Exchange 2016 - Relay von extern zu externem Empfänger

makstsw
Goto Top
Hallo ins Forum,

ein extern gehosteter Dienst möchte über unseren Exchange 2016 Mails verschicken, die auch an externe Mailadressen gehen sollen. Also habe ich dazu einen neuen Empfangsconnector erstellt mit einem anonymen Relay erstellt, wie es unter Frankysweb erklärt wird (Einschränkung des Remotenetzwerks, Anpassung der Rechte zum Senden nach Extern).
https://www.frankysweb.de/exchange-2016-anonymes-relay-erlauben-5-7-54-u ...

Bei einem anschließenden Test konnte ich nun Mails an meine interne Maildomain senden, aber nach extern erhalte ich ein "Relay Denied". Also einmal Transport- und Frontend Transport-Dienst am Exchange neu gestartet, aber keinen Erfolg gehabt.
- Muss ich aus dem "Default Frontend"-Connector die IP meines Dienstes rauskonfigurieren? Habe im Hinterkopf, dass das bei älteren Exchange mal nötig war.
- Gibt es andere Einstellungen, die ich vergessen habe?

Gruß mak

Content-Key: 2848507244

Url: https://administrator.de/contentid/2848507244

Ausgedruckt am: 28.06.2022 um 05:06 Uhr

Mitglied: DerMaddin
DerMaddin 20.05.2022 um 09:42:07 Uhr
Goto Top
Ich mag mich irren aber ein Relay nach Extern muss auch von dem empfangenden Mailsystem akzeptiert werden. So zumindest bisher meine Praxis gewesen, wenn wir z.B. SMTP-Nachrichten von Monitoring-Geräten zu externen Dienstleistern weiter gesendet haben. Da musste auf deren Seite ein entsprechender Connector vorhanden sein, der unsere Public-IP in der Allow-Liste hat.
Mitglied: makstsw
makstsw 20.05.2022 um 09:49:38 Uhr
Goto Top
Ich denke, ich verstehe deinen Ansatz. Allerdings ist die Liste der externen Empfänger nicht vorgegeben. Das kann also auch mal eine private Mailadresse (web.de, gmx, usw.) sein. Da gäbe es für mich keine Lösung jeweils auf den Admin des Empfängers zuzugehen.
Mitglied: em-pie
em-pie 20.05.2022 um 10:14:17 Uhr
Goto Top
Moin,
Zitat von @makstsw:

Ich denke, ich verstehe deinen Ansatz. Allerdings ist die Liste der externen Empfänger nicht vorgegeben. Das kann also auch mal eine private Mailadresse (web.de, gmx, usw.) sein. Da gäbe es für mich keine Lösung jeweils auf den Admin des Empfängers zuzugehen.

Nun, das ist schlecht.
Dann würdet ihr quasi einen öffentlichen (Spam-)Relay-Server betreiben.
Wenn du mir eure IP einmal nennst, blocke ich die per se schon mal ;-) face-wink

Allerdings widerspricht sich das mit deiner initialen Aussagen:
ein extern gehosteter Dienst möchte über unseren Exchange 2016 Mails verschicken

Gruß
em-pie
Mitglied: DerMaddin
DerMaddin 20.05.2022 um 11:06:30 Uhr
Goto Top
Eine Alternative zu SMTP-Relay wäre vielleicht ein vollwertiges Mailkonto?

Wir haben das aus technischen Gründen auch bei z.B. einem Dienst (zwar intern aber von 3rd-Party gemanaged) wo dann mit Benutzername und Passwort authentifiziert wird, um Mails nicht nur intern sondern auch extern zu versenden.
Mitglied: makstsw
makstsw 20.05.2022 um 11:48:41 Uhr
Goto Top
Zitat von @em-pie:>
Nun, das ist schlecht.
Dann würdet ihr quasi einen öffentlichen (Spam-)Relay-Server betreiben.
Wenn du mir eure IP einmal nennst, blocke ich die per se schon mal ;-) face-wink

Allerdings widerspricht sich das mit deiner initialen Aussagen:
ein extern gehosteter Dienst möchte über unseren Exchange 2016 Mails verschicken

Vielleicht habe ich mich nicht genau genug ausgedrückt.
In meinem Empfangsconnector ist als Remotenetzwerk, also als derjenige der Mails über diesen Connector senden darf, nur die Quell-IP unseres externen Dienstleisters eingetragen. Somit darf auch nur der über diesen Connector Mails über unseren Exchange senden. Oder sehe ich das falsch?
Mitglied: em-pie
em-pie 20.05.2022 aktualisiert um 12:37:37 Uhr
Goto Top
...wer lesen kann ...

Dein obiger Link beschreibt eigentlich genau dein Vorhaben. Danach sollte alles, was von der zugelassenen IP kommt, auch Mails anonym an Extern versenden dürfen.
Wichtig ist halt nur, dass deine vorgelagerten Sicherheits-Systeme (Firewall, AntiSpam, ...) den Traffic auch zum Exchange durchlassen.
Mitglied: DerMaddin
DerMaddin 20.05.2022 um 12:42:09 Uhr
Goto Top
Irgendwie ist das immer noch etwas unklar. Der externe Dienstleister, wie greift er auf euren Exchange zu? SMTP ohne Auth?
Mitglied: DerMaddin
DerMaddin 20.05.2022 um 12:44:18 Uhr
Goto Top
Zitat von @em-pie:

Danach sollte alles, was von der zugelassenen IP kommt, auch Mails anonym an Extern versenden dürfen.

Technisch klappt es ja aber der empfangende Server sagt dann "eh... ich akzeptiere das nicht.." zumindest die kommerziellen Server werden den Relay blockieren.
Mitglied: em-pie
em-pie 20.05.2022 um 13:48:21 Uhr
Goto Top
Zitat von @DerMaddin:

Zitat von @em-pie:

Danach sollte alles, was von der zugelassenen IP kommt, auch Mails anonym an Extern versenden dürfen.

Technisch klappt es ja aber der empfangende Server sagt dann "eh... ich akzeptiere das nicht.." zumindest die kommerziellen Server werden den Relay blockieren.

OK... jetzt haben wir es :-) face-smile

Das Verhalten scheint mir richtig zu sein.
Ich würde mal schauen, ob du die Absenderadresse (sofern organisatorisch OK) nicht umschreibst:
https://docs.microsoft.com/de-de/exchange/architecture/edge-transport-se ...

Selbst genutzt/ getestet habe ich es aber noch nicht.
Mitglied: makstsw
makstsw 20.05.2022 um 18:08:27 Uhr
Goto Top
Zitat von @DerMaddin:

Zitat von @em-pie:

Danach sollte alles, was von der zugelassenen IP kommt, auch Mails anonym an Extern versenden dürfen.

Technisch klappt es ja aber der empfangende Server sagt dann "eh... ich akzeptiere das nicht.." zumindest die kommerziellen Server werden den Relay blockieren.

Kannst du mir noch erklären wieso? Sorry, aber ich bin da nicht so tief drin.
Meinst du, dass als ursprüngliche Quell-IP eben nicht meine öffentliche IP hinterlegt ist, sondern die des Dienstleisters und die Mail dadurch abgelehnt wird?
Mitglied: em-pie
em-pie 20.05.2022 um 19:30:57 Uhr
Goto Top
Ohne den genauen Fehlercode zu kennen ist das derzeit meine Theorie:
Die Header-Angaben passen nicht zu deiner WAN-IP bzw. den dazugehörigen DNS-Einträgen.

Deine Domain lautet myDomain.tld.
Jetzt steht im Absender aber bursche@otherDomain.tld

Das passt einfach nicht und würde auch bei unserem geblockt werden.
Mitglied: Pjordorf
Pjordorf 20.05.2022 um 21:47:20 Uhr
Goto Top