2
Exchange 2003, Client-Zugriff per SMTP
Szenario: Exchange 2003-Server, Mitarbeiter können von außen per VPN in das Netz und möchten ausschließlich Mails abholen/versenden. Dafür soll Outlook genutzt werden, aber nur mit einem POP/SMTP Zugriff auf den Exchange Server. Die Rechner selbst sind nicht Mitglied der Domäne.
Auf dem Exchange-Server ist dafür ein eigener virtueller SMTP-Server eingerichtet worden, auf einem Port <>25 (gibts ja schon für den "Standard"Server), sagen wir mal 7000. Diesen will ich nutzen, um den User Nachrichten versenden zu lass, also Relay zu ermöglichen - allerdings muss ich dafür das "Anonymer Zugriff" rausnehmen. Stattdessen ist "Standardauthentifizierung" und "integrierte Windows-Authentifizierung" angeklickt. Im Outlook bekomme ich nun das Anmeldefenster aufgepopt für den Versand, aber der Exchange akzeptiert keine von meinen Benutzerangaben (domäne\name, name@domäne...). Dieselben Angaben werden allerdings vom POP3-Dienst ohne weiteres akzeptiert!
Gibt es noch irgendwo etwas zu berücksichtigen?
Ich weiß, dass die Lössung nicht besonders gut ist - aber auf Grund der (mageren) Internetanbindung mag ich nicht Outlook als echten Exchange-Client benutzen.
Gibt es noch irgendwo etwas zu berücksichtigen?
Ich weiß, dass die Lössung nicht besonders gut ist - aber auf Grund der (mageren) Internetanbindung mag ich nicht Outlook als echten Exchange-Client benutzen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 91131
Url: https://administrator.de/contentid/91131
Printed on: April 19, 2024 at 04:04 o'clock
2 Comments
Latest comment
Hallo,
wenn die Clients nicht in der Domäne sind solltest du dei Windows-Authentifizierung ausschalten. Das mit den Ports solltest du nochmal überprüfen, evtl. wird versucht TLS/SSL für die Authentifizierung zu verwenden und dabei ein nicht freigeschalteter Port verwendet. Cisco PIX-Systeme hatten mal ein "Feature", dass SMTP verhindert hat. Warum nimmst du nicht den Default-Connector auf Port 25? Sind da besondere Einstellungen drauf? Hat SMTP von den Clients überhaupt schonmal funktioniert? Schonmal einen Sniffer auf einem Cleint mitlaufen lassen?
Eine einfache nicht unbedingt ganz feine Methode wäre es einen Connector aufzusetzen, der für den IP-Bereich der VPN-Clients unauthentifiziertes Relaying zulässt.
Gruß
Filipp
wenn die Clients nicht in der Domäne sind solltest du dei Windows-Authentifizierung ausschalten. Das mit den Ports solltest du nochmal überprüfen, evtl. wird versucht TLS/SSL für die Authentifizierung zu verwenden und dabei ein nicht freigeschalteter Port verwendet. Cisco PIX-Systeme hatten mal ein "Feature", dass SMTP verhindert hat. Warum nimmst du nicht den Default-Connector auf Port 25? Sind da besondere Einstellungen drauf? Hat SMTP von den Clients überhaupt schonmal funktioniert? Schonmal einen Sniffer auf einem Cleint mitlaufen lassen?
Eine einfache nicht unbedingt ganz feine Methode wäre es einen Connector aufzusetzen, der für den IP-Bereich der VPN-Clients unauthentifiziertes Relaying zulässt.
Gruß
Filipp
Vielleicht habe ich ja ein paar Dinge trotz langer Beschäftigung mit dem Exchange Server nicht richtig verstanden.
Ich habe einen virtuellen SMTP-Server laufen auf Port 25. In den lasse ich mir die Mails aus dem Internet per SMTP "pumpen", das funktioniert auch. Bei diesem Server muss ich doch (?) die Authentifizierung ausschalten, damit ich zuverlässig von anderen SMTP-Diensten aus dem Internet Mails bekomme. Die arbeiten untereinander ja ohne Authentifizierung. Im Gegenzug schalte ich das Relaying aus, damit keiner Dummheiten machen kann.
Diesen eben beschriebenen virtuellen Server kann ich für meine Clients (=Outlook + Pop + SMTP) nicht gebrauchen, da ich für diese ja Relaying ermöglichen muss. Also einen 2.SMTP-Server aufgesetzt, der nun auch zwangsläufig auf einem anderen Port arbeiten muss. Bei diesem 2. Server habe ich nun versucht, die Authentifizierung zu nutzen, um willkürliche Zugriffe auf's Relay zu vermeiden. Und genau das kriege ich nicht hin... Wenn ich den "Anonymen Zugriff" auf genau diesem Server einschalte, also auf meinem 7000er Port, kann ich ohne Probleme per SMTP versenden.
Das ist natürlich sicherheitstechnisch arg bedenklich - allerdings ist die Variante (wie vorgeschlagen), nur alle Clients in meinem lokalen Subnetz zuzulassen und ohne Authentifizierung zu arbeiten, noch ein möglicher Kunstgriff. Funktionieren würde das auch, da die Clients eine einzelne Station darstellen und vom Router eine Adresse aus meinem lokalen Netz bekommen. Aber mich ärgert es schon, dass man mit dem Konzept nicht hinkommt und ich den Kram nicht zum Laufen kriege
.
Die Firewall (Draytek-Router) spielt in dem Moment eine völlig untergeordnete Rolle, da ich per VPN im Firmennetz bin und der VPN-Verkehr nicht weiter geblockt wird. Der VPN-Client darf also alles.
Ich bin allerdings erst Freitag zurück und werde dann die vorgeschlagenen Dinge mal testen.
THX
Thomas
Ich habe einen virtuellen SMTP-Server laufen auf Port 25. In den lasse ich mir die Mails aus dem Internet per SMTP "pumpen", das funktioniert auch. Bei diesem Server muss ich doch (?) die Authentifizierung ausschalten, damit ich zuverlässig von anderen SMTP-Diensten aus dem Internet Mails bekomme. Die arbeiten untereinander ja ohne Authentifizierung. Im Gegenzug schalte ich das Relaying aus, damit keiner Dummheiten machen kann.
Diesen eben beschriebenen virtuellen Server kann ich für meine Clients (=Outlook + Pop + SMTP) nicht gebrauchen, da ich für diese ja Relaying ermöglichen muss. Also einen 2.SMTP-Server aufgesetzt, der nun auch zwangsläufig auf einem anderen Port arbeiten muss. Bei diesem 2. Server habe ich nun versucht, die Authentifizierung zu nutzen, um willkürliche Zugriffe auf's Relay zu vermeiden. Und genau das kriege ich nicht hin... Wenn ich den "Anonymen Zugriff" auf genau diesem Server einschalte, also auf meinem 7000er Port, kann ich ohne Probleme per SMTP versenden.
Das ist natürlich sicherheitstechnisch arg bedenklich - allerdings ist die Variante (wie vorgeschlagen), nur alle Clients in meinem lokalen Subnetz zuzulassen und ohne Authentifizierung zu arbeiten, noch ein möglicher Kunstgriff. Funktionieren würde das auch, da die Clients eine einzelne Station darstellen und vom Router eine Adresse aus meinem lokalen Netz bekommen. Aber mich ärgert es schon, dass man mit dem Konzept nicht hinkommt und ich den Kram nicht zum Laufen kriege
.Die Firewall (Draytek-Router) spielt in dem Moment eine völlig untergeordnete Rolle, da ich per VPN im Firmennetz bin und der VPN-Verkehr nicht weiter geblockt wird. Der VPN-Client darf also alles.
Ich bin allerdings erst Freitag zurück und werde dann die vorgeschlagenen Dinge mal testen.
THX
Thomas
