fundave3
Goto Top

Exchange 2013 Authentifizierung

Guten Tag,

Ich habe derzeit einige Probleme mit den Exchange Server.
Ich habe festgestellt das der Exchange Server für Spam missbraucht wird.
So habe ich einiges Ausprobiert.
Greylisting . Macht erstmal keinen Sinn, da Mobile Telefone , Outlook clients von aussen über den Exchange Emails versenden.
Aktiviere ich Greylisting, so kommen die Emails Logischerweise wieder zurück zum absender. (ist logisch aber die clients erkennen nicht das sie erneut senden sollen. wie auch)
Okay Ich habe dann gesehen , das der SMTP keine Authentifizierung besitzt.
Das macht dann durchaus sinn. Kann ja jeder Versenden, wie er lustig ist.
Wie bekomme ich eingestellt, das die Clients sich beim Exchange 2013 SMTP anmelden ,müssen.
Domönenauthentifizierung wäre Super.
Im ECP habe ich im Sendeconnector keine möglichkeit .
Und die Excahange Toolbox habe keine Einstellmöglichkeiten.


Viele Grüß

Christian Wolfseher

Content-ID: 338204

Url: https://administrator.de/contentid/338204

Ausgedruckt am: 22.11.2024 um 05:11 Uhr

117471
117471 18.05.2017 um 11:19:11 Uhr
Goto Top
Zitat von @fundave3:

Wie bekomme ich eingestellt, das die Clients sich beim Exchange 2013 SMTP anmelden ,müssen.

An genau der gleichen Stelle, wo Du die Authentifizierung ausgestellt hast.

Man muss sich schon enorme Mühe geben, dieses enorme Sicherheitsloch zu bohren. D.h., Du hast es irgendwann einmal so eingestellt und dich eingehend mit der Materie beschäftigt face-smile

Im ECP habe ich im Sendeconnector keine möglichkeit .

Stimmt. Der Sendeconnector hat damit ja auch nichts zu tun (sondern wird von deinem Server als Relay benutzt, wenn dieser E-Mails ins Internet schickt).

Was Du suchst, ist der Empfangsconnector.

Dieser nimmt E-Mails über SMTP unter zwei Bedingungen an:
a) er ist für die Empfängerdomain zuständig (logisch, sonst könnte er ja keine E-Mails von anderen Servern für seine eigene Domain annehmen)
b) die eingestellte Authentifizierung ist erfolgreich

Achja: Mobiltelefone sprechen normalerweise über ActiveSync mit einem Exchange-Server. D.h., der Connector, an dem Du schrauben möchtest, kommt vermutlich gar nicht zum Einsatz.

Du schraubst hier an einer unglaublich sensiblen Stelle und läufst nicht nur in Gefahr, deinen eigenen Server "kaputtzuspielen". Wenn SPAM versendet wird und z.B. eure statische IP in diversen Blacklists landet, hat es sich mit dem Kommunikationsmedium E-Mail "im Grunde genommen für alle Zeiten erledigt" bzw. Du kannst jemanden einstellen, der den Rest seiner Tage mit dem Rest der Welt diskutiert um euren Server wieder auszutragen (was teilweise übrigens sehr viel Geld kostet).

Daher noch einmal meine Frage: Bist Du dir 100% sicher, was Du tust?

Gruß,
Jörg
sabines
sabines 18.05.2017 um 11:45:48 Uhr
Goto Top
Moin,

hier ist eigentlich nichts hinzuzufügen, meinem Vorposter kann ich nur zustimmen.

Ein erster Test, ob Ihr wirklich "offen" seid, findet Du hier http://www.mailradar.com/openrelay/

Gruss
fundave3
fundave3 18.05.2017 um 11:47:24 Uhr
Goto Top
Servus.
Vielen Dank
Nun Ich habe das dingen gar nicht Konfiguriert.
Das hat der Kollege gemacht.
Ich habe die Anonyme authentifizierung vom Empfangsconnector mal rausgenommen.
Ich habe Anti Soam mal mit Konfiguriert .
Mal schauen ob das was bringt
sabines
sabines 18.05.2017 um 11:48:46 Uhr
Goto Top
Moin,

irgendwie ist's immer der Kollege. Honi soit, qui mal y pense! face-wink)
fundave3
fundave3 18.05.2017 aktualisiert um 15:01:25 Uhr
Goto Top
Nun Ich habe den Test ausgeführt.
Ist immer Test Passed.
All tested completed! No relays accepted by remote host!
Stelle Ich beim Empfangsconnector auf Domänen benutzer, so können keine Externen Emails mehr empfangen werden was klar ist.
Denn Zum empfangen müssen die sich ermal autorisieren.
Ich muss das ganze irgendwie beim Sende Connector umstellen oder icht ?
Hitman4021
Lösung Hitman4021 18.05.2017 um 16:21:21 Uhr
Goto Top
Hallo,

dein Send Connector kümmert sich um den Versand von Mails (Outbound vom Server).
der Receive Connector ist für den Empfang am Server zuständig (Inbound zum Server).

Wenn also über deinen Server ohne Berechtigung relayed wird ist der Receive Connector (Listener Port per Default TCP/25) zuständig.

Allerdings sagt der Test auf open relays bereits das das relayen nicht erlaubt ist.

Hast du es in Betracht gezogen, dass dies eventuell von einem berechtigten Client aus geschieht?

Grüße
117471
117471 18.05.2017 um 20:35:37 Uhr
Goto Top
Hallo,

Zitat von @fundave3:

Stelle Ich beim Empfangsconnector auf Domänen benutzer, so können keine Externen Emails mehr empfangen werden was klar ist.
Denn Zum empfangen müssen die sich ermal autorisieren.

Schreibe ich serbokroatisch? Genau diesen Punkt habe ich Dir mit sehr einfachen Worten erklärt?!?

Ich habe Dir detailliert beschrieben, was Du mit deiner Frickelei kaputtmachst und Du machst es kaputt und reklamierst, dass genau das Problem aufgetreten ist, dass ich geschildert habe.

Sorry, aber bei so viel Borniertheit bin ich nicht bereit, etwas Konstruktives beizutragen.

Gruß,
Jörg
117471
117471 18.05.2017 um 20:37:30 Uhr
Goto Top
Hallo,

Zitat von @Hitman4021:

Hast du es in Betracht gezogen, dass dies eventuell von einem berechtigten Client aus geschieht?

Ich vermute eher, dass der SPAM gar nicht über seine Mühle läuft.

Warscheinlich verschickt irgend jemand E-Mails über ein anderes offene Relay und verwendet als Absender halt E-Mail-Adressen aus der vom ihm betreuten Domain... face-smile

Gruß,
Jörg
Herbrich19
Lösung Herbrich19 20.05.2017 um 14:33:04 Uhr
Goto Top
Hallo,

Mails weiter leiten ohne Autentifizierung: Ja für eigene Domäne (jeder) / fremde Domänen nein (Verweigern)
Mail Relay: Ja wen benutzer Autentifiziert und Berechtigt / Anonymous Nein (Relay Verweigern)

Am besten hat man zwei SMTP Connectoren, einen für Clients (587 war der neue Standart Port glaube ich) und 25 für den normalen Mailempfang (MX).

So, wen dir Exchange zu kompliziert ist installiere einen SMTP Server mit den du einfacher klar kommst als Gateway. Tipp, der NoSpam Proxy ist so eingestellt das Relay nicht erlaubt ist. Und er kostet ganz sicher weniger Geld als die Server aus den untzähligen SPAM Listen auszutragen.

Gruß an die IT-Welt,
J Herbrich
fundave3
fundave3 23.05.2017 um 07:27:41 Uhr
Goto Top
Ich habe es nun folgendermaßen gemacht.
Authentifizierung für Domänenbenutzer.
Es existieren zwei . ich weiß mittlerweile auch warum wir das ohne Authentifizierung gemacht haben. Der mail connector kann so etwas nicht .
Daher musste es ohne geschehen.
Wir haben nun einen eigenen lokalen und einen im Netz für Clients Von außerhalb.
Danke euc
Herbrich19
Lösung Herbrich19 23.05.2017 um 08:57:58 Uhr
Goto Top
Hallo,

Als kleinen Tipp, wen mal Ananym nötig sein sollte Autentifiziere über die IP und dann auch nicht jede aus dem lokalen Netzwerk ;)

Grüße zurück und nicht dafür face-smile Mach ich gerne.