• Artigo

O servidor SMTP falhou no teste de retransmissão aberta

[Este tópico pretende solucionar um problema específico acarretado pela ferramenta Exchange Server Analyzer. Você deve aplicá-lo apenas a sistemas em que a ferramenta Exchange Server Analyzer tenha sido executada e estejam passando por esse problema específico. A ferramenta Exchange Server Analyzer, disponível como download gratuito, coleta remotamente dados de configuração de cada servidor da topologia e analisa automaticamente os dados. O relatório resultante detalha problemas importantes de configuração, problemas potenciais e configurações de produto diferentes do padrão. Ao seguir estas recomendações, você poderá atingir melhor desempenho, escalabilidade, confiabilidade e tempo de operação. Para obter mais informações sobre a ferramenta ou para baixar as últimas versões, consulte "Microsoft Exchange Analyzers" em https://go.microsoft.com/fwlink/?linkid=34707.]  

Tópico modificado em: 2010-06-29

Em um servidor que esteja executando o Microsoft Exchange Server 2003 ou uma versão anterior, o Microsoft® Exchange Best Practices Analyzer tenta retransmitir uma mensagem por um servidor SMTP (Simple Mail Transfer Protocol) executando as seguintes tarefas:

  • Abrindo uma conexão do soquete para o servidor SMTP. Se a ferramenta Analyzer receber o código de resposta 220, considera-se que essa etapa foi concluída com êxito.
  • Transmitindo o verbo de comando EHLO do SMTP. Se o Exchange Server Analyzer receber uma série de códigos de resposta 250, considera-se que essa etapa foi concluída com êxito. Essa série de códigos de resposta inclui 250-X-LINK2STATE e 250-XEXCH50.
  • Transmitindo o verbo de comando MAIL FROM: ExBPA-OpenRelayTest@Fabrikam.com do SMTP. Se a ferramenta Analyzer receber o código de resposta 250, considera-se que essa etapa foi concluída com êxito.
  • Transmitindo o RCPT TO: ExBPA-OpenRelayTest@Fabrikam.com do SMTP. Se a ferramenta Analyzer receber o código de resposta 250, considera-se que essa etapa foi concluída com êxito.

A ferramenta Analyzer também consulta a classe do WMI (Instrumentação de Gerenciamento do Microsoft Windows®) Win32_OperatingSystem para determinar o valor da chave OSProductSuite. O valor dessa chave corresponde a uma versão específica de um sistema operacional Windows Server. Se a ferramenta Analyzer concluir com êxito todas as etapas em um computador do Exchange Server que seja parte de uma instalação do Microsoft Small Business Server 2000 ou do Microsoft Windows Small Business Server 2003, será exibido um erro.

Em um servidor que esteja executando o Exchange Server 2007 ou uma versão posterior, a ferramenta Analyzer determina se a opção Usuários anônimos está selecionada na guia Grupos de Permissão do Conector de Recebimento. Além disso, a ferramenta determina se o direito Ms-Exch-SMTP-Accept-Any-Recipient foi concedido ao usuário NT AUTHORITY\ANONYMOUS LOGON no Conector de Recebimento. Se o Analyzer determinar que o Servidor Exchange não tem essa configuração, uma mensagem de erro será exibida. O erro indica que esse servidor está configurado como uma retransmissão aberta.

Anotações

  • Não é uma prática recomendada permitir retransmissão aberta. A retransmissão aberta ocorre quando um servidor de email permite que mensagens de email sejam retransmitidas pelo sistema sem exercer nenhuma restrição ou controle sobre o email retransmitido.
  • Se, por algum motivo, a organização do Exchange utilizar um nome de domínio SMTP denominado Fabrikam.com, esse erro poderá ser encontrado. Nesse caso, será possível ignorar esse erro com segurança. O domínio Fabrikam.com pertence à Microsoft Corporation e é usado para treinamento e documentação.

A retransmissão não é necessariamente ruim porque o SMTP foi criado para essa finalidade. (Para obter mais informações, consulte o documento RFC 2821, seções 2.1 e 3.7 (http://ietf.org)). No entanto, pode ser controlada. Um host não controlado é conhecido como host de retransmissão aberta. Se a retransmissão não for controlada, usuários mal-intencionados poderão usá-la para enviar mensagens de email em massa e mensagens de email comerciais não solicitadas (spam ou UCE). Repercutindo essas mensagens de email não solicitadas de um host intermediário, os usuários mal-intencionados tentam ocultar suas identidades. Isso também vincula recursos no host de retransmissão e pode impedir que o host de retransmissão envie mensagens de email válidas. Particularmente, a maioria dos usuários que enviam mensagens de email não solicitadas desse tipo podem enviar uma única mensagem para um número extraordinário de destinatários, sem usar sua própria largura de banda.

Verifique se você não está permitindo retransmissão anônima em seus servidores virtuais SMTP voltados para a Internet. Na configuração padrão, o Exchange permite a retransmissão de email apenas a usuários autenticados. Apenas usuários autenticados podem usar o Exchange para enviar mensagens para um domínio externo. Se você modificar as configurações padrão de retransmissão para permitir que usuários não autenticados façam a retransmissão, ou se permitir a retransmissão aberta para um domínio através de um conector, usuários não autorizados ou worms mal-intencionados podem usar seu servidor Exchange para enviar spam. Seu servidor pode entrar em listas de bloqueio e ser impedido de enviar emails para servidores remotos legítimos. Para impedir que usuários não autorizados usem o servidor Exchange para retransmitir mensagens, use, no mínimo, as restrições padrão de retransmissão.

Se você tiver motivos legítimos para retransmissão, siga as diretrizes para garantir que a segurança seja preservada em sua implementação. Isso é feito principalmente mantendo os padrões de negação a todos e adicionando apenas os endereços IP dos quais você aceitará mensagens retransmitidas, e desabilitando o acesso para usuários autenticados.

Revise como as contas internas (Administrador local) e outros usuários são usados em seus servidores de gateway. É improvável que você use as contas internas para qualquer tipo de retransmissão. Se você estiver retransmitindo, a retransmissão é feita, provavelmente, por um conjunto conhecido de usuários ou computadores. A restrição dos direitos de retransmissão a usuários e computadores explícitos ou a um endereço IP é recomendável.

A configuração de permissão explícita para retransmissão ajudará a fortificar seu servidor. Usuários mal intencionados podem usar um ataque de força bruta para tentar obter as senhas de contas internas ou contas de usuários encontradas na Internet, de modo que possam usar seu servidor como um proxy de spam. Portanto, a configuração padrão que permite que qualquer computador autenticado faça retransmissão não é recomendável para computadores que são acessíveis a partir da Internet. É recomendável desabilitar essa configuração.

Os procedimentos a seguir explicam como desabilitar a retransmissão anônima com base em se o servidor virtual SMTP está ou não voltado para a Internet. Como mencionado anteriormente neste artigo, a habilitação de qualquer forma de retransmissão anônima deve ser feita apenas nos casos em que o risco à segurança seja compreendido e aceitável para sua organização. As referências no final deste artigo fornecem mais informações sobre como usar a retransmissão.

Se um servidor virtual SMTP não estiver acessível a partir da Internet, é recomendável que você redefina as configurações de retransmissão com os valores padrão. Isso fará com que os servidores virtuais SMTP permitam apenas retransmissão interna de computadores autenticados.

Para servidores virtuais SMTP que são acessíveis a partir da Internet, recomendamos que você aumente a proteção das configurações de retransmissão padrão para que apenas usuários e computadores com permissão explícita tenham permissão para retransmitir.

Se você verificou que o Exchange está configurado para bloquear a retransmissão, mas continua recebendo esse erro no Exchange Server Analyzer, verifique se algum servidor ou processo de proxy, como software de firewall, antivírus ou antispam, não está permitindo a retransmissão anônima.

Para redefinir as configurações de retransmissão anônima com as configurações padrão em servidores virtuais SMTP internos.

  1. Abra o Gerenciador do Sistema do Exchange.

  2. Na árvore do console, expanda Servidores, expanda o servidor desejado e, em seguida, Protocolos e SMTP.

  3. Clique com o botão direito no servidor virtual SMTP ao qual você deseja aplicar restrições de retransmissão e clique em Propriedades.

  4. Em <Propriedades> do Servidor Virtual SMTP, clique na guia Acesso e clique em Retransmissão.

  5. Em Restrições de Retransmissão, em Selecione qual computador pode retransmitir através desse servidor virtual, selecione Somente a lista abaixo, marque a caixa de seleção Permitir a retransmissão por todos os computadores que autenticam com êxito, independentemente da lista abaixo e clique em OK.

Para configurar a permissão para retransmissão explícita em Servidores Virtuais SMTP voltados para a Internet no Exchange Server 2003

  1. Abra o Gerenciador do Sistema do Exchange.

  2. Na árvore do console, expanda Servidores, expanda o servidor desejado e, em seguida, Protocolos e SMTP.

  3. Clique com o botão direito no servidor virtual SMTP ao qual você deseja aplicar restrições de retransmissão e clique em Propriedades.

  4. Em <Propriedades> do Servidor Virtual SMTP, clique na guia Acesso e clique em Retransmissão.

  5. Em Restrições de Retransmissão, desmarque a caixa de seleção Permitir a retransmissão por todos os computadores que autenticam com êxito, independentemente da lista abaixo e clique emUsuários para especificar um subconjunto de usuários aos quais deseja conceder permissões de retransmissão nesse servidor virtual SMTP.

  6. Em Permissões de Envio e Retransmissão, para remover um usuário ou grupo, selecione o grupo ou usuário e clique em Remover.

  7. Para adicionar um grupo ou usuário, clique em Adicionar e selecione os usuários ou o grupo para os quais deseja especificar permissões. Selecione uma das opções a seguir:

    • No Microsoft Windows Server™ 2003, em Selecionar Usuários, Computadores ou Grupos, em Digite o nome do objeto a ser selecionado, digite o nome do usuário ou do grupo. Se você desejar buscar o usuário ou grupo, clique em Avançado, pesquise o nome do usuário ou do grupo, e clique em Verificar Nomes para validar sua entrada.
      tipDica:
      Clique no link exemplos para exibir os formatos aceitáveis para as entradas.
    • No Windows 2000 Server, em Selecionar Usuários, Computadores ou Grupos, selecione o grupo ou o usuário para o qual deseja conceder permissões de envio e clique em Adicionar.

  8. Clique em OK para retornar à caixa de diálogo Permissões para Envio e Retransmissão .

  9. Em Lista de nomes de grupos ou usuários, selecione o grupo que você acaba de adicionar.

  10. Em Permissões para <grupo selecionado>, ao lado de Permissão de Envio, se necessário, marque a caixa de seleção em Permitir para permitir que o usuário ou grupo selecionado envie mensagens através desse servidor virtual SMTP.

  11. Ao lado de Permissões de Retransmissão, marque a caixa de seleção em Permitir para permitir que o objeto selecionado retransmita através desse servidor virtual SMTP, ou marque a caixa de seleção em Negar para impedir que o objeto selecionado retransmita através desse servidor virtual.

    noteObservação:
    Você deve autorizar Permissões de Envio se desejar autorizar Permissões de Retransmissão.

  12. Clique em OK.

Para configurar permissões para retransmissão em Servidores Virtuais SMTP voltados para a Internet no Exchange Server 2000

  1. Abra o Gerenciador do Sistema do Exchange.

  2. Na árvore do console, expanda Servidores, expanda o servidor a ser configurado e, em seguida, Protocolos e SMTP.

  3. Clique com o botão direito no servidor virtual SMTP ao qual você deseja aplicar restrições de retransmissão e clique em Propriedades.

  4. Em <Propriedades> do Servidor Virtual SMTP, clique na guia Acesso e clique em Retransmissão.

  5. Em Restrições de Retransmissão, em Selecione qual computador pode retransmitir através desse servidor virtual, selecione Apenas a lista abaixo.

  6. Clique em Adicionar para adicionar um único computador, um grupo de computadores ou um nome de domínio SMTP e clique em OK. Repita essa etapa para cada entrada que desejar adicionar.

  7. Marque a caixa de seleção Permitir a retransmissão por todos os computadores que autenticam com êxito, independentemente da lista acima e clique em OK duas vezes.

Para obter mais informações sobre retransmissão de mensagens e segurança, consulte os seguintes guias da Biblioteca Técnica do Exchange Server 2003.

Para obter mais informações sobre como testar e proteger o comportamento de retransmissão aberta no ambiente do Exchange e do Microsoft Windows, consulte o artigo 304897 da Base de Dados de Conhecimento Microsoft, "Comportamento de retransmissão SMTP no Windows 2000, no Windows XP e no Exchange Server."