11
Exchange 2013 Authentifizierung
Guten Tag,
Ich habe derzeit einige Probleme mit den Exchange Server.
Ich habe festgestellt das der Exchange Server für Spam missbraucht wird.
So habe ich einiges Ausprobiert.
Greylisting . Macht erstmal keinen Sinn, da Mobile Telefone , Outlook clients von aussen über den Exchange Emails versenden.
Aktiviere ich Greylisting, so kommen die Emails Logischerweise wieder zurück zum absender. (ist logisch aber die clients erkennen nicht das sie erneut senden sollen. wie auch)
Okay Ich habe dann gesehen , das der SMTP keine Authentifizierung besitzt.
Das macht dann durchaus sinn. Kann ja jeder Versenden, wie er lustig ist.
Wie bekomme ich eingestellt, das die Clients sich beim Exchange 2013 SMTP anmelden ,müssen.
Domönenauthentifizierung wäre Super.
Im ECP habe ich im Sendeconnector keine möglichkeit .
Und die Excahange Toolbox habe keine Einstellmöglichkeiten.
Viele Grüß
Christian Wolfseher
Ich habe derzeit einige Probleme mit den Exchange Server.
Ich habe festgestellt das der Exchange Server für Spam missbraucht wird.
So habe ich einiges Ausprobiert.
Greylisting . Macht erstmal keinen Sinn, da Mobile Telefone , Outlook clients von aussen über den Exchange Emails versenden.
Aktiviere ich Greylisting, so kommen die Emails Logischerweise wieder zurück zum absender. (ist logisch aber die clients erkennen nicht das sie erneut senden sollen. wie auch)
Okay Ich habe dann gesehen , das der SMTP keine Authentifizierung besitzt.
Das macht dann durchaus sinn. Kann ja jeder Versenden, wie er lustig ist.
Wie bekomme ich eingestellt, das die Clients sich beim Exchange 2013 SMTP anmelden ,müssen.
Domönenauthentifizierung wäre Super.
Im ECP habe ich im Sendeconnector keine möglichkeit .
Und die Excahange Toolbox habe keine Einstellmöglichkeiten.
Viele Grüß
Christian Wolfseher
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 338204
Url: https://administrator.de/contentid/338204
Ausgedruckt am: 05.11.2024 um 12:11 Uhr
11 Kommentare
Neuester Kommentar
Zitat von @fundave3:
Wie bekomme ich eingestellt, das die Clients sich beim Exchange 2013 SMTP anmelden ,müssen.
Wie bekomme ich eingestellt, das die Clients sich beim Exchange 2013 SMTP anmelden ,müssen.
An genau der gleichen Stelle, wo Du die Authentifizierung ausgestellt hast.
Man muss sich schon enorme Mühe geben, dieses enorme Sicherheitsloch zu bohren. D.h., Du hast es irgendwann einmal so eingestellt und dich eingehend mit der Materie beschäftigt
Im ECP habe ich im Sendeconnector keine möglichkeit .
Stimmt. Der Sendeconnector hat damit ja auch nichts zu tun (sondern wird von deinem Server als Relay benutzt, wenn dieser E-Mails ins Internet schickt).
Was Du suchst, ist der Empfangsconnector.
Dieser nimmt E-Mails über SMTP unter zwei Bedingungen an:
a) er ist für die Empfängerdomain zuständig (logisch, sonst könnte er ja keine E-Mails von anderen Servern für seine eigene Domain annehmen)
b) die eingestellte Authentifizierung ist erfolgreich
Achja: Mobiltelefone sprechen normalerweise über ActiveSync mit einem Exchange-Server. D.h., der Connector, an dem Du schrauben möchtest, kommt vermutlich gar nicht zum Einsatz.
Du schraubst hier an einer unglaublich sensiblen Stelle und läufst nicht nur in Gefahr, deinen eigenen Server "kaputtzuspielen". Wenn SPAM versendet wird und z.B. eure statische IP in diversen Blacklists landet, hat es sich mit dem Kommunikationsmedium E-Mail "im Grunde genommen für alle Zeiten erledigt" bzw. Du kannst jemanden einstellen, der den Rest seiner Tage mit dem Rest der Welt diskutiert um euren Server wieder auszutragen (was teilweise übrigens sehr viel Geld kostet).
Daher noch einmal meine Frage: Bist Du dir 100% sicher, was Du tust?
Gruß,
Jörg
1
Moin,
hier ist eigentlich nichts hinzuzufügen, meinem Vorposter kann ich nur zustimmen.
Ein erster Test, ob Ihr wirklich "offen" seid, findet Du hier http://www.mailradar.com/openrelay/
Gruss
hier ist eigentlich nichts hinzuzufügen, meinem Vorposter kann ich nur zustimmen.
Ein erster Test, ob Ihr wirklich "offen" seid, findet Du hier http://www.mailradar.com/openrelay/
Gruss
Servus.
Vielen Dank
Nun Ich habe das dingen gar nicht Konfiguriert.
Das hat der Kollege gemacht.
Ich habe die Anonyme authentifizierung vom Empfangsconnector mal rausgenommen.
Ich habe Anti Soam mal mit Konfiguriert .
Mal schauen ob das was bringt
Vielen Dank
Nun Ich habe das dingen gar nicht Konfiguriert.
Das hat der Kollege gemacht.
Ich habe die Anonyme authentifizierung vom Empfangsconnector mal rausgenommen.
Ich habe Anti Soam mal mit Konfiguriert .
Mal schauen ob das was bringt
Moin,
irgendwie ist's immer der Kollege. Honi soit, qui mal y pense!
)
irgendwie ist's immer der Kollege. Honi soit, qui mal y pense!
)
Nun Ich habe den Test ausgeführt.
Ist immer Test Passed.
All tested completed! No relays accepted by remote host!
Stelle Ich beim Empfangsconnector auf Domänen benutzer, so können keine Externen Emails mehr empfangen werden was klar ist.
Denn Zum empfangen müssen die sich ermal autorisieren.
Ich muss das ganze irgendwie beim Sende Connector umstellen oder icht ?
Ist immer Test Passed.
All tested completed! No relays accepted by remote host!
Stelle Ich beim Empfangsconnector auf Domänen benutzer, so können keine Externen Emails mehr empfangen werden was klar ist.
Denn Zum empfangen müssen die sich ermal autorisieren.
Ich muss das ganze irgendwie beim Sende Connector umstellen oder icht ?
Hallo,
dein Send Connector kümmert sich um den Versand von Mails (Outbound vom Server).
der Receive Connector ist für den Empfang am Server zuständig (Inbound zum Server).
Wenn also über deinen Server ohne Berechtigung relayed wird ist der Receive Connector (Listener Port per Default TCP/25) zuständig.
Allerdings sagt der Test auf open relays bereits das das relayen nicht erlaubt ist.
Hast du es in Betracht gezogen, dass dies eventuell von einem berechtigten Client aus geschieht?
Grüße
dein Send Connector kümmert sich um den Versand von Mails (Outbound vom Server).
der Receive Connector ist für den Empfang am Server zuständig (Inbound zum Server).
Wenn also über deinen Server ohne Berechtigung relayed wird ist der Receive Connector (Listener Port per Default TCP/25) zuständig.
Allerdings sagt der Test auf open relays bereits das das relayen nicht erlaubt ist.
Hast du es in Betracht gezogen, dass dies eventuell von einem berechtigten Client aus geschieht?
Grüße
Hallo,
Schreibe ich serbokroatisch? Genau diesen Punkt habe ich Dir mit sehr einfachen Worten erklärt?!?
Ich habe Dir detailliert beschrieben, was Du mit deiner Frickelei kaputtmachst und Du machst es kaputt und reklamierst, dass genau das Problem aufgetreten ist, dass ich geschildert habe.
Sorry, aber bei so viel Borniertheit bin ich nicht bereit, etwas Konstruktives beizutragen.
Gruß,
Jörg
Zitat von @fundave3:
Stelle Ich beim Empfangsconnector auf Domänen benutzer, so können keine Externen Emails mehr empfangen werden was klar ist.
Denn Zum empfangen müssen die sich ermal autorisieren.
Stelle Ich beim Empfangsconnector auf Domänen benutzer, so können keine Externen Emails mehr empfangen werden was klar ist.
Denn Zum empfangen müssen die sich ermal autorisieren.
Schreibe ich serbokroatisch? Genau diesen Punkt habe ich Dir mit sehr einfachen Worten erklärt?!?
Ich habe Dir detailliert beschrieben, was Du mit deiner Frickelei kaputtmachst und Du machst es kaputt und reklamierst, dass genau das Problem aufgetreten ist, dass ich geschildert habe.
Sorry, aber bei so viel Borniertheit bin ich nicht bereit, etwas Konstruktives beizutragen.
Gruß,
Jörg
1
Hallo,
Ich vermute eher, dass der SPAM gar nicht über seine Mühle läuft.
Warscheinlich verschickt irgend jemand E-Mails über ein anderes offene Relay und verwendet als Absender halt E-Mail-Adressen aus der vom ihm betreuten Domain...
Gruß,
Jörg
Zitat von @Hitman4021:
Hast du es in Betracht gezogen, dass dies eventuell von einem berechtigten Client aus geschieht?
Hast du es in Betracht gezogen, dass dies eventuell von einem berechtigten Client aus geschieht?
Ich vermute eher, dass der SPAM gar nicht über seine Mühle läuft.
Warscheinlich verschickt irgend jemand E-Mails über ein anderes offene Relay und verwendet als Absender halt E-Mail-Adressen aus der vom ihm betreuten Domain...
Gruß,
Jörg
Hallo,
Mails weiter leiten ohne Autentifizierung: Ja für eigene Domäne (jeder) / fremde Domänen nein (Verweigern)
Mail Relay: Ja wen benutzer Autentifiziert und Berechtigt / Anonymous Nein (Relay Verweigern)
Am besten hat man zwei SMTP Connectoren, einen für Clients (587 war der neue Standart Port glaube ich) und 25 für den normalen Mailempfang (MX).
So, wen dir Exchange zu kompliziert ist installiere einen SMTP Server mit den du einfacher klar kommst als Gateway. Tipp, der NoSpam Proxy ist so eingestellt das Relay nicht erlaubt ist. Und er kostet ganz sicher weniger Geld als die Server aus den untzähligen SPAM Listen auszutragen.
Gruß an die IT-Welt,
J Herbrich
Mails weiter leiten ohne Autentifizierung: Ja für eigene Domäne (jeder) / fremde Domänen nein (Verweigern)
Mail Relay: Ja wen benutzer Autentifiziert und Berechtigt / Anonymous Nein (Relay Verweigern)
Am besten hat man zwei SMTP Connectoren, einen für Clients (587 war der neue Standart Port glaube ich) und 25 für den normalen Mailempfang (MX).
So, wen dir Exchange zu kompliziert ist installiere einen SMTP Server mit den du einfacher klar kommst als Gateway. Tipp, der NoSpam Proxy ist so eingestellt das Relay nicht erlaubt ist. Und er kostet ganz sicher weniger Geld als die Server aus den untzähligen SPAM Listen auszutragen.
Gruß an die IT-Welt,
J Herbrich
Ich habe es nun folgendermaßen gemacht.
Authentifizierung für Domänenbenutzer.
Es existieren zwei . ich weiß mittlerweile auch warum wir das ohne Authentifizierung gemacht haben. Der mail connector kann so etwas nicht .
Daher musste es ohne geschehen.
Wir haben nun einen eigenen lokalen und einen im Netz für Clients Von außerhalb.
Danke euc
Authentifizierung für Domänenbenutzer.
Es existieren zwei . ich weiß mittlerweile auch warum wir das ohne Authentifizierung gemacht haben. Der mail connector kann so etwas nicht .
Daher musste es ohne geschehen.
Wir haben nun einen eigenen lokalen und einen im Netz für Clients Von außerhalb.
Danke euc
Hallo,
Als kleinen Tipp, wen mal Ananym nötig sein sollte Autentifiziere über die IP und dann auch nicht jede aus dem lokalen Netzwerk ;)
Grüße zurück und nicht dafür Mach ich gerne.
Als kleinen Tipp, wen mal Ananym nötig sein sollte Autentifiziere über die IP und dann auch nicht jede aus dem lokalen Netzwerk ;)
Grüße zurück und nicht dafür
Mach ich gerne.
