Relay restrictions
Модератор: Модераторы
Сообщений: 9
• Страница 1 из 1
wizard2k » 20 апр 2004, 11:35
MS Exchange 2000 sp3
безопасность настроена таким образом что релаить наружу (как это правильно и по русски?) можно только из локальной сети (192.168.1.*)
и это сразу перекрыло поток китайского спама который патылся пробратся на мой сервер
теперь возникла необходимость чтобы некоторые пользователи, подсоединяясь из вне (pop3/smtp/imap) могли так же и отправлять почту на ружу.
насколько я понимаю если я у Virtual SMTP Server отключу Anonimouse Access то ко мне почта вообще не будет проходить :-(
если я скажу Allow all computer which successful aut.... то опять попрет спам.
как не пропустить релайный спам и при этом разрешить релаить определенным пользователям
безопасность настроена таким образом что релаить наружу (как это правильно и по русски?) можно только из локальной сети (192.168.1.*)
и это сразу перекрыло поток китайского спама который патылся пробратся на мой сервер
теперь возникла необходимость чтобы некоторые пользователи, подсоединяясь из вне (pop3/smtp/imap) могли так же и отправлять почту на ружу.
насколько я понимаю если я у Virtual SMTP Server отключу Anonimouse Access то ко мне почта вообще не будет проходить :-(
если я скажу Allow all computer which successful aut.... то опять попрет спам.
как не пропустить релайный спам и при этом разрешить релаить определенным пользователям
domovoy » 20 апр 2004, 11:53
wizard2k
Я рассудил проше, если пользователь выходит из дома в инет, то у него есть провайдер, если есть провайдер то у провайдера есть smtp сервер, и он к моему пользователю ближе чем офисный почтовый сервер, вот пусть и отправляет через него. Как говорится и волки сыты и сервера целы
Чего и тебе рекомендую, ну или как вариант настраивай VPN или WebAccess.
Я рассудил проше, если пользователь выходит из дома в инет, то у него есть провайдер, если есть провайдер то у провайдера есть smtp сервер, и он к моему пользователю ближе чем офисный почтовый сервер, вот пусть и отправляет через него. Как говорится и волки сыты и сервера целы
Чего и тебе рекомендую, ну или как вариант настраивай VPN или WebAccess.
Правильно заданный вопрос - это уже половина ответа.
wizard2k » 20 апр 2004, 12:03
из решения до которого я смог додуматься - запустить второй Virtual Server на котором включить SMTP аутентификацию пользователей, но снять ограничение по релаю. это оно ?
domovoy » 20 апр 2004, 13:26
wizard2k
и в результате открыть на нем релей ;-)
так как работают оба по одному адресу ;-) даже если разнес по адресам релей открыт фактически, аутентификация это защита, но имхо лучще вообще его закрыть и пускай пользуются провайдерским.
и в результате открыть на нем релей ;-)
так как работают оба по одному адресу ;-) даже если разнес по адресам релей открыт фактически, аутентификация это защита, но имхо лучще вообще его закрыть и пускай пользуются провайдерским.
Правильно заданный вопрос - это уже половина ответа.
wizard2k » 21 апр 2004, 06:37
хм. я не совсем понял природу опасности на которую вы указали ...
или система аутентификации настолько ненадежна ?
или система аутентификации настолько ненадежна ?
domovoy » 21 апр 2004, 10:14
wizard2k
Я сейчас на вскидку не вспомню, но проскакивала статья, что при включенной аутентификации в некоторых случаях (наверняка не установленный заплатах и SP) Exchnage может пропускать спам который идет якобы от его служебной учетной записи.
Кстати могу соврать просто из локалки сейчас не проверить полностью.
Но при включении Allow all computer which successful aut.... при отправке почты из локальной сети, прописанной там же как разрешенной в Relay, аутентификация на отправку не требуется (это только что проверил).
Когда то я настраивал такое для своих, при отправке из вне помоему достаточно указать аутентификацию и все, то еcть для отправки достаточно выполнения одного из правил или аутентификации или IP из диапазона прописанных.
Так что второго SMTP сервера не требуется.
Я сейчас на вскидку не вспомню, но проскакивала статья, что при включенной аутентификации в некоторых случаях (наверняка не установленный заплатах и SP) Exchnage может пропускать спам который идет якобы от его служебной учетной записи.
Кстати могу соврать просто из локалки сейчас не проверить полностью.
Но при включении Allow all computer which successful aut.... при отправке почты из локальной сети, прописанной там же как разрешенной в Relay, аутентификация на отправку не требуется (это только что проверил).
Когда то я настраивал такое для своих, при отправке из вне помоему достаточно указать аутентификацию и все, то еcть для отправки достаточно выполнения одного из правил или аутентификации или IP из диапазона прописанных.
Так что второго SMTP сервера не требуется.
Правильно заданный вопрос - это уже половина ответа.
wizard2k » 22 апр 2004, 13:11
в этом случае аутентификация не требуется если стоит allow anonymous access т.е. любой зашедший анонимно считается прошедшим авторизацию ...
и соотеветственно если стоит галка Allow all computer which successful aut... то мы открываем ворота транзитному спаму.
а если не ставить allow anonymous access то почта из вне приходить не будет (да и внутренним клиентам придется суетится с настройки SMTP авторизации)
или я чего то не понимаю или одно из двух.
и соотеветственно если стоит галка Allow all computer which successful aut... то мы открываем ворота транзитному спаму.
а если не ставить allow anonymous access то почта из вне приходить не будет (да и внутренним клиентам придется суетится с настройки SMTP авторизации)
или я чего то не понимаю или одно из двух.
domovoy » 22 апр 2004, 13:44
То, что ставится в Relay относится к отправке сообщений пользователем через сервер.
Остальное относится к отправке сообшений на сервер, то есть это входяшие сообщения.
Если снять галочку allow anonymous access, то если мне память не изменяет, и сервера не смогут переслать тебе почту, так как аутентификация потребуется и от них.
Остальное относится к отправке сообшений на сервер, то есть это входяшие сообщения.
Если снять галочку allow anonymous access, то если мне память не изменяет, и сервера не смогут переслать тебе почту, так как аутентификация потребуется и от них.
Правильно заданный вопрос - это уже половина ответа.
wizard2k » 22 апр 2004, 15:01
хм. насколько я проверил то
[x] Allow anonymous access действительно нужен и я его оставил включенным
[x] Allow all computer which successful aut.. действительно не соотносится с анонимусом и тот кто не предъявил пароль неможет релаить через нас.
что и требовалось.
второй SMTP сервер я снес.
этот топик можно считать закрытым. :-) теперь у меня вопросы про авторизацию (см. соседний топик про SSL/TLS)
[x] Allow anonymous access действительно нужен и я его оставил включенным
[x] Allow all computer which successful aut.. действительно не соотносится с анонимусом и тот кто не предъявил пароль неможет релаить через нас.
что и требовалось.
второй SMTP сервер я снес.
этот топик можно считать закрытым. :-) теперь у меня вопросы про авторизацию (см. соседний топик про SSL/TLS)
Сообщений: 9
• Страница 1 из 1
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3