12
Exchange 2016 - Relay von extern zu externem Empfänger
Hallo ins Forum,
ein extern gehosteter Dienst möchte über unseren Exchange 2016 Mails verschicken, die auch an externe Mailadressen gehen sollen. Also habe ich dazu einen neuen Empfangsconnector erstellt mit einem anonymen Relay erstellt, wie es unter Frankysweb erklärt wird (Einschränkung des Remotenetzwerks, Anpassung der Rechte zum Senden nach Extern).
https://www.frankysweb.de/exchange-2016-anonymes-relay-erlauben-5-7-54-u ...
Bei einem anschließenden Test konnte ich nun Mails an meine interne Maildomain senden, aber nach extern erhalte ich ein "Relay Denied". Also einmal Transport- und Frontend Transport-Dienst am Exchange neu gestartet, aber keinen Erfolg gehabt.
- Muss ich aus dem "Default Frontend"-Connector die IP meines Dienstes rauskonfigurieren? Habe im Hinterkopf, dass das bei älteren Exchange mal nötig war.
- Gibt es andere Einstellungen, die ich vergessen habe?
Gruß mak
ein extern gehosteter Dienst möchte über unseren Exchange 2016 Mails verschicken, die auch an externe Mailadressen gehen sollen. Also habe ich dazu einen neuen Empfangsconnector erstellt mit einem anonymen Relay erstellt, wie es unter Frankysweb erklärt wird (Einschränkung des Remotenetzwerks, Anpassung der Rechte zum Senden nach Extern).
https://www.frankysweb.de/exchange-2016-anonymes-relay-erlauben-5-7-54-u ...
Bei einem anschließenden Test konnte ich nun Mails an meine interne Maildomain senden, aber nach extern erhalte ich ein "Relay Denied". Also einmal Transport- und Frontend Transport-Dienst am Exchange neu gestartet, aber keinen Erfolg gehabt.
- Muss ich aus dem "Default Frontend"-Connector die IP meines Dienstes rauskonfigurieren? Habe im Hinterkopf, dass das bei älteren Exchange mal nötig war.
- Gibt es andere Einstellungen, die ich vergessen habe?
Gruß mak
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2848507244
Url: https://administrator.de/contentid/2848507244
Printed on: April 26, 2024 at 17:04 o'clock
12 Comments
Latest comment
Ich mag mich irren aber ein Relay nach Extern muss auch von dem empfangenden Mailsystem akzeptiert werden. So zumindest bisher meine Praxis gewesen, wenn wir z.B. SMTP-Nachrichten von Monitoring-Geräten zu externen Dienstleistern weiter gesendet haben. Da musste auf deren Seite ein entsprechender Connector vorhanden sein, der unsere Public-IP in der Allow-Liste hat.
Ich denke, ich verstehe deinen Ansatz. Allerdings ist die Liste der externen Empfänger nicht vorgegeben. Das kann also auch mal eine private Mailadresse (web.de, gmx, usw.) sein. Da gäbe es für mich keine Lösung jeweils auf den Admin des Empfängers zuzugehen.
Moin,
Nun, das ist schlecht.
Dann würdet ihr quasi einen öffentlichen (Spam-)Relay-Server betreiben.
Wenn du mir eure IP einmal nennst, blocke ich die per se schon mal
Allerdings widerspricht sich das mit deiner initialen Aussagen:
Gruß
em-pie
Zitat von @makstsw:
Ich denke, ich verstehe deinen Ansatz. Allerdings ist die Liste der externen Empfänger nicht vorgegeben. Das kann also auch mal eine private Mailadresse (web.de, gmx, usw.) sein. Da gäbe es für mich keine Lösung jeweils auf den Admin des Empfängers zuzugehen.
Ich denke, ich verstehe deinen Ansatz. Allerdings ist die Liste der externen Empfänger nicht vorgegeben. Das kann also auch mal eine private Mailadresse (web.de, gmx, usw.) sein. Da gäbe es für mich keine Lösung jeweils auf den Admin des Empfängers zuzugehen.
Nun, das ist schlecht.
Dann würdet ihr quasi einen öffentlichen (Spam-)Relay-Server betreiben.
Wenn du mir eure IP einmal nennst, blocke ich die per se schon mal
Allerdings widerspricht sich das mit deiner initialen Aussagen:
ein extern gehosteter Dienst möchte über unseren Exchange 2016 Mails verschicken
Gruß
em-pie
Eine Alternative zu SMTP-Relay wäre vielleicht ein vollwertiges Mailkonto?
Wir haben das aus technischen Gründen auch bei z.B. einem Dienst (zwar intern aber von 3rd-Party gemanaged) wo dann mit Benutzername und Passwort authentifiziert wird, um Mails nicht nur intern sondern auch extern zu versenden.
Wir haben das aus technischen Gründen auch bei z.B. einem Dienst (zwar intern aber von 3rd-Party gemanaged) wo dann mit Benutzername und Passwort authentifiziert wird, um Mails nicht nur intern sondern auch extern zu versenden.
Zitat von @em-pie:>
Nun, das ist schlecht.
Dann würdet ihr quasi einen öffentlichen (Spam-)Relay-Server betreiben.
Wenn du mir eure IP einmal nennst, blocke ich die per se schon mal
Allerdings widerspricht sich das mit deiner initialen Aussagen:
Nun, das ist schlecht.
Dann würdet ihr quasi einen öffentlichen (Spam-)Relay-Server betreiben.
Wenn du mir eure IP einmal nennst, blocke ich die per se schon mal
Allerdings widerspricht sich das mit deiner initialen Aussagen:
ein extern gehosteter Dienst möchte über unseren Exchange 2016 Mails verschicken
Vielleicht habe ich mich nicht genau genug ausgedrückt.
In meinem Empfangsconnector ist als Remotenetzwerk, also als derjenige der Mails über diesen Connector senden darf, nur die Quell-IP unseres externen Dienstleisters eingetragen. Somit darf auch nur der über diesen Connector Mails über unseren Exchange senden. Oder sehe ich das falsch?
...wer lesen kann ...
Dein obiger Link beschreibt eigentlich genau dein Vorhaben. Danach sollte alles, was von der zugelassenen IP kommt, auch Mails anonym an Extern versenden dürfen.
Wichtig ist halt nur, dass deine vorgelagerten Sicherheits-Systeme (Firewall, AntiSpam, ...) den Traffic auch zum Exchange durchlassen.
Dein obiger Link beschreibt eigentlich genau dein Vorhaben. Danach sollte alles, was von der zugelassenen IP kommt, auch Mails anonym an Extern versenden dürfen.
Wichtig ist halt nur, dass deine vorgelagerten Sicherheits-Systeme (Firewall, AntiSpam, ...) den Traffic auch zum Exchange durchlassen.
Irgendwie ist das immer noch etwas unklar. Der externe Dienstleister, wie greift er auf euren Exchange zu? SMTP ohne Auth?
Zitat von @em-pie:
Danach sollte alles, was von der zugelassenen IP kommt, auch Mails anonym an Extern versenden dürfen.
Danach sollte alles, was von der zugelassenen IP kommt, auch Mails anonym an Extern versenden dürfen.
Technisch klappt es ja aber der empfangende Server sagt dann "eh... ich akzeptiere das nicht.." zumindest die kommerziellen Server werden den Relay blockieren.
Zitat von @DerMaddin:
Technisch klappt es ja aber der empfangende Server sagt dann "eh... ich akzeptiere das nicht.." zumindest die kommerziellen Server werden den Relay blockieren.
Zitat von @em-pie:
Danach sollte alles, was von der zugelassenen IP kommt, auch Mails anonym an Extern versenden dürfen.
Danach sollte alles, was von der zugelassenen IP kommt, auch Mails anonym an Extern versenden dürfen.
Technisch klappt es ja aber der empfangende Server sagt dann "eh... ich akzeptiere das nicht.." zumindest die kommerziellen Server werden den Relay blockieren.
OK... jetzt haben wir es
Das Verhalten scheint mir richtig zu sein.
Ich würde mal schauen, ob du die Absenderadresse (sofern organisatorisch OK) nicht umschreibst:
https://docs.microsoft.com/de-de/exchange/architecture/edge-transport-se ...
Selbst genutzt/ getestet habe ich es aber noch nicht.
Zitat von @DerMaddin:
Technisch klappt es ja aber der empfangende Server sagt dann "eh... ich akzeptiere das nicht.." zumindest die kommerziellen Server werden den Relay blockieren.
Zitat von @em-pie:
Danach sollte alles, was von der zugelassenen IP kommt, auch Mails anonym an Extern versenden dürfen.
Danach sollte alles, was von der zugelassenen IP kommt, auch Mails anonym an Extern versenden dürfen.
Technisch klappt es ja aber der empfangende Server sagt dann "eh... ich akzeptiere das nicht.." zumindest die kommerziellen Server werden den Relay blockieren.
Kannst du mir noch erklären wieso? Sorry, aber ich bin da nicht so tief drin.
Meinst du, dass als ursprüngliche Quell-IP eben nicht meine öffentliche IP hinterlegt ist, sondern die des Dienstleisters und die Mail dadurch abgelehnt wird?
Ohne den genauen Fehlercode zu kennen ist das derzeit meine Theorie:
Die Header-Angaben passen nicht zu deiner WAN-IP bzw. den dazugehörigen DNS-Einträgen.
Deine Domain lautet myDomain.tld.
Jetzt steht im Absender aber bursche@otherDomain.tld
Das passt einfach nicht und würde auch bei unserem geblockt werden.
Die Header-Angaben passen nicht zu deiner WAN-IP bzw. den dazugehörigen DNS-Einträgen.
Deine Domain lautet myDomain.tld.
Jetzt steht im Absender aber bursche@otherDomain.tld
Das passt einfach nicht und würde auch bei unserem geblockt werden.
Hallo,
Schulung ?
Andere Quelle(n) für Wissen (Ich habe mein Internet mal für dich angefragt und so viele Treffer gefunden, diese alle zu Posten würde meine restlebenszeit überschreiten) https://docs.microsoft.com/en-us/exchange/mail-flow/connectors/allow-ano ...
https://msexchangeguru.com/2016/05/02/smtp-relay-connectors/
https://www.msxfaq.de/konzepte/smtprelay.htm
https://community.spiceworks.com/topic/2331577-need-to-add-external-rela ...
https://itler.net/exchange-server-relay-nach-extern-erlauben-smtp-relay/
https://www.alitajran.com/configure-anonymous-smtp-relay-in-exchange-ser ...
https://www.petenetlive.com/KB/Article/0000542
https://www.mysysadmintips.com/windows/servers/828-enable-anonymous-rela ...
https://www.petenetlive.com/KB/Article/0000891
https://www.r-s.ch/exchange-mail-relay-connector-mit-smtp-test-per-telne ...
http://exchange.sembee.info/network/openrelaytest.asp
Und dein
https://www.soltari.at/exchange-server-smtp-status-codes/
https://www.stellarinfo.com/article/exchange-smtp-error-550-unable-to-re ...
https://techgenix.com/mail-relay-exchange-server-2016/
https://www.mcseboard.de/topic/170668-relay-access-denied/
Gruß,
Peter
Schulung ?
Sorry, aber ich bin da nicht so tief drin.
Warum spielst du dann so tief an einen Exchange Server rum ohne zu wissen was du tust?Andere Quelle(n) für Wissen (Ich habe mein Internet mal für dich angefragt und so viele Treffer gefunden, diese alle zu Posten würde meine restlebenszeit überschreiten) https://docs.microsoft.com/en-us/exchange/mail-flow/connectors/allow-ano ...
https://msexchangeguru.com/2016/05/02/smtp-relay-connectors/
https://www.msxfaq.de/konzepte/smtprelay.htm
https://community.spiceworks.com/topic/2331577-need-to-add-external-rela ...
https://itler.net/exchange-server-relay-nach-extern-erlauben-smtp-relay/
https://www.alitajran.com/configure-anonymous-smtp-relay-in-exchange-ser ...
https://www.petenetlive.com/KB/Article/0000542
https://www.mysysadmintips.com/windows/servers/828-enable-anonymous-rela ...
https://www.petenetlive.com/KB/Article/0000891
https://www.r-s.ch/exchange-mail-relay-connector-mit-smtp-test-per-telne ...
http://exchange.sembee.info/network/openrelaytest.asp
Und dein
"Relay Denied"
ist nicht wirklich hilfreich.https://www.soltari.at/exchange-server-smtp-status-codes/
https://www.stellarinfo.com/article/exchange-smtp-error-550-unable-to-re ...
https://techgenix.com/mail-relay-exchange-server-2016/
https://www.mcseboard.de/topic/170668-relay-access-denied/
Gruß,
Peter