Exchange

Exchange Server Study (2-4). Accepted Domain

Pepuri 2022. 1. 23. 22:52
반응형

이번에는 Accepted Domain (허용된 도메인) 대해서 다뤄 보겠습니다.

 

아래의 기술자료를 참고하여 작성했습니다.

Accepted domains in Exchange, Exchange acceepted domains, exchange authoritative domain, Internal relay domain, Exchange external relay, Exchange external relay domain | Microsoft Docs

 

인증된 도메인, Exchange, Exchange 도메인, 교환할 수 있는 도메인, 내부 릴레이 도메인, Exchange 외부 릴레이 Exchange 외부 릴레이 도메인 | Microsoft Docs

 

Accepted domains are the SMTP name spaces (also known as address spaces) that you configure in an Exchange organization to receive email messages. For example, if your company registered the domain contoso.com, and you configured a mail exchanger (MX) record in your Internet DNS for contoso.com, you need to configure contoso.com as an accepted domain in your Exchange organization to accept messages that are addressed to @contoso.com recipients.


허용 도메인은 전자 메일 메시지를 받도록 Exchange SMTP 이름 공간(주소 공간)입니다. 예를 들어 회사에서 contoso.com 도메인을 등록하고 인터넷 DNS에서 contoso.com 용 MX(메일 교환기) 레코드를 구성한 경우 contoso.com 받는 사람에게 보낸 메시지를 수락하도록 Exchange 조직의 허용 도메인으로 contoso.com 구성해야 합니다.
  • 수신할 있는 도메인 등록의 개념으로 이해하면 같습니다.

 

MX 레코드 IP 주소를 다음과 같이 동일하게 지정하여 테스트 환경을 구성하였습니다.

Contoso.kr
MX: mail.contoso.kr 211.108.168.253


Adatum.kr
MX: mail.adatum.kr 211.108.168.253

 

[테스트1] Accepted domain 등록없이 발송

우선 Accepted domain contoso.kr 등록된 상황에서 테스트 진행

 

아래와 같이 메일 발송 테스트 - Contoso.kr 정상 수신

 

Adatum.kr 발송 테스트

아래와 같이 NDR 발송 - 550 5.7.54 SMTP; Unable to relay recipient in non-accepted domain 확인

Frontend 수신 커넥터상에서  non-accepted domain 기록 확인

<테스트1 결과>

 

[테스트2-1] adatum.kr Accepted domain 추가 (Authoritative)

Accpeted domain - 추가

Adatum.kr 등록

 

Authoritative domains: Recipients (in particular, mailboxes) are configured with email addresses in these domains. The Exchange organization accepts messages that are addressed to recipients in these domains, and is responsible for generating non-delivery reports (also known as NDRs or bounce messages) for non-existent recipients.


신뢰할 수 있는 도메인: 받는 사람(특히 사서함)은 이러한 도메인의 전자 메일 주소로 구성됩니다. Exchange 조직은 이러한 도메인의 받는 사람에게 주소가 지정된 메시지를 수락하고 존재하지 않는 받는 사람에 대한 배달 못 함 보고서(NDR 또는 반송 메시지라고도 함)를 생성합니다.

 

등록 확인

 

<테스트2-1: 메일 흐름>

 

Adatum.kr 다시 발송 테스트 진행

이번에는 Recipient not found by SMTP address lookup 으로 반송되는 것으로 확인

  • 또한 Generating server 이전과는 다른 것을 확인할 있습니다.

 

Frontend Receive 로그를 보면 250 2.1.5 Recipient OK 기록이 확인됩니다.

커넥터에서는해당 주소의 사서함이 있는지 여부를 확인하지 않는 것으로 확인됩니다.

 

Transport Service 커넥터 상에서 250 2.1.5 Recipient OK 확인됩니다.

 

Message Tracking Log 보면 Routing 에서 Fail 확인되고 RecipientNotFound; Recipient not found by SMTP address lookup 확인됩니다.

사용자 사서함이 있는지 여부는 Routing agent 에서 확인하는 것으로 추정됩니다.

 

<테스트2-1 결과>

 

[테스트2-2] adatum.kr 사서함 생성 수신

사서함을 아래와 같이 생성하여 정상적으로 메일이 수신되는지 확인해 보겠습니다.

테스트 메일 발송

아래와 같이 수신된 것을 확인할 있습니다.

<테스트 2-2 결과>

 

[테스트3] Relay domains

Accepted Domain 에서 Relay domain 대해서 확인해 보겠습니다.

Relay domains: The Exchange organization accepts messages that are addressed to recipients in relay domains, but isn't responsible for generating NDRs for non-existent recipients. Instead, Exchange (with additional configuration) relays the messages to messaging servers that are external to the Exchange organization. Relay domains can be internal (for domains that you control) or external (for domains that you don't control).


릴레이 도메인: Exchange 조직은 릴레이 도메인의 받는 사람에게 주소가 지정된 메시지를 수락하지만 존재하지 않는 받는 사람에 대한 NDR 생성을 담당하지 않습니다. 대신 Exchange(추가 구성 포함)는 Exchange 조직 외부에 있는 메시징 서버로 메시지를 릴레이합니다. 릴레이 도메인은 내부 (귀하가 제어하는 도메인의 경우) 또는 외부 (제어하지 않는 도메인의 경우)일 수 있습니다.

 

[테스트3-1] Internal Relay 변경하여 테스트 진행

테스트 메일 발송

사서함이 있기 때문에 동일하게 수신할 있었습니다.

Frontend Protocol Log상에서는 특이사항은 없었습니다.

이번에는 실제 Adatum.kr 구축한 Exchange Server 2010 에는 onprem-1@adatum.kr 주소의 사서함을 만들고 contoso.kr에는 만들지 않는 시나리오로 진행해 보겠습니다.

그리고 아래와 같이 전달되는 구조가 되도록 시나리오를 작성하였습니다.

 

아래와 같이 발송시도

당연하겠지만 발송은 성공하지 않습니다. 왜냐하면  MX 레코드 자체가 contoso.kr 동일한 서버를 가르키고 있기 때문에 추가적인 설정이 없다면, adatum.kr 서버로 발송 없습니다.

 

그래서 아래와 같이 NDR 발생하였습니다.

554 5.4.12 SMTP; Hop count exceeded - possible mail loop detected on

<테스트3-1 흐름>

우선 어떻게 진행되는지 확인 하기위해 로그를 확인 해보겠습니다.

<Frontend SMTP Receive>

특이한 것은 3 수신된 이력이 확인됩니다.

마지막 로그에서 LocalhopCount, MaxLocalHopCount 4 기록된 것으로 봐서는 루프가 발생한 것으로 보입니다.

<Frontend SMTP Send>

역시 3 발송한 이력이 확인됩니다.

특이사항으로는 세션이 새로 생성된 것이 아니라 하나의 세션이 계속 유지되었다는 점입니다.

Hub - SMTP Send 로그 확인시 3차례 시도가 확인되며, Internet -> Default frontend Connector 루프가 진행된 것을 확인할 있습니다.

루프가 발생할 경우 아래와 같이 기록이 확인됩니다.

Get-messagetrackinglog 통해서 확인해 보면 Internet 이라는 송신커넥터로 3차례 외부로 발송하였으나 루프도는 것으로 감지하여 실패처리 것을 확인할 있습니다.

 

[테스트3-2] adatum.kr DNS Zone 추가

DC DNS에서 adatum.kr Zone 생성한 , MX 레코드를 등록합니다.

 

이번에는 Adatum.kr EX2010에서 차단된 것으로 확인됩니다.  Client was not authenticated 봐서는 커넥터 생성이나 설정이 필요한 것으로 보입니다.

익명인증 활성화 진행후 다시 테스트 진행

 

다시 발송

 

다시 발송

정상적으로 수신된 것으로 확인됩니다.

<테스트3-2 흐름>

Contoso 에서 발송 테스트

Onprem-1@contoso.kr -> accepted1@adatum.kr, onprem-1@adatum.kr

아래와 같이 수신된 것으로 확인됩니다.

<accepted1@adatum.kr>

<onprem-1@adatum.kr>

 

결론적으로 Internal Relay 내부에 사서함이 있으면 우선확인하여 발송하고, 사서함이 없다면 MX레코드를 조회하여 외부로 발송시도하는 것으로 확인됩니다. 테스트를 진행해 보면 아래의 문구에 대해서도 이해할 있습니다.

Relay domains can be internal (for domains that you control) or external (for domains that you don't control).
릴레이 도메인은 내부 (귀하가 제어하는 도메인의 경우) 또는 외부 (제어하지 않는 도메인의 경우)일 수 있습니다.


You can use internal relay domains in email address policies.
이메일 주소 정책에서 내부 릴레이 도메인을 사용할 수 있습니다.

 

여기서 내부 DNS 제어하는 것이 아닌 송신 커넥터로 제어하는 방법도 생각해볼 있습니다.

Adatum.kr Exchange Server IP 입력

Address space adatum.kr 지정

Source Server 지정

생성 확인

발송 테스트

동일하게 수신

Adatum.kr 생성한 커넥터를 통해서 전달되는 것을 확인할 있습니다.

[External Relay]

이번에는 fabrikam.kr External Relay 등록해 보겠습니다.

등록 확인

아래와 같이 Email 주소 등록

테스트 메일 발송

Internal Relay 마찬가지로 동일하게 메일이 수신되는 것으로 확인됩니다.

내부에서 발송해도 수신되는 것으로 확인됩니다.

지금까지는 External Relay Internal Relay 차이는 Email Address Policy 이외 큰차이점은 발견하지 못했습니다.

반응형