Před dlouhou dobou jsem sesmolil článek, který se, mimo jiné, zaobíral nastavením relay na Exchange Serveru 2003. Doba pokročila, mezistupeň v podobě Exchange 2007 jsem si užil jen asi 3 měsíce a rovnou skočil do verze 2010. Mnohé se zjednodušilo, ale úskalí SMTP protokolu zůstávají stejná. Změnil se jen ksicht (v případě GUI), resp. vznikla konzole (PowerShell). A jak jsme na tom s relayingem?
1. možnost – relaying vůbec nepoužívat. Pokud mají být přijímány zprávy pro příjemce, jejichž část za zavináčem spadá do Accepted Domains, tak relaying řešit nemusím.
2. možnost – povinně vyžadovat autentizaci vůči SMTP serveru, neboť autentizovaní uživatelé mají na standardně vytvořených konektorech automaticky povolený relaying. V takovém případě bude více než moudré opustit standardní TCP/25 a přejít raději na TCP/587, tj. SMTP/S. Ostatně tento způsob by měli využívat všichni uživatelé Exchange 2010 s IMAP4, resp. POP3 připojením.
3. možnost – pokud se jedná o naprosto ojedinělý požadavek, kdy se odesílatel (server, skript) neumí autentikovat, lze jej vyřešit založením kontaktu. Např. EMC pole bude mít nakonfigurovánu e-mail adresu s Accepted Domain, tato adresa bude přiřazena kontaktu, jehož externí e-mailovou adresou (cílovou) bude adresa podpory EMC kdesi v Irsku.
4. možnost – relay connector rychle a ne moc košér
New-ReceiveConnector -Name ’Relay SMTP Receive Connector’ -Usage Custom -Bindings ’192.168.1.10:25′ –FQDN neco.domena.tld -RemoteIPRanges WWW.XXX.YYY.ZZZ –Server ExchangeServer –PermissionGroups ExchangeServers -AuthMechanism ‘ExternalAuthoritative’
Založení nového konektoru na portu 25 je podmíněno získáním další IP adresy. Přístup povoluji pouze počítači s adresou WWW.XXX.YYY.ZZZ. Když zvolím ExternalAuthoritative, tak tím říkám “nestarej se, co to je a věř tomu, já si autentizaci ohlídám nějak jinak, třeba přes IPSec (no anebo taky nijak)”.
Další vlastností, na kterou je dobré upozornit, je vyloučení zprávy došlé na tento konektor, z antispam filtrů, z kontroly velikosti zprávy, z kontroly oprávněnosti odeslat jménem někoho jiného (send on behalf).
5. možnost – relay connector složitěji, ale bezpečněji
Poslední možnost vychází z předchozí.
New-ReceiveConnector -Name ’Relay SMTP Receive Connector’ -Usage Custom -Bindings ’192.168.1.10:25′ –FQDN neco.domena.tld -RemoteIPRanges WWW.XXX.YYY.ZZZ –Server ExchangeServer –PermissionGroups AnonymousUsers
Takže pořád povolujeme přístup pouze vyjmenované IP adrese. Už však neuvádíme, že se jedná o důvěryhodného odesílatele. Proto mu musíme explicitně přidat rozšiřující právo.
Get-ReceiveConnector ’Relay SMTP Receive Connector’ | Add-ADPermission -User “NT AUTHORITY\ANONYMOUS LOGON” -ExtendedRights “ms-Exch-SMTP-Accept-Any-Recipient”
Zprávy, které dojdou skrze tento konektor, budou prověřeny antispam filtrem atd. – viz výše.
Zdroje:
How To Allow Relaying in Exchange 2010 and Exchange 2007
Allowing application servers to relay off Exchange Server 2007
How to anonymously Relay in Exchange Server 2007/ 2010