Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange soll nur von AD-Benutzern senden

Frage Microsoft Exchange Server

Mitglied: sebezahn

sebezahn (Level 1) - Jetzt verbinden

10.03.2010, aktualisiert 14:57 Uhr, 4898 Aufrufe, 8 Kommentare

Ein Frage der Sicherhert eines extern zugreifbaren SMTPs. Nur AD-Benutzer sollen Mails versenden können.

Hallo alle,

folgendes Problem, zumindest potentiell. Unser SBS 2003 mit Exchange 2003 werkelt mit interner IP hinter unserem Lancom-Router. Das funktioniert alles wunderbar, per VPN verbinden wir uns erst von extern mit dem Netz und dann mit dem Exchange. Bisher haben wir immer einen externen Mailserver genutzt, der mit dem Exchange überhaupt nichts zu tun hatte. Das muss sich nun aber ein wenig ändern, der Exchange soll nun Mails senden und empfangen können.

Die gute Nachricht: Das funktioniert schon! Wir haben eine statische IP (bei Arcor), haben einen Reverse-DNS-Eintrag setzen lassen, den MX-Eintrag der Domain beim Hoster setzen lassen. Seitdem klopfen die Mails am Port 25 am Router an, versenden klappt ebenfalls. Wir haben am Lancom testweise mal Port 25 freigegeben und per NAT zum Exchange geleitet. Dann kamen Mails auch einwandfrei an.

Nun zum eigentlichen Problem: Ich habe extreme Bauchschmerzen, ohne genaue Kenntnisse einen SMTP einfach freizugeben. Zwar haben wir tägliche Backups aller Daten und des gesamten Systems, aber wie kann ich in den Einstellungen im Exchange überprüfen, dass wirklich NUR Benutzer, die per Outlook im Exchange hängen oder per Smartphone (RPC over HTTPS) Mails versenden können? Im Grunde genommen kann ich den SMTP-Versand komplett auf das interne Netz eingrenzen, zusätzlich zur Authentifizierung. Aber ich muss den SMTP ja auf jeden Fall erreichbar lassen, wenn ich Mails empfangen will.

Einen SMTP-Relay an unserem bisherigen Mailserver können wir leider nicht verwenden. Der Grund ist, dass wir genau dieses Netz extern überwachen lassen wollen und (unter anderem) per Mail benachrichtigt werden. Ist natürlich dämlich, wenn genau das Netz mit dem entsprechenden Relay dann down ist...

Edit: Ich habe mal die Tests von www.abuse.net/relay.html durchlaufen lassen. Er findet keine offenen Relays... Dennoch bin ich für Anmerkungen dankbar!

Gruß und vielen Dank,
Sebezahn
Mitglied: ElWiegaldo
10.03.2010 um 16:00 Uhr
Hallo,

man kann - wenn ich mich recht erinnere - im SMTP-Connector irgendwo einstellen das nur authentifierte Benutzer verschicken können... ist aber gerade etwas lange her

Grüße
ElWiegaldo
Bitte warten ..
Mitglied: sebezahn
10.03.2010 um 16:18 Uhr
Hi,

leider nicht, oder ich habe es trotz intensiver Suche nicht gefunden. Du kannst nur einstellen, von welchem Versender Nachrichten angenommen werden. Und das ist natürlich nicht das, was ich möchte, denn empfangen werden sollen Mails ja von beliebigen Adressen. Ich habe auch keine Einschränkung des reinen Versands auf den internen IP-Adresskreis gefunden.

Gruß
Sebezahn
Bitte warten ..
Mitglied: ElWiegaldo
10.03.2010 um 16:35 Uhr
... hmmm schade. Habe meinen 2003er vor kurzem platt gemacht.
Sonst könnte ich jetzt mal kucken.

Grüße
ElWiegaldo
Bitte warten ..
Mitglied: GuentherH
10.03.2010 um 17:30 Uhr
Hallo.

leider nicht, oder ich habe es trotz intensiver Suche nicht gefunden

Aber sicher doch

a) wenn der der Exchange über den Assistenten für den Internetzugang konfiguriert wurde, dann ist er relayfest und sicher
b) im virtuellen SMTP gibt es im Register Zugriff die Einstellungen -> Authentifizierung -> Benutzer, zudem die Einstellungen Verbindung und Relay.

Wenn ausschließlich Outlook Clients auf den Exchange zugreifen, kannst du hier eigentlich konfigurieren, dass nur der Exchange selbst auf den virtuellen SMTP zugreifen kann. Die Outlook Clients verwenden ja das MAPI Protokoll und benötigen SMTP gar nicht.

LG Günther
Bitte warten ..
Mitglied: ElWiegaldo
10.03.2010 um 17:34 Uhr
wusste doch das da was war

Grüße
ElWiegaldo
Bitte warten ..
Mitglied: sebezahn
10.03.2010 um 20:04 Uhr
Hi nochmal,

Zitat von GuentherH:
a) wenn der der Exchange über den Assistenten für den Internetzugang konfiguriert wurde, dann ist er relayfest und
sicher

Ja, das ist er, allerdings habe in den SMTP-Connector ebenfalls noch einmal angelegt, auch per Assistent.

Zitat von GuentherH:
b) im virtuellen SMTP gibt es im Register Zugriff die Einstellungen -> Authentifizierung -> Benutzer, zudem die
Einstellungen Verbindung und Relay.

Wenn ausschließlich Outlook Clients auf den Exchange zugreifen, kannst du hier eigentlich konfigurieren, dass nur der
Exchange selbst auf den virtuellen SMTP zugreifen kann. Die Outlook Clients verwenden ja das MAPI Protokoll und benötigen
SMTP gar nicht.

vielen Dank schon einmal, bis dahin bin ich jetzt vorgedrungen. Das entsprechende Fenster heißt dann "Berechtigung für Übermittlung und Relay", und dort haben nur "Authentifizierte Benutzer" das Recht der "Übermittlungsberechtigung".

Wenn ich allerdings im Fenster davor, bei der "Authentifizierung" den "Anonymen Zugriff" verbiete, kommen keine Mails mehr an, was ja auch eigentlich Sinn macht, richtig? Denn der SMTP nimmt ja Mails von anderen Servern entgegen.

Was mir Sorge macht: Zwar können ganz offensichtlich fremde Mailadressen sich als Absender nicht anmelden, aber wenn jetzt jemand mit einer gültigen Emailadresse meines Servers über meinen SMTP sendet, geht die Mail dann durch? Per telnet habe ich getestet, damit kann ich nur von ungültigen Adressen an mich selbst senden, aber er lehnt fremde Empfangsadressen mit der Meldung "Unable to relay for mail@whatever.tld" ab.

Sorry der ganzen Fragerei, aber da bin ich lieber etwas zu vorsichtig... Und danke vielmals!

Gruß
Sebezahn
Bitte warten ..
Mitglied: GuentherH
10.03.2010 um 20:18 Uhr
Hallo.

Wenn ich allerdings im Fenster davor, bei der "Authentifizierung" den "Anonymen Zugriff" verbiete, kommen keine Mails mehr an

Klar, es darf ja kein nicht authentifizierter Benutzer auf den Server zugreifen

Per telnet habe ich getestet, damit kann ich nur von ungültigen Adressen an mich selbst senden

Ist auch richtig so. Es können aber nur Nachrichten an die Maildomänen versendet werden, für die der Exchange verantwortlich ist. Es ist also kein Relay möglich. Sollte es dir gelingen ein Verfahren zu entwickeln, das dies nicht mehr geschieht, dann ist dir die Nominierung für einen Nobel Preis sicher, denn dann würde es keinen SPAM mehr geben.

Aktiviere einfach einmal das SMTP Logging, dann hast du einen Überblick über deinen virtuellen SMTP - http://blog.sbspraxis.de/exchange-2003-logging-des-virtuellen-smtp-serv ...

LG Günther
Bitte warten ..
Mitglied: sebezahn
10.03.2010 um 20:36 Uhr
Hallo,

danke für die schnelle Hilfe! Ich dachte mir so etwas schon, ich bin auch auf Linux-Systemen mit Mailservern recht sicher unterwegs, aber ich (er)kenne einfach die Microsoft-Begrifflichkeiten nicht (wieder). Ich lasse den Port 25 jetzt mal offen und schaue, was passiert!

Grüße
Sebezahn
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Exchange Server
SBS 2011 Exchange Multidomain kein senden über Outlook möglich (1)

Frage von pla112 zum Thema Exchange Server ...

Windows Server
Zugriffsprobleme von neuen AD Benutzern auf Freigaben und Richtlinen (2)

Frage von Morilec469 zum Thema Windows Server ...

Exchange Server
gelöst Exchange Server Mail senden (5)

Frage von MorrowToon zum Thema Exchange Server ...

Windows Server
Schemaerweiterung - Office 365 - Exchange Online mit lokalem AD

Frage von chb1982 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...