Exchange 2016 sendet über Port 25: sinnvoll und gefährlich?
Hallo zusammen,
ich bin heute auf eine Angelegenheit gestoßen, die einige Fragen aufgeworfen hat.
Wir haben einen Exchange 2016 on-Prem, der Hybrid läuft und mit Exchange online verheiratet ist.
beim prüfen der Firewall-Logs haben wir gemerkt dass dieser Exchange Server ausnahmslos alles über Port 25 an Extern weitergibt.
nun gab es sicherheitsbedenken und einige Fragen wurden gestellt.
zum einen verstehe ich das so dass die Hybridstellung zwischen on-Prem und Cloud immer über Port 25 stattfindet, durch einen Empfangskonnektor im Exo wird sichergestellt das nur Mails von meiner public IP angenommen werden, außerdem nur Mails die ich unter "akzeptierte Domänen" hinterlegt habe.
Wäre das soweit richtig?
zum Anderen bin ich nicht sicher den ausgehenden Verkehr verstanden zu haben. So wie ich gelesen habe, würde es mit Port 587 und TLS nur gehen wenn man einen Smart Host verwendet, der meine Mails auch verschlüsselt in Empfang nimmt. Wäre das so auch richtig?
ich bin heute auf eine Angelegenheit gestoßen, die einige Fragen aufgeworfen hat.
Wir haben einen Exchange 2016 on-Prem, der Hybrid läuft und mit Exchange online verheiratet ist.
beim prüfen der Firewall-Logs haben wir gemerkt dass dieser Exchange Server ausnahmslos alles über Port 25 an Extern weitergibt.
nun gab es sicherheitsbedenken und einige Fragen wurden gestellt.
zum einen verstehe ich das so dass die Hybridstellung zwischen on-Prem und Cloud immer über Port 25 stattfindet, durch einen Empfangskonnektor im Exo wird sichergestellt das nur Mails von meiner public IP angenommen werden, außerdem nur Mails die ich unter "akzeptierte Domänen" hinterlegt habe.
Wäre das soweit richtig?
zum Anderen bin ich nicht sicher den ausgehenden Verkehr verstanden zu haben. So wie ich gelesen habe, würde es mit Port 587 und TLS nur gehen wenn man einen Smart Host verwendet, der meine Mails auch verschlüsselt in Empfang nimmt. Wäre das so auch richtig?
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672580
Url: https://administrator.de/forum/exchange-2016-sendet-ueber-port-25-sinnvoll-und-gefaehrlich-672580.html
Ausgedruckt am: 12.05.2025 um 01:05 Uhr
13 Kommentare
Neuester Kommentar
Moin,
Gruß,
Dani
nun gab es sicherheitsbedenken und einige Fragen wurden gestellt.
wende dich vertrauensvoll an den E-Mail Admin der Kiste. Abgesehen davon was für Fragen?So wie ich gelesen habe, würde es mit Port 587 und TLS nur gehen wenn man einen Smart Host verwendet, der meine Mails auch verschlüsselt in Empfang nimmt.
Wir sprechend doch von ausgehend, sprich von Exchange an Extern, oder? Weil Port 587 bzw. 465 ist in meiner Definition ein eingehender Port auf dem Exchange Server.zum einen verstehe ich das so dass die Hybridstellung zwischen on-Prem und Cloud immer über Port 25 stattfindet, durch einen Empfangskonnektor im Exo wird sichergestellt das nur Mails von meiner public IP angenommen werden, außerdem nur Mails die ich unter "akzeptierte Domänen" hinterlegt habe.
Ich sag mal Ja, wenn zur Einrichtung der Hybrid Configuration Wizard verwendet wurde.Gruß,
Dani
1
Servus,
falls es sich um eine Failover Konfiguration handelt wovon ich stark ausgehe MUSS egal welcher Mailserver genutzt wird über den sog. "Well known Port" für den jeweiligen Dienst laufen. Auf welchem port soll den der Mailtraffic sonst auf dem MX Eintrag suchen!?
Gruß user
falls es sich um eine Failover Konfiguration handelt wovon ich stark ausgehe MUSS egal welcher Mailserver genutzt wird über den sog. "Well known Port" für den jeweiligen Dienst laufen. Auf welchem port soll den der Mailtraffic sonst auf dem MX Eintrag suchen!?
Gruß user
Hallo, im Endeffekt hat es ja @Dani schon auf den Punkt gebracht.
Zur Ergänzung Port 587 ist für die Verbindung von Client zum Server. Port 25 ist für Server zu Server.
Zur Ergänzung Port 587 ist für die Verbindung von Client zum Server. Port 25 ist für Server zu Server.
Hier lern ich ja auch noch etwas 😊
Also:
25 = Server-to-Server (eingehend wie auch ausgehend?)
587 = Client-to-Server (nur ausgehend oder auch Server-to-Client)?)
Was ist mit 465 und 2525?
Grüße,
Also:
25 = Server-to-Server (eingehend wie auch ausgehend?)
587 = Client-to-Server (nur ausgehend oder auch Server-to-Client)?)
Was ist mit 465 und 2525?
Grüße,
Eigentlich hier beschrieben.
https://de.m.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol
465 hat man früher für smtps verwendet und 2525 müsste ne Fallback Geschichte sein. Hab ich persönlich aber nie freigegeben bzw. Konfiguriert.
https://de.m.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol
465 hat man früher für smtps verwendet und 2525 müsste ne Fallback Geschichte sein. Hab ich persönlich aber nie freigegeben bzw. Konfiguriert.
Moin @a.esposito,
es ist genau so wie die Kollegen das bereits beschrieben haben, sprich ...
... . 😉
Gruss Alex
beim prüfen der Firewall-Logs haben wir gemerkt dass dieser Exchange Server ausnahmslos alles über Port 25 an Extern weitergibt.
es ist genau so wie die Kollegen das bereits beschrieben haben, sprich ...
... . 😉
Gruss Alex
Hi!
Ich glaube, vor der Frage stehe ich auch gerade...
Soweit ich es verstanden habe, geht es hier um den SENDECONNECTOR von Exchange, der den Versand von E-Mails an externe Empänger abarbeitet. Dieser Connector sendet im Standard m.W. über Port 25 an die MX der externen Empfänger (bzw. wenn man einen Smarthost eingerichtet hat eben an diesen Smarthost).
Versand über Port 25 findet m.W. OHNE Transportverschlüsselung statt. Man könnte die Sicherheit aber etwas erhöhen und die Mails transportveschlüsselt versenden, dazu müsste der Versand m.W. aber ÜBER (und nach meinem Verständnis damit AN) Port 465 oder 587 des externen MX (oder des Smarthost) erfolgen.
Der SmartHost von "all-inkl" kann z.B. auf beiden Ports Mails annehmen, die Ports unterscheiden sich wie folgt:
"Bei Port 465 ist die Transortverschlüsselung sofort aktiv. Verwenden Sie den Port 587, bauen Sie zum Server eine unverschlüsselte Verbindung (StartTLS) auf und wechseln anschließend auf die Transortverschlüsselung."
Nun verstehe ich aber nicht so ganz, wie sich eine Änderung des Ports auf die Hybridstellung auswirken könnte, denn der Connector "Nachrichten ins Internet" hat m.W. mit Hybrid nichts zu tun. Vielmehr gibt es es doch einen weiteren Sendeconnector ("Outbound to Office 365 ..."), der den Versand an EXO regelt.
ODER LIEGE ICH DA IRGENDWO FALSCH? DANN BITTE KORREKTUR, DANKE!!
TJ
Ich glaube, vor der Frage stehe ich auch gerade...
Soweit ich es verstanden habe, geht es hier um den SENDECONNECTOR von Exchange, der den Versand von E-Mails an externe Empänger abarbeitet. Dieser Connector sendet im Standard m.W. über Port 25 an die MX der externen Empfänger (bzw. wenn man einen Smarthost eingerichtet hat eben an diesen Smarthost).
Versand über Port 25 findet m.W. OHNE Transportverschlüsselung statt. Man könnte die Sicherheit aber etwas erhöhen und die Mails transportveschlüsselt versenden, dazu müsste der Versand m.W. aber ÜBER (und nach meinem Verständnis damit AN) Port 465 oder 587 des externen MX (oder des Smarthost) erfolgen.
Der SmartHost von "all-inkl" kann z.B. auf beiden Ports Mails annehmen, die Ports unterscheiden sich wie folgt:
"Bei Port 465 ist die Transortverschlüsselung sofort aktiv. Verwenden Sie den Port 587, bauen Sie zum Server eine unverschlüsselte Verbindung (StartTLS) auf und wechseln anschließend auf die Transortverschlüsselung."
Nun verstehe ich aber nicht so ganz, wie sich eine Änderung des Ports auf die Hybridstellung auswirken könnte, denn der Connector "Nachrichten ins Internet" hat m.W. mit Hybrid nichts zu tun. Vielmehr gibt es es doch einen weiteren Sendeconnector ("Outbound to Office 365 ..."), der den Versand an EXO regelt.
ODER LIEGE ICH DA IRGENDWO FALSCH? DANN BITTE KORREKTUR, DANKE!!
TJ
1
Zitat von @TJ.Hooker74:
Versand über Port 25 findet m.W. OHNE Transportverschlüsselung statt. Man könnte die Sicherheit aber etwas erhöhen und die Mails transportveschlüsselt versenden, dazu müsste der Versand m.W. aber ÜBER (und nach meinem Verstädnis damit AN) Port 465 oder 587 des externen MX (oder des Smarthost) erfolgen.
Versand über Port 25 findet m.W. OHNE Transportverschlüsselung statt. Man könnte die Sicherheit aber etwas erhöhen und die Mails transportveschlüsselt versenden, dazu müsste der Versand m.W. aber ÜBER (und nach meinem Verstädnis damit AN) Port 465 oder 587 des externen MX (oder des Smarthost) erfolgen.
Nein.
Die Transportverschlüsselung hängt nicht vom Port ab. Man kann auch über Port 25 verschlüsselt per TLS/SSL senden, i.d.R. passiert das über STARTTLS und ist heutzutage bei den meisten, die ihre Mailserver korrekt konfigurieren, Standard, Der unverschlüsselte Versand über Port 25 ist heutzutage nur noch fallback,
lks
1
DANKE für die Info, das war mir tatsächlich neu!
Ich habe mir das bei all-inkl noch mal nachgefragt, dort ist es genau so, wie Du schreibst:
587 UND 25 bauen die Verbindung unverschlüsselt auf und transportverschlüsseln dann alles Weitere.
Zwischen 587 und 25 gibt es insofern keinen Unterschied.
"Lediglich" wenn man von Anfang an eine Transportverschlüsselung wünscht, muss man, zumindest wenn der SmartHost bei all-inkl steht, auf 465 wechseln.
Ich habe mir das bei all-inkl noch mal nachgefragt, dort ist es genau so, wie Du schreibst:
587 UND 25 bauen die Verbindung unverschlüsselt auf und transportverschlüsseln dann alles Weitere.
Zwischen 587 und 25 gibt es insofern keinen Unterschied.
"Lediglich" wenn man von Anfang an eine Transportverschlüsselung wünscht, muss man, zumindest wenn der SmartHost bei all-inkl steht, auf 465 wechseln.
Bleibt noch die Frage, die der Ersteller nach meinem Verständnis auch hat / hatte:
Würde sich eine Änderung des Sende-Connector-Ports (z.B. von 25 auf 465) irgendwie auf die Hybridstellung auswirken?
Würde sich eine Änderung des Sende-Connector-Ports (z.B. von 25 auf 465) irgendwie auf die Hybridstellung auswirken?
Danke für die zahlreichen Tipps und Hilfestellungen.
Die Frage entstand, weil wir unsere neue Firewall geprüft haben, beim Logging haben wir eben gesehen das dieser on-prem Ex 2016 ausgehende alles mit 25 versendet. Dabei sind externe Mail-Adressen gemeint. Dann kam eben die Frage "ist das sicher?"... ist es "normal" das der EX2016 unverschlüsselt per Port 25 alles in die Welt versendet?
innerhalb der Hybridstellung scheint alles zu passen. Mails, die in die Welt hinausgehen, laufen über Port 25 und es entstand hier eben die Befürchtung ob da Mails nicht "ganz einfach" abgefangen werden können.
ist der on-prem Exchange also falsch konfiguriert oder ist das einfach "by design" so?
Die Frage entstand, weil wir unsere neue Firewall geprüft haben, beim Logging haben wir eben gesehen das dieser on-prem Ex 2016 ausgehende alles mit 25 versendet. Dabei sind externe Mail-Adressen gemeint. Dann kam eben die Frage "ist das sicher?"... ist es "normal" das der EX2016 unverschlüsselt per Port 25 alles in die Welt versendet?
innerhalb der Hybridstellung scheint alles zu passen. Mails, die in die Welt hinausgehen, laufen über Port 25 und es entstand hier eben die Befürchtung ob da Mails nicht "ganz einfach" abgefangen werden können.
ist der on-prem Exchange also falsch konfiguriert oder ist das einfach "by design" so?
Moin,
Gruß,
Dani
Dann kam eben die Frage "ist das sicher?"... ist es "normal" das der EX2016 unverschlüsselt per Port 25 alles in die Welt versendet?
Wer betreut denn eure E-Mail-Plattform? Die Frage muss ein Mail-Server-Admin beantworten können.Gruß,
Dani
Moin,
Gruß,
Dani
Ich habe mir das bei all-inkl noch mal nachgefragt, dort ist es genau so, wie Du schreibst
all-inkl ist gott seit Dank nicht der Maßstab. Weder bei Mailing noch Webhosting.Würde sich eine Änderung des Sende-Connector-Ports (z.B. von 25 auf 465) irgendwie auf die Hybridstellung auswirken?
Warum sollte man das tun?Gruß,
Dani
