Дата последнего изменения раздела:
2007-03-14
Анализатор сервера Microsoft® Exchange пытается передать сообщение через SMTP-сервер, выполняя следующие задачи:
- Открытие сокет-подключения к серверу SMTP. Если анализатор
сервера Exchange получает код отклика 220, считается, что
этот шаг завершен успешно.
- Передача команды SMTP EHLO. Если анализатор сервера
Exchange получает ряд кодов отклика 250, в том числе отклик,
который содержит код 250-X-LINK2STATE и 250-XEXCH50,
считается, что этот шаг завершен успешно.
- Передача команды SMTP MAIL FROM:
ExBPA-OpenRelayTest@Fabrikam.com. Если анализатор сервера
Exchange получает код отклика 250, считается, что этот шаг
завершен успешно.
- Передача команды SMTP RCPT TO:
ExBPA-OpenRelayTest@Fabrikam.com. Если анализатор сервера
Exchange получает код отклика 250, считается, что этот шаг
завершен успешно.
Анализатор сервера Exchange также запрашивает класс инструментария управления Microsoft Windows (WMI) Win32_OperatingSystem, чтобы определить значение ключа OSProductSuite. Значение этого ключа соответствует определенной версии операционной системы сервера Windows.
Если анализатор сервера Exchange может успешно выполнить все шаги на компьютере сервера Exchange, который входит в состав установки Microsoft Small Business Server 2000 или Microsoft Windows Small Business Server 2003, возвращается ошибка.
Эта ошибка означает, что данный сервер настроен как открытый ретранслятор.
Включать открытую ретрансляцию не рекомендуется.
Открытая ретрансляция имеет место, когда почтовый сервер разрешает передавать почтовые сообщения через систему без каких-либо ограничений или какой-либо обработки транзитной электронной почты.
Примечание. |
---|
Данная ошибка может возникнуть, если по некоторым причинам в организации Exchange используется SMTP-домен по имени Fabrikam.com. В этом случае можно безопасно игнорировать эту ошибку. Домен Fabrikam.com принадлежит корпорации Майкрософт и используется для обучения, распространения документации и подобных целей. |
Сама по себе ретрансляция как технология не имеет каких-либо отрицательных аспектов, поскольку протокол SMTP был разработан именно с этой целью (дополнительные сведения см. в документе RFC 2821, разделы 2.1 и 3.7 (http://ietf.org)). Однако если ретрансляцией не управлять (неконтролируемые серверы называются открытыми серверами ретрансляции), ее потенциально могут использовать для массовой рассылки нежелательных почтовых сообщений (спама или навязчивой рекламы). Перебрасывая эти нежелательные сообщения между промежуточными серверами, недобросовестные пользователи пытаются скрыть данные их идентификации. При этом также расходуются ресурсы на сервере ретрансляции, что может мешать ему обрабатывать допустимые сообщения. В большинстве случаев пользователи, которые занимаются рассылкой таких нежелательных сообщений, отправляют одно сообщение огромному числу получателей, не используя при этом свою собственную пропускную способность.
Анонимная ретрансляция на виртуальных SMTP-серверах, доступных из Интернета, должна быть запрещена. В стандартной конфигурации Exchange ретрансляция почты разрешается только пользователям, прошедшим проверку подлинности. Только пользователи, прошедшие проверку подлинности, могут использовать Exchange для отправки почты на внешние домены. Если изменить применяемые по умолчанию настройки ретрансляции, чтобы разрешить ретрансляцию не прошедшим проверку подлинности пользователям, или если разрешить открытую ретрансляцию на домен через соединитель, неавторизованные пользователи и опасные сетевые черви могут использовать сервер Exchange для рассылки спама. Сервер может быть занесен в список блокируемых доменов, что приведет к невозможности отправлять почту доверенным удаленным серверам. Чтобы воспрепятствовать неавторизованными пользователям использовать сервер Exchange для ретрансляции почты, нужно как минимум использовать применяемые по умолчанию ограничения ретрансляции.
При наличии законных оснований для ретрансляции следуйте стандартным инструкциям, чтобы обеспечить безопасность своей среды. Обычно для этого нужно оставить все установленные по умолчанию запреты и добавить только IP-адреса, переданная с которых почта должна приниматься, и отключить доступ для пользователей, прошедших проверку подлинности.
Проверьте, как встроенные учетные записи (локальный администратор) и другие пользователи используются на шлюзовых серверах. Маловероятно, что встроенные учетные записи используются для какого-либо вида ретрансляции. Если используется ретрансляция, она, вероятно, осуществляется известным набором пользователей или компьютеров. Рекомендуется ограничить права ретрансляции для явных пользователей и компьютеры или на определенный IP-адрес.
Дополнительно обезопасить сервер поможет установка явного разрешения на ретрансляцию. Опасные пользователи могут использовать атаки с перебором, пытаясь получить пароли встроенных учетных записей или учетных записей пользователей, найденных в Интернете, для использования соответствующих серверов как прокси-серверов для рассылки нежелательной почты. Поэтому настройка по умолчанию, которая разрешает ретрансляцию любому компьютеру, прошедшему проверку подлинности, для компьютеров, доступных из Интернета, не рекомендуется. Этот параметр рекомендуется отключить.
В следующих процедурах показано, как отключить анонимную ретрансляцию в зависимости от того, доступен ли виртуальный SMTP-сервер из Интернета. Как уже упоминалось ранее в этой статье, включение любого вида анонимной ретрансляции допустимо только в случаях, когда риск безопасности понятен и приемлем для организации. Ссылки в конце этой статьи содержат подробные сведения об использовании ретрансляции.
Если виртуальный SMTP-сервер недоступен из Интернета, рекомендуется восстановить конфигурацию ретрансляции к значениям по умолчанию. При этом виртуальные SMTP-серверы будет разрешать только внутреннюю ретрансляцию от компьютеров, прошедших проверку подлинности.
Для виртуальных SMTP-серверов, доступных из Интернета, рекомендуется дополнительно обезопасить применяемые по умолчанию конфигурации ретрансляции таким образом, чтобы позволить ретрансляцию только пользователям и компьютерам с явным разрешением.
Если на сервере Exchange настроена блокировка ретрансляции, но в анализаторе сервера Exchange все еще возникает эта ошибка, проверьте, не разрешает ли анонимную ретрансляции какой-либо прокси-сервер или процесс, такой как межсетевой экран, антивирус или программное обеспечение противодействия нежелательной почте.
Чтобы восстановить настройки по умолчанию для конфигураций анонимной ретрансляции на внутренних виртуальных SMTP-серверах
-
Откройте диспетчер Exchange.
-
В дереве консоли разверните узел Серверы, разверните нужный сервер, разверните узел Протоколы, а затем разверните узел SMTP.
-
Щелкните правой кнопкой мыши виртуальный сервер SMTP, на котором нужно применить ограничения ретрансляции, и в контекстном меню выберите Свойства.
-
В окне <Виртуальный сервер SMTP:> Свойства, откройте вкладку Доступ и выберите Ретрансляция.
-
В разделе Ограничения ретрансляции в поле Выберите компьютер для ретрансляции через этот виртуальный сервер выберите Только указанные в списке, установите флажок Разрешить ретрансляцию всем компьютерам, которые успешно прошли проверку подлинности, независимо от указанных в списке и нажмите кнопку ОК.
Чтобы настроить явное разрешение на ретрансляцию для виртуальных SMTP- серверов, доступных из Интернета, на сервере Exchange 2003
-
Откройте диспетчер Exchange.
-
В дереве консоли разверните узел Серверы, разверните нужный сервер, разверните узел Протоколы, а затем разверните узел SMTP.
-
Щелкните правой кнопкой мыши виртуальный сервер SMTP, на котором нужно применить ограничения ретрансляции, и в контекстном меню выберите Свойства.
-
В окне <Виртуальный сервер SMTP:> Свойства, откройте вкладку Доступ и выберите Ретрансляция.
-
В разделе Ограничения ретрансляции снимите флажок Разрешить ретрансляцию всем компьютерам, которые успешно прошли проверку подлинности, независимо от указанных в списке и затем нажмите кнопку Пользователи, чтобы указать подмножество пользователей, которым будут предоставлены разрешения на ретрансляцию на этом виртуальном SMTP-сервере.
-
Чтобы удалить пользователя или группу, в списке Разрешения на отправку и ретрансляцию выберите группу или пользователя и нажмите кнопку Удалить.
-
Чтобы добавить группу или пользователя, нажмите кнопку Добавить и затем выберите пользователей или группу, для которых нужно задать разрешения. Выполните одну из следующих процедур:
- В Microsoft Windows Server™ 2003 в окне Выбор:
Пользователи, Компьютеры или Группы в поле Введите имена
выбираемых объектов введите имя пользователя или группы. Чтобы
найти пользователя или группу, нажмите кнопку Дополнительно,
найдите имя пользователя или группы и нажмите кнопку Проверка
имен, чтобы проверить правильность ввода.
Совет. Щелкните ссылку примеры, чтобы просмотреть допустимые форматы для ввода. - В Windows 2000 Server в окне Выбор: Пользователи, Компьютеры
или Группы выберите группу или пользователей, которым нужно
предоставить разрешения на отправку, и нажмите кнопку
Добавить.
- В Microsoft Windows Server™ 2003 в окне Выбор:
Пользователи, Компьютеры или Группы в поле Введите имена
выбираемых объектов введите имя пользователя или группы. Чтобы
найти пользователя или группу, нажмите кнопку Дополнительно,
найдите имя пользователя или группы и нажмите кнопку Проверка
имен, чтобы проверить правильность ввода.
-
Нажмите кнопку ОК, чтобы вернуться к диалоговому окну Разрешения на отправку и ретрансляцию.
-
В списке Имена групп или пользователей выберите только что добавленную группу.
-
В разделе Разрешения для <выбранная группа>, рядом с полем Разрешение на отправку при необходимости установите флажок Разрешить , чтобы разрешить выбранному пользователю или группе отправлять почту через данный виртуальный SMTP-сервер.
-
Рядом с полем Разрешения на ретрансляцию установите флажок Разрешить, чтобы разрешить выбранному объекту ретрансляцию через данный виртуальный SMTP-сервер, или установите флажок Запретить, чтобы воспрепятствовать ретрансляции выбранным объектом через этот виртуальный сервер.
Примечание. Если требуется разрешить ретрансляцию, необходимо предоставить также разрешения на отправку. -
Нажмите кнопку ОК.
Чтобы настроить разрешение на ретрансляцию для виртуальных SMTP- серверов, доступных из Интернета, на сервере Exchange 2000
-
Откройте диспетчер Exchange.
-
В дереве консоли разверните узел Серверы, разверните сервер, который нужно настроить, разверните узел Протоколы, а затем разверните узел SMTP.
-
Щелкните правой кнопкой мыши виртуальный сервер SMTP, на котором нужно применить ограничения ретрансляции, и в контекстном меню выберите Свойства.
-
В окне <Виртуальный сервер SMTP:> Свойства, откройте вкладку Доступ и выберите Ретрансляция.
-
В разделе «Выберите компьютер для ретрансляции через этот виртуальный сервер» выберите вариант Только указанные в списке.
-
Нажмите кнопку Добавить, чтобы добавить отдельный компьютер, группу компьютеров или имя домена SMTP, и нажмите кнопку ОК. Повторите этот шаг для каждого дополнительного объекта, который нужно добавить.
-
Установите флажок Разрешить ретрансляцию всем компьютерам, которые успешно прошли проверку подлинности, независимо от указанных в списке и затем дважды нажмите кнопку ОК.
Дополнительные сведения о ретрансляции сообщений и безопасности см. в следующих руководствах из технической библиотеки сервера Exchange 2003:
- Руководство по транспорту и маршрутизации сервера
Exchange 2003 (может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=47579).
- Противодействие вирусам, распространяемым через электронную
почту, в среде Exchange 2003 (может быть на английском языке)
(http://go.microsoft.com/fwlink/?linkid=47587)
Дополнительные сведения о тестировании и защите открытой ретрансляции в среде Exchange и Microsoft Windows см. в статье 304897 базы знаний корпорации Майкрософт «SMTP relay behavior in Windows 2000, Windows XP, and Exchange Server» (Особенности SMTP-ретрансляции в Windows 2000, Windows XP и Exchange Server) (http://go.microsoft.com/fwlink/?LinkId=3052&kbid=304897).