我们有许多通过Exchange 2010服务器发送电子邮件的设备。 这些设备都使用域用户在发送邮件之前进行身份validation,并在2010年工作正常。我们现在正在迁移到Exchange 2016,我试图configuration接收连接器允许相同的事情,但我不能得到它工作。 以下是我的接收连接器的configuration:
[PS] C:\>Get-ReceiveConnector "EX2016\default frontend EX2016" | fl RunspaceId : 68459e4b-3af8-411d-a616-7db360d20905 AuthMechanism : Tls, Integrated, BasicAuth, BasicAuthRequireTLS, ExchangeServer Banner : BinaryMimeEnabled : True Bindings : {[::]:25, 0.0.0.0:25} ChunkingEnabled : True DefaultDomain : DeliveryStatusNotificationEnabled : True EightBitMimeEnabled : True SmtpUtf8Enabled : False BareLinefeedRejectionEnabled : False DomainSecureEnabled : True EnhancedStatusCodesEnabled : True LongAddressesEnabled : False OrarEnabled : False SuppressXAnonymousTls : False ProxyEnabled : False AdvertiseClientSettings : False Fqdn : EX2016.example.com ServiceDiscoveryFqdn : TlsCertificateName : Comment : Enabled : True ConnectionTimeout : 00:10:00 ConnectionInactivityTimeout : 00:05:00 MessageRateLimit : Unlimited MessageRateSource : IPAddress MaxInboundConnection : 5000 MaxInboundConnectionPerSource : 20 MaxInboundConnectionPercentagePerSource : 2 MaxHeaderSize : 256 KB (262,144 bytes) MaxHopCount : 60 MaxLocalHopCount : 5 MaxLogonFailures : 3 MaxMessageSize : 25 MB (26,214,400 bytes) MaxProtocolErrors : 5 MaxRecipientsPerMessage : 200 PermissionGroups : AnonymousUsers, ExchangeServers, ExchangeLegacyServers PipeliningEnabled : True ProtocolLoggingLevel : Verbose RemoteIPRanges : {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} RequireEHLODomain : False RequireTLS : False EnableAuthGSSAPI : False ExtendedProtectionPolicy : None LiveCredentialEnabled : False TlsDomainCapabilities : {} Server : EX2016 TransportRole : FrontendTransport RejectReservedTopLevelRecipientDomains : False RejectReservedSecondLevelRecipientDomains : False RejectSingleLabelRecipientDomains : False SizeEnabled : Enabled TarpitInterval : 00:00:05 MaxAcknowledgementDelay : 00:00:30 AdminDisplayName : ExchangeVersion : 0.1 (8.0.535.0) Name : Default Frontend EX2016 DistinguishedName : CN=Default Frontend EX2016,CN=SMTP Receive Connectors,CN=Protocols,CN=EX2016,CN=Servers,CN=Exchange Administrative Group (###########),CN=Administrative Groups,CN=Org Unit,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=caymanport, DC=com Identity : EX2016\Default Frontend EX2016 ObjectCategory : example.com/Configuration/Schema/ms-Exch-Smtp-Receive-Connector ObjectClass : {top, msExchSmtpReceiveConnector} WhenChanged : 20/09/2016 8:21:49 AM WhenCreated : 08/09/2016 8:02:11 AM WhenChangedUTC : 20/09/2016 1:21:49 PM WhenCreatedUTC : 08/09/2016 1:02:11 PM OrganizationId : Id : EX2016\Default Frontend EX2016 OriginatingServer : dc.example.com IsValid : True ObjectState : Unchanged 这是连接尝试的SMTP日志:
+,, >,"220 EX2016.example.com Microsoft ESMTP MAIL Service ready at Tue, 20 Sep 2016 07:18:27 -0500", <,EHLO printer.example.com, >,250 EX2016.example.com Hello [172.16.113.55] SIZE 26214400 PIPELINING DSN ENHANCEDSTATUSCODES STARTTLS X-ANONYMOUSTLS AUTH NTLM X-EXPS GSSAPI NTLM 8BITMIME BINARYMIME CHUNKING XRDST, <,AUTH NTLM, >,334 <authentication response>, >,334 <authentication response>, *,,Inbound Negotiate failed because of LogonDenied *,,User Name: NULL *,Tarpit for '0.00:00:05' due to '535 5.7.3 Authentication unsuccessful', >,535 5.7.3 Authentication unsuccessful, -,,Remote(SocketError)
我不认为我应该使用匿名中继连接器,因为我使用域用户名/密码进行身份validation。 我究竟做错了什么?
编辑:我应该注意到,这些打印机需要能够发送外部以及内部的电子邮件。
首先,我不会碰到默认的接收连接器。 在这些情况下,我总是创build一个新的接收连接器。 所以我会把事情放回原样。 您不希望端口25上的身份validation启用的接收连接器暴露于Internet – 这是要求进行身份validation的用户攻击。
然后创build一个新的接收连接器。 您将需要使用PWS,因为ECP GUI目前只创build后端types,而您需要一个前端。 将其locking到设备的特定IP地址。 然后,您需要在权限组下启用身份validationtypes和Exchange用户 – 基本上与客户端前端接收连接器相同,但在不同的端口上,可能没有TLS。
然后重新启动MS Exchange传输服务。
GeeksWithBlogs.net的这篇文章向我展示了如何设置扩展的AD权限,以接受来自任何用户的身份validation连接到任何地址。
基础是创build一个安全组的用户,允许对Exchange进行身份validation发送邮件。 添加你想要的任何用户到这个组。 然后将ms-Exch-SMTP-Submit扩展权限添加到您的默认前端连接器。 由于前端连接器只是中继到客户端代理连接器,所以您必须添加所有实际的接受权限,而不是前端。