这是一个相当复杂的问题,但我希望有人经历过类似的情况。以下是正在发生的事情:
- 我们有一个面向互联网的 Exchange 2010 服务器,因此没有 Edge 服务器。
- 我们有几位用户的邮箱在一个名为 NoInternetMail 的组中。此组旨在阻止这些用户发送和接收互联网邮件。但他们仍可以接收公司内部其他用户的邮件。
- 我们通过传输规则来实现这一目标。传入规则如下所示:
- 该规则已经过测试并被证明是有效的。
- 现在来看看我们生产车间里的佳能复印机,很多员工都在使用,它是 ImageRunner 2270。我专门为这台复印机创建了一个接收连接器,以便它可以通过我们 Exchange 服务器上的 SMTP 发送扫描件。接收连接器的范围仅限于复印机,并配置为匿名访问。我还为连接器添加了权限,允许以任何发件人的身份发送给任何收件人。此外,这台复印机仅用于将扫描件发送给员工,而不是发送到互联网。
- 接收连接器正在工作,但是,这台佳能复印机发送给 NoInternetMail 组中的用户的任何电子邮件都被上述传输规则阻止。
- 佳能复印机在与 SMTP 通信时似乎使用 NTLM 身份验证。我在我们的 AD 中创建了一个名为 ProductionCopier 的用户,并配置了佳能复印机在向接收连接器进行身份验证时使用此登录名。
- 主要问题是我尝试了各种经过身份验证和匿名连接的组合,但都无法让佳能向 NoInternetMail 组中的用户发送邮件。我可以毫无问题地向 NoInternetMail 组以外的任何用户发送匿名或经过身份验证的电子邮件。
- 根据微软(https://technet.microsoft.com/en-us/library/dd638183(v=exchg.141).aspx) 此处不适用被视为“组织外部”的标准。具体来说,这是因为佳能复印机的域名相当于 Exchange 中指定的权威域名。
我可以为 ProductionCopier 用户创建一个邮箱,但我宁愿不这样做。除了可能只是不兼容的设置和有限的知识之外,我不确定这里的问题是什么。我绝不是一个专业的 Exchange 用户,但我花了几天时间研究这个问题,但仍然不知所措。
其他注意事项:
以下是来自跟踪日志资源管理器的传输规则阻止的电子邮件的屏幕截图:
接收连接器的 SMTP 日志确认佳能复印机正在使用 NTLM 身份验证并且成功:
答案1
如果复印机使用 NTLM 身份验证,我会感到非常惊讶。基本身份验证更有可能。因此,我将首先更改身份验证设置以使用基本身份验证。您还需要禁用连接器上的匿名访问并重新启动传输。如果启用了匿名访问并且收件人是内部的,则永远不会测试身份验证,因此可能是您的身份验证根本没有被使用,因为匿名匹配。
西蒙。
答案2
在仔细研究了各种可用的日志文件(主要是跟踪日志)后,我相信我已经得出结论。传输规则认为佳能复印机“在组织之外”,因为它使用的域。微软在其文档中说明了这一点,但不清楚它是如何确定这一点的。邮件头的 FROM 值似乎来自我的域([电子邮件保护]),但 Message-ID 没有。Message-ID 有类似[电子邮件保护]。尽管它显示为我的域的子域,但规则仍将此电子邮件视为“组织外”。一旦我在传输规则中创建此例外,它就会开始将佳能复印机的消息传递给 NoInternetMail 组中的用户。
维基百科中关于 Message-ID 的描述是:“如果存在 Message-ID,则由发送电子邮件的客户端程序(邮件用户代理或 MUA)或第一个邮件服务器生成”
所以我猜佳能复印机在生成电子邮件并发送时会决定如何格式化该 ID。我搜索了复印机上所有可用的设置,但找不到更改此设置的方法。唉,这不是最好的解决方案,但它确实有效。