Exchange your Mind

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Exchange 2Kx : Autoriser le relai en mode authentifié : Client does not have permissions to send as this sender ##

Posted by Teruin laurent le août 13, 2010


Autoriser le relay interne et externe en mode ouvert est simple. Sa mise en place est documentée dans l’article http://msexchangeteam.com/archive/2006/12/28/432013.aspx.
Cet article propose de documenter un autre mode de relay qui consiste à mettre en place une autorisation de relai smtp sur un serveur Exchange 2007 qui devra acceptée une connexion smtp authentifié en mode basic. La figure suivante illustre l’environnement à mettre en place :

Permit an open relay is easy. It documented in this article : http://msexchangeteam.com/archive/2006/12/28/432013.aspx. post is just precise how to do the same thing with basic authentication and with a single domain distributed on two different organizations.
The

 

Figure 1 what is needed

 Keep in mind that:

  • Both exchange organizations share the same smtp domain : myorg.com
  • Target local domain use myorg.com as authoritative
  • Source local domain use myorg as InternalRelay


Gardez à l’esprit que :

  • Les deux organisations gèrent le même nom de domaine smtp : myorg.com
  • Le domaine Target.local à positionné le domaine accepté myorg.com en mode authoritative
  • Le domaine source.local à positionné le domaine accepté myorg.com en mode InternalRelay

The Receive connector on the target.local cas server is configured as follow
Le connecteur de réception sur le server CAS du domaine target.local est configure comme ceci.



Figure 2 : Authentication parameters

Le compte utilisé par le connecteur d’envoi dans le domaine cible est un compte utilisateur avec boites aux lettres dans le domaine cible / The account used by the send connector in the source domain is a target domain mailbox user.

Voici la configuration du connecteur d’envoi du domaine source.local
This is the Send Connector configuration from the source.local domain


PREMIER ESSAI /FIRST TRY

 Si vous envoyez un message depuis une boite aux lettres du domaine source, vous allez rapidement recevoir le NDR suivant / If you send a mail from the target organization, you will receive very quickly a NDR who say

Delivery has failed to these recipients or groups:

laurent.teruin@myorg.com (laurent.teruin@myorg.com)
message wasn’t delivered due to a permission or security issue. It may have been rejected by a moderator, the address may only accept e-mail from certain senders, or another restriction may be preventing delivery.
YourThe following organization rejected your message: TargetCAS.myorg.local.
Diagnostic information for administrators:
Generating server: Ex2K10.source.local

laurent.teruin@myorg.comTargetCAS.myorg.local #550 5.7.1 Client does not have permissions to send as this sender ##

L’aspect positif est que l’authentification fonctionne, le coté négatif est que le message n’est pas remis. The good think is that you authentication is working, the bad is that the message is not delivered

 SOLUTION
Ce comportement est normal car le domaine target.local est en mode authoritative sur le domaine myorg.com/ The behavior is normal because the target domain use the myorg.com as authoritative domain.
Il n’acceptera pas de message provenant d’une source étrangère (les deux exchanges ne sont pas dans la même forêt) quand l’émetteur provient du même domaine / He will not accept messages coming from a foreign source when the sender belong as the same domain. Pour que cela fonctionne vous devez tapez la commande Powershell suivante vers le récepteur de connexion/ To succeed you have to type this Powershell command line.

Get-ReceiveConnector "TARGETCAS\Myreceiveconnector" | Add-ADPermission -User "TARGET\MARIE" -ExtendedRights "ms-Exch-SMTP-Accept-Authoritative-Domain-Sender"Une fois effectué votre message sera relayé/ When done your message will be relayed.
Ce qui est à note est que le relay est autorisé vers l’interne et l’externe sans avoir la nécessité de mettre en place l’autorisation ms-Exch-SMTP-Accept-Any-Sender pour le compte utilisé par le connecteur.
What it can be noticed is that relay is permitted to internal and External without the necessity to give the ms-Exch-SMTP-Accept-Any-Sender permission to the account used by the connector.
Les permissions en place sont les suivantes : The current permissions are:

[PS] C:\Documents and Settings\_lteruin>Get-ReceiveConnector "TARGETCAS\

Myreceiveconnector " | Get-ADPermission -user "NT AUTHORITY\ANONYMOUS LOGON"
Identity User Deny Inherited Rights
——– —- —- ——— ——
TargetCAS\MyReceiveConnector NT AUTHORITY\ANON… False True ms-Exch-Store-Create-Named-Properties
TargetCAS\MyReceiveConnector NT AUTHORITY\ANON… False True ms-Exch-Create-Public-Folder
TargetCAS\MyReceiveConnector NT AUTHORITY\ANON… False True GenericRead
TargetCAS\MyReceiveConnector NT AUTHORITY\ANON… False True GenericRead

[PS] C:\Documents and Settings\_lteruin>Get-ReceiveConnector "TARGETCAS\
Myreceiveconnector " | Get-ADPermission -user "TARGET\MARIE"  Identity User Deny Inherited Rights

——– —- —- ——— ——

TargetCAS\MyReceiveConnector TARGET\MARIE False False ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

 Laurent Teruin

About these ads

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

 
Suivre

Recevez les nouvelles publications par mail.

Rejoignez 224 autres abonnés

%d bloggers like this: