Почему не работает исходящая почта во внешнюю сеть. Exchange 2010?

Question

[Серж Маслов]

Доброго дня.
Подскажите пожалуйста, уже неделю бьюсь с этой проблемой, а квалификации не хватает.
Почтовые письма скапливаются в очереди ожиданий на почтовом сервере с ошибкой 451 4.4.0 и с пояснением 421 4.2.1

Это произошло после того, как был поменян IP адрес почтового сервера.
Что было сделано:

На контроллере домена в DNS все записи верны, вышестоящий специалист поправил на маршрутизаторе, который смотрит наружу, адреса, все настройки на Exchange сетевые также исправлены.
Была сделана полная архивация средствами VSS, вычищены старые журналы транзакций и дефрагментирована база данных.
Telnet с почтового сервере без проблем подключается к внешним адресам по 25 порту
На всякий случай был сделан запрос провайдеру(МТС), который уверяет, что порты не блокирует.
Попробовал сделать транспортировку почты через внешние общедоступные DNS.
Нашел в сети совет, что может слетать GUID на сетевом адаптере. Проверка таких ошибок не выявила.

Были проверены 2 сервера ДНС находящихся на контроллерах домена (на этих КД расположены NS-сервера), реплицируются они без проблем, все зоны соответствуют друг другу, связь между ними идет.
Все эти варианты не помогли.
Я просто не знаю, куда еще копать.

Comments

[20ivs]

подробней об ошибках, пожалуйста. полный текст.

[Серж Маслов]

20ivs, Как раз с этой страницы я и настраивал перевод писем на внешнюю почту, так как у меня не уходит вообще никуда. Не помогло

[Vadim]

Что ж вы всё вокруг да около?) Включите просто логи смтп, да почитайте.
https://serverfault.com/questions/236186/where-are...

Answer 1

[20ivs]

соединители отправки проверьте. если они у вас дефолтные, то проще их пересоздать.
вот посмотрите

вот еще
Get-NetworkConnectionInfo - посмотреть что думает сервер о настройках сети.

Get-TransportServer -Identity <имя сервера> | fl "DNS"

- посмотреть какие сервера он использует разрешения имен при отправке

Set-TransportServer -Identity <имя сервера> -InternalDNSservers айпишник

Set-TransportServer -Identity <имя сервера> -ExternalDNSservers айпишник

- сказать какие сервера использовать для разрешения имен внутри и снаружи.

Set-TransportServer -Identity <имя сервера> -InternalDNSAdapterGUID <GUI нужного адаптера из Get-NetworkConnectionInfo>

Set-TransportServer -Identity <имя сервера> -ExternalDNSAdapterGUID <GUI нужного адаптера из Get-NetworkConnectionInfo>

- нужно если в сервере менялась сетевая карта. Экс помнит все что в нем торчало и шлет почту исходя из прошлых настроек.

Comments

[Серж Маслов]

Это тоже было сделано.
Интересно, что команда Get-TransportServer -Identity <имя сервера> | fl "DNS" не работает, зато если написать *DNS*, тогда команда выводится без проблем.

Вот вывод команд

[PS] C:\Windows\system32>Get-TransportServer -Identity srv-mx | fl *DNS*

ExternalDNSAdapterEnabled : False
ExternalDNSAdapterGuid : b67ccffe-c1bc-4039-8f26-f2836ce2136f
ExternalDNSProtocolOption : Any
ExternalDNSServers : {8.8.8.8, 9.9.9.9}
InternalDNSAdapterEnabled : True
InternalDNSAdapterGuid : b67ccffe-c1bc-4039-8f26-f2836ce2136f
InternalDNSProtocolOption : Any
InternalDNSServers : {10.52.121.250}

[PS] C:\Windows\system32>Set-TransportServer -Identity srv-mx -InternalDNSAdapterGUID 7087f6bc-82d4-4b76-8276-1d535d6207
eb
[PS] C:\Windows\system32>Set-TransportServer -Identity srv-mx -ExternalDNSAdapterGUID 7087f6bc-82d4-4b76-8276-1d535d6207
eb
[PS] C:\Windows\system32>Get-TransportServer -Identity srv-mx | fl *DNS*

ExternalDNSAdapterEnabled : False
ExternalDNSAdapterGuid : 7087f6bc-82d4-4b76-8276-1d535d6207eb
ExternalDNSProtocolOption : Any
ExternalDNSServers : {8.8.8.8, 9.9.9.9}
InternalDNSAdapterEnabled : True
InternalDNSAdapterGuid : 7087f6bc-82d4-4b76-8276-1d535d6207eb
InternalDNSProtocolOption : Any
InternalDNSServers : {10.52.121.250}

[20ivs]

Серж Маслов,

"DNS" не работает, зато если написать *DNS*, тогда команда выводится без проблем.

да, это из-за ковычек.

по соединителям отправки что?
get-SendConnector | fl

[Серж Маслов]

В данный момент есть три соединителя
rosp send connector - Включен
rosp.nnov.ru - выключен
traceroute.lan - включен
Вот вывод команд
[PS] C:\Windows\system32>get-SendConnector | fl

AddressSpaces : {SMTP:*;1}
AuthenticationCredential :
Comment :
ConnectedDomains : {}
ConnectionInactivityTimeOut : 00:10:00
DNSRoutingEnabled : True
DomainSecureEnabled : False
Enabled : True
ErrorPolicies : Default
ForceHELO : False
Fqdn : mail.rosp.nnov.ru
HomeMTA : Microsoft MTA
HomeMtaServerId : SRV-MX
Identity : rosp send connector
IgnoreSTARTTLS : False
IsScopedConnector : False
IsSmtpConnector : True
LinkedReceiveConnector :
MaxMessageSize : 30 MB (31,457,280 bytes)
Name : rosp send connector
Port : 25
ProtocolLoggingLevel : None
RequireOorg : False
RequireTLS : False
SmartHostAuthMechanism : None
SmartHosts : {}
SmartHostsString :
SmtpMaxMessagesPerConnection : 20
SourceIPAddress : 0.0.0.0
SourceRoutingGroup : Exchange Routing Group (DWBGZMFD01QNBJR)
SourceTransportServers : {SRV-MX}
TlsAuthLevel :
TlsDomain :
UseExternalDNSServersEnabled : True

AddressSpaces : {SMTP:*;1}
AuthenticationCredential :
Comment :
ConnectedDomains : {}
ConnectionInactivityTimeOut : 00:10:00
DNSRoutingEnabled : True
DomainSecureEnabled : False
Enabled : True
ErrorPolicies : Default
ForceHELO : False
Fqdn : mail.traceroute.lan
HomeMTA : Microsoft MTA
HomeMtaServerId : SRV-MX
Identity : traceroute.lan
IgnoreSTARTTLS : False
IsScopedConnector : False
IsSmtpConnector : True
LinkedReceiveConnector :
MaxMessageSize : 10 MB (10,485,760 bytes)
Name : traceroute.lan
Port : 25
ProtocolLoggingLevel : None
RequireOorg : False
RequireTLS : False
SmartHostAuthMechanism : None
SmartHosts : {}
SmartHostsString :
SmtpMaxMessagesPerConnection : 20
SourceIPAddress : 0.0.0.0
SourceRoutingGroup : Exchange Routing Group (DWBGZMFD01QNBJR)
SourceTransportServers : {SRV-MX}
TlsAuthLevel :
TlsDomain :
UseExternalDNSServersEnabled : True

AddressSpaces : {SMTP:*;1}
AuthenticationCredential :
Comment :
ConnectedDomains : {}
ConnectionInactivityTimeOut : 00:10:00
DNSRoutingEnabled : True
DomainSecureEnabled : False
Enabled : False
ErrorPolicies : Default
ForceHELO : False
Fqdn : mail.rosp.nnov.ru
HomeMTA : Microsoft MTA
HomeMtaServerId : SRV-MX
Identity : rosp.nnov.ru
IgnoreSTARTTLS : False
IsScopedConnector : False
IsSmtpConnector : True
LinkedReceiveConnector :
MaxMessageSize : 30 MB (31,457,280 bytes)
Name : rosp.nnov.ru
Port : 25
ProtocolLoggingLevel : Verbose
RequireOorg : False
RequireTLS : False
SmartHostAuthMechanism : None
SmartHosts : {}
SmartHostsString :
SmtpMaxMessagesPerConnection : 20
SourceIPAddress : 0.0.0.0
SourceRoutingGroup : Exchange Routing Group (DWBGZMFD01QNBJR)
SourceTransportServers : {SRV-MX}
TlsAuthLevel :
TlsDomain :
UseExternalDNSServersEnabled : False

[20ivs]

Серж Маслов, выглядит нормально.
а после всех изменений службу транспорта перезапускали?

еще, у вас так же сделано?

[Серж Маслов]

Я перезапускал весь Exchange вообще.
Сделал так же, как у вас по ссылке - сделал соединитель отправки на внешние днс, а внешние DNS-запросы - на все возможные Ipv4, хотя не вижу в этом никакой логики и еще раз перезапустил службу транспорта Exchange.
Никаких изменений.

[20ivs]

Серж Маслов, а все-таки полный текст ошибок можно?

[Серж Маслов]

Вот, прям напротив писем. Мелко получилось, я не знаю, как их еще оттуда выцепить.



Хотя если открыть само сообщение, пишет вот такое
Последняя ошибка: 454 4.7.1 <почта адресата>: Relay access denied

[20ivs]

Серж Маслов, что-то у меня сомнения уже, что проблема в exchange, а не в сети.

[20ivs]

Серж Маслов, что есть в сети для защиты exchange? TMG? WebApp?

[Серж Маслов]

20ivs, Связь между серверами работает без перебоев, тем более на серверах ДНС, откуда Экс берет данные не менялись на момент поломки.
Единственное, что после инцидента, на резервном КД (где находится NS2 и зоны ДНС) была проверена репликация с основным КД и поправлены ошибки несоответствия зон ДНС.

[Серж Маслов]

20ivs, Честно говоря я даже не знаю.

[Серж Маслов]

20ivs, доступ извне можно получить через Outlook web app(OWA) - это тоже самое?)

[20ivs]

Серж Маслов, в таком случае не поленитесь проверить 25 порт на самом exchange, открыт ли в брандмауере (исходящий).
полагаю, про разного рода касперских спрашивать не надо и их точно нет на сервере.

[20ivs]

Серж Маслов, OWA - не то же самое. это 443 порт. а у вас не отправляется с 25го.

[20ivs]

Серж Маслов, и еще, на будущее. в IIS сделайте редирект с http на https для OWA. это к сегодняшнему делу не относится, просто ремарка.

[Серж Маслов]

20ivs, я брандмауэр вообще выключил на exchange, но сейчас посмотрел - на нем есть 2 правила MSExcahgeTransportWorker по 25 порту и оба разрешены были.
Да, антивирусов на почтовом сервере нет.

[20ivs]

Серж Маслов, это вы зря. включите и настройте как положено. 443 и 25 должны быть открыты.

[20ivs]

Серж Маслов, письма в очереди висят на разные домены или на какой-то конкретный? пробовали отправку на что-то типа gmail?

[Серж Маслов]

20ivs, на все - и gmail и Яндекс и прочие и прочие

[20ivs]

Серж Маслов, https://www.testconnectivity.microsoft.com/ тест Outbound SMTP Email

[Серж Маслов]

20ivs, Выполнение проверки идентификатора отправителя.
Проверка идентификатора отправителя была успешно выполнена.

дополнительные детали

Истекшее время: 322 мс

Тестовые шаги

Попытка найти запись SPF с помощью запроса записи DNS TEXT.
Microsoft Connectivity Analyzer не удалось найти запись SPF.

дополнительные детали

Текстовые записи были найдены, но анализатор подключений Microsoft не смог найти записи SPF.
Найдено записей:
"v = spf = v1 + a + mx -all"
Истекшее время: 322 мс

[Серж Маслов]

20ivs, все остальные проверки успешны.

[Серж Маслов]

20ivs, поправил SPF запись, теперь все проверки исходящей SMTP почты проходит без ошибок и предупреждений

[20ivs]

Серж Маслов, защита от спама не настроена ли? в частности postfix у вас там не встречался нигде?

[Серж Маслов]

20ivs, Да, стоит postfix. Но его настраивал человек, который его же и поднимал. Раньше были там в логах ошибки, но сейчас они не появляются. Единственное, что я могу сказать)

[20ivs]

Серж Маслов, вот он и отфутболивает письма с вашего сервера.

[Серж Маслов]

20ivs, А как это можно посмотреть? Где это выяснить?

[20ivs]

Серж Маслов, в первую очередь посмотреть логи самого postfix. а вообще очевидно, что после смены IP exchange postfix его не знает и, разумеется, не доверяет.
посмотрите это.

[Серж Маслов]

20ivs, все ипшники поменяны, но вы правы. В логах сплошное access denied, буду пытаться разбираться, с Линуксом у меня еще хуже, чем с Exchange

[20ivs]

Серж Маслов, я, к сожалению, postfix в качестве антиспама не разворачивал, врядли помогу оперативно с этим. попробуйте новый вопрос создать с тегом postfix. тут есть знатоки.

[Серж Маслов]

20ivs, сейчас звонил спецу по postfix, он меня заверил, что relay стоит только на прием почты, а не на отправку, а отправляет сам Экс, мол, для этого у него и есть соединитель отправки
Он говорит - либо Exchange либо маршрутизатор( у меня Mikrotik Rb2011)

[20ivs]

Серж Маслов, тогда в письмах в очереди не было бы данной ошибки:

454 4.7.1 <почта адресата>: Relay access denied

Answer 2

[akelsey]

Первая странность: Два сендконнектора с AddressSpaces : {SMTP:*;1} - у обоих выключен Verbose Logging (у выключенного - включен)
Вторая странность: Несмотря на то что оба сендконнектора не имеют смартхостов, по приведенной ошибке - используется рилей, на котором не включена возможность рилееть с нового IP Exchange.

Рекомендация включить вербоз логгинг на обоих, сделать тестовую сессию отправки письма. Найти в логе сессию, по айди отфильтровать, наконец понять кто рубит почту.