6
Ex2007 Empfangsconnector für Partner
Hallo Zusammen,
Ein Service-Dienstleister von uns soll über unseren Mailserver (mit unserem Domainnamen) Mails an Kunden versenden können. (z.B. Kundenservice@unserefirma.de)
Geplante Vorgehensweise:
1. Zwischen unserer Firewall und der Firewall des Partners einen IPSec Tunnel aufbauen wo genau dieser eine Applikationsserver vom Partner mit genau unserem Mailserver kommunizieren darf/kann.
2. Einen Empfangsconnector auf unserm Mailserver Einichten, welcher auch für diesen externen Host auf Port 25 horcht und folgendermaßen konfiguriert ist
a. Authentifizierung: Extern gesichert.
b. Berechtigungsgruppen: Anonyme-Benutzer
Der Partner soll nur 4 Spezielle Mail-Adressen, welche auf Email-Aktivierten öffentlichen Ordnern liegen, verwenden dürfen. Wie kann ich das sicherstellen? Meine Vermutung wäre doch beim Connector mit einer Exchange Benutzer Berechtigung zu arbeiten und dem Benutzer „send-As“ Berechtigungen für diese Öffentlichen Ordner MailAdressen zu erteilen.
Alternativ würde das Ganze auch sicherlich auch ohne IPSec Tunnel funktionieren und die Anfragen würden den normalen Weg über die Firewall reinkommen und dann zwecks Source IP hoffentlich diesen speziellen Connector ansprechen.
Freue mich auf euer Antworten. Muss grade einen Bug beseitigen, so dass ich überhaupt wieder Connectoren anlegen kann: http://blog.korteksolutions.com/cant-create-a-new-receive-connector-aft ...
VG
uLmi
Ein Service-Dienstleister von uns soll über unseren Mailserver (mit unserem Domainnamen) Mails an Kunden versenden können. (z.B. Kundenservice@unserefirma.de)
Geplante Vorgehensweise:
1. Zwischen unserer Firewall und der Firewall des Partners einen IPSec Tunnel aufbauen wo genau dieser eine Applikationsserver vom Partner mit genau unserem Mailserver kommunizieren darf/kann.
2. Einen Empfangsconnector auf unserm Mailserver Einichten, welcher auch für diesen externen Host auf Port 25 horcht und folgendermaßen konfiguriert ist
a. Authentifizierung: Extern gesichert.
b. Berechtigungsgruppen: Anonyme-Benutzer
Der Partner soll nur 4 Spezielle Mail-Adressen, welche auf Email-Aktivierten öffentlichen Ordnern liegen, verwenden dürfen. Wie kann ich das sicherstellen? Meine Vermutung wäre doch beim Connector mit einer Exchange Benutzer Berechtigung zu arbeiten und dem Benutzer „send-As“ Berechtigungen für diese Öffentlichen Ordner MailAdressen zu erteilen.
Alternativ würde das Ganze auch sicherlich auch ohne IPSec Tunnel funktionieren und die Anfragen würden den normalen Weg über die Firewall reinkommen und dann zwecks Source IP hoffentlich diesen speziellen Connector ansprechen.
Freue mich auf euer Antworten. Muss grade einen Bug beseitigen, so dass ich überhaupt wieder Connectoren anlegen kann: http://blog.korteksolutions.com/cant-create-a-new-receive-connector-aft ...
VG
uLmi
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 210853
Url: https://administrator.de/contentid/210853
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
Exchange kann SendAs nur in der eigenen Org überwachen, ich habe es mal geschafft über ein Offenes Relay (Nur Intern offen^^) eine Mail über andere Postfach Adressen zu Senden die keine SendAs Berechtigungen hatten.
Auch eine Autentifizierung konnte dieses Problem leider nicht lösen. Nur so viel zu meinen erfahruungen.
LG, Herbrich
Exchange kann SendAs nur in der eigenen Org überwachen, ich habe es mal geschafft über ein Offenes Relay (Nur Intern offen^^) eine Mail über andere Postfach Adressen zu Senden die keine SendAs Berechtigungen hatten.
Auch eine Autentifizierung konnte dieses Problem leider nicht lösen. Nur so viel zu meinen erfahruungen.
LG, Herbrich
Hallo,
es könnte mit einer Vertrauensstellung funktionieren aber das würde ich bei einem externen nicht machen.
Nimm einen Linux Rechner und Postfix. Dort kannst Du die Mails biegen und drehen wie Du Lust und Laune hast.
http://www.postfix.org/ADDRESS_REWRITING_README.html
Gruß
es könnte mit einer Vertrauensstellung funktionieren aber das würde ich bei einem externen nicht machen.
Nimm einen Linux Rechner und Postfix. Dort kannst Du die Mails biegen und drehen wie Du Lust und Laune hast.
http://www.postfix.org/ADDRESS_REWRITING_README.html
Gruß
Hallo,
bitte helft mir noch etwas auf die Sprünge:
Ist es grundsätzlich möglich einen entfernten ApplicationServer zu ermöglichen über meinen Exchange zu versenden ? also unabhängig von den Send-As und Postfächern. Einfach das es über meinen Server rausgeht und somit legitim über die SPF und Reverselookups erscheint.
Das muss doch möglich sein...
Ich will keinen Postfix Server aufsetzten.
bitte helft mir noch etwas auf die Sprünge:
Ist es grundsätzlich möglich einen entfernten ApplicationServer zu ermöglichen über meinen Exchange zu versenden ? also unabhängig von den Send-As und Postfächern. Einfach das es über meinen Server rausgeht und somit legitim über die SPF und Reverselookups erscheint.
Das muss doch möglich sein...
Ich will keinen Postfix Server aufsetzten.
Hallo,
schaue mal hier: http://www.msexchange.org/articles-tutorials/exchange-server-2007/compl ...
Dem anderen Server musst Du dann einen Sendeconnector spendieren und bei Dir im Empfangsconnector zu mindestens die Authentifizierung aktivieren, sodass kein offenes Relay entsteht. Der Exchange kann auch als Relay arbeiten. Den obigen Link habe ich nur mal kurz überflogen und hoffe, dass dieser hilft.
Gruß
schaue mal hier: http://www.msexchange.org/articles-tutorials/exchange-server-2007/compl ...
Dem anderen Server musst Du dann einen Sendeconnector spendieren und bei Dir im Empfangsconnector zu mindestens die Authentifizierung aktivieren, sodass kein offenes Relay entsteht. Der Exchange kann auch als Relay arbeiten. Den obigen Link habe ich nur mal kurz überflogen und hoffe, dass dieser hilft.
Gruß
Ja dass geht,
Die Domäne darf nicht Autoritiv Sein und sie darf auch nicht Offen für jeden Sein, weswegen man ein User anlegt der dann die Rechte hat, oder halt eben ne IP-Auth, dann geht dass.
Ich habe es mal mit Sharepoint 2007 und 2010 (nach den blöden Update -.-) gemacht, und da ging es auch ohne Problehme, Sharepoint konnte endpfangen und Senden ohne Probleme.
LG, Herbrich
Die Domäne darf nicht Autoritiv Sein und sie darf auch nicht Offen für jeden Sein, weswegen man ein User anlegt der dann die Rechte hat, oder halt eben ne IP-Auth, dann geht dass.
Ich habe es mal mit Sharepoint 2007 und 2010 (nach den blöden Update -.-) gemacht, und da ging es auch ohne Problehme, Sharepoint konnte endpfangen und Senden ohne Probleme.
LG, Herbrich
wollte das Thema mal schließen und meine Lösung ergänzen.
1. ich habe für den Partner einen eigenen User angelegt. Dieser User hat send-as für die entsprechenden Postfächer/Öffentlichen Ordner.
2. ich habe einen extra Sende Konnektor und senden als mit sowie Verschlüsslung getestet. bin aber dann doch dazu übergegangen den bestehenden Sende Konnektor zu verwenden.
3. auf unserer Firewall eine Regel bzw.Proxy angelegt und diese ÜBER der allgemeinen SMTP Proxy Regel gesetzt. Diese Regel sagt: wenn von außen auf Port 25 explizit von der externen IP des Partners eine Verbindung aufgebaut wird, so darf diese an den Mailserver passieren. TLS hab ich dem Proxy auch bei gebracht, intern wird es dann ohne TLS an den Mailserver weitergereicht.
Prinzip nicht schwer...
Viele Grüße
uLmi
1. ich habe für den Partner einen eigenen User angelegt. Dieser User hat send-as für die entsprechenden Postfächer/Öffentlichen Ordner.
2. ich habe einen extra Sende Konnektor und senden als mit sowie Verschlüsslung getestet. bin aber dann doch dazu übergegangen den bestehenden Sende Konnektor zu verwenden.
3. auf unserer Firewall eine Regel bzw.Proxy angelegt und diese ÜBER der allgemeinen SMTP Proxy Regel gesetzt. Diese Regel sagt: wenn von außen auf Port 25 explizit von der externen IP des Partners eine Verbindung aufgebaut wird, so darf diese an den Mailserver passieren. TLS hab ich dem Proxy auch bei gebracht, intern wird es dann ohne TLS an den Mailserver weitergereicht.
Prinzip nicht schwer...
Viele Grüße
uLmi
