外部用戶能夠給Exchange通訊組發(fā)送郵件排錯(cuò)分析

前端時(shí)間處理過一個(gè)生產(chǎn)環(huán)境中的一個(gè)問題，該問題不是很復(fù)雜，但是如果不能理清思路是比較難找到方向的。下面我將問題處理過程大致分享一下。

一、環(huán)境情況

1、WIndows 2012 R2+Exchange 2016 CU2。
2、郵件流：Internet<——>郵件網(wǎng)關(guān)【Symantec SMG】<——>Exchange server。

二、問題現(xiàn)象
Exchange通訊組設(shè)置了發(fā)送郵件需要驗(yàn)證【也就是說RequireSenderAuthenticationEnabled被設(shè)置為True】，但是第三方郵箱【例如：163或QQ】仍然能夠給Exchange通訊組發(fā)送郵件，并且通訊組中的組成員還會(huì)收到郵件。

三、問題處理過程

剛接到這個(gè)問題，第一反應(yīng)就是，首先檢查一下通訊組的權(quán)限設(shè)置是否是開啟了RequireSenderAuthenticationEnabled，然后再判斷這種情況是個(gè)別通訊組還是全部通訊組均是這種情況。
1、首先檢查了所有通訊組的設(shè)置，均開啟了RequireSenderAuthenticationEnabled。并且測試了好幾個(gè)通訊組均是這種情況。

2、Exchange郵件傳輸都是通過傳輸代理Agent來實(shí)現(xiàn)的，使用命令Get-TransportAgent查看是否有Agent工作不正常，或者是有什么其他Agent搞鬼。通過獲取結(jié)果看到，TransportAgent沒有任何問題。

3、接下來，有通過命令查看了發(fā)件人篩選，均沒有問題。

4、嘗試手動(dòng)創(chuàng)建一個(gè)傳輸規(guī)則，規(guī)則內(nèi)容是阻止任何外部用戶給特定通訊組發(fā)送郵件。通過測試結(jié)果仍然是外部用戶能夠給通訊組發(fā)送郵件。各種嘗試后，到這來開始懷疑是不是服務(wù)器問題或者傳輸服務(wù)出現(xiàn)問題。默認(rèn)情況下，傳輸服務(wù)器在Exchange服務(wù)器上緩存時(shí)間是4個(gè)小時(shí)。接下來，重啟了傳輸服務(wù)，問題依然存在。
5、查看了服務(wù)器運(yùn)行時(shí)間為570天，也就是說服務(wù)器長時(shí)間未重啟，懷疑是不是安裝了補(bǔ)丁沒有重啟。于是將數(shù)據(jù)庫副本切換到備用節(jié)點(diǎn)，然后逐一重啟服務(wù)器。重啟完成后測試，問題依然存在。

6、沒有辦法了，這個(gè)問題肯定是哪里遺留掉了，或者說是產(chǎn)品Bug。通過查看Exchange 2016 CU3-CU11修復(fù)的問題列表中，根本沒有關(guān)于這個(gè)問題的描述。那么就不應(yīng)該是產(chǎn)品Bug。
7、最后沒有辦法了，只能看傳輸日志了。之前對Exchange的傳輸過程研究過，正常情況下，當(dāng)一封通訊組郵件發(fā)送到Exchange服務(wù)器時(shí)，Exchange服務(wù)器會(huì)進(jìn)行一個(gè)Expand通訊組成員展開動(dòng)作。如下：

而通過發(fā)送測試郵件，使用外部郵箱給通訊組發(fā)送測試郵件，然后使用命令查看郵件投遞記錄，發(fā)現(xiàn)在Exchange服務(wù)器上并沒有執(zhí)行Expand組地址展開動(dòng)作，而是直接將郵件投遞到了對應(yīng)郵箱中。這說明什么問題呢，大膽猜測通訊組郵件在到達(dá)Exchange服務(wù)器之前就將組成員展開了，這種情況下就會(huì)是發(fā)送給通訊組的郵件直接投遞到了組成員郵箱，從而繞過了通訊組驗(yàn)證機(jī)制。
8、為了驗(yàn)證我的猜測，目前大致方向能夠定位在是郵件網(wǎng)關(guān)上替Exchange干了一個(gè)通訊組成員Expand的事情。于是接下來查看SMG的配置。在SMG的活動(dòng)目錄集成里面看到了SMG上啟用了“Enable Distribution Expansion”【啟用分發(fā)列表擴(kuò)展】功能。

9、將SMG的啟用分發(fā)列表擴(kuò)展功能，關(guān)閉后，然后測試給通訊組發(fā)送郵件，一切恢復(fù)正常。然后通過命令查看傳輸日志也能夠正常捕獲到Expand動(dòng)作。

四、建議
1、在使用郵件網(wǎng)關(guān)時(shí)，一定要注意關(guān)于通訊組方面的設(shè)置，設(shè)置不當(dāng)會(huì)議導(dǎo)致垃圾郵件。
2、此案例反過來，可以作為一種解決讓Exchange通訊組接收外部郵件的一個(gè)解決方法。