Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Exchange 2007 Mails an nichtexistente Domänenbenutzer ablehnen

Frage Microsoft Exchange Server

Mitglied: Coreknabe

Coreknabe (Level 2) - Jetzt verbinden

18.10.2010 um 14:25 Uhr, 12302 Aufrufe, 14 Kommentare

Hallo,

wir betreiben einen Exchange 2007-Server in einer Windows Server 2008-Domäne. Unsere separate Firewall ist so konfiguriert, dass nur existierende Domänenbenutzer auch Mails bekommen. Schade nur, dass das den Exchange-Server nicht interessiert, der nimmt nämlich alles an. Wie kann ich sicherstellen, dass Mails nur für existierende Domänenbenutzer samt Mailpostfach auch angenommen wird?

Habe beim Googeln schon das hier gefunden, will aber kein Sammelpostfach, die Mails sollen einfach abgewiesen werden:
http://www.msxfaq.de/tools/catchunknown2010.htm
Mitglied: cyberjunkie
18.10.2010 um 14:42 Uhr
Wenn Eure Firewall die Mails blockt, wie soll der Exchange die denn bekommen?
Bitte warten ..
Mitglied: Coreknabe
18.10.2010 um 14:51 Uhr
OK, falsch ausgedrückt. Die Firewall überlässt dem DC die Abfrage. Teste ich mit Telnet die Zustellung einer Mail an dasdgasdgdzau@unseredomaene.de, nimmt der Exchange die Mail an. Wo kann ich das einstellen, dass solche Mails verworfen werden?
Bitte warten ..
Mitglied: 45877
18.10.2010 um 15:05 Uhr
Hallo,

You can only do this if Exchange is receiving internet email directly.

If you have the Ex2007 Edge Transport go to:
Microsoft Exchange | Edge Transport | Anti-Spam

Otherwise for Ex2007 Hub Transport install the anti-spam agents:
http://support.microsoft.com/kb/555924
Next go to:
Microsoft Exchange | Organization Configuration | Hub Transport | Anti-Spam

Open the properties for Recipient Filtering and tick the checkbox:
'Block messages sent to recipients not listed in the Global Address List'

http://msdn.itags.org/exchange-server/124496/
Bitte warten ..
Mitglied: filippg
18.10.2010 um 20:45 Uhr
Hallo,

was macht denn Exchange mit den Mails?
Normalerweise nimmt Exchange 2007 nämlich definitiv keine Mails an für Empfänger, die es nicht kennt, die aber zu seiner Domäne gehören. Vielleicht liegt hier das Problem: Die SMTP-Domäne muss als Authoritative konfiguriert sein (prüfen: Get-AcceptedDomain). Oder du hast auf dem Connector von extern her für alle das Relaying aktiviert (aber selbst dann ging es nicth mit unseredomaene.de)?

Aber die Frage von cyberjunkie halte ich noch nicht für beantwortet: Wie kommen die Mails überhaupt zu Exchange? Wenn sie soweit kommen ist doch offenbar schon etwas schief gelaufen. Vielleicht solltest du den Fehler auf der "Firewall" suchen?

Anti-Spam Agents oder Edge-Transport brauchst du dafür nicht.

Gruß

Filipp
Bitte warten ..
Mitglied: Coreknabe
19.10.2010 um 10:58 Uhr
Hallo an alle,

vielen Dank für die Antworten.

@Filipp
Sorry, bin nicht so der Exchange-Experte, ich versuche mal, die gewünschten Infos zusammenzusammeln. Habe mal den Alternativ-Weg zu Get-AcceptedDomain gewählt: Organisationskonfiguration --> Hubtransport --> Alternative Domänen. Da steht aus meiner Sicht dasselbe wie in der Ausgabe von Get-AcceptedDomain. Unsere Hauptdomäne, also dort, wo auch die Mails landen sollen, ist vom Typ Internes Relay. Unter Eigenschaften desselben steht dort zur Erklärung: E-Mail wird per Relay an einen E-Mail-Server in einer anderen Active Directory-Gesamtstruktur innerhalb der Organisation weitergeleitet.

Liegt hier der Fehler? Kann das nicht genau deuten. Auf einen Firewall-Fehler würde ich nicht tippen, da dieser einfach eine LDAP-Abfrage zum DC macht. Sagt der DC, dass der Empfänger existiert, leitet die Firewall die Mail an den Exchange weiter. Gegenprobe mit Telnet, wie oben beschrieben: Der Exchange weist die Mail nicht ab, auch wenn es den Benutzer gar nicht gibt....
Bitte warten ..
Mitglied: cyberjunkie
19.10.2010 um 14:26 Uhr
Zitat von Coreknabe:
Auf einen Firewall-Fehler würde ich nicht tippen, da dieser einfach eine
LDAP-Abfrage zum DC macht. Sagt der DC, dass der Empfänger existiert, leitet die Firewall die Mail an den Exchange weiter.

Wenn diese Abfrage richtig funktionieren würde, dürfte doch im Umkehrschluß die Firewall die Mail eben nicht weiterleiten wenn der DC sagt: Empfänger existiert nicht.
Oder verstehe ich hier etwas falsch?
Bitte warten ..
Mitglied: Coreknabe
19.10.2010 um 14:37 Uhr
Verstehe ich ja auch nicht, deshalb frage ich ja hier dumm rum

Ich weiss nicht, wo der Konfig-Fehler liegt, tippe aber auf den Exchange, weil: telnet exchange 25 --> helo --> blabla --> mail an nicht existenten User --> Exchange blockt nicht...
Problem ist, wo nehme ich diese Konfiguration vor?
Bitte warten ..
Mitglied: filippg
20.10.2010 um 00:16 Uhr
Hallo,

Unsere Hauptdomäne, also dort, wo auch die
Mails landen sollen, ist vom Typ Internes Relay.
Das ist falsch. Authoritativ bedeutet: Alle Adressen, die es zu der Domäne gibt liegen in dem Exchange. Also aus Exchangesicht: "Wenn dir jemand eine Mail zustellen will an jemand, den du nicht kennst, dann sag ihm, das die Adresse nicht existiert und lehne die Mail ab". Internal Relay sagt dem Exchange "Ja, für die Domain hast du schon ein paar Adressen. Aber neben dir gibt es da noch jemand anderen. Also nimm die Mails erstmal alle an, und leite sie halt weiter, wenn du den Empfänger nicht kennst".
Achtung: Wenn du irgendwelche komischen Dinge wie einen POPConnector verwendest, oder auf einem anderen Mailsystem wirklich noch (dem Exchange unbekannte) Adressen hast, kannst du geg. nicht ohne weiteres auf Authoritative umschalten, ohne die zu beeinflussen.

Sagt der DC, dass der Empfänger existiert, leitet die Firewall die Mail an den Exchange weiter.
Das mit der Accepted Domain ist definitiv ein Punkt, den du ändern solltest. Aber daneben tut auch die Firewall definitiv nicht das, was du uns hier beschreibst. Wenn sie ungültige Emfänger ablehnen würde kämen sie auch nicht bei Exchange an. Ist klar, oder?
Daneben schreibst du "Firewall". Grundsätzlich kann man eine solche Funktionalität in eine Firewall implementieren, das ist aber eher unüblich. Meist nimmt man hierzu ein Relay. Unterschied: Eine Firewall ist auf höheren Protokollebenen (SMTP) transparent. D.h. für einen externen Kommunikationspartner und Exchange sieht es so aus, als würden sie direkt miteinander kommunizieren. Ein Relay arbeitet auf SMTP-Protokollebene. Das Relay nimmt Mails von extern entgegen, speichert sie (scannt sie auf Viren, Spam etc) und leitet sie später an Exchange weiter.
Hast du wirklich eine transparente Firewall im Einsatz, so ist es nicht wirklich schlimm, wenn die Empfängerprüfung nicht funktioniert (bis auf Tatsache, dass es blöd ist, wenn sich Systeme nicht so verhalten, wie man sich das vorstellt). Handelt es sich um ein Relay (was die wahrscheinlichere Variante ist), so solltest du unbedingt darauf achten, dass ungültige Empfänger hier schon abgelehnt werden, da du sonst erhebliche Probleme mit Backscatter/Misdirected Bounces bekommen wirst.

Gruß

Filipp
Bitte warten ..
Mitglied: filippg
20.10.2010 um 00:17 Uhr
Doppelpost
Bitte warten ..
Mitglied: Coreknabe
25.10.2010 um 14:21 Uhr
Hallo Filipp,

sorry, komme erst jetzt zum Testen. Vielen Dank für Deine ausführliche Erklärung!

Ich habe jetzt auf "Authorisierende Domäne" umgestellt. Funktioniert jetzt, ein ganz dickes Dankeschön an Dich!

Eine letzte Verständnisfrage: Die Testmail kommt mit der Nachricht zurück, dass der Empfänger nicht existiert. Soweit korrekt. Ich habe allerdings zusätzlich folgendes getestet:

telnet MAILSERVER 25
helo DOMÄNE
mail from:ich@da.de
rcpt to:wdsgsdhkbdhs@unseredomaene.de

Ausgabe:
250 2.1.5 Recipient OK

Frage: Müsste ich hier nicht schon eine Nachricht bekommen, dass der Empfänger nicht existiert?
Bitte warten ..
Mitglied: filippg
25.10.2010 um 19:34 Uhr
Hallo,

Frage: Müsste ich hier nicht schon eine Nachricht bekommen, dass der Empfänger nicht existiert?
Ja, unbedingt. Du bekommst sonst genau das Problem mit dem Backscatter. Dein System nimmt die Mail erstmal an, und muss nachher einen NDR erzeugen.

Ich habe jetzt auf "Authorisierende Domäne" umgestellt. Funktioniert jetzt,
Hm... was funktioniert denn dann jetzt? Eingangs beschriebenes Problem, nämlich das alle Mails angenommen werden, hast du ja dann immer noch.

Gegen wen hast du denn jetzt getestet? Die ominöse Firewall oder Exchange? Von intern oder extern? Wer stand denn im Greetings-Banner (also nach Aufbau der SMTP-Verbindung)?

Gruß

Filipp
Bitte warten ..
Mitglied: Coreknabe
25.10.2010 um 20:50 Uhr
Hi,

also...

Test mit telnet auf Port 25 des Mailservers ergibt im Verlauf die Ausgabe "250 2.1.5 Recipient OK". Was mich wie beschrieben verwundert. Im Greetingsbanner steht der FQDN der Firewall. Das deutet dann auf das von Dir vermutete Relay hin?

Dann habe ich testweise von einem GMX-Account eine Mail an einen nichtexistenten Nutzer unserer Domäne geschickt. Die Mail kommt mit einem "Unzustellbar"-Vermerk zurück:

Die E-Mail-Adresse des Empfängers wurde im E-Mail-System des Empfängers nicht gefunden. Microsoft Exchange versucht nicht, diese Nachricht erneut für Sie zuzustellen. Überprüfen Sie die E-Mail-Adresse, und versuchen Sie, diese Nachricht erneut zu senden, oder wenden Sie sich mit dem folgenden Diagnosetext an Ihren Systemadministrator.
#550 5.1.1 RESOLVER.ADR.RecipNotFound; not found ##
Bitte warten ..
Mitglied: filippg
25.10.2010 um 21:08 Uhr
Hallo,

Test mit telnet auf Port 25 des Mailservers ergibt im Verlauf die Ausgabe "250 2.1.5 Recipient OK". Was mich wie
beschrieben verwundert. Im Greetingsbanner steht der FQDN der Firewall. Das deutet dann auf das von Dir vermutete Relay hin?
Genau. Deine Firewall ist höchstwahrscheinlich keine einfache Firewall, sondern ein Relay.

Die E-Mail-Adresse des Empfängers wurde im E-Mail-System des Empfängers nicht gefunden. Microsoft Exchange versucht
nicht, diese Nachricht erneut für Sie zuzustellen. Überprüfen Sie die E-Mail-Adresse, und versuchen Sie, diese
Nachricht erneut zu senden, oder wenden Sie sich mit dem folgenden Diagnosetext an Ihren Systemadministrator.
#550 5.1.1 RESOLVER.ADR.RecipNotFound; not found ##
Das ist klar. Die Frage ist nur, wer den NDR erzeugt. Und das wird deine Firewall im Dialog mit Exchange sein. Um Backscatter zu vermeiden sollte es aber der Absenderserver im Dialog mit der "Firewall" sein (die die Mail ablehnt).
Jedes bessere Relay sollte in der Lage sein noch vor dem Annehmen einer Mail (meist über LDAP) zu prüfen, ob der Empfänger überhaupt existiert. Und da die Funktion Sinn macht, solltest du dir das Handbuch deines Relays nochmal zur Hand nehmen...

Gruß

Filipp
Bitte warten ..
Mitglied: Coreknabe
25.10.2010 um 21:43 Uhr
Hi,

werde das noch mal genauer unter die Lupe nehmen, denke, Du hast mich auf den richtigen Weg gebracht. Vielen Dank dafür!

Diesen Thread schliesse ich erst mal als gelöst, wenn ich noch was Bahnbrechendes herausfinden sollte, poste ich das hier noch.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Exchange Server
Exchange 2007 Datenbank restore ohne Exchange zu verändern - SBS2008

Frage von pitamerica zum Thema Exchange Server ...

DSL, VDSL
Fritzbox Exchange 2007 UM Gateway mit Freetz (2)

Frage von Herbrich19 zum Thema DSL, VDSL ...

Exchange Server
gelöst Zertifikatsfehler nach Migration von Exchange 2007 zu Exchange 2013 (2)

Frage von Tommy1983 zum Thema Exchange Server ...

Exchange Server
gelöst Exchange 2007 Migration auf Exchange 2016 (3)

Frage von Tommy1983 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...