5
Exchange 2010 Relaying
Hallo! ich hab eine kleine Frage bzgl der Arbeitsweise des Exchange 2010.
Wenn ich unter Akzeptierte Domänen, als Typ "extern Relay" und als Domäne ein " * " eintrage, was passiert dann genau?
Der Exchange warnt mich zwar, dass ich grade ein open relay konfiguriert habe, aber eig. sollten ja die Empfangsconnectoren noch eine Auth. habe wollen, eh ein relay einer Nachricht von extern nach extern statt findet?!
Genau das passiert aber nicht...
Sobald ich diese Einstellung getroffen habe, wird jede mail OHNE auth. von extern nach Extern verschickt... also eine potentielle Spameinstellung.
Daher die Frage: warum ignoriert er in diesem fall die Rechte und Authentifzierungen eines Empfangsconnectors?? Wie arbeitet ein Exchange 2010 dieses da intern ab?
Danke für eure Hilfe!
Wenn ich unter Akzeptierte Domänen, als Typ "extern Relay" und als Domäne ein " * " eintrage, was passiert dann genau?
Der Exchange warnt mich zwar, dass ich grade ein open relay konfiguriert habe, aber eig. sollten ja die Empfangsconnectoren noch eine Auth. habe wollen, eh ein relay einer Nachricht von extern nach extern statt findet?!
Genau das passiert aber nicht...
Sobald ich diese Einstellung getroffen habe, wird jede mail OHNE auth. von extern nach Extern verschickt... also eine potentielle Spameinstellung.
Daher die Frage: warum ignoriert er in diesem fall die Rechte und Authentifzierungen eines Empfangsconnectors?? Wie arbeitet ein Exchange 2010 dieses da intern ab?
Danke für eure Hilfe!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 183710
Url: https://administrator.de/contentid/183710
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
5 Kommentare
Neuester Kommentar
Works as designed.
Die Email von extern nach extern erreicht ja gar nicht deine Hub Transport Server auf denen du deine Authentifizierung eingestellt hast.
Email kommt von draussen -> Edge Transport Server erkennt dass er autorisiert ist diese Mail anzunehmen aufgrund deiner Einstellung "*" und sendet diese weiter.
Die Authentifizierung kommt erst zum Tragen wenn es um eine Domain geht, die namentlich erwähnt ist.
Dann wird die Mail an dessen Empfangsconnector geschickt auf dem eine Authentifizierung eingestellt ist.
Die Email von extern nach extern erreicht ja gar nicht deine Hub Transport Server auf denen du deine Authentifizierung eingestellt hast.
Email kommt von draussen -> Edge Transport Server erkennt dass er autorisiert ist diese Mail anzunehmen aufgrund deiner Einstellung "*" und sendet diese weiter.
Die Authentifizierung kommt erst zum Tragen wenn es um eine Domain geht, die namentlich erwähnt ist.
Dann wird die Mail an dessen Empfangsconnector geschickt auf dem eine Authentifizierung eingestellt ist.
Danke für deine Erklärung!!
Wo muss ich denn jetzt ansetzen, wenn ich genau diese Scenario möchte! NUR mit der kleinen Einschränkung, dass sich Benutzer vorher authentifizieren müssen?!!
Also Sprich der Hub Transport soll die Mail annehmen, schauen ob die Auth. passt und diese dann wieder nach extern leiten.
Ich bin echt am Verzweifeln... es muss doch einen Weg geben, dieses zu konfigurieren?!
Wo muss ich denn jetzt ansetzen, wenn ich genau diese Scenario möchte! NUR mit der kleinen Einschränkung, dass sich Benutzer vorher authentifizieren müssen?!!
Also Sprich der Hub Transport soll die Mail annehmen, schauen ob die Auth. passt und diese dann wieder nach extern leiten.
Ich bin echt am Verzweifeln... es muss doch einen Weg geben, dieses zu konfigurieren?!
Mir ist nicht ganz klar, was für einen Business Case du damit abbilden willst ?
Jedenfalls ist die Aufnahme von * als accepted domains eine ganz schlechte Idee.
Damit machst du jede beliebige Domain vertrauenswürdig als interne Relay Domain.
Wenn du unbedingt als Relay fungieren willst in alle Welt für alle möglichen Domains würde ich einen benutzerdefinierten Receive Connector auf dem Edge Transport erstellen. Diesen exklusiv für eine bestimmte Security Gruppe freigeben.
Dieser Gruppe die Exchange Berechtigungen Accept-Any-Sender und Accept-Any-Recipient geben.
Und das dann mal ausprobieren. Evtl. brauchts noch ein paar mehr Berechtigungen.
Ist jedenfalls ein sehr seltener Business Case und sicher nicht von MS vorgesehen.
Jedenfalls ist die Aufnahme von * als accepted domains eine ganz schlechte Idee.
Damit machst du jede beliebige Domain vertrauenswürdig als interne Relay Domain.
Wenn du unbedingt als Relay fungieren willst in alle Welt für alle möglichen Domains würde ich einen benutzerdefinierten Receive Connector auf dem Edge Transport erstellen. Diesen exklusiv für eine bestimmte Security Gruppe freigeben.
Dieser Gruppe die Exchange Berechtigungen Accept-Any-Sender und Accept-Any-Recipient geben.
Und das dann mal ausprobieren. Evtl. brauchts noch ein paar mehr Berechtigungen.
Ist jedenfalls ein sehr seltener Business Case und sicher nicht von MS vorgesehen.
Und zwar möchte ich gerne folgendes realisieren:
Ich befinde mich außerhalb meiner Exchangeorganisation und möchte in der Lage sein eine Mail über meinen Exchange2010 zu veschicken, wo der Empfänger sich aber ebenfalls außerhalb meiner Exchangeorganisation befindet. Da ich mir über die evtl. Spamgefahr bewusst bin soll das ganze nun NUR funktionieren, wenn vorher eine Authentifizierung stattgefunden hat.
Quasi ein eigener *öffentlicher SMTP-Server* mit einer Authentifizierung ausgehend, der eigenen Benutzer.
Ist das echt so selten, dass man dieses konfigurieren möchte?
Ich befinde mich außerhalb meiner Exchangeorganisation und möchte in der Lage sein eine Mail über meinen Exchange2010 zu veschicken, wo der Empfänger sich aber ebenfalls außerhalb meiner Exchangeorganisation befindet. Da ich mir über die evtl. Spamgefahr bewusst bin soll das ganze nun NUR funktionieren, wenn vorher eine Authentifizierung stattgefunden hat.
Quasi ein eigener *öffentlicher SMTP-Server* mit einer Authentifizierung ausgehend, der eigenen Benutzer.
Ist das echt so selten, dass man dieses konfigurieren möchte?
Also eine Domain die nicht vom Exchange2010 gehostet wird soll angenommen werden und an eine weitere Domain weitergeleitet werden die ebenfalls nicht gehostet wird.
Ja das ist selten. Denn damit erzeugt man Traffic von Fremden, die nichts dafür bezahlen.
Eine Exchange-Org ist immer nur für die eigenen User und den accepted Domains da.
Deswegen musst du basteln.
Die einfachste Möglichkeit wäre eine eigene IP und dieser relaying access gestatten.
Nur auf Basis von Auth -> siehe meinen obigen Vorschlag.
Vielleicht ist das was du willst häufiger verbreitet in Mini-Orgs mit bis zu 50 Usern ?
Vielleicht kann ein anderer User hier was dazu kommentieren ?
Ja das ist selten. Denn damit erzeugt man Traffic von Fremden, die nichts dafür bezahlen.
Eine Exchange-Org ist immer nur für die eigenen User und den accepted Domains da.
Deswegen musst du basteln.
Die einfachste Möglichkeit wäre eine eigene IP und dieser relaying access gestatten.
Nur auf Basis von Auth -> siehe meinen obigen Vorschlag.
Vielleicht ist das was du willst häufiger verbreitet in Mini-Orgs mit bis zu 50 Usern ?
Vielleicht kann ein anderer User hier was dazu kommentieren ?
