Exchange2019 relay recive connector как правильно настроить?

Добрый день, настраиваю почтовик Exchange, не могу заставить отправлять письма :(
суть ситуации
Имеется
Контроллер домена dc01.local-domain.local 192.168.4.101 (netbios local-domain)
Сервер Exchange exchange.local-domain.local 192.168.4.17
Доменное имя (на nic.ru) company.com, на в днс записях пересылка на сайт и почта должна быть формата mail@company.com
Настройки ДНС
mx 10 mail.company.com.
A mail=router IP
A autodiscover=router IP
TXT для spf

настройки Exchange
1) mail-flow>accepted domains добавлен company.com (type authoritative, default)
2) стандартный send connector (domain=*)
2) добавлена address policy: smtp:alias@company.com и aslis:local-domain.local (чтобы при добавлении почтового ящика из списка пользователей домена почты получались и с @local-domain.local и с @company.com)
3) согласно руководству https://learn.microsoft.com/en-us/exchange/mail-fl...
New-ReceiveConnector -Name "Anonymous Relay" -TransportRole FrontendTransport -Custom -Bindings 0.0.0.0:25 -RemoteIpRanges 192.168.4.17,127.0.0.1
Set-ReceiveConnector "Anonymous Relay" -PermissionGroups AnonymousUsers
Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

На роутере с белым IP
port forwarding 25,80,110,143,443,465,587,717,993,995 на 192.168.4.17

Что работает:
почта подцепляется к outlook и на доменных и на недоменных компьютерах (autodiscover)
отправка и получение почты между ящиками @company.com
ТОЛЬКО получение почты с внешних адресов (типо mail@gmail.com)
ЕСЛИ ОТКЛЮЧИТЬ проброс 25 порта на exchange - письма на внешние адреса уходят, но само собой перестают приходить
вот такая ошибка приходит при отправке письма на внешнюю почту
EXCHANGE.local-domain.local rejected your message to the following email addresses:
aakandal@gmail.com (aakandal@gmail.com)
Your message couldn't be sent because the mail server is not ready to accept your message.
EXCHANGE.local-domain.local gave this error:
SMTP; Unable to relay recipient in non-accepted domain
Diagnostic information for administrators:
Generating server: EXCHANGE.local-domain.local
aakandal@gmail.com
EXCHANGE.local-domain.local
Remote Server returned '550 5.7.54 SMTP; Unable to relay recipient in non-accepted domain'
Original message headers:
Received: from EXCHANGE.local-domain.local (192.168.4.17) by EXCHANGE.local-domain.local
(192.168.4.17) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.2.1118.7; Sat, 25 Mar 2023 08:23:47 +0500
Received: from EXCHANGE.local-domain.local ([::1]) by EXCHANGE.local-domain.local ([::1]) with mapi id 15.02.1118.007; Sat, 25 Mar 2023 08:23:47 +0500
From: testmail testmail@company.com
To: "aakandal@gmail.com" aakandal@gmail.com
Subject: 112333
Thread-Topic: 112333
Thread-Index: AdleySt3XEmRGDcnQZK9O85ATlHlHg==
Date: Sat, 25 Mar 2023 03:23:46 +0000
Message-ID: 11f0292549774ef4a6935728a6fbe338@company.com
Accept-Language: en-US, ru-RU
Content-Language: ru-RU
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
x-originating-ip: [192.168.4.253]
Content-Type: multipart/alternative;
boundary="000_11f0292549774ef4a6935728a6fbe338companycom"
MIME-Version: 1.0
тесты
в exchange managment shell
Get-ReceiveConnector "Anonymous Relay" | Format-List Enabled,TransportRole,Bindings,RemoteIPRanges
Enabled : True
TransportRole : FrontendTransport
Bindings : {0.0.0.0:25}
RemoteIPRanges : {127.0.0.1, 192.168.4.17}

Get-ADPermission "Anonymous Relay" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($.Deny -eq $false) -and ($.IsInherited -eq $false)} | Format-Table User,ExtendedRights
User ExtendedRights
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Accept-Any-Sender}
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Accept-Any-Recipient}
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Accept-Headers-Routing}
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Submit}
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Accept-Authoritative-Domain-Sender}

Telnet
open 192.168.4.17 25
220 EXCHANGE.local-domain.local Microsoft ESMTP MAIL Service ready at Sat, 25 Mar 2023 08:35:43 +0500
ehlo
250-EXCHANGE.local-domain.local Hello [192.168.4.17]
250-SIZE 37748736
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-STARTTLS
250-8BITMIME
250-BINARYMIME
250-CHUNKING
250 SMTPUTF8
mail from:testmail@company.com
250 2.1.0 Sender OK
rcpt to:aakandal@gmail.com
250 2.1.5 Recipient OK
data
354 Start mail input; end with .
subject:test
message
.
250 2.6.0 9b98be1d-b712-437c-9265-9bd13869f9ff@EXCHANGE.local-domain.local [InternalId=4032974290969, Hostname=EXCHANGE.local-domain.local] 1563 bytes in 2.970, 0,514 KB/sec Queued mail for delivery
quit

инструкций как настроить почтовик для домена, у которого имя контроллера домена совпадает полно... а вот как быть при локальном домене - проблема
  • Вопрос задан
  • 2171 просмотр
Решения вопроса 1
@NortheR73
системный инженер
Эка Вы с шашкой наголо...Не страшно? :)

Заканчивайте ваши упражнения и наймите инженера/админа, который поможет вам настроить Exchange. А сами при этом наблюдайте за процессом со стороны и задавайте вопросы по ходу...

Exchange принимает почту при нормально настроенных DNS-записях (A-запись для сервера и MX) - для этого достаточно 5 дефолтных коннекторов приема (Receive Connectors). Для отправки писем во внешний мир потребуется настроить коннектор отправки (Send Connector). Внутри домена Exchange работает "из коробки".

Основное назначение анонимного релея совсем другое - он принимает почту от внутренних сервисов без авторизации и пересылает ее внутренним и/или внешним адресатам. Выставлять анонимный релей наружу - это выстрел в ногу. Поэтому удаляйте свой анонимный коннектор.

port forwarding 25,80,110,143,443,465,587,717,993,995 на 192.168.4.17
- читайте внимательно, а также обязательно продумайте и согласуйте с ИБ (если она у вас есть) необходимость доступа пользователей к доменной почте через интернет (без использования механизмов а-ля VPN и т.д.) - это поможет определить набор портов, которые надо открыть снаружи.

инструкций как настроить почтовик для домена, у которого имя контроллера домена совпадает полно... а вот как быть при локальном домене - проблема
- похоже, Вы не совсем понимаете то, о чем пишете, и как это работает. Однако, если я правильно понял Вашу мысль, то речь идет о совпадении имен внешнего и внутреннего доменов (а так лучше не делать) или их несовпадении, и возможно, еще Вы все это путаете с сертификатами. В принципе, для обоих случаев инструкций более чем достаточно.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы