philipp711
Goto Top

Berechtigungsproblem bei Exchange Mailversand über Drittanbietersoftware

Hi Leute,

ich habe vor einiger Zeit schon einmal Problem mit unserem Exchange hier im Forum geschildert!

Alter Beitrag:
SMTP-Authentifizierung Exchange2010

Das Ergebnis war für diesen Moment zufriedenstellend, da ich mich damit abgefunden hatte die Benutzer in die Gruppe "Domänen-Admins" zu stecken (Damals waren es nur 2 Benutzer die ich auch noch selber verwalte)

Nun ist es so, dass wir noch 3-4 Benutzer anlegen müssen die E-Mails über zusätzliche Software versenden müssen (z.B. BackupExec). Diese 2-3 Benutzer werden nicht von unserem Team verwaltet sondern von externen Mitarbeitern. Daher möchte ich keinen dieser Benutzer der Gruppe "Domänen-Admins" hinzufügen - ist schlicht und ergreifend zu Gefährlich!

Gibt's wirklich kein Workaround wie ich es hin bekomme, dass z.B. auch "normale" Domänen-Benutzer über eine Drittanbieter-Software mit dem Exchange Mails versenden können?

Noch mal kurze Problembeschreibung:
Benutzerkonto kann erst Mails über z.B. BackupExec versenden wenn dieser in der Gruppe "Domänen-Admins" ist.

Content-Key: 210572

Url: https://administrator.de/contentid/210572

Ausgedruckt am: 28.03.2024 um 22:03 Uhr

Mitglied: Onitnarat
Lösung Onitnarat 04.07.2013, aktualisiert am 17.04.2014 um 08:39:25 Uhr
Goto Top
Moin,
also ich habe mir jetzt den alten Thread gar nicht erst durchgelesen, weil Bullshitverdacht.

Warum legst Du nicht einen Empfangskonnektor an? Jeder im AD angelegte und mit Exchangepostfach versehene Benutzer darf nach entsprechender Authentifizierung über den Exchangeserver per SMTP Mails versenden.

per Powershell so:
1) Konnektor anlegen:
new-ReceiveConnector -Name 'Relay' -Usage 'Custom' -Bindings '0.0.0.0:25' -RemoteIPRanges '[IP Adresse(n) der Clients]' -AuthMechanism 'BasicAuth' -PermissionGroups 'ExchangeUsers' -Server '[Hostname des Exchanges]'

Damit darf der authentifizierte Benutzer mit seiner primären SMTP-Adresse Mails über den Exchange senden

2) Um nun jede beliebige Absenderadresse zu verwenden müssen noch folgende Rechte vergeben werden:
Get-ReceiveConnector -Identity “Relay” | Add-ADPermission –User "Authenticated Users" –ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Get-ReceiveConnector -Identity “Relay” | Add-ADPermission –User "Authenticated Users" –ExtendedRights ms-Exch-SMTP-Accept-Any-Sender

Gruß
Marcus
Mitglied: blindzero
Lösung blindzero 11.07.2013, aktualisiert am 17.04.2014 um 08:39:22 Uhr
Goto Top
Moin Marcus,
Das Thema mit dem Add-ADPermission habe ich an vielen anderen Stellen auch gelesen, habe damit bei mir (Exchange 2013/CU2) aber ein Problem: es funktioniert einfach nicht.

Ich habe es soweit verfiziert, dass es nicht mit einem FrontendTransport-Connector geht, sehr wohl aber mit einem HubTransport.
Da ich aber ja Client-Kommunikation abwickeln will, sollte es doch ein FrontendTransport sein?
Bei Deinem New-ReceiveConnector kommt ein HubTransport heraus...soll das so sein? Warum geht das nicht mit einem Frontend?

Danke für ne Info!
Matthias
Mitglied: Onitnarat
Lösung Onitnarat 11.07.2013, aktualisiert am 17.04.2014 um 08:39:23 Uhr
Goto Top
Servus Matthias,
was meinst Du mit "FrontendTransport"? Einen Exchange 2010 mit Edge Transport Rolle?

Falls ja, dann wird das auf dem Edge Transport mit den Empfangskonnektoren ähnlich funktionieren. Hier gibt es nur das Problem, dass der ET ja in der DMZ steht und auch nicht Mitglied der Domäne ist, also einen Domänenbenutzer nicht authentifizieren kann.
Daher müsstest Du nicht mit "Authenticated Users" arbeiten sondern mit den lokalen Benutzern bzw. Gruppen.

Gruß
Marcus
Mitglied: blindzero
Lösung blindzero 11.07.2013, aktualisiert am 17.04.2014 um 08:39:20 Uhr
Goto Top
Hallo Marcus,
das ist bei Exchange 2013 wohl komplett anders...ich kenne Exchange aber nicht < 2013 face-wink In Exchange 2013 gibt es nur noch FrontendTransport (für Client-Kommunikation) und HubTransport (für interne Kommunikation von Exchange).
TransportFrontends sind eigentlich auf den CAS zu finden, die HubTransports auf den MBX. Unser Server hat beide Rollen in einem,
Viele Grüße,
Matthias
Mitglied: Onitnarat
Lösung Onitnarat 11.07.2013, aktualisiert am 17.04.2014 um 08:39:19 Uhr
Goto Top
Zitat von @blindzero:
Hallo Marcus,
das ist bei Exchange 2013 wohl komplett anders...ich kenne Exchange aber nicht < 2013 face-wink In Exchange 2013 gibt es nur noch
FrontendTransport (für Client-Kommunikation) und HubTransport (für interne Kommunikation von Exchange).
TransportFrontends sind eigentlich auf den CAS zu finden, die HubTransports auf den MBX. Unser Server hat beide Rollen in einem,
Viele Grüße,
Matthias

Aha! Seit wann sprechen wir denn von einem Exchange 2013?
Exchange 2013 habe ich nur in einer Testumgebung bisher gesehen und das auch nur wenige Schnupperminuten, sorry.