
|

|
Главная / Форумы / Общие вопросы по Exchange 2003
Форум «Общие вопросы по Exchange 2003» |
 |
Версия для печати |
|
Сообщения 1 - 10 из 15
Начало | Пред. | 1 2 | След. | Конец |
maxrule
Заглянувший
Всего сообщений: 25
Дата регистрации: 27.09.2006
|
Создано: 29.11.2006 04:45:16
|
У меня такая проблема:
стоит Ексч2003 внутри локальной сети. Почта внутри этой сети ходит нормально.Также нормально почта ходит и в инет, но вот на некоторые адреса(инетовские) - почта не доходит, и приходит сообщение об ошибке:
Сообщение не получили следующие получатели:
[email protected] 29.11.2006 13:54
Отсутствуют разрешения для отправки сообщений данному получателю. Обратитесь за помощью к системному администратору.
... Relaying denied>
не мону понять в чем дело, кто - нибудь помогите,
начальство уже кипетком писает
|
|
|
Гость
Гость
|
Создано: 29.11.2006 04:54:47
|
maxrule,
|
maxrule пишет:
начальство уже кипетком писает |
Тяжело им
А вам надо обратную зону на ДНС прописать Наверное у начальства на gmail почта не идет
|
|
|
maxrule
Заглянувший
Всего сообщений: 25
Дата регистрации: 27.09.2006
|
Создано: 29.11.2006 05:00:00
|
значит дело такое:
наш внешний IP выдан одной конторой;
за доменное имя отвечает другая контора;
где именно нужно обр. зону прописать
|
|
|
Dakl
Заслуженный посетитель
Всего сообщений: 2856
Дата регистрации: 20.09.2006
|
Создано: 29.11.2006 05:12:46
|
maxrule,
Ну кто держит ваш ДНС c вашей MX записью тот и делает.
C уважением Д.К.
|
|
|
Николай Кравченко
Заглянувший
Всего сообщений: 16
Дата регистрации: 31.07.2006
|
Создано: 30.11.2006 02:56:25
|
 |
Только собирался подобный вопрос задать..
|
Dakl пишет:
maxrule,
Ну кто держит ваш ДНС c вашей MX записью тот и делает. |
Вот это интересно.. Или я чего-то не понимаю? PTR-запись делает как раз провайдер доступа, который внешний IP выделяет. Довольно типичная ситуация для небольших организаций. Доступ в инет и белый IP от одной организации, зону firma.ru держит другая организация, в AD на SBS - firma.local, почтовый домен firma.ru, письма наружу идут через встроенный Exchange, получают через pop-connector с сервера держателя зоны firma.ru. И что получается в итоге?
Вариант 1. Записи A, MX, PTR прописывает держатель зоны ДНС firma.ru Почтовый сервер получателя видя письмо не с того ip, что прописан в PTR, письмо отбраковывает с заявами "несоответствие IP отправителя PTR записи домена"(точный код ошибки в "Часто Задаваемые Вопросы нашего форума")
Вариант 2. A и MX делает держатель зоны ДНС, PTR-запись делает провайдер доступа на тот ip, что выделен организации. Почтовый сервер из предыдущего пункта письмо пропускает, все довольны. Но появляются другие почтовые серверы, которые говорят, мол, а у тебя-то А-запись и PTR-запись разные! Получи свою ошибку 5.7.1 и будь здоров.
Вопрос. Как правильно сделать A, MX и PTR записи, чтобы все были довольны?
|
|
|
maxrule
Заглянувший
Всего сообщений: 25
Дата регистрации: 27.09.2006
|
Создано: 30.11.2006 03:08:48
|
добрый день Николай Кравченко, вы очень точно описали мою ситуацию:
"Вот это интересно.. Или я чего-то не понимаю? PTR-запись делает как раз провайдер доступа, который внешний IP выделяет. Довольно типичная ситуация для небольших организаций. Доступ в инет и белый IP от одной организации, зону firma.ru держит другая организация, в AD на SBS - firma.local, почтовый домен firma.ru, письма наружу идут через встроенный Exchange, получают через pop-connector с сервера держателя зоны firma.ru. И что получается в итоге? "
в связм с этим вопрос: как это все разрулить?
|
|
|
Dakl
Заслуженный посетитель
Всего сообщений: 2856
Дата регистрации: 20.09.2006
|
Создано: 30.11.2006 03:11:38
|
 |
|
Николай Кравченко пишет:
исьма наружу идут через встроенный Exchange, получают через pop-connector с сервера держателя зоны firma.ru. |
Да почему через POP коннектор то...или это ваше условие?
А вообще вот нечно общее
сначала проверьте себя
www.dnsreport.com
А потом посмотрите рекомендации.
При настройке DNS для почтового сервера рекомендуется соблюдать следующие правила:
1. Сервер исходящей почты должен представляться в команде HELO/EHLO своим внешним FQDN (http://lingvo.yandex.ru/en?text=FQDN) (т.е., например, не mail.firma.local, а mail.firma.ru)
2. FQDN сервера исходящей почты должно однозначно разрешаться записью A во внешний IP-адрес сервера исходящей почты.
3. Внешний IP-адрес сервера исходящей почты должен однозначно разрешаться записью PTR во внешний FQDN сервера исходящей почты (т.е. A, PTR и HELO/EHLO должны однозначно соответствовать друг другу).
4. Сервер исходящей почты должен быть указан в записях SPF (http://www.openspf.org/) всех доменов, для которых он является авторизованным для отправки или пересылки почты.
5. Запись MX должна существовать и указывать на FQDN сервера входящей почты.
Пример1: один сервер (FQDN = HELO/EHLO = mail.firma.ru), один почтовый домен firma.ru.
Записи в DNS (в соответствующих зонах):
mail.firma.ru. A 1.1.1.1 ; HELO/EHLO = mail.firma.ru
firma.ru. MX 30 mail.firma.ru.
firma.ru. TXT “v=spf1 a:mail.firma.ru -all”
1.1.1.1.in-addr.arpa. PTR mail.firma.ru.
Пример2: два собственных сервера входящей почты mail1.firma.ru и mail2.firma.ru, собственный сервер исходящей почты exchange.firma.ru, запасной сервер исходящей почты у запасного провайдера relay.isp.net, сервер исходящей почты филиала mail.urupinsk.net, почтовые домены superfirma.ru и myfirma.com, домен firma.ru для отправки почты не используется:
Записи в DNS (в соответствующих зонах):
superfirma.ru. MX 10 mail2.firma.ru.
superfirma.ru. MX 20 mail1.firma.ru.
myfirma.com. MX 10 mail1.firma.ru.
myfirma.com. MX 50 mail2.firma.ru.
exchange.firma.ru. A 1.1.1.1 ; HELO/EHLO= exchange.firma.ru.
1.1.1.1.in-addr.arpa. PTR exchange.firma.ru.
relay.isp.net. A 2.2.2.2 ; HELO/EHLO= relay.isp.net.
2.2.2.2.in-addr.arpa. PTR relay.isp.net.
mail.urupinsk.net. A 3.3.3.3 ; HELO/EHLO= mail.urupinsk.net.
3.3.3.3.in-addr.arpa. PTR mail.urupinsk.net.
superfirma.ru. TXT “v=spf1 a:exchange.firma.ru a:relay.isp.net a:mail.urupinsk.net –all”
myfirma.com. TXT “v=spf1 a:exchange.firma.ru a:relay.isp.net a:mail.urupinsk.net –all”
firma.ru. TXT “v=spf1 –all” ; домен для электронной почты не используется
mail1.firma.ru. A 4.4.4.4
mail2.firma.ru. A 5.5.5.5
4.4.4.4.in-addr.arpa. PTR mail1.firma.ru.
5.5.5.5.in-addr.arpa. PTR mail2.firma.ru.
C уважением Д.К.
|
|
|
Николай Кравченко
Заглянувший
Всего сообщений: 16
Дата регистрации: 31.07.2006
|
Создано: 30.11.2006 04:02:23
|
 |
|
Dakl пишет:
Да почему через POP коннектор то...или это ваше условие? |
Это не мое условие, это реальность у многих-многих небольших организаций. В том числе и в моей. В том числе и потому что принимать почту на свой Exch не всегда удобно, гораздо спокойней эту обязаннось взвалить на держателя зоны firma.ru (причин 5 тому назову сам. еще с пяток добавят остальные)
Тем не менее, даже если принимать почту на свой Exch, т.е. исправить MX-запись, то ошибки 5.7.1 и соответственно отбраковки письма принимающим почтовиком это не исправит.
Цитирую вчарашний лог: "550 5.7.1 Relaying denied. IP name forged (PTR and A records mismatch) for my.ip.address .
Что сказал принимающий сервер? "Ты шлешь письмо от имени домена firma.ru Я такой умный проверил твои A и PTR записи, а они не совпадают! Ты злобный спамер и пошелнафик"
Другими, словами, если бы я на своем единственном айпишнике держал и публичный домен firma.ru, и с него же отправлял почту, тогда да, злобный почтарь пропустил бы мое письмо. Но firma.ru по-любому на ip держателя этой зоны записана будет. А отправляю письма я со своего ip.
Остальные ваши рекомендации, Dakl, я обязательно проверю у себя. Спасибо.
|
|
|
Павел Козлов
Редактор
Всего сообщений: 1152
Дата регистрации: 07.11.2005
|
Создано: 30.11.2006 05:30:41
|
Добрый день Коллеги
Я бы хотел отметить что на сегодняшний момент проверка на спам осуществляется в том чичле и по ПРАВИЛЬНО настроенному DNS, Dakl, описал все очень четко, проверка на PTR является уже стандартом дефакто, проверка по SPF не столь распостранена но используется не малым числом вендоров антиспам софта.
По стандарту протокола SMTP играет роль именно те адреса с которых идет коннект на сервер получателя. Поэтому все остальные DNS записи должны "отталкиваться" от этого адреса.
Если итоговый коннект идет с адреса 1.1.1.1, то это адрес должен принадлежать зоне firma.ru, т.е. ему должны соответствовать записи A и PTR.
--------------------
С уважением,
Павел Козлов
|
|
|
Павел Козлов
Редактор
Всего сообщений: 1152
Дата регистрации: 07.11.2005
|
Создано: 30.11.2006 05:34:09
|
Коллеги не играет значения, кто держит зону, у кого хостится DNS и у кого стоит шлюз для приема и отправки почты. Я знаю одну организаци где зона прямого просмотра на одной фирме, обратного на другой, а владелец зоны третий человек. Все эти структуры к организации не имеют никакого отношения, однако почта ходит исправно.
--------------------
С уважением,
Павел Козлов
|
|
Сообщения 1 - 10 из 15
Начало | Пред. | 1 2 | След. | Конец |
|
 |
|