Форум системных администраторов

IT => Windows => MS Exchange => Тема начата: kozb от 25 сентября 2016, 11:51:02

Название: Exchange 2010 настройки получаещего соединителя (Receive Connector)
Отправлено: kozb от 25 сентября 2016, 11:51:02
Добрый день форумчане.

Стоит Exchange 2010 , есть стандартные 2 получающих соединителя. Перый для клиентов Outlook порт 587 и второй на порт 25 для всего остального.

Есть сервисы на разных серверах, которые отправлют уведомления только на внутренний почтовый адресс.
Соединения проходит без айтентификации т.к. часть из них не боддерживает такую опцию , для того чтоб это работало я добавляю IP серверов в Receive Connector.
Тут вроде как все хорошо, но эти сервера таким образом имеют право отсылать почту также на внешние адреса.

Вопрос : Можно ли создать получающий соеденитель таким образом чтоб пропускал почту только на внутренние адреса ? Или может знаете другое решение на связанное с получающим соеденителем ?
Название: Exchange 2010 настройки получаещего соединителя (Receive Connector)
Отправлено: sirarthur от 26 сентября 2016, 17:59:40
Вопрос : Можно ли создать получающий соеденитель таким образом чтоб пропускал почту только на внутренние адреса ?
вам наверное send connector нужен?
Название: Exchange 2010 настройки получаещего соединителя (Receive Connector)
Отправлено: kozb от 26 сентября 2016, 18:58:40
Цитировать
вам наверное send connector нужен?


К сожалению это никак мне не помогает.
Send Connector создаеться только для настройки отправки почты из Exchange  и привязать к нему можно только сервера CAS , ну никак не список серверов внутри сети.


Если я что-то упускаю и у вас есть решение , пожалуйста обьясните.
Название: Exchange 2010 настройки получаещего соединителя (Receive Connector)
Отправлено: sirarthur от 27 сентября 2016, 10:42:26
Тогда вам необходимо через транспортные правила  установить ограничения.
Есть правда один момент  - NDR, хотя, можно будет проверить работает ли правило через NDR - а затем отключить оповещение.




Updated: 27 September 2016, 10:43:12

https://technet.microsoft.com/ru-ru/library/bb124737(v=exchg.141).aspx
Название: Exchange 2010 настройки получаещего соединителя (Receive Connector)
Отправлено: kozb от 27 сентября 2016, 12:02:53
Цитировать
Тогда вам необходимо через транспортные правила  установить ограничения.[/size][/font][/size]Есть правда один момент  - NDR, хотя, можно будет проверить работает ли правило через NDR - а затем отключить оповещение.


Спасибо за совет.
Таким образом я могу конечно блокировать отсылку наружу , но это будет проверять имя отправителя, а не IP отправителя.
Т.е. достаточно поменять отправителя чтоб обойти ограничения.


Ну , все равно спасибо за старания.
Название: Exchange 2010 настройки получаещего соединителя (Receive Connector)
Отправлено: kozb от 28 сентября 2016, 17:26:11
Всем привет, нашел ответ самостоятельно.

По умолчанию, если на  Receive Connector дать права "Anonymous users" , то это как раз позволяет анонимным пользователям отправлять сообщения только внутри организации, но есть НО.
Если дать дополнительно расширенное право "ms-Exch-SMTP-Accept-Any-Recipient"  на этот Receive Connector пользователю "NT AUTHORITY\ANONYMOUS LOGON" , тогда анонимные пользователи могут отсылать почту и за пределы организации.

Как оказалось, это и было сделано до меня в этой компании, но визуально вы этого нигде не увидите. Команда которую я использовал чтоб это найти
Get-ReceiveConnector | Get-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" | ft identity,user,extendedrights,accessrights