外部用户能够给Exchange通讯组发送邮件排错分析

前端时间处理过一个生产环境中的一个问题，该问题不是很复杂，但是如果不能理清思路是比较难找到方向的。下面我将问题处理过程大致分享一下。

一、环境情况

1、WIndows 2012 R2+Exchange 2016 CU2。
2、邮件流：Internet<——>邮件网关【Symantec SMG】<——>Exchange server。

二、问题现象
Exchange通讯组设置了发送邮件需要验证【也就是说RequireSenderAuthenticationEnabled被设置为True】，但是第三方邮箱【例如：163或QQ】仍然能够给Exchange通讯组发送邮件，并且通讯组中的组成员还会收到邮件。

三、问题处理过程

刚接到这个问题，第一反应就是，首先检查一下通讯组的权限设置是否是开启了RequireSenderAuthenticationEnabled，然后再判断这种情况是个别通讯组还是全部通讯组均是这种情况。
1、首先检查了所有通讯组的设置，均开启了RequireSenderAuthenticationEnabled。并且测试了好几个通讯组均是这种情况。

2、Exchange邮件传输都是通过传输代理Agent来实现的，使用命令Get-TransportAgent查看是否有Agent工作不正常，或者是有什么其他Agent搞鬼。通过获取结果看到，TransportAgent没有任何问题。

3、接下来，有通过命令查看了发件人筛选，均没有问题。

4、尝试手动创建一个传输规则，规则内容是阻止任何外部用户给特定通讯组发送邮件。通过测试结果仍然是外部用户能够给通讯组发送邮件。各种尝试后，到这来开始怀疑是不是服务器问题或者传输服务出现问题。默认情况下，传输服务器在Exchange服务器上缓存时间是4个小时。接下来，重启了传输服务，问题依然存在。
5、查看了服务器运行时间为570天，也就是说服务器长时间未重启，怀疑是不是安装了补丁没有重启。于是将数据库副本切换到备用节点，然后逐一重启服务器。重启完成后测试，问题依然存在。

6、没有办法了，这个问题肯定是哪里遗留掉了，或者说是产品Bug。通过查看Exchange 2016 CU3-CU11修复的问题列表中，根本没有关于这个问题的描述。那么就不应该是产品Bug。
7、最后没有办法了，只能看传输日志了。之前对Exchange的传输过程研究过，正常情况下，当一封通讯组邮件发送到Exchange服务器时，Exchange服务器会进行一个Expand通讯组成员展开动作。如下：

而通过发送测试邮件，使用外部邮箱给通讯组发送测试邮件，然后使用命令查看邮件投递记录，发现在Exchange服务器上并没有执行Expand组地址展开动作，而是直接将邮件投递到了对应邮箱中。这说明什么问题呢，大胆猜测通讯组邮件在到达Exchange服务器之前就将组成员展开了，这种情况下就会是发送给通讯组的邮件直接投递到了组成员邮箱，从而绕过了通讯组验证机制。
8、为了验证我的猜测，目前大致方向能够定位在是邮件网关上替Exchange干了一个通讯组成员Expand的事情。于是接下来查看SMG的配置。在SMG的活动目录集成里面看到了SMG上启用了“Enable Distribution Expansion”【启用分发列表扩展】功能。

9、将SMG的启用分发列表扩展功能，关闭后，然后测试给通讯组发送邮件，一切恢复正常。然后通过命令查看传输日志也能够正常捕获到Expand动作。

四、建议1、在使用邮件网关时，一定要注意关于通讯组方面的设置，设置不当会议导致垃圾邮件。2、此案例反过来，可以作为一种解决让Exchange通讯组接收外部邮件的一个解决方法。