coreknabe
Goto Top

Exchange 2019 plötzlich kein Mailversand von Geräten mehr

Moin,

wir betreiben einen Exchange 2019 CU14, Extended Protection ist aktiviert.
Seit etwa Mitte letzter Woche bekommen wir keine internen Mails von PRTG, Servern, Veeam und Storage mehr. Bei der Fehleranalyse ist mir aufgefallen, dass aus Sicherheitsgründen keine Mails mehr von Absendern ohne eigenes Postfach verschickt werden.

Schön und gut, kann man machen, nur ... das funktionierte bislang und es hat bei uns niemand geändert? Muss ich in der Paranoia-Box wühlen, oder hat das noch jemand beobachtet?

Gruß

Content-ID: 668018

Url: https://administrator.de/contentid/668018

Printed on: October 13, 2024 at 09:10 o'clock

NordicMike
NordicMike Sep 10, 2024 at 08:57:54 (UTC)
Goto Top
ist mir aufgefallen, dass aus Sicherheitsgründen
Also hast du schon mal den Grund bzw die Ursache gefunden

Muss ich in der Paranoia-Box wühlen
Warum, du hast den Grund doch schon gefunden face-smile

Überprüfe mal die Relay Einstellungen.
Coreknabe
Coreknabe Sep 10, 2024 at 09:07:01 (UTC)
Goto Top
Zitat von @NordicMike:

ist mir aufgefallen, dass aus Sicherheitsgründen
Also hast du schon mal den Grund bzw die Ursache gefunden

Muss ich in der Paranoia-Box wühlen
Warum, du hast den Grund doch schon gefunden face-smile

Überprüfe mal die Relay Einstellungen.

Ja, den Grund habe ich gefunden. Allein, ich habe diese Änderung nicht veranlasst und ein Kollege auch nicht. Warum also ist das plötzlich so?
Gab es nach der Hafnium-Geschichte nicht den MS-Ansatz, dass die bei On Premise-Servern nach Gutdünken etwas ändern können, wenn sie es für ausreichend sicherheitsrelevant halten?
Und ist das noch jemandem passiert? Darum geht es mir.

Was das Relay angeht, die Windows-Authentifizierung ist freigegeben / angehakt, dort kann ich aber eine entsprechende Einstellung "nicht senden ohne eigenes Postfach" nicht vornehmen?

Gruß
NordicMike
NordicMike Sep 10, 2024 at 09:17:59 (UTC)
Goto Top
Ja, den Grund habe ich gefunden
Das war die Ursache, den Grund weisst du also noch nicht

Für ein Versand aus PRTG, Servern, Veeam und Storage hast du bestimmt keine Windows Authentifizierung verwendet. Welches Relay ist dafür zuständig? Wenn Du keines hast, kann es natürlich einem Update zum Opfer fallen face-smile
Coreknabe
Coreknabe Sep 10, 2024 updated at 09:27:24 (UTC)
Goto Top
Also ich versuche mal, das zu verdeutlichen:
  • Geräte / Veeam verschicken eine Mail geraet@unseredomain.com / veeam@unseredomain.com (jeweils ohne eigenes Postfach)
  • SMTP-Authentifizierung erfolgt über ein gültiges AD-Konto, das extra hierfür angelegt wurde
  • Versand soll über Port 587 erfolgen, hier lauscht der Empfangsconnector Client-Frontend XY
  • Im Bereich Sicherheit sind unter Authentifizierung angehakt: TLS / Standardauthentifizierung / Integrierte Windows-Authentifizierung / Exchange-Serverauthentifizierung
  • Berechtigungsgruppen: Exchange-Benutzer

Wahrscheinlich sehe ich den Wald vor lauter Bäumen nicht...
Vision2015
Vision2015 Sep 10, 2024 at 09:48:57 (UTC)
Goto Top
Moin,

ich würde das an deiner stelle mit einem connector im exchange regeln... dort kannst du, was sicher besser ist die ip´s erlauben, die auch nur senden dürfen....
Frank
Coreknabe
Coreknabe Sep 10, 2024 at 10:03:58 (UTC)
Goto Top
Zitat von @Vision2015:

Moin,

ich würde das an deiner stelle mit einem connector im exchange regeln... dort kannst du, was sicher besser ist die ip´s erlauben, die auch nur senden dürfen....
Frank

Ja, hatte ich auch schon gesehen, da gibt's ne Anleitung von Franky. Nur ist hier das Problem, dass wir auf allen Mitarbeiterrechnern "Crystal Disk Report" zur Plattenüberwachung installiert haben, das ist so ziemlich unmöglich (DHCP) und viel zu aufwändig, die ganzen IPs da reinzukloppen. Alternativ den gesamten Bereich?

Gruß
Vision2015
Vision2015 Sep 10, 2024 at 11:50:05 (UTC)
Goto Top
Moin...
Zitat von @Coreknabe:

Zitat von @Vision2015:

Moin,

ich würde das an deiner stelle mit einem connector im exchange regeln... dort kannst du, was sicher besser ist die ip´s erlauben, die auch nur senden dürfen....
Frank

Ja, hatte ich auch schon gesehen, da gibt's ne Anleitung von Franky. Nur ist hier das Problem, dass wir auf allen Mitarbeiterrechnern "Crystal Disk Report" zur Plattenüberwachung installiert haben, das ist so ziemlich unmöglich (DHCP) und viel zu aufwändig, die ganzen IPs da reinzukloppen. Alternativ den gesamten Bereich?
na nun ja... dann den ganzen bereich!
allerdings ist das natürlich nicht wirklich sinnvoll oder gar sicher...

Frank


Gruß
Coreknabe
Solution Coreknabe Sep 11, 2024 at 06:38:41 (UTC)
Goto Top
Moin Frank,

putzig, ich habe mal ein bisschen recherchiert, laut MS funktionierte der Mailversand ohne Postfach dahinter noch nie. OK, vielleicht habe ich mir einfach eingebildet, dass das bei uns jahrelang funktionierte, ich werde ja auch nicht jünger und früher war bekanntlich alles besser.

Die IP-Geschichte finde ich tatsächlich etwas heikel, ich habe jetzt dem AD-Account, über den das die ganze Zeit lief, halt ein Postfach eingerichtet. Jetzt will nur Veeam die Mails trotz korrekter Daten nicht verschicken, aber das mag auch am Update auf VBR 12.2 liegen, habe dazu bei Veeam ein Ticket laufen.

Hier mache ich jetzt mal zu, danke für Eure Anregungen und Hinweise!

Gruß