SMTP 25 bloqueado externamente

1

Não sabe como intitular esta questão ...

Executamos um servidor Exchange com cerca de 80 usuários internos. Todo o correio de saída é retransmitido através de um host inteligente (servidor SMTP do ISP), pelo que nada é realmente enviado para o mundo diretamente do nosso servidor. Eu queria checar o servidor. Localmente, posso fazer o telnet para a porta 25 sem problemas e receber a resposta pronta do serviço ESMTP. Sempre que eu faço isso de um endereço externo (fora da nossa rede local), eu não consigo conectar o erro 10060.

Isso pode ser devido a problemas com registros SPF ou DNS reverso? Meu servidor do Exchange deve poder aceitar solicitações SMTP, exigindo autenticação antes que eu possa enviar de endereços externos? Se sim, como?

Além disso, o servidor do Exchange está atrás de um dispositivo NAT (asa). Estou pensando que o NAT não está configurado para rotear a solicitação da porta SMTP 25 para o servidor Exchange.

    
por Jeff 08.01.2011 / 17:02

3 respostas

3

Se o seu servidor Exchange estiver recebendo e-mails do mundo externo, a porta 25 já foi encaminhada em seu dispositivo NAT para o servidor Exchange interno. Você deve poder fazer telnet para seu servidor na porta 25 do mundo externo - se não, você não poderá receber e-mails de fora da rede.

Por isso, parece que você quer saber como usar seu servidor como um relé de fora. Você precisa configurar isso nas configurações do servidor virtual SMTP no Exchange (depedidos na versão do Exchange).

Você vai querer ter cuidado para não criar um retransmissor aberto - caso contrário, você será atingido por remetentes de spam, listas negras e seu ISP provavelmente encerrará essa porta.

    
por 08.01.2011 / 17:23
2

Nos Estados Unidos e em muitas outras partes do mundo, é bastante comum que as conexões residenciais de banda larga tenham filtros de tráfego impedindo o acesso à porta 25 em qualquer outro servidor que não o provedor de banda larga. Para ser claro, isso é uma coisa muito boa. Isso impede que as pessoas se conectem diretamente e tentem enviar spam diretamente para seus servidores de e-mail. É mais provável que este seja o filtro de pacotes que você está experimentando no café. Eu sugiro que você tente se conectar a outros servidores de e-mail na porta 25. Se você não puder alcançá-los, é provável que o provedor de internet tenha bloqueado isso.

Os hosts a serem testados seriam sncwsrelay1.nai.com e sncwsrelay2.nai.com no McAfee ou mail.messaging.microsoft.com na microsoft.

Além disso, você indicou no seguimento para outra resposta que seu Cisco ASA foi configurado para aceitar e-mail dos servidores mxlogic. Além disso, você indica que nenhum email é enviado diretamente do servidor, mas é encaminhado por meio de um host inteligente. O que isso significa em relação ao SPF e ao DNS reverso?

Bem, qualquer registro SPF deve autorizar todas as máquinas que seus e-mails estiverem usando como servidores smtp externos. Lembre-se, o SPF é para informar ao mundo quais servidores da Internet devem tentar enviar mensagens de seu domínio. Como você não está realmente tentando a entrega final do e-mail - você está enviando todos os seus e-mails enviados para o seu smarthost - seus registros SPF devem listar todos os servidores externos do provedor smarthost. Se você contatá-los, eles devem ser capazes de fornecer uma lista de hosts para inclusão no seu registro SPF.

No que diz respeito à reversão do dns, uma vez que você nunca está diretamente recebendo ou enviando diretamente qualquer email, isso não deve ser um problema.

Além disso, presumivelmente, você tem registros MX no DNS que listam os servidores de e-mail mxlogic como os trocadores de e-mail do seu domínio. Isso é ótimo.

Além disso, a maioria dos softwares de e-mail modernos exige um esforço considerável para serem configurados para operar como um retransmissor aberto. Eu teria alguém no mxlogic ou seu provedor de internet comercial verificar a configuração de retransmissão aberta do seu servidor de troca. Para ser honesto, porém, com um smarthost e supondo que o smarthost tenha filtragem razoável de endereços de remetentes, eu diria que você provavelmente não é um revezamento aberto.

Felicidades.

Desculpe, isso é muito longo, estou aguardando que os backups em fita sejam concluídos.

    
por 08.01.2011 / 18:18
1

Para qual endereço IP você está realmente se conectando quando tenta isso de fora da sua rede? Se você estiver usando o endereço interno (privado) do servidor, isso obviamente não funcionará, já que esse endereço está inacessível do lado de fora.

Você deve fazer uma simples consulta DNS para o registro MX do seu domínio de e-mail e ver qual endereço IP público está registrado como seu servidor de e-mail; então você deve fazer o telnet para a porta 25 do endereço this e ver quem está respondendo. Se o NAT do seu firewall estiver configurado corretamente, você receberá uma resposta do próprio Exchange ou de algum outro dispositivo que possa estar pré-processando seu e-mail antes de ser permitido em seu servidor de e-mail, como um dispositivo antispam / antivírus.

    
por 08.01.2011 / 17:29