de-maebinger
Goto Top

Exchange 2013 wird als open Relay angezeigt

Hallo,

ich habe heute mit dem Network Tool MXtoolbox.com gespielt und bei diagnostic wird mir immer wieder mitgeteilt, dass ich einen open relay hätte.
Ich habe mittlerweile schon einiges getestet, aber nutzt alles nichts.

Tarpit Intervall hochgestellt
RecipientFilter Config -BlockList eingeschaltet
RecipientFilter Config -ReciepientValidation eingeschaltet

dieverse Einstellungen in den Empfangsconnectoren.
Ich habe einen MXRecord auf meine Firewall, die eine Weiterleitung des Ports macht.

40af8b3fbbda8652681d8504be80789e
Mein Problem sieht an sich ziemlich genauso aus, wie in dem Bild.
Hat noch jemand das Problem mit Exchange 2013???

Vielen Dank für alle Beiträge

Content-ID: 292775

Url: https://administrator.de/forum/exchange-2013-wird-als-open-relay-angezeigt-292775.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

wiesi200
wiesi200 11.01.2016 um 16:25:37 Uhr
Goto Top
Hallo,

tja diverse Einstellungen in den Empfangsconectoren hört sich doch schon mal verdächtig an.
Nur Raten können wir nicht was du da eingestellt hast.
de-maebinger
de-maebinger 11.01.2016 aktualisiert um 16:34:22 Uhr
Goto Top
Sorry, ich wollte nun nicht alle möglichen Dinge aufschreiben.
Ich habe bei dem Default Empfangsconnector (HubTransport) unter Sicherheit dies gesetzt:
- Transport Layer Security
- Standardauthentifizierung
- Integrierte Windows - Auth
- Exchange-Serverauth

Dann bei den Berechtigungen:
- Exchange Server
- Legacy Exchange Server
- Exchange Benutzer

in der Bereichdefinition muss ich ja alle IP Adressen angeben unter Remotenetzwerk das mir auch alle Server was schicken können.
Und Bei Netzweradapter habe ich die ServerIP mit Port 2525 (das dies sich nicht ins Gehege kommen)
Ich habe noch einen internen Relay, hier ist die Remotenetzwerkeinstellung nur von den "internen Servern" eingerichtet

Alle Anderen Connectoren auf der Empfangsseite sind deaktiviert
Chonta
Chonta 11.01.2016 aktualisiert um 16:45:16 Uhr
Goto Top
Hallo,

verschicke doch mal eine mail an deine googlemailadresse oder sonstigen proviter in dem Du dich per telnet mit deinem Mailserver von außen verbindest und dann eine mail unter irgendeinem pseudo absender an eine domain die von deinem server nicht verwaltet wird schickst.
Wird die Mail von deinem Server wirklich versendet? - Log und Postfach vom Empfänger checken.

Bei der Standardinstallation von meinem 2013 Exchange musste ich diverse Server erstmal so eintragen das ein relay für diese auch erlaubt ist ohne das man sich anmelden müsste.

Gruß

Chonta

Nachtrag: Du hast eine Pseudomailadresse als Empfnger genommen die als Domäne die von deinem Server verwaltete Domain hat, natürlich wird er diese Mail annehmen und checken ob der Empfänger gültig ist, in Deinem Beispiel nein und dan gibt es 550.

Oben Relay bedeutet das der Mailserver für alle Absender an alle Empfänger und damit sind andere domains wie z.b. @gmx.de. @gmail.com annimmt und dann zustellt.

Eine Absenderüberprüfung ob da wirklich blabliblub@hotzenplotzmambo.local ist oder nicht, macht der Exchange nicht. (jedenfals nicht per default).

Gruß

Chonta
de-maebinger
de-maebinger 11.01.2016 um 16:47:06 Uhr
Goto Top
Hallo,

das habe ich auch getestet, ich habe Domain quasi eine Fake Mail verschicken können und sie ist auf dem gmail Postfach angekommen.
Jetzt habe ich dies nicht bei jeder Einstellung getestet, aber ich könnte es gleich noch einmal nachstellen.
ABER ich bekomme schon immer per telnet angezeigt egal was für eine Mailadresse ich eingebe Sender ok und Recipient ok.
Spätestens bei Recipient ok sollte aber eigentlich eine andere Meldung kommen, oder nicht?
Hier sollte ne 500er Meldung kommen...oder bin ich verkehrt?
Ausserwoeger
Lösung Ausserwoeger 11.01.2016 aktualisiert um 19:53:43 Uhr
Goto Top
Zitat von @de-maebinger:

in der Bereichdefinition muss ich ja alle IP Adressen angeben unter Remotenetzwerk das mir auch alle Server was schicken können.
Alle Anderen Connectoren auf der Empfangsseite sind deaktiviert

Hi

Wieso solltest du beim Connector alle IP adressen eintragen ? Dann machst du ein Open Relay !!!
Du musst nicht alle IP Adressen eintragen die dir etwas schicken können sollen sondern nur den bereich deines Internen Netzwerks die über diesen Server mit dieser Domain etwas ins internet schicken dürfen.

Bitte lass deine einstellungen von jemandem prüfen der schon mehrere Exchange Server installiert hat und hier auch Erfahrung hat.

LG Andy
Chonta
Chonta 11.01.2016 um 17:02:52 Uhr
Goto Top
Hallo,

ein 550 5.7.1 Unable to relay sollte kommen.
Aber auf keinenfall ein 250 2.1.5, was kommt bei Dir?

Was für Domains sind bei Dir bei akzeptierte Domains drin?

Gruß

Chonta
de-maebinger
de-maebinger 11.01.2016 um 17:04:25 Uhr
Goto Top
Zu deinem Nachtrag....
Meinen Domain heißt haumichblau.de
Ich habe eine Mail von test@example.de an meineprivate@gmail.com verschicken können!!! Nachweislich!
Das war dann doch etwas wo ich dachte, das kann so nicht richtig sein.
Ich habe nun noch einmal die Telnet Geschichte wie gerade beschrieben durchgeführt.
Die Mail wird immernoch angenommen und weitergeleitet. Sie kommt zwar bei gmail im Spamordner an, aber sie kommt...

Das Bild das ich eingestellt habe ist nicht meine Domain.
Ausserwoeger
Ausserwoeger 11.01.2016 aktualisiert um 17:14:07 Uhr
Goto Top
Zitat von @Chonta:

Hallo,

ein 550 5.7.1 Unable to relay sollte kommen.
Aber auf keinenfall ein 250 2.1.5, was kommt bei Dir?

Was für Domains sind bei Dir bei akzeptierte Domains drin?

Gruß

Chonta

Hi

Wenn er dir hier seine Domain gibt kannst du über seinen Mailserver Mailen das würd ich mal lassen.
Wie erschreibt hat er auf seinem Connector alle IP Adressen eingetragen also 0.0.0.0 -255.255.255.255.
Was falsch ist.

Wenn er die Einstellung ändert ist sein relay zu.

PS: Haumichblau.de passt verdammt gut face-smile
PPS: haumichblau.de ist lt mxtoolbox kein open relay


LG
de-maebinger
de-maebinger 11.01.2016 um 18:25:28 Uhr
Goto Top
Hallo ihr beiden,

vielen Dank für die Antworten.
Richtig ich möchte meine Domain zur Zeit nicht nennen, denn dann könnte ja jeder hingehen und Mail verschicken... face-smile

Ich habe nun auch bei dem Empfangsconnector nur die internen IP's gesetzt, aber immernoch dasselbe. Es wird immernoch als open Relay angezeigt bei mxtoolbox

P.S.: grins face-smile
de-maebinger
de-maebinger 11.01.2016 um 18:37:15 Uhr
Goto Top
Was ich aber schon mal feststellen kann, ich komme von zu Hause nicht mehr per Telnet drauf und die offenen Relays gegenüber heute mittag sind schon mal ein gutes Stück weniger geworden.
http://www.mailradar.com/openrelay/ hiermit habe ich die Relays getestet. Ganz zu ist es wie schon erwähnt leider nicht face-sad;(
VGem-e
VGem-e 11.01.2016 um 19:24:53 Uhr
Goto Top
Servus,

wir hatten dies nach einer Systemumstellung auch für kurze Zeit, da hier offenbar manche Einstellungen nicht korrekt gesetzt wurden...

Ab zum Systemhaus Deines Vertrauens, kostet zwar erstmal ein bisserl Geld.
Die richtige Konfig bewahrt Dich jedoch davor, ständig auf irgendwelchen Blacklists zu stehen und noch mehr Ärger auszubaden!

Gruß
VGem-e
de-maebinger
de-maebinger 11.01.2016 um 19:53:27 Uhr
Goto Top
Hallo,

nun nachdem die Datensicherung mal durchgelaufen ist und ich noch ein paar Anpassungen durchgeführt habe in Hinsicht auf Sicherheitsauthentifizierung, Neustart, scheint es korrekt zu funktionieren. Bei MXtoolbox.com kommt er nicht mehr durch und gibt am ende
RCPT TO:<test@example.com>
550 5.7.1 Unable to relay

So soll es sein.
Auch mit http://www.mailradar.com/openrelay/ ist nun alles im grünen Bereich.

Nochmals Vielen Dank an alle das ich nun zur Lösung gefunden habe.
War ja nur noch ne Kleinigkeit aber ohne den Hinweis von Ausserwoeger wäre ich nicht weitergekommen
Chonta
Chonta 12.01.2016 um 09:23:06 Uhr
Goto Top
Hallo,

es wäre schön zu wissen, wie Deine Einstellungen in den Connectoren (Default Hub-Transport) aussehen und ob Du überhaupt noch mails bekommst.

Gruß

Chonta
de-maebinger
de-maebinger 14.01.2016 um 08:14:23 Uhr
Goto Top
Guten Morgen,

Unter Sicherheit habe ich nun diese Haken gesetzt:
- Transport Layer Security (TLS)
- Standardauthentifizierung
- Exchange-Serverauthentifizierung

- Exchange-Server
- Exchange-Benutzer

In der Bereichsdefinition habe ich unter Remotenetzwerkeinstellungen das lokale Netz eingetragen (xxx.xxx.xxx.xxx/24)
und in den Netzwerkadapterbindungen habe ich nur den Exchangeserver mit seiner IP eingetragen mit dem passenden Port.