Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange soll nur von AD-Benutzern senden

Mitglied: sebezahn

sebezahn (Level 1) - Jetzt verbinden

10.03.2010, aktualisiert 14:57 Uhr, 5255 Aufrufe, 8 Kommentare

Ein Frage der Sicherhert eines extern zugreifbaren SMTPs. Nur AD-Benutzer sollen Mails versenden können.

Hallo alle,

folgendes Problem, zumindest potentiell. Unser SBS 2003 mit Exchange 2003 werkelt mit interner IP hinter unserem Lancom-Router. Das funktioniert alles wunderbar, per VPN verbinden wir uns erst von extern mit dem Netz und dann mit dem Exchange. Bisher haben wir immer einen externen Mailserver genutzt, der mit dem Exchange überhaupt nichts zu tun hatte. Das muss sich nun aber ein wenig ändern, der Exchange soll nun Mails senden und empfangen können.

Die gute Nachricht: Das funktioniert schon! Wir haben eine statische IP (bei Arcor), haben einen Reverse-DNS-Eintrag setzen lassen, den MX-Eintrag der Domain beim Hoster setzen lassen. Seitdem klopfen die Mails am Port 25 am Router an, versenden klappt ebenfalls. Wir haben am Lancom testweise mal Port 25 freigegeben und per NAT zum Exchange geleitet. Dann kamen Mails auch einwandfrei an.

Nun zum eigentlichen Problem: Ich habe extreme Bauchschmerzen, ohne genaue Kenntnisse einen SMTP einfach freizugeben. Zwar haben wir tägliche Backups aller Daten und des gesamten Systems, aber wie kann ich in den Einstellungen im Exchange überprüfen, dass wirklich NUR Benutzer, die per Outlook im Exchange hängen oder per Smartphone (RPC over HTTPS) Mails versenden können? Im Grunde genommen kann ich den SMTP-Versand komplett auf das interne Netz eingrenzen, zusätzlich zur Authentifizierung. Aber ich muss den SMTP ja auf jeden Fall erreichbar lassen, wenn ich Mails empfangen will.

Einen SMTP-Relay an unserem bisherigen Mailserver können wir leider nicht verwenden. Der Grund ist, dass wir genau dieses Netz extern überwachen lassen wollen und (unter anderem) per Mail benachrichtigt werden. Ist natürlich dämlich, wenn genau das Netz mit dem entsprechenden Relay dann down ist...

Edit: Ich habe mal die Tests von www.abuse.net/relay.html durchlaufen lassen. Er findet keine offenen Relays... Dennoch bin ich für Anmerkungen dankbar!

Gruß und vielen Dank,
Sebezahn
Mitglied: ElWiegaldo
10.03.2010 um 16:00 Uhr
Hallo,

man kann - wenn ich mich recht erinnere - im SMTP-Connector irgendwo einstellen das nur authentifierte Benutzer verschicken können... ist aber gerade etwas lange her

Grüße
ElWiegaldo
Bitte warten ..
Mitglied: sebezahn
10.03.2010 um 16:18 Uhr
Hi,

leider nicht, oder ich habe es trotz intensiver Suche nicht gefunden. Du kannst nur einstellen, von welchem Versender Nachrichten angenommen werden. Und das ist natürlich nicht das, was ich möchte, denn empfangen werden sollen Mails ja von beliebigen Adressen. Ich habe auch keine Einschränkung des reinen Versands auf den internen IP-Adresskreis gefunden.

Gruß
Sebezahn
Bitte warten ..
Mitglied: ElWiegaldo
10.03.2010 um 16:35 Uhr
... hmmm schade. Habe meinen 2003er vor kurzem platt gemacht.
Sonst könnte ich jetzt mal kucken.

Grüße
ElWiegaldo
Bitte warten ..
Mitglied: GuentherH
10.03.2010 um 17:30 Uhr
Hallo.

leider nicht, oder ich habe es trotz intensiver Suche nicht gefunden

Aber sicher doch

a) wenn der der Exchange über den Assistenten für den Internetzugang konfiguriert wurde, dann ist er relayfest und sicher
b) im virtuellen SMTP gibt es im Register Zugriff die Einstellungen -> Authentifizierung -> Benutzer, zudem die Einstellungen Verbindung und Relay.

Wenn ausschließlich Outlook Clients auf den Exchange zugreifen, kannst du hier eigentlich konfigurieren, dass nur der Exchange selbst auf den virtuellen SMTP zugreifen kann. Die Outlook Clients verwenden ja das MAPI Protokoll und benötigen SMTP gar nicht.

LG Günther
Bitte warten ..
Mitglied: ElWiegaldo
10.03.2010 um 17:34 Uhr
wusste doch das da was war

Grüße
ElWiegaldo
Bitte warten ..
Mitglied: sebezahn
10.03.2010 um 20:04 Uhr
Hi nochmal,

Zitat von GuentherH:
a) wenn der der Exchange über den Assistenten für den Internetzugang konfiguriert wurde, dann ist er relayfest und
sicher

Ja, das ist er, allerdings habe in den SMTP-Connector ebenfalls noch einmal angelegt, auch per Assistent.

Zitat von GuentherH:
b) im virtuellen SMTP gibt es im Register Zugriff die Einstellungen -> Authentifizierung -> Benutzer, zudem die
Einstellungen Verbindung und Relay.

Wenn ausschließlich Outlook Clients auf den Exchange zugreifen, kannst du hier eigentlich konfigurieren, dass nur der
Exchange selbst auf den virtuellen SMTP zugreifen kann. Die Outlook Clients verwenden ja das MAPI Protokoll und benötigen
SMTP gar nicht.

vielen Dank schon einmal, bis dahin bin ich jetzt vorgedrungen. Das entsprechende Fenster heißt dann "Berechtigung für Übermittlung und Relay", und dort haben nur "Authentifizierte Benutzer" das Recht der "Übermittlungsberechtigung".

Wenn ich allerdings im Fenster davor, bei der "Authentifizierung" den "Anonymen Zugriff" verbiete, kommen keine Mails mehr an, was ja auch eigentlich Sinn macht, richtig? Denn der SMTP nimmt ja Mails von anderen Servern entgegen.

Was mir Sorge macht: Zwar können ganz offensichtlich fremde Mailadressen sich als Absender nicht anmelden, aber wenn jetzt jemand mit einer gültigen Emailadresse meines Servers über meinen SMTP sendet, geht die Mail dann durch? Per telnet habe ich getestet, damit kann ich nur von ungültigen Adressen an mich selbst senden, aber er lehnt fremde Empfangsadressen mit der Meldung "Unable to relay for mail@whatever.tld" ab.

Sorry der ganzen Fragerei, aber da bin ich lieber etwas zu vorsichtig... Und danke vielmals!

Gruß
Sebezahn
Bitte warten ..
Mitglied: GuentherH
10.03.2010 um 20:18 Uhr
Hallo.

Wenn ich allerdings im Fenster davor, bei der "Authentifizierung" den "Anonymen Zugriff" verbiete, kommen keine Mails mehr an

Klar, es darf ja kein nicht authentifizierter Benutzer auf den Server zugreifen

Per telnet habe ich getestet, damit kann ich nur von ungültigen Adressen an mich selbst senden

Ist auch richtig so. Es können aber nur Nachrichten an die Maildomänen versendet werden, für die der Exchange verantwortlich ist. Es ist also kein Relay möglich. Sollte es dir gelingen ein Verfahren zu entwickeln, das dies nicht mehr geschieht, dann ist dir die Nominierung für einen Nobel Preis sicher, denn dann würde es keinen SPAM mehr geben.

Aktiviere einfach einmal das SMTP Logging, dann hast du einen Überblick über deinen virtuellen SMTP - http://blog.sbspraxis.de/exchange-2003-logging-des-virtuellen-smtp-serv ...

LG Günther
Bitte warten ..
Mitglied: sebezahn
10.03.2010 um 20:36 Uhr
Hallo,

danke für die schnelle Hilfe! Ich dachte mir so etwas schon, ich bin auch auf Linux-Systemen mit Mailservern recht sicher unterwegs, aber ich (er)kenne einfach die Microsoft-Begrifflichkeiten nicht (wieder). Ich lasse den Port 25 jetzt mal offen und schaue, was passiert!

Grüße
Sebezahn
Bitte warten ..
Ähnliche Inhalte
Exchange Server

"Send on Behalf anstelle" von "Send as"

gelöst Frage von arduinoExchange Server3 Kommentare

Hallo Wir haben auf unserem Exchange 2010 verschiedene Shared Mailboxen, die von Usern mit der Send-as Berechtigung genutzt werden. ...

Netzwerkmanagement

Plink cant send yes?

gelöst Frage von q16marvinNetzwerkmanagement5 Kommentare

i want to use plink for a batch ssh like this: mac_auth_anschalten.cmd: but it stops here: so how can ...

Microsoft Office

"send as" Mail in Gesendete Elemente

Frage von narvisMicrosoft Office5 Kommentare

Hallo liebe Gemeinde, ich muss mich mal wieder vertrauensvoll an Euch wenden :-) Und zwar habe ich folgende Frage: ...

Netzwerke

IPSec Site to Site tunnel send errors

Frage von brammerNetzwerke3 Kommentare

Hallo, ich habe einen existierenden Site to Site Tunnel durch den mehrere Netze gehen . Tunnel ist auch in ...

Neue Wissensbeiträge
Windows 7
Updategängelung auf Windows 10, die zweite
Information von Penny.Cilin vor 1 TagWindows 7

Hallo, da Windows 7 im kommenden Jahr nicht mehr supportet wird, werden Nutzer von Window 7 home premium wieder ...

Internet
EU-Urheberrechtsreform: Zusammenfassung
Information von Frank vor 4 TagenInternet1 Kommentar

Auf golem.de gibt es eine Analyse von Friedhelm Greis, der das Thema EU-Urheberrechtsreform gut und strukturiert zusammenfasst. Zwar haben ...

Microsoft Office

Office365 Schwachstellen bei Sicherheit und Datenschutz

Information von Penny.Cilin vor 5 TagenMicrosoft Office7 Kommentare

Auf Heise+ gibt es einen Artikel bzgl. Office365 Schwachstellen. Das ist noch ein Grund mehr seine Daten nicht in ...

Sicherheit
Schwachstellen in VPN Clients
Tipp von transocean vor 7 TagenSicherheit2 Kommentare

Moin, es gibt Sicherheitslücken bei VPN Clients namhafter Hersteller, wie man hier lesen kann. Gruß Uwe

Heiß diskutierte Inhalte
Notebook & Zubehör
Hardware defekt ?
Frage von mausemuckelNotebook & Zubehör14 Kommentare

Hallo und ein schönes Osterfest an alle. Ich benötige mal euer Schwarm wissen. Ich habe hier ein Notebook Lenovo ...

LAN, WAN, Wireless
Lancom und VLANs
Frage von TimmheLAN, WAN, Wireless11 Kommentare

Hallo an alle ich habe momentan ein sehr merkwürdiges problem bei dem ich nicht mehr weiter komme und hoffe ...

Netzwerkmanagement
Konfiguration von IPv6 in einer Domäne mit DHCP
Frage von gnoovyNetzwerkmanagement10 Kommentare

Hi Zusammen, ich bin gerade etwas am verzweifeln. Ich habe eine Testumgebung aufgebaut, um mich in das Thema IPv6 ...

Virtualisierung
Unix System virtualisieren
Frage von BananenmeisterVirtualisierung10 Kommentare

Hallo Zusammen, Ich möchte gerne eine Virtualisierungs-Software auf meinem kleinen ML Server installieren um einige Unix Systeme zu virtualisieren. ...