14
Exchange 2007 Mails an nichtexistente Domänenbenutzer ablehnen
Hallo,
wir betreiben einen Exchange 2007-Server in einer Windows Server 2008-Domäne. Unsere separate Firewall ist so konfiguriert, dass nur existierende Domänenbenutzer auch Mails bekommen. Schade nur, dass das den Exchange-Server nicht interessiert, der nimmt nämlich alles an. Wie kann ich sicherstellen, dass Mails nur für existierende Domänenbenutzer samt Mailpostfach auch angenommen wird?
Habe beim Googeln schon das hier gefunden, will aber kein Sammelpostfach, die Mails sollen einfach abgewiesen werden:
http://www.msxfaq.de/tools/catchunknown2010.htm
wir betreiben einen Exchange 2007-Server in einer Windows Server 2008-Domäne. Unsere separate Firewall ist so konfiguriert, dass nur existierende Domänenbenutzer auch Mails bekommen. Schade nur, dass das den Exchange-Server nicht interessiert, der nimmt nämlich alles an. Wie kann ich sicherstellen, dass Mails nur für existierende Domänenbenutzer samt Mailpostfach auch angenommen wird?
Habe beim Googeln schon das hier gefunden, will aber kein Sammelpostfach, die Mails sollen einfach abgewiesen werden:
http://www.msxfaq.de/tools/catchunknown2010.htm
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 153276
Url: https://administrator.de/contentid/153276
Printed on: April 23, 2024 at 11:04 o'clock
14 Comments
Latest comment
Wenn Eure Firewall die Mails blockt, wie soll der Exchange die denn bekommen?
OK, falsch ausgedrückt. Die Firewall überlässt dem DC die Abfrage. Teste ich mit Telnet die Zustellung einer Mail an dasdgasdgdzau@unseredomaene.de, nimmt der Exchange die Mail an. Wo kann ich das einstellen, dass solche Mails verworfen werden?
Hallo,
You can only do this if Exchange is receiving internet email directly.
If you have the Ex2007 Edge Transport go to:
Microsoft Exchange | Edge Transport | Anti-Spam
Otherwise for Ex2007 Hub Transport install the anti-spam agents:
http://support.microsoft.com/kb/555924
Next go to:
Microsoft Exchange | Organization Configuration | Hub Transport | Anti-Spam
Open the properties for Recipient Filtering and tick the checkbox:
'Block messages sent to recipients not listed in the Global Address List'
http://msdn.itags.org/exchange-server/124496/
You can only do this if Exchange is receiving internet email directly.
If you have the Ex2007 Edge Transport go to:
Microsoft Exchange | Edge Transport | Anti-Spam
Otherwise for Ex2007 Hub Transport install the anti-spam agents:
http://support.microsoft.com/kb/555924
Next go to:
Microsoft Exchange | Organization Configuration | Hub Transport | Anti-Spam
Open the properties for Recipient Filtering and tick the checkbox:
'Block messages sent to recipients not listed in the Global Address List'
http://msdn.itags.org/exchange-server/124496/
Hallo,
was macht denn Exchange mit den Mails?
Normalerweise nimmt Exchange 2007 nämlich definitiv keine Mails an für Empfänger, die es nicht kennt, die aber zu seiner Domäne gehören. Vielleicht liegt hier das Problem: Die SMTP-Domäne muss als Authoritative konfiguriert sein (prüfen: Get-AcceptedDomain). Oder du hast auf dem Connector von extern her für alle das Relaying aktiviert (aber selbst dann ging es nicth mit unseredomaene.de)?
Aber die Frage von cyberjunkie halte ich noch nicht für beantwortet: Wie kommen die Mails überhaupt zu Exchange? Wenn sie soweit kommen ist doch offenbar schon etwas schief gelaufen. Vielleicht solltest du den Fehler auf der "Firewall" suchen?
Anti-Spam Agents oder Edge-Transport brauchst du dafür nicht.
Gruß
Filipp
was macht denn Exchange mit den Mails?
Normalerweise nimmt Exchange 2007 nämlich definitiv keine Mails an für Empfänger, die es nicht kennt, die aber zu seiner Domäne gehören. Vielleicht liegt hier das Problem: Die SMTP-Domäne muss als Authoritative konfiguriert sein (prüfen: Get-AcceptedDomain). Oder du hast auf dem Connector von extern her für alle das Relaying aktiviert (aber selbst dann ging es nicth mit unseredomaene.de)?
Aber die Frage von cyberjunkie halte ich noch nicht für beantwortet: Wie kommen die Mails überhaupt zu Exchange? Wenn sie soweit kommen ist doch offenbar schon etwas schief gelaufen. Vielleicht solltest du den Fehler auf der "Firewall" suchen?
Anti-Spam Agents oder Edge-Transport brauchst du dafür nicht.
Gruß
Filipp
Hallo an alle,
vielen Dank für die Antworten.
@filipp
Sorry, bin nicht so der Exchange-Experte, ich versuche mal, die gewünschten Infos zusammenzusammeln. Habe mal den Alternativ-Weg zu Get-AcceptedDomain gewählt: Organisationskonfiguration --> Hubtransport --> Alternative Domänen. Da steht aus meiner Sicht dasselbe wie in der Ausgabe von Get-AcceptedDomain. Unsere Hauptdomäne, also dort, wo auch die Mails landen sollen, ist vom Typ Internes Relay. Unter Eigenschaften desselben steht dort zur Erklärung: E-Mail wird per Relay an einen E-Mail-Server in einer anderen Active Directory-Gesamtstruktur innerhalb der Organisation weitergeleitet.
Liegt hier der Fehler? Kann das nicht genau deuten. Auf einen Firewall-Fehler würde ich nicht tippen, da dieser einfach eine LDAP-Abfrage zum DC macht. Sagt der DC, dass der Empfänger existiert, leitet die Firewall die Mail an den Exchange weiter. Gegenprobe mit Telnet, wie oben beschrieben: Der Exchange weist die Mail nicht ab, auch wenn es den Benutzer gar nicht gibt....
vielen Dank für die Antworten.
@filipp
Sorry, bin nicht so der Exchange-Experte, ich versuche mal, die gewünschten Infos zusammenzusammeln. Habe mal den Alternativ-Weg zu Get-AcceptedDomain gewählt: Organisationskonfiguration --> Hubtransport --> Alternative Domänen. Da steht aus meiner Sicht dasselbe wie in der Ausgabe von Get-AcceptedDomain. Unsere Hauptdomäne, also dort, wo auch die Mails landen sollen, ist vom Typ Internes Relay. Unter Eigenschaften desselben steht dort zur Erklärung: E-Mail wird per Relay an einen E-Mail-Server in einer anderen Active Directory-Gesamtstruktur innerhalb der Organisation weitergeleitet.
Liegt hier der Fehler? Kann das nicht genau deuten. Auf einen Firewall-Fehler würde ich nicht tippen, da dieser einfach eine LDAP-Abfrage zum DC macht. Sagt der DC, dass der Empfänger existiert, leitet die Firewall die Mail an den Exchange weiter. Gegenprobe mit Telnet, wie oben beschrieben: Der Exchange weist die Mail nicht ab, auch wenn es den Benutzer gar nicht gibt....
Zitat von @Coreknabe:
Auf einen Firewall-Fehler würde ich nicht tippen, da dieser einfach eine
LDAP-Abfrage zum DC macht. Sagt der DC, dass der Empfänger existiert, leitet die Firewall die Mail an den Exchange weiter.
Auf einen Firewall-Fehler würde ich nicht tippen, da dieser einfach eine
LDAP-Abfrage zum DC macht. Sagt der DC, dass der Empfänger existiert, leitet die Firewall die Mail an den Exchange weiter.
Wenn diese Abfrage richtig funktionieren würde, dürfte doch im Umkehrschluß die Firewall die Mail eben nicht weiterleiten wenn der DC sagt: Empfänger existiert nicht.
Oder verstehe ich hier etwas falsch?
Verstehe ich ja auch nicht, deshalb frage ich ja hier dumm rum 
Ich weiss nicht, wo der Konfig-Fehler liegt, tippe aber auf den Exchange, weil: telnet exchange 25 --> helo --> blabla --> mail an nicht existenten User --> Exchange blockt nicht...
Problem ist, wo nehme ich diese Konfiguration vor?
Ich weiss nicht, wo der Konfig-Fehler liegt, tippe aber auf den Exchange, weil: telnet exchange 25 --> helo --> blabla --> mail an nicht existenten User --> Exchange blockt nicht...
Problem ist, wo nehme ich diese Konfiguration vor?
Hallo,
Achtung: Wenn du irgendwelche komischen Dinge wie einen POPConnector verwendest, oder auf einem anderen Mailsystem wirklich noch (dem Exchange unbekannte) Adressen hast, kannst du geg. nicht ohne weiteres auf Authoritative umschalten, ohne die zu beeinflussen.
Daneben schreibst du "Firewall". Grundsätzlich kann man eine solche Funktionalität in eine Firewall implementieren, das ist aber eher unüblich. Meist nimmt man hierzu ein Relay. Unterschied: Eine Firewall ist auf höheren Protokollebenen (SMTP) transparent. D.h. für einen externen Kommunikationspartner und Exchange sieht es so aus, als würden sie direkt miteinander kommunizieren. Ein Relay arbeitet auf SMTP-Protokollebene. Das Relay nimmt Mails von extern entgegen, speichert sie (scannt sie auf Viren, Spam etc) und leitet sie später an Exchange weiter.
Hast du wirklich eine transparente Firewall im Einsatz, so ist es nicht wirklich schlimm, wenn die Empfängerprüfung nicht funktioniert (bis auf Tatsache, dass es blöd ist, wenn sich Systeme nicht so verhalten, wie man sich das vorstellt). Handelt es sich um ein Relay (was die wahrscheinlichere Variante ist), so solltest du unbedingt darauf achten, dass ungültige Empfänger hier schon abgelehnt werden, da du sonst erhebliche Probleme mit Backscatter/Misdirected Bounces bekommen wirst.
Gruß
Filipp
Unsere Hauptdomäne, also dort, wo auch die
Mails landen sollen, ist vom Typ Internes Relay.
Das ist falsch. Authoritativ bedeutet: Alle Adressen, die es zu der Domäne gibt liegen in dem Exchange. Also aus Exchangesicht: "Wenn dir jemand eine Mail zustellen will an jemand, den du nicht kennst, dann sag ihm, das die Adresse nicht existiert und lehne die Mail ab". Internal Relay sagt dem Exchange "Ja, für die Domain hast du schon ein paar Adressen. Aber neben dir gibt es da noch jemand anderen. Also nimm die Mails erstmal alle an, und leite sie halt weiter, wenn du den Empfänger nicht kennst".Mails landen sollen, ist vom Typ Internes Relay.
Achtung: Wenn du irgendwelche komischen Dinge wie einen POPConnector verwendest, oder auf einem anderen Mailsystem wirklich noch (dem Exchange unbekannte) Adressen hast, kannst du geg. nicht ohne weiteres auf Authoritative umschalten, ohne die zu beeinflussen.
Sagt der DC, dass der Empfänger existiert, leitet die Firewall die Mail an den Exchange weiter.
Das mit der Accepted Domain ist definitiv ein Punkt, den du ändern solltest. Aber daneben tut auch die Firewall definitiv nicht das, was du uns hier beschreibst. Wenn sie ungültige Emfänger ablehnen würde kämen sie auch nicht bei Exchange an. Ist klar, oder?Daneben schreibst du "Firewall". Grundsätzlich kann man eine solche Funktionalität in eine Firewall implementieren, das ist aber eher unüblich. Meist nimmt man hierzu ein Relay. Unterschied: Eine Firewall ist auf höheren Protokollebenen (SMTP) transparent. D.h. für einen externen Kommunikationspartner und Exchange sieht es so aus, als würden sie direkt miteinander kommunizieren. Ein Relay arbeitet auf SMTP-Protokollebene. Das Relay nimmt Mails von extern entgegen, speichert sie (scannt sie auf Viren, Spam etc) und leitet sie später an Exchange weiter.
Hast du wirklich eine transparente Firewall im Einsatz, so ist es nicht wirklich schlimm, wenn die Empfängerprüfung nicht funktioniert (bis auf Tatsache, dass es blöd ist, wenn sich Systeme nicht so verhalten, wie man sich das vorstellt). Handelt es sich um ein Relay (was die wahrscheinlichere Variante ist), so solltest du unbedingt darauf achten, dass ungültige Empfänger hier schon abgelehnt werden, da du sonst erhebliche Probleme mit Backscatter/Misdirected Bounces bekommen wirst.
Gruß
Filipp
Doppelpost
Hallo Filipp,
sorry, komme erst jetzt zum Testen. Vielen Dank für Deine ausführliche Erklärung!
Ich habe jetzt auf "Authorisierende Domäne" umgestellt. Funktioniert jetzt, ein ganz dickes Dankeschön an Dich!
Eine letzte Verständnisfrage: Die Testmail kommt mit der Nachricht zurück, dass der Empfänger nicht existiert. Soweit korrekt. Ich habe allerdings zusätzlich folgendes getestet:
telnet MAILSERVER 25
helo DOMÄNE
mail from:ich@da.de
rcpt to:wdsgsdhkbdhs@unseredomaene.de
Ausgabe:
250 2.1.5 Recipient OK
Frage: Müsste ich hier nicht schon eine Nachricht bekommen, dass der Empfänger nicht existiert?
sorry, komme erst jetzt zum Testen. Vielen Dank für Deine ausführliche Erklärung!
Ich habe jetzt auf "Authorisierende Domäne" umgestellt. Funktioniert jetzt, ein ganz dickes Dankeschön an Dich!
Eine letzte Verständnisfrage: Die Testmail kommt mit der Nachricht zurück, dass der Empfänger nicht existiert. Soweit korrekt. Ich habe allerdings zusätzlich folgendes getestet:
telnet MAILSERVER 25
helo DOMÄNE
mail from:ich@da.de
rcpt to:wdsgsdhkbdhs@unseredomaene.de
Ausgabe:
250 2.1.5 Recipient OK
Frage: Müsste ich hier nicht schon eine Nachricht bekommen, dass der Empfänger nicht existiert?
Hallo,
Gegen wen hast du denn jetzt getestet? Die ominöse Firewall oder Exchange? Von intern oder extern? Wer stand denn im Greetings-Banner (also nach Aufbau der SMTP-Verbindung)?
Gruß
Filipp
Frage: Müsste ich hier nicht schon eine Nachricht bekommen, dass der Empfänger nicht existiert?
Ja, unbedingt. Du bekommst sonst genau das Problem mit dem Backscatter. Dein System nimmt die Mail erstmal an, und muss nachher einen NDR erzeugen.Ich habe jetzt auf "Authorisierende Domäne" umgestellt. Funktioniert jetzt,
Hm... was funktioniert denn dann jetzt? Eingangs beschriebenes Problem, nämlich das alle Mails angenommen werden, hast du ja dann immer noch.Gegen wen hast du denn jetzt getestet? Die ominöse Firewall oder Exchange? Von intern oder extern? Wer stand denn im Greetings-Banner (also nach Aufbau der SMTP-Verbindung)?
Gruß
Filipp
Hi,
also...
Test mit telnet auf Port 25 des Mailservers ergibt im Verlauf die Ausgabe "250 2.1.5 Recipient OK". Was mich wie beschrieben verwundert. Im Greetingsbanner steht der FQDN der Firewall. Das deutet dann auf das von Dir vermutete Relay hin?
Dann habe ich testweise von einem GMX-Account eine Mail an einen nichtexistenten Nutzer unserer Domäne geschickt. Die Mail kommt mit einem "Unzustellbar"-Vermerk zurück:
Die E-Mail-Adresse des Empfängers wurde im E-Mail-System des Empfängers nicht gefunden. Microsoft Exchange versucht nicht, diese Nachricht erneut für Sie zuzustellen. Überprüfen Sie die E-Mail-Adresse, und versuchen Sie, diese Nachricht erneut zu senden, oder wenden Sie sich mit dem folgenden Diagnosetext an Ihren Systemadministrator.
#550 5.1.1 RESOLVER.ADR.RecipNotFound; not found ##
also...
Test mit telnet auf Port 25 des Mailservers ergibt im Verlauf die Ausgabe "250 2.1.5 Recipient OK". Was mich wie beschrieben verwundert. Im Greetingsbanner steht der FQDN der Firewall. Das deutet dann auf das von Dir vermutete Relay hin?
Dann habe ich testweise von einem GMX-Account eine Mail an einen nichtexistenten Nutzer unserer Domäne geschickt. Die Mail kommt mit einem "Unzustellbar"-Vermerk zurück:
Die E-Mail-Adresse des Empfängers wurde im E-Mail-System des Empfängers nicht gefunden. Microsoft Exchange versucht nicht, diese Nachricht erneut für Sie zuzustellen. Überprüfen Sie die E-Mail-Adresse, und versuchen Sie, diese Nachricht erneut zu senden, oder wenden Sie sich mit dem folgenden Diagnosetext an Ihren Systemadministrator.
#550 5.1.1 RESOLVER.ADR.RecipNotFound; not found ##
Hallo,
Jedes bessere Relay sollte in der Lage sein noch vor dem Annehmen einer Mail (meist über LDAP) zu prüfen, ob der Empfänger überhaupt existiert. Und da die Funktion Sinn macht, solltest du dir das Handbuch deines Relays nochmal zur Hand nehmen...
Gruß
Filipp
Test mit telnet auf Port 25 des Mailservers ergibt im Verlauf die Ausgabe "250 2.1.5 Recipient OK". Was mich wie
beschrieben verwundert. Im Greetingsbanner steht der FQDN der Firewall. Das deutet dann auf das von Dir vermutete Relay hin?
Genau. Deine Firewall ist höchstwahrscheinlich keine einfache Firewall, sondern ein Relay.beschrieben verwundert. Im Greetingsbanner steht der FQDN der Firewall. Das deutet dann auf das von Dir vermutete Relay hin?
Die E-Mail-Adresse des Empfängers wurde im E-Mail-System des Empfängers nicht gefunden. Microsoft Exchange versucht
nicht, diese Nachricht erneut für Sie zuzustellen. Überprüfen Sie die E-Mail-Adresse, und versuchen Sie, diese
Nachricht erneut zu senden, oder wenden Sie sich mit dem folgenden Diagnosetext an Ihren Systemadministrator.
#550 5.1.1 RESOLVER.ADR.RecipNotFound; not found ##
Das ist klar. Die Frage ist nur, wer den NDR erzeugt. Und das wird deine Firewall im Dialog mit Exchange sein. Um Backscatter zu vermeiden sollte es aber der Absenderserver im Dialog mit der "Firewall" sein (die die Mail ablehnt).nicht, diese Nachricht erneut für Sie zuzustellen. Überprüfen Sie die E-Mail-Adresse, und versuchen Sie, diese
Nachricht erneut zu senden, oder wenden Sie sich mit dem folgenden Diagnosetext an Ihren Systemadministrator.
#550 5.1.1 RESOLVER.ADR.RecipNotFound; not found ##
Jedes bessere Relay sollte in der Lage sein noch vor dem Annehmen einer Mail (meist über LDAP) zu prüfen, ob der Empfänger überhaupt existiert. Und da die Funktion Sinn macht, solltest du dir das Handbuch deines Relays nochmal zur Hand nehmen...
Gruß
Filipp
Hi,
werde das noch mal genauer unter die Lupe nehmen, denke, Du hast mich auf den richtigen Weg gebracht. Vielen Dank dafür!
Diesen Thread schliesse ich erst mal als gelöst, wenn ich noch was Bahnbrechendes herausfinden sollte, poste ich das hier noch.
werde das noch mal genauer unter die Lupe nehmen, denke, Du hast mich auf den richtigen Weg gebracht. Vielen Dank dafür!
Diesen Thread schliesse ich erst mal als gelöst, wenn ich noch was Bahnbrechendes herausfinden sollte, poste ich das hier noch.
