Servidor Exchange de Transporte de Hub voltado para a Internet com usuários restritos à Internet e uma Copiadora da Canon

Navegue suas respostas
3

Esse é um problema complicado, mas espero que alguém tenha vivenciado uma situação semelhante. Aqui estão os fatos do que está acontecendo:

  • Temos um único servidor do Exchange 2010 que está conectado à Internet e, portanto, não há servidor de borda.
  • Temos vários usuários com caixas de correio em um grupo chamado NoInternetMail. Este grupo destina-se a impedir que esses usuários enviem e recebam mensagens da Internet. Eles ainda podem receber e-mails de outros usuários dentro da empresa.
  • Estamos atingindo esse bloco com as regras de transporte. A regra de entrada é assim:

Regra de transporte

  • A regra foi testada e está funcionando.
  • Agora, insira a copiadora Canon que temos em nossa área de produção que muitos desses funcionários usam, é um ImageRunner 2270. Eu criei um conector de recebimento específico para essa copiadora para que ele possa enviar digitalizações via SMTP em nosso servidor Exchange. O conector de recebimento é definido apenas para a copiadora e configurado para acesso anônimo. Eu também adicionei as permissões ao conector permitindo enviar para qualquer destinatário como qualquer remetente. Além disso, essa copiadora destina-se apenas a enviar digitalizações para os funcionários, não para a Internet.
  • O conector de recebimento está funcionando, no entanto, todos os emails dessa copiadora Canon enviados para um usuário no grupo NoInternetMail são bloqueados pela regra de transporte descrita acima.
  • A copiadora da Canon parece usar a autenticação NTLM ao se comunicar com o SMTP. Eu criei um usuário chamado ProductionCopier em nosso AD e configurei a copiadora Canon para usar esse login ao autenticar no conector de recebimento.
  • A questão principal é que tentei várias combinações de conexões autenticadas e anônimas, mas nenhuma delas permitirá que a Canon envie mensagens para usuários no grupo NoInternetMail. Eu posso enviar e-mail nenhum problema anônimo ou autenticado para qualquer usuário fora do grupo NoInternetMail.
  • De acordo com a Microsoft ( link ), os critérios para o que é considerado "Fora da Organização" não se aplica aqui. Especificamente porque o nome de domínio da copiadora Canon é equivalente ao nome de domínio autoritativo especificado no Exchange.

Eu poderia criar uma caixa de correio para o usuário ProductionCopier, mas prefiro não. Não sei qual é o problema aqui, a não ser apenas configurações incompatíveis e conhecimento limitado. Eu não sou um usuário especialista no Exchange, mas passei vários dias pesquisando esse problema e ainda estou perdido.

Outras notas:

  1. Aqui está uma captura de tela do e-mail bloqueado pela regra de transporte no Gerenciador de Logs de Rastreamento:

  2. OslogsSMTPdoconectorderecebimentoconfirmamqueacopiadoraCanonestáusandoaautenticaçãoNTLMeestátendosucesso:

por palemouse 08.12.2015 / 15:09

2 respostas

2

Após estudar cuidadosamente os vários arquivos de log disponíveis (principalmente os registros de rastreamento), acredito que cheguei a uma conclusão. A regra de transporte considera a copiadora da Canon "Fora da organização" por causa do domínio usado. Microsoft afirma isso em sua documentação, mas não está claro exatamente como isso determina isso. O valor FROM dos cabeçalhos da mensagem parecia vir do meu domínio ([email protected]), mas o ID da mensagem não. O Message-ID tinha algo como [email protected]. Embora estivesse aparecendo como um subdomínio do meu domínio, a regra ainda considerava esse e-mail como "Fora da organização". Depois que criei essa exceção na regra de transporte, ela começou a entregar mensagens da copiadora Canon aos usuários no grupo NoInternetMail.

Da Wikipedia no ID da mensagem: "IDs de mensagens, se presentes, são gerados pelo programa cliente enviando o email (agente de usuário de email ou MUA) ou pelo primeiro servidor de email"

Então eu acho que a Copiadora Canon decide como formatar esse ID quando ele gera o e-mail e o envia para fora. Eu pesquisei todas as configurações disponíveis na copiadora e não consigo encontrar uma maneira de mudar isso. Infelizmente, não é a melhor solução, mas funciona.

    
por 12.12.2015 / 21:55
1

Eu ficaria muito surpreso se a copiadora estivesse usando a autenticação NTLM. Autenticação básica é mais provável. Portanto, eu começaria alterando as configurações de autenticação para usar o básico. Você também precisa desabilitar o acesso anônimo no conector e reiniciar o Transporte. Se anônimo estiver habilitado e o destinatário for interno, a autenticação nunca será testada, portanto, talvez a autenticação não esteja sendo usada, porque corresponde anonimamente.

Simon.

    
por 09.12.2015 / 16:56

Tags

Pode-se criar uma regra no iptables apenas para servidores do google? Quais serviços eu tenho que reiniciar para efetuar mudanças de configuração no puppet.conf ao usar o contramestre?