Close Topic Options

так что? кто советывать будет?

Так чего еще советовать?   По двум уже поднятым проблемам: открытый релей и неубраный fixup судя по приведенному тесту изменений не произошло. Неприятности только вопрос времени.  

Как закрыть релей? Честное слово, я exchange первый раз (втрой) в жизни вижу.

Я тоже с Exchange знаком слабо, поскольку у нас никто в здравом уме не выставляет Exchange напрямую в инет, а я как раз отвечаю за внешние релейно-файервольно-диэнэсно-антивирусные части.

Но общие принципы ясны: Exchange или любой другой принимающий сервер с локальными юзерскими ящиками должен выполнять следующие основные функции:

1. ВХОДЯЩИЕ СООБЩЕНИЯ - Принимать SMTP почту для СВОИХ доменов и выдавать команду "550 - Relaing prohibited" при попытке послать через него почту на домейн, не числящийся в списке своих. При этом, для тех домейнов для которых существуют юзерские мейлбоксы на самом сервере, он должен проверить существование адресата и в случае несоответствия (правильный домен справа от @, но несуществующий мейлбокс слева) ответить что-то типа "Unknown user" в той же самой SMTP сессии. Для существующих получателей - доставить почту в локальный ящик. Для остальных "своих" - переслать почту далее, при этом в случае "отказа" от следующего в цепочке SMTP сервера - уведомить оригинального посылателя об невозможности пересылки (NDR - non-deleivery report) отдельной SMTP сессией.

2. ВЫХОДЯЩИЕ СООБЩЕНИЯ - Если есть почтовые клиенты, использующие POP3/IMAP/SMTP вместо MAPI - например Outlook Express или The Bat - то им нужно разрешить релеить через Exchange, возможно с аутентикацией через пасворд.

Я так понимаю, что домен у тебя только один - bnkoil.com, релеить больше ни на какие домейны не надо. И ящики тоже на самом Exchange, должно быть просто. Вот может тут и тут, секция "A Better Option" почитать. Во второй статье есть также разьяснения как сконфигурировать контролируемый релеинг для Аутлук Экспресов.

heineken man,
там у него что-то хитрое. С одной стороны он вроде на релей принимает, а с другой - письма релейные к адресату не приходят.

Но все равно, сервер загружается лишней фигней. Так что закрывать надо. А вот как - не знаю Не юзал я эксчейнджа.

Но приходят NDR сендеру. Т.е. загружается, и еще как - переслать каждому спамеру уведомление о недоставке.

Что-то мне подсказывает, что там у них хотят чтобы Exchange принимал почту, посылал,а также был доступен для чтения и посылки почты из инета с любого адреса. Т.е. конфигурация по полной программе.

heineken man - спасибо, пошел читать.

что же касается того, что:

Я тоже был против постановки у меня Exchang'a, но ничего не поделаешь - корп. стандарт... блин и еще как назло старье - 5.5 версия :'(

С другой стороны мне Cisco PIX поставили - этого мало? чем еще надо закрыться?

CISCO PIX служит для несколько других целей.
В вашем случае, можно было-бы предложить добавить еще один SMTP сервер - даже тот же MS SMTP сервис от IIS, задача которого быть чистым релеем и пересылать легитимные сообщения на Exchange. На нем же можно было-бы поставить OWA - Outlook Web Access для интернет-юзеров. При всех видимых недостатках такого похода, он все же предпочтительнее прямого доступа на внутренний Exchange отовсюду.

heineken man - настроил согласно первой статье - на тест отвечает 550.

"CISCO PIX служит для несколько других целей." - это каких?

Файерволы не предназначены для защиты серверов на апликационном уровне, в вашем случае от неправильной конфигурации SMTP сервиса. У них если и есть подобные модули (тот-же злополучный fix-up), то они то что называется рудиментарные, и чаще от них больше вреда чем пользы.

Их основная задача - защита на уровне сети (до 4-го уровня включительно), т.е. кто и куда у вас в сети входит и выходит, включая Интернет и возможно VPN.

Простые тесты он уже проходит, но вот знак процента вместо собаки ему мозги переворачивает влет. Известный баг Exchange, кажется ничего поделать нельзя.

Теперь попробуй послать самому себе из инета и ответить туда же. Я тебе послал тест-сообщение, если получил - ответь мне.

fixup protocol по моей просьбе отключили

Видишь как теперь выглядит SMTP промпт?

fixup protocol по моей просьбе отключили, на письмл я ответил... что же с процентом делать? ставить SMTP релей?