сабж
может кто есть мастер по настройке Exchange
почтовый домен bnkoil.com, должен сидеть на IP 83.219.129.45, там стоит PIX который все пакеты с 25 порта транслирует внутрь локалки на машину с exchange
Update: я дурак и плохо помню свой IP - на самом деле IP 83.219.129.45
кто может протестить самостоятельно - пожалуйста, IP у вас есть.
Uzaren
@ 04-10-2004, 17:14
лаб, а ты пробовал туда почту отправлять снаружи? С яхи какой-нить. Или с гмыла? А то твой сервер мне вообще как-то по-почтовому не отвечает. Один раз с трудом я от него получил вот такое и все. А далее на протокол он не рагирует :(
| QUOTE |
| 220 ***00************************************************************************2************* |
Брайт тоже такую фигню мне показывал, к сожалению я в ней нифига не понял, ктобы обьяснил и показал, что делать ;)
Фил, честное слово - я могу послать письмо и я могу получать письма, проверено. Я также могу тенетом внутри локалки достучаться до exchang'a - он отвечает как положено.
heineken man
@ 05-10-2004, 10:31
| QUOTE (FiL @ 04-10-2004, 16:59) |
лаб, а ты пробовал туда почту отправлять снаружи? С яхи какой-нить. Или с гмыла? А то твой сервер мне вообще как-то по-почтовому не отвечает. Один раз с трудом я от него получил вот такое и все. А далее на протокол он не рагирует :(
| QUOTE | | 220 ***00************************************************************************2************* |
|
В ПИКСЕ есть такая штука - SMTP Fixup, она частенько проделывает подобные фокусы. Отменяют ее на%%^&**((**))&%&^%* командой no fixup protocol smtp 25.
А вообще-то, в данную минуту на указанный адрес я вообще законнектиться не могу по 25 порту. :bad1: :help:
а попробуй еще раз, а?
а доступа к пиксу у меня нет... физический есть, но не паролей, ничего...
heineken man
@ 05-10-2004, 13:17
C:\Documents and Settings\evgenyp>telnet 83.219.128.45 25
Connecting To 83.219.128.45...Could not open connection to the host, on port 25:
Connect failed
C:\Documents and Settings\evgenyp>
hudysh
@ 05-10-2004, 14:58
Хмм, а я ваааще не могу до него достучаться... :bad1:
ндааа... помер.
lab, а ты уверен, что письма напрямую получал извне, а не через вторичные МХ?
так, сегдня весь день мы действительно были в дауне - нам перекрывали крышу и сожгли наш инет кабель - суки, что касается писем, вот примерное письмо:
| CODE |
Received: from mproxy.gmail.com (rproxy.gmail.com [64.233.170.192]) by bnk001.bnkoil.com with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2653.13)
id 4JXYNVAG; Tue, 5 Oct 2004 18:11:24 +0300
Received: by mproxy.gmail.com with SMTP id 75so1050282rnl
for <aas@bnkoil.com>; Tue, 05 Oct 2004 08:11:18 -0700 (PDT)
Received: by 10.38.165.36 with SMTP id n36mr354128rne;
Tue, 05 Oct 2004 08:11:18 -0700 (PDT)
Received: by 10.38.88.46 with HTTP; Tue, 5 Oct 2004 08:11:18 -0700 (PDT)
Message-ID: <417880e80410050811324d204b@mail.gmail.com>
Date: Tue, 5 Oct 2004 18:11:18 +0300
From: Alex laborant <laborant@gmail.com>
Reply-To: Alex laborant <laborant@gmail.com>
To: aas@bnkoil.com
Subject: test
Mime-Version: 1.0
Content-Type: text/plain; charset=US-ASCII
Content-Transfer-Encoding: 7bit
|
может это будет полезным:
домен нам держит мастерхост, я их просил настроить так, чтобы МХ записей было несколько:
83.219.129.45 с приоритетом 5
и mx1.masterhost.ru с приоритетом 10
в результате - если мы в дауне - письма идут в резервный ящик
Как-то все там запущенно:
тестируем релей:
| QUOTE |
telnet mail.bnkoil.com 25
Trying 83.219.129.45...
Connected to mail.bnkoil.com.
Escape character is '^]'.
220 ***00************************************************************************2*************
helo takca.kpoxa.org
250 OK
mail from: fil@kpoxa.org
250 OK - mail from <fil@kpoxa.org>
rcpt to: filonovd@gmail.com
250 OK - Recipient <filonovd@gmail.com>
data
354 Send data. End with CRLF.CRLF
subject: test 2 the test 2
.
250 OK
|
- релей явно открыт. Смотрим что получаем -
| QUOTE |
Your message Subject: test 2
did not reach the following recipient(s):
filonovd@gmail.com on Tue, 5 Oct 2004 18:22:49 +0300
The recipient name is not recognized
The MTS-ID of the original message is: c=ru;a= ;p=zao
?bnk?;l=BNK00104100515224JXYNVAK MSEXCH:IMS:ZAO "BNK":BNKOIL:BNK001 0 (000C05A6) Unknown Recipient |
Кто посыал? Куда посылал?
lab, можешь через свой сервер выслать мне письмецо на куда-нибудь. например на fil@kpoxa.org.
heineken man
@ 05-10-2004, 19:15
laborant:
Ты нам дал неправильный адрес - 83.219.128.45 :help: :bad1:
| QUOTE |
| The fixup protocol smtp command enables the Mail Guard feature, which only lets mail servers receive the RFC 821, section 4.5.1 commands of HELO, MAIL, RCPT, DATA, RSET, NOOP, and QUIT. All other commands are rejected with the "500 command unrecognized" reply code. Microsoft Exchange administrators should take special note that by default their mail servers use the extended command set of ESMTP. The PIX SMTP fixup does not cover everything that may be needed for a transaction between two ESMTP servers. Therefore, be aware that the limited set of supported Mail Guard commands may be at the root of some mail flow problems. See the documentation for more details of getting PIX and Exchange to play well together. |
Отмени его нафиг, а то замучаешься. Он даже EHLO не знает.
прошу прощения, я действительно лоханулся :( - настоящий IP 83.219.129.45
Фил, я послал тебе письмо.
так что? :) кто советывать будет?
heineken man
@ 07-10-2004, 13:05
| QUOTE (laborant @ 07-10-2004, 09:04) |
| так что? :) кто советывать будет? |
Так чего еще советовать? :bad1: По двум уже поднятым проблемам: открытый релей и неубраный fixup судя по приведенному тесту изменений не произошло. Неприятности только вопрос времени.
| QUOTE |
Mail relay testing Connecting to 83.219.129.45 for anonymous test ...
<<< 220 ***00************************************************************************2*************>>>
HELO www.abuse.net
<<< 250 OK
Relay test 1
>>> RSET
<<< 250 OK - Reset
>>> MAIL FROM:<spamtest@abuse.net>
<<< 250 OK - mail from <spamtest@abuse.net>
>>> RCPT TO:<securitytest@abuse.net>
<<< 250 OK - Recipient <securitytest@abuse.net> Relay test result
Hmmn, at first glance, host appeared to accept a message for relay.
|
| QUOTE (heineken man @ 07-10-2004, 13:05) |
Так чего еще советовать? |
Как закрыть релей? Честное слово, я exchange первый раз (втрой) в жизни вижу.
heineken man
@ 07-10-2004, 15:27
Я тоже с Exchange знаком слабо, поскольку у нас никто в здравом уме не выставляет Exchange напрямую в инет, а я как раз отвечаю за внешние релейно-файервольно-диэнэсно-антивирусные части.
Но общие принципы ясны: Exchange или любой другой принимающий сервер с локальными юзерскими ящиками должен выполнять следующие основные функции:
1. ВХОДЯЩИЕ СООБЩЕНИЯ - Принимать SMTP почту для СВОИХ доменов и выдавать команду "550 - Relaing prohibited" при попытке послать через него почту на домейн, не числящийся в списке своих. При этом, для тех домейнов для которых существуют юзерские мейлбоксы на самом сервере, он должен проверить существование адресата и в случае несоответствия (правильный домен справа от @, но несуществующий мейлбокс слева) ответить что-то типа "Unknown user" в той же самой SMTP сессии. Для существующих получателей - доставить почту в локальный ящик. Для остальных "своих" - переслать почту далее, при этом в случае "отказа" от следующего в цепочке SMTP сервера - уведомить оригинального посылателя об невозможности пересылки (NDR - non-deleivery report) отдельной SMTP сессией.
2. ВЫХОДЯЩИЕ СООБЩЕНИЯ - Если есть почтовые клиенты, использующие POP3/IMAP/SMTP вместо MAPI - например Outlook Express или The Bat - то им нужно разрешить релеить через Exchange, возможно с аутентикацией через пасворд.
Я так понимаю, что домен у тебя только один - bnkoil.com, релеить больше ни на какие домейны не надо. И ящики тоже на самом Exchange, должно быть просто. Вот может
тут и
тут, секция "A Better Option" почитать. Во второй статье есть также разьяснения как сконфигурировать контролируемый релеинг для Аутлук Экспресов. :fear2: :w00t:
heineken man,
там у него что-то хитрое. С одной стороны он вроде на релей принимает, а с другой - письма релейные к адресату не приходят.
Но все равно, сервер загружается лишней фигней. Так что закрывать надо. А вот как - не знаю :( Не юзал я эксчейнджа.
heineken man
@ 07-10-2004, 15:40
| QUOTE (FiL @ 07-10-2004, 14:32) |
| heineken man, там у него что-то хитрое. С одной стороны он вроде на релей принимает, а с другой - письма релейные к адресату не приходят. |
Но приходят NDR сендеру. Т.е. загружается, и еще как - переслать каждому спамеру уведомление о недоставке. :diablo: :help:
Что-то мне подсказывает, что там у них хотят чтобы Exchange принимал почту, посылал,а также был доступен для чтения и посылки почты из инета с любого адреса. Т.е. конфигурация по полной программе. :bad1: :cool:
heineken man - спасибо, пошел читать.
что же касается того, что:
| QUOTE |
| у нас никто в здравом уме не выставляет Exchange напрямую в инет, а я как раз отвечаю за внешние релейно-файервольно-диэнэсно-антивирусные части |
Я тоже был против постановки у меня Exchang'a, но ничего не поделаешь - корп. стандарт... блин и еще как назло старье - 5.5 версия :'(
С другой стороны мне Cisco PIX поставили - этого мало? чем еще надо закрыться?
heineken man
@ 07-10-2004, 15:48
CISCO PIX служит для несколько других целей.
В вашем случае, можно было-бы предложить добавить еще один SMTP сервер - даже тот же MS SMTP сервис от IIS, задача которого быть чистым релеем и пересылать легитимные сообщения на Exchange. На нем же можно было-бы поставить OWA - Outlook Web Access для интернет-юзеров. При всех видимых недостатках такого похода, он все же предпочтительнее прямого доступа на внутренний Exchange отовсюду. :fear2: :w00t:
heineken man - настроил согласно первой статье - на тест отвечает 550.
"CISCO PIX служит для несколько других целей." - это каких?
heineken man
@ 07-10-2004, 16:05
| QUOTE (laborant @ 07-10-2004, 14:52) |
| "CISCO PIX служит для несколько других целей." - это каких? |
Файерволы не предназначены для защиты серверов на апликационном уровне, в вашем случае от неправильной конфигурации SMTP сервиса. У них если и есть подобные модули (тот-же злополучный fix-up), то они то что называется рудиментарные, и чаще от них больше вреда чем пользы.
Их основная задача - защита на уровне сети (до 4-го уровня включительно), т.е. кто и куда у вас в сети входит и выходит, включая Интернет и возможно VPN.
heineken man
@ 07-10-2004, 16:18
| QUOTE |
220 bnk001.bnkoil.com ESMTP Server (Microsoft Exchange Internet Mail Service 5.5
.2653.13) ready
helo sd.com
250 OK
mail from:<>
250 OK - mail from <>
rcpt to:ХХХХХХХХ%hotmail.com
250 OK - Recipient <ХХХХХХХХ%hotmail.com>
data
354 Send data. End with CRLF.CRLF
HUJNJA
.
250 OK
quit
221 closing connection |
Простые тесты он уже проходит, но вот знак процента вместо собаки ему мозги переворачивает влет. Известный баг Exchange, кажется ничего поделать нельзя.
Теперь попробуй послать самому себе из инета и ответить туда же. Я тебе послал тест-сообщение, если получил - ответь мне.
fixup protocol по моей просьбе отключили
heineken man
@ 07-10-2004, 16:26
| QUOTE (laborant @ 07-10-2004, 15:20) |
| fixup protocol по моей просьбе отключили |
| QUOTE |
| 220 bnk001.bnkoil.com ESMTP Server (Microsoft Exchange Internet Mail Service 5.5 |
Видишь как теперь выглядит SMTP промпт? :punk: :wub:
fixup protocol по моей просьбе отключили, на письмл я ответил... что же с процентом делать? ставить SMTP релей?
| QUOTE (heineken man @ 07-10-2004, 16:26) |
| QUOTE | | 220 bnk001.bnkoil.com ESMTP Server (Microsoft Exchange Internet Mail Service 5.5 |
Видишь как теперь выглядит SMTP промпт? :punk: :wub:
|
я его из локалки (в обход пикса ведь) и раньше видел и удивлялся почему у вас кракозябры
| QUOTE (heineken man @ 07-10-2004, 16:05) |
| Их основная задача - защита на уровне сети (до 4-го уровня включительно), т.е. кто и куда у вас в сети входит и выходит, включая Интернет и возможно VPN. |
блин, да мне опять в школу пора :'( что это за 4-й уровень, где ему учат?
да - VPN у меня есть
heineken man
@ 07-10-2004, 16:33
| QUOTE (laborant @ 07-10-2004, 15:26) |
| fixup protocol по моей просьбе отключили, на письмл я ответил... что же с процентом делать? ставить SMTP релей? |
Пока можно ничего не делать, если беспокоить не будет.
Твой ответ получил - вроде как можно констатировать успешное первоначальное функционирование. Поздравляю. :wub: :punk:
Не забудь попросить того кто владеет вашими адресами определить DNS имя на 83.219.129.45 (Reverse DNS).
Я бы релей поставил, но решать вам.
Жена гонит убирать квартиру - сорри за уклонение от процесса. :help: :bad1:
А патчен на процент нет? Вообще как там с патчами дела обстоят? Все что нашел поставил?
Relay отдельный - это хорошо. Но как-то насчет IIS'a я очень сомневаюсь :( В нем тоже дырок как в сыре от izanoza. Все-таки лучше-бы какой писюк с linux/bsd и постфиксом. Но это уже от местных полисей зависит.
из всех патчей что я успел поставить - SP4 и все пока.. надо завтра глубже копать этот вопрос.