Conceder retransmissão para servidores com base na associação do grupo de segurança do AD

1

Estamos movendo nosso relay de um servidor do Exchange 2003 para um servidor do Exchange 2010. Eu esperava que a opção "Conceder ou negar permissões de retransmissão para usuários ou grupos específicos" ainda estivesse disponível de alguma forma, mas não consegui descobrir como fazê-lo. Eu li sobre conectores de recebimento e até agora não posso fazê-lo funcionar. Eu editei a segurança no Recieve Connector para permitir os seguintes direitos estendidos ao grupo e adicionei contas de computador a esse grupo:

  • Aceitar cabeçalhos de roteamento
  • Ignorar o anti-spam
  • Enviar para o servidor
  • Aceite qualquer remetente
  • Aceite qualquer destinatário

Então, de repente, percebi durante o teste ... Como o conector de recebimento resolveria a permissão para um determinado objeto do AD, talvez uma pesquisa reversa de DNS? O que eu gostaria de saber é se o que estou tentando alcançar é possível e como seria possível.

Eu preferiria não reverter para uma lista baseada em IP, pois isso não é tão gerenciável, e estou tentando evitar a criação de IPs / reservas estáticas para várias estações de trabalho que, de outra forma, não precisariam delas.

    
por john 03.07.2013 / 15:10

2 respostas

2

Com base nos seus comentários sobre @ answer do Noor , estou suspeitando que o que você está procurando é:

  • Torne a conta AD de um determinado computador membro de algum grupo "Permitido retransmitir"
  • Os programas que estão sendo executados nesse computador magicamente podem retransmitir o SMTP pelo Exchange devido à associação do grupo da conta do AD do computador

Se é isso que você está procurando, não há como , a menos que todos os clientes SMTP do computador em questão sejam capazes de se autenticar no Exchange com a conta de computador AD do computador. A maioria dos clientes SMTP não é (na verdade, não consigo pensar em um de um único que possa). O endereço IP de origem de uma conexão SMTP de entrada para o Exchange não causa nenhuma autenticação e não cria um token de segurança que o Exchange possa consultar para membros de grupos. Endereços IP e entidades de segurança são ortogonais.

A melhor maneira de fazer isso seria gerar credenciais de serviço (com qualquer granularidade de contas com a qual você se sinta confortável - uma para cada cliente SMTP é minha preferência) e conceder direitos de credenciais a esses retransmissão. Então você pode configurar cada cliente SMTP para autenticar e retransmitir será permitido com base nas credenciais.

    
por 03.07.2013 / 20:43
0

Há configurações de segurança extras que você pode editar usando o PowerShell, não é possível editá-las usando a GUI, você pode informar ao Exchange quem deve usar o conector usando este comando do PowerShell:

  • Get-ReceiveConnector "Nome do Conector de Recebimento" | Add-ADPermission -User "Account / Group Name"

Como exemplo, geralmente uso esse comando para permitir o acesso Anônimo a um conector:

  • Get-ReceiveConnector "Nome do Conector de Recebimento" | Add-ADPermission -User "AUTORIDADE NT \ LOGON ANÔNIMO" -ExtendedRights "ms-Exch-SMTP-Aceitar-Qualquer-Destinatário"

Mais informações podem ser encontradas aqui: link

    
por 03.07.2013 / 15:39