8
Exchange 2019 plötzlich kein Mailversand von Geräten mehr
Moin,
wir betreiben einen Exchange 2019 CU14, Extended Protection ist aktiviert.
Seit etwa Mitte letzter Woche bekommen wir keine internen Mails von PRTG, Servern, Veeam und Storage mehr. Bei der Fehleranalyse ist mir aufgefallen, dass aus Sicherheitsgründen keine Mails mehr von Absendern ohne eigenes Postfach verschickt werden.
Schön und gut, kann man machen, nur ... das funktionierte bislang und es hat bei uns niemand geändert? Muss ich in der Paranoia-Box wühlen, oder hat das noch jemand beobachtet?
Gruß
wir betreiben einen Exchange 2019 CU14, Extended Protection ist aktiviert.
Seit etwa Mitte letzter Woche bekommen wir keine internen Mails von PRTG, Servern, Veeam und Storage mehr. Bei der Fehleranalyse ist mir aufgefallen, dass aus Sicherheitsgründen keine Mails mehr von Absendern ohne eigenes Postfach verschickt werden.
Schön und gut, kann man machen, nur ... das funktionierte bislang und es hat bei uns niemand geändert? Muss ich in der Paranoia-Box wühlen, oder hat das noch jemand beobachtet?
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668018
Url: https://administrator.de/contentid/668018
Ausgedruckt am: 21.11.2024 um 19:11 Uhr
8 Kommentare
Neuester Kommentar
ist mir aufgefallen, dass aus Sicherheitsgründen
Also hast du schon mal den Grund bzw die Ursache gefundenMuss ich in der Paranoia-Box wühlen
Warum, du hast den Grund doch schon gefunden 
Überprüfe mal die Relay Einstellungen.
Zitat von @NordicMike:
Überprüfe mal die Relay Einstellungen.
ist mir aufgefallen, dass aus Sicherheitsgründen
Also hast du schon mal den Grund bzw die Ursache gefundenMuss ich in der Paranoia-Box wühlen
Warum, du hast den Grund doch schon gefunden Überprüfe mal die Relay Einstellungen.
Ja, den Grund habe ich gefunden. Allein, ich habe diese Änderung nicht veranlasst und ein Kollege auch nicht. Warum also ist das plötzlich so?
Gab es nach der Hafnium-Geschichte nicht den MS-Ansatz, dass die bei On Premise-Servern nach Gutdünken etwas ändern können, wenn sie es für ausreichend sicherheitsrelevant halten?
Und ist das noch jemandem passiert? Darum geht es mir.
Was das Relay angeht, die Windows-Authentifizierung ist freigegeben / angehakt, dort kann ich aber eine entsprechende Einstellung "nicht senden ohne eigenes Postfach" nicht vornehmen?
Gruß
Ja, den Grund habe ich gefunden
Das war die Ursache, den Grund weisst du also noch nichtFür ein Versand aus PRTG, Servern, Veeam und Storage hast du bestimmt keine Windows Authentifizierung verwendet. Welches Relay ist dafür zuständig? Wenn Du keines hast, kann es natürlich einem Update zum Opfer fallen
Also ich versuche mal, das zu verdeutlichen:
Wahrscheinlich sehe ich den Wald vor lauter Bäumen nicht...
- Geräte / Veeam verschicken eine Mail geraet@unseredomain.com / veeam@unseredomain.com (jeweils ohne eigenes Postfach)
- SMTP-Authentifizierung erfolgt über ein gültiges AD-Konto, das extra hierfür angelegt wurde
- Versand soll über Port 587 erfolgen, hier lauscht der Empfangsconnector Client-Frontend XY
- Im Bereich Sicherheit sind unter Authentifizierung angehakt: TLS / Standardauthentifizierung / Integrierte Windows-Authentifizierung / Exchange-Serverauthentifizierung
- Berechtigungsgruppen: Exchange-Benutzer
Wahrscheinlich sehe ich den Wald vor lauter Bäumen nicht...
Moin,
ich würde das an deiner stelle mit einem connector im exchange regeln... dort kannst du, was sicher besser ist die ip´s erlauben, die auch nur senden dürfen....
Frank
ich würde das an deiner stelle mit einem connector im exchange regeln... dort kannst du, was sicher besser ist die ip´s erlauben, die auch nur senden dürfen....
Frank
1Zitat von @Vision2015:
Moin,
ich würde das an deiner stelle mit einem connector im exchange regeln... dort kannst du, was sicher besser ist die ip´s erlauben, die auch nur senden dürfen....
Frank
Moin,
ich würde das an deiner stelle mit einem connector im exchange regeln... dort kannst du, was sicher besser ist die ip´s erlauben, die auch nur senden dürfen....
Frank
Ja, hatte ich auch schon gesehen, da gibt's ne Anleitung von Franky. Nur ist hier das Problem, dass wir auf allen Mitarbeiterrechnern "Crystal Disk Report" zur Plattenüberwachung installiert haben, das ist so ziemlich unmöglich (DHCP) und viel zu aufwändig, die ganzen IPs da reinzukloppen. Alternativ den gesamten Bereich?
Gruß
Moin...
allerdings ist das natürlich nicht wirklich sinnvoll oder gar sicher...
Frank
Gruß
Zitat von @Coreknabe:
Ja, hatte ich auch schon gesehen, da gibt's ne Anleitung von Franky. Nur ist hier das Problem, dass wir auf allen Mitarbeiterrechnern "Crystal Disk Report" zur Plattenüberwachung installiert haben, das ist so ziemlich unmöglich (DHCP) und viel zu aufwändig, die ganzen IPs da reinzukloppen. Alternativ den gesamten Bereich?
na nun ja... dann den ganzen bereich!Zitat von @Vision2015:
Moin,
ich würde das an deiner stelle mit einem connector im exchange regeln... dort kannst du, was sicher besser ist die ip´s erlauben, die auch nur senden dürfen....
Frank
Moin,
ich würde das an deiner stelle mit einem connector im exchange regeln... dort kannst du, was sicher besser ist die ip´s erlauben, die auch nur senden dürfen....
Frank
Ja, hatte ich auch schon gesehen, da gibt's ne Anleitung von Franky. Nur ist hier das Problem, dass wir auf allen Mitarbeiterrechnern "Crystal Disk Report" zur Plattenüberwachung installiert haben, das ist so ziemlich unmöglich (DHCP) und viel zu aufwändig, die ganzen IPs da reinzukloppen. Alternativ den gesamten Bereich?
allerdings ist das natürlich nicht wirklich sinnvoll oder gar sicher...
Frank
Gruß
Moin Frank,
putzig, ich habe mal ein bisschen recherchiert, laut MS funktionierte der Mailversand ohne Postfach dahinter noch nie. OK, vielleicht habe ich mir einfach eingebildet, dass das bei uns jahrelang funktionierte, ich werde ja auch nicht jünger und früher war bekanntlich alles besser.
Die IP-Geschichte finde ich tatsächlich etwas heikel, ich habe jetzt dem AD-Account, über den das die ganze Zeit lief, halt ein Postfach eingerichtet. Jetzt will nur Veeam die Mails trotz korrekter Daten nicht verschicken, aber das mag auch am Update auf VBR 12.2 liegen, habe dazu bei Veeam ein Ticket laufen.
Hier mache ich jetzt mal zu, danke für Eure Anregungen und Hinweise!
Gruß
putzig, ich habe mal ein bisschen recherchiert, laut MS funktionierte der Mailversand ohne Postfach dahinter noch nie. OK, vielleicht habe ich mir einfach eingebildet, dass das bei uns jahrelang funktionierte, ich werde ja auch nicht jünger und früher war bekanntlich alles besser.
Die IP-Geschichte finde ich tatsächlich etwas heikel, ich habe jetzt dem AD-Account, über den das die ganze Zeit lief, halt ein Postfach eingerichtet. Jetzt will nur Veeam die Mails trotz korrekter Daten nicht verschicken, aber das mag auch am Update auf VBR 12.2 liegen, habe dazu bei Veeam ein Ticket laufen.
Hier mache ich jetzt mal zu, danke für Eure Anregungen und Hinweise!
Gruß
