Exchange 2016 - Relay von extern zu externem Empfänger

Hallo ins Forum,

ein extern gehosteter Dienst möchte über unseren Exchange 2016 Mails verschicken, die auch an externe Mailadressen gehen sollen. Also habe ich dazu einen neuen Empfangsconnector erstellt mit einem anonymen Relay erstellt, wie es unter Frankysweb erklärt wird (Einschränkung des Remotenetzwerks, Anpassung der Rechte zum Senden nach Extern).
https://www.frankysweb.de/exchange-2016-anonymes-relay-erlauben-5-7-54-u ...

Bei einem anschließenden Test konnte ich nun Mails an meine interne Maildomain senden, aber nach extern erhalte ich ein "Relay Denied". Also einmal Transport- und Frontend Transport-Dienst am Exchange neu gestartet, aber keinen Erfolg gehabt.
- Muss ich aus dem "Default Frontend"-Connector die IP meines Dienstes rauskonfigurieren? Habe im Hinterkopf, dass das bei älteren Exchange mal nötig war.
- Gibt es andere Einstellungen, die ich vergessen habe?

Gruß mak

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 2848507244

Url: https://administrator.de/contentid/2848507244

Ausgedruckt am: 25.11.2024 um 13:11 Uhr

12 Kommentare

Neuester Kommentar

Ich mag mich irren aber ein Relay nach Extern muss auch von dem empfangenden Mailsystem akzeptiert werden. So zumindest bisher meine Praxis gewesen, wenn wir z.B. SMTP-Nachrichten von Monitoring-Geräten zu externen Dienstleistern weiter gesendet haben. Da musste auf deren Seite ein entsprechender Connector vorhanden sein, der unsere Public-IP in der Allow-Liste hat.

Ich denke, ich verstehe deinen Ansatz. Allerdings ist die Liste der externen Empfänger nicht vorgegeben. Das kann also auch mal eine private Mailadresse (web.de, gmx, usw.) sein. Da gäbe es für mich keine Lösung jeweils auf den Admin des Empfängers zuzugehen.

Moin,

Zitat von @makstsw:

Ich denke, ich verstehe deinen Ansatz. Allerdings ist die Liste der externen Empfänger nicht vorgegeben. Das kann also auch mal eine private Mailadresse (web.de, gmx, usw.) sein. Da gäbe es für mich keine Lösung jeweils auf den Admin des Empfängers zuzugehen.

Nun, das ist schlecht.
Dann würdet ihr quasi einen öffentlichen (Spam-)Relay-Server betreiben.
Wenn du mir eure IP einmal nennst, blocke ich die per se schon mal

Allerdings widerspricht sich das mit deiner initialen Aussagen:

ein extern gehosteter Dienst möchte über unseren Exchange 2016 Mails verschicken

Gruß
em-pie

Eine Alternative zu SMTP-Relay wäre vielleicht ein vollwertiges Mailkonto?

Wir haben das aus technischen Gründen auch bei z.B. einem Dienst (zwar intern aber von 3rd-Party gemanaged) wo dann mit Benutzername und Passwort authentifiziert wird, um Mails nicht nur intern sondern auch extern zu versenden.

Zitat von @em-pie:>
Nun, das ist schlecht.
Dann würdet ihr quasi einen öffentlichen (Spam-)Relay-Server betreiben.
Wenn du mir eure IP einmal nennst, blocke ich die per se schon mal

Allerdings widerspricht sich das mit deiner initialen Aussagen:

ein extern gehosteter Dienst möchte über unseren Exchange 2016 Mails verschicken

Vielleicht habe ich mich nicht genau genug ausgedrückt.
In meinem Empfangsconnector ist als Remotenetzwerk, also als derjenige der Mails über diesen Connector senden darf, nur die Quell-IP unseres externen Dienstleisters eingetragen. Somit darf auch nur der über diesen Connector Mails über unseren Exchange senden. Oder sehe ich das falsch?

...wer lesen kann ...

Dein obiger Link beschreibt eigentlich genau dein Vorhaben. Danach sollte alles, was von der zugelassenen IP kommt, auch Mails anonym an Extern versenden dürfen.
Wichtig ist halt nur, dass deine vorgelagerten Sicherheits-Systeme (Firewall, AntiSpam, ...) den Traffic auch zum Exchange durchlassen.

Irgendwie ist das immer noch etwas unklar. Der externe Dienstleister, wie greift er auf euren Exchange zu? SMTP ohne Auth?

Zitat von @em-pie:

Danach sollte alles, was von der zugelassenen IP kommt, auch Mails anonym an Extern versenden dürfen.

Technisch klappt es ja aber der empfangende Server sagt dann "eh... ich akzeptiere das nicht.." zumindest die kommerziellen Server werden den Relay blockieren.

Zitat von @DerMaddin:

Zitat von @em-pie:

Danach sollte alles, was von der zugelassenen IP kommt, auch Mails anonym an Extern versenden dürfen.

Technisch klappt es ja aber der empfangende Server sagt dann "eh... ich akzeptiere das nicht.." zumindest die kommerziellen Server werden den Relay blockieren.

OK... jetzt haben wir es

Das Verhalten scheint mir richtig zu sein.
Ich würde mal schauen, ob du die Absenderadresse (sofern organisatorisch OK) nicht umschreibst:
https://docs.microsoft.com/de-de/exchange/architecture/edge-transport-se ...

Selbst genutzt/ getestet habe ich es aber noch nicht.

Zitat von @DerMaddin:

Zitat von @em-pie:

Danach sollte alles, was von der zugelassenen IP kommt, auch Mails anonym an Extern versenden dürfen.

Technisch klappt es ja aber der empfangende Server sagt dann "eh... ich akzeptiere das nicht.." zumindest die kommerziellen Server werden den Relay blockieren.

Kannst du mir noch erklären wieso? Sorry, aber ich bin da nicht so tief drin.
Meinst du, dass als ursprüngliche Quell-IP eben nicht meine öffentliche IP hinterlegt ist, sondern die des Dienstleisters und die Mail dadurch abgelehnt wird?

Ohne den genauen Fehlercode zu kennen ist das derzeit meine Theorie:
Die Header-Angaben passen nicht zu deiner WAN-IP bzw. den dazugehörigen DNS-Einträgen.

Deine Domain lautet myDomain.tld.
Jetzt steht im Absender aber bursche@otherDomain.tld

Das passt einfach nicht und würde auch bei unserem geblockt werden.