user "NT AUTHORITY\АНОНИМНЫЙ ВХОД"

Identity User Deny Inherited
-------- ---- ---- ---------
MAIL\Inet NT AUTHORITY\АНОН... False False
MAIL\Inet NT AUTHORITY\АНОН... False False
MAIL\Inet NT AUTHORITY\АНОН... False False
MAIL\Inet NT AUTHORITY\АНОН... False True
MAIL\Inet NT AUTHORITY\АНОН... False True
MAIL\Inet NT AUTHORITY\АНОН... False True
MAIL\Inet NT AUTHORITY\АНОН... False True
MAIL\Local NT AUTHORITY\АНОН... False False
MAIL\Local NT AUTHORITY\АНОН... False True
MAIL\Local NT AUTHORITY\АНОН... False True
MAIL\Local NT AUTHORITY\АНОН... False True
MAIL\Local NT AUTHORITY\АНОН... False True
MAIL\for_prov NT AUTHORITY\АНОН... False False
MAIL\for_prov NT AUTHORITY\АНОН... False False
MAIL\for_prov NT AUTHORITY\АНОН... False False
MAIL\for_prov NT AUTHORITY\АНОН... False False
MAIL\for_prov NT AUTHORITY\АНОН... False True
MAIL\for_prov NT AUTHORITY\АНОН... False True
MAIL\for_prov NT AUTHORITY\АНОН... False True
MAIL\for_prov NT AUTHORITY\АНОН... False True

Команда для вывода анонимом.

[PS] C:\Windows\system32>Get-ReceiveConnector PROV | Get-ADPermission | where {$_.User.SecurityIdentifier -eq "S-1-5-7"}
|where {$_.AccessRights -contains "ExtendedRight"} | foreach {$_.User.toString()+" "+$_.Deny+" "+$_.ExtendedRights}
NT AUTHORITY\АНОНИМНЫЙ ВХОД False ms-Exch-SMTP-Accept-Any-Sender
NT AUTHORITY\АНОНИМНЫЙ ВХОД False ms-Exch-SMTP-Accept-Any-Recipient
NT AUTHORITY\АНОНИМНЫЙ ВХОД False ms-Exch-Accept-Headers-Routing
NT AUTHORITY\АНОНИМНЫЙ ВХОД False ms-Exch-SMTP-Submit
NT AUTHORITY\АНОНИМНЫЙ ВХОД False ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
NT AUTHORITY\АНОНИМНЫЙ ВХОД False ms-Exch-Store-Create-Named-Properties
NT AUTHORITY\АНОНИМНЫЙ ВХОД False ms-Exch-Create-Public-Folder
[PS] C:\Windows\system32>Get-ReceiveConnector INET | Get-ADPermission | where {$_.User.SecurityIdentifier -eq "S-1-5-7"}
|where {$_.AccessRights -contains "ExtendedRight"} | foreach {$_.User.toString()+" "+$_.Deny+" "+$_.ExtendedRights}
NT AUTHORITY\АНОНИМНЫЙ ВХОД False ms-Exch-SMTP-Accept-Any-Sender
NT AUTHORITY\АНОНИМНЫЙ ВХОД False ms-Exch-Accept-Headers-Routing
NT AUTHORITY\АНОНИМНЫЙ ВХОД False ms-Exch-SMTP-Submit
NT AUTHORITY\АНОНИМНЫЙ ВХОД False ms-Exch-Store-Create-Named-Properties
NT AUTHORITY\АНОНИМНЫЙ ВХОД False ms-Exch-Create-Public-Folder
[PS] C:\Windows\system32>Get-ReceiveConnector LOCAL | Get-ADPermission | where {$_.User.SecurityIdentifier -eq "S-1-5-7"
} |where {$_.AccessRights -contains "ExtendedRight"} | foreach {$_.User.toString()+" "+$_.Deny+" "+$_.ExtendedRights}
NT AUTHORITY\АНОНИМНЫЙ ВХОД False ms-Exch-SMTP-Accept-Any-Recipient
NT AUTHORITY\АНОНИМНЫЙ ВХОД False ms-Exch-Store-Create-Named-Properties
NT AUTHORITY\АНОНИМНЫЙ ВХОД False ms-Exch-Create-Public-Folder

В логах коннектор PROV вообще не фигурирует, хотя логирование включено.

согласно лога, почта успешно принимается через коннектор Inet, в логах указывается.

2012-11-06T10:43:59.385Z,MAIL\Inet,08CF89FDBE47AEE0,0,192.168.0.10:25,92.42.200.76:44515,+,,
2012-11-06T10:43:59.385Z,MAIL\Inet,08CF89FDBE47AEE0,1,192.168.0.10:25,92.42.200.76:44515,*,SMTPSubmit SMTPAcceptAnySender AcceptRoutingHeaders,Set Session Permissions
2012-11-06T10:43:59.385Z,MAIL\Inet,08CF89FDBE47AEE0,2,192.168.0.10:25,92.42.200.76:44515,>,"220 exchange.elpromsv.ru Microsoft ESMTP MAIL Service ready at Tue, 6 Nov 2012 14:43:59 +0400",
2012-11-06T10:43:59.437Z,MAIL\Inet,08CF89FDBE47AEE0,3,192.168.0.10:25,92.42.200.76:44515,<,EHLO mgw1.te.ru,
2012-11-06T10:43:59.438Z,MAIL\Inet,08CF89FDBE47AEE0,4,192.168.0.10:25,92.42.200.76:44515,>,250-exchange.elpromsv.ru Hello [92.42.200.76],
2012-11-06T10:43:59.438Z,MAIL\Inet,08CF89FDBE47AEE0,5,192.168.0.10:25,92.42.200.76:44515,>,250-SIZE 30720000,
2012-11-06T10:43:59.438Z,MAIL\Inet,08CF89FDBE47AEE0,6,192.168.0.10:25,92.42.200.76:44515,>,250-PIPELINING,
2012-11-06T10:43:59.438Z,MAIL\Inet,08CF89FDBE47AEE0,7,192.168.0.10:25,92.42.200.76:44515,>,250-DSN,
2012-11-06T10:43:59.438Z,MAIL\Inet,08CF89FDBE47AEE0,8,192.168.0.10:25,92.42.200.76:44515,>,250-ENHANCEDSTATUSCODES,
2012-11-06T10:43:59.438Z,MAIL\Inet,08CF89FDBE47AEE0,9,192.168.0.10:25,92.42.200.76:44515,>,250-AUTH,
2012-11-06T10:43:59.438Z,MAIL\Inet,08CF89FDBE47AEE0,10,192.168.0.10:25,92.42.200.76:44515,>,250-8BITMIME,
2012-11-06T10:43:59.438Z,MAIL\Inet,08CF89FDBE47AEE0,11,192.168.0.10:25,92.42.200.76:44515,>,250-BINARYMIME,
2012-11-06T10:43:59.438Z,MAIL\Inet,08CF89FDBE47AEE0,12,192.168.0.10:25,92.42.200.76:44515,>,250 CHUNKING,
2012-11-06T10:43:59.489Z,MAIL\Inet,08CF89FDBE47AEE0,13,192.168.0.10:25,92.42.200.76:44515,<,MAIL FROM:<TZimina@nes.te.ru> SIZE=2977 BODY=8BITMIME,
2012-11-06T10:43:59.489Z,MAIL\Inet,08CF89FDBE47AEE0,14,192.168.0.10:25,92.42.200.76:44515,*,08CF89FDBE47AEE0 ;2012-11-06T10:43:59.385Z;1,receiving message
2012-11-06T10:43:59.489Z,MAIL\Inet,08CF89FDBE47AEE0,15,192.168.0.10:25,92.42.200.76:44515,<,RCPT TO:<mdymov@elpromsv.ru> ORCPT=rfc822;mdymov@elpromsv.ru,
2012-11-06T10:43:59.489Z,MAIL\Inet,08CF89FDBE47AEE0,16,192.168.0.10:25,92.42.200.76:44515,<,DATA,
2012-11-06T10:43:59.489Z,MAIL\Inet,08CF89FDBE47AEE0,17,192.168.0.10:25,92.42.200.76:44515,>,250 2.1.0 Sender OK,
2012-11-06T10:43:59.489Z,MAIL\Inet,08CF89FDBE47AEE0,18,192.168.0.10:25,92.42.200.76:44515,>,250 2.1.5 Recipient OK,
2012-11-06T10:43:59.489Z,MAIL\Inet,08CF89FDBE47AEE0,19,192.168.0.10:25,92.42.200.76:44515,>,354 Start mail input; end with <CRLF>.<CRLF>,
2012-11-06T10:43:59.993Z,MAIL\Inet,08CF89FDBE47AEE0,20,192.168.0.10:25,92.42.200.76:44515,*,Tarpit for '0.00:00:00.816' due to 'DelayedAck',Delivered
2012-11-06T10:43:59.995Z,MAIL\Inet,08CF89FDBE47AEE0,21,192.168.0.10:25,92.42.200.76:44515,>,250 2.6.0 <OF46257AAE.003B1AFA-ON46257AAE.003B1AFA-46257AAE.003B1AFA@nes.te.ru> [InternalId=45] Queued mail for delivery,
2012-11-06T10:43:59.995Z,MAIL\Inet,08CF89FDBE47AEE0,22,192.168.0.10:25,92.42.200.76:44515,<,QUIT,
2012-11-06T10:43:59.995Z,MAIL\Inet,08CF89FDBE47AEE0,23,192.168.0.10:25,92.42.200.76:44515,>,221 2.0.0 Service closing transmission channel,
2012-11-06T10:43:59.995Z,MAIL\Inet,08CF89FDBE47AEE0,24,192.168.0.10:25,92.42.200.76:44515,-,,Local

коннектор PROV почемуто в логах не фигурирует.

Письмо отправленное с почтового ящика провайдера на почтовый ящик Exchange в логах не фигурирует, адрес в том числе.

Как сделать чтобы от юзера с почтовика провайдера на ящик юзера Exchange шла почта?

А почтовик провайдера знает о том, что у него не все пользователи на нем? Похоже он считает ваш test.ru авторитативным доменом и поэтому пытается искать ящик у себя. Не находит и выдает User unknown. В любом случае в NDR надо посмотреть формирующий сервер и отвечающий.

Спасибо за ответ!
Почтовик провайдера похоже не знает, поскольку доступа к настройкам не имеется.

Прилагаю NDR:

Цитата:

From: =?windows-1251?B?wOTs6O3o8fLw4PLu8CDx6PHy5ez7?=
Sender: =?windows-1251?B?wOTs6O3o8fLw4PLu8CDx6PHy5ez7?=
To: =?windows-1251?B?wPDy5ewgzOD36O0=?= <amachin@elpromsv.ru>
Subject: =?windows-1251?B?zeUg8+Tg6+7x/CDk7vHy4OLo8vw6IHRlc3Q=?=
Date: Fri, 2 Nov 2012 10:38:46 +0400
Message-ID: <000f01cdb8c4$b5b39b40$211ad1c0$@Domain>
MIME-Version: 1.0
Content-Type: application/ms-tnef;
name="winmail.dat"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="winmail.dat"
X-Mailer: Microsoft Outlook 14.0
Thread-Index: AQGcgXJpD15fBk0g6Q5Km/NO+SohVQ==
X-OlkEid: 1B241320DE10BEC00B6E524CB8188A77219E60BB
X-MS-TNEF-Correlator: 00000000E3D460E06504DC449B1F83071138A31B24132000

Цитата:

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

t@elpromsv.ru

------ This is a copy of the message, including all the headers. ------

Return-path: <test@elpromsv.ru>
Received: from [127.0.0.1] (helo=[141.101.175.20])
by 139.xx.ru with esmtpa (Exim 4.76)
(envelope-from <test@elpromsv.ru>)
id 1TUFye-0007Dc-Rq
for t@elpromsv.ru; Fri, 02 Nov 2012 15:03:57 +0300
Received: from 213.176.225.37
(SquirrelMail authenticated user test@elpromsv.ru)
by 141.101.175.20 with HTTP;
Fri, 2 Nov 2012 15:03:56 +0300
Message-ID: <e5da239b562cd99696b7ad0fa3f3133a.squirrel@141.101.175.20>
In-Reply-To: <008f01cdb8cd$8fe33110$afa99330$@Domain>
References: <008f01cdb8cd$8fe33110$afa99330$@Domain>
Date: Fri, 2 Nov 2012 15:03:56 +0300
Subject: test
From: test@elpromsv.ru
To: t@elpromsv.ru
Reply-To: test@elpromsv.ru
User-Agent: SquirrelMail/1.4.22
MIME-Version: 1.0
Content-Type: text/plain;charset=iso-8859-1
Content-Transfer-Encoding: 8bit
X-Priority: 3 (Normal)
Importance: Normal

>
test

141.101.175.20 адрес почтовика провайдера.
Есть ли вариант без доступа к настрокам сервака провайдера? Какие настройки нужно сделать провайдеру?

550 Unknow user. Причем мгновенно.*

Unknown user означает одно - "Unknown user", принимающий сервер не знает про пользователя, для которого пытаются отправить почту.

Pavel Nagaev, то есть без взаимодействия с провайдером ничего не решить?

Уважаемые, неужели нет вариантов локальных настроек без внесения изменений в конфигурацию самого почтового сервера провайдера?

Без изменения почтового суффикса - нет.