8
Exchange soll nur von AD-Benutzern senden
Ein Frage der Sicherhert eines extern zugreifbaren SMTPs. Nur AD-Benutzer sollen Mails versenden können.
Hallo alle,
folgendes Problem, zumindest potentiell. Unser SBS 2003 mit Exchange 2003 werkelt mit interner IP hinter unserem Lancom-Router. Das funktioniert alles wunderbar, per VPN verbinden wir uns erst von extern mit dem Netz und dann mit dem Exchange. Bisher haben wir immer einen externen Mailserver genutzt, der mit dem Exchange überhaupt nichts zu tun hatte. Das muss sich nun aber ein wenig ändern, der Exchange soll nun Mails senden und empfangen können.
Die gute Nachricht: Das funktioniert schon! Wir haben eine statische IP (bei Arcor), haben einen Reverse-DNS-Eintrag setzen lassen, den MX-Eintrag der Domain beim Hoster setzen lassen. Seitdem klopfen die Mails am Port 25 am Router an, versenden klappt ebenfalls. Wir haben am Lancom testweise mal Port 25 freigegeben und per NAT zum Exchange geleitet. Dann kamen Mails auch einwandfrei an.
Nun zum eigentlichen Problem: Ich habe extreme Bauchschmerzen, ohne genaue Kenntnisse einen SMTP einfach freizugeben. Zwar haben wir tägliche Backups aller Daten und des gesamten Systems, aber wie kann ich in den Einstellungen im Exchange überprüfen, dass wirklich NUR Benutzer, die per Outlook im Exchange hängen oder per Smartphone (RPC over HTTPS) Mails versenden können? Im Grunde genommen kann ich den SMTP-Versand komplett auf das interne Netz eingrenzen, zusätzlich zur Authentifizierung. Aber ich muss den SMTP ja auf jeden Fall erreichbar lassen, wenn ich Mails empfangen will.
Einen SMTP-Relay an unserem bisherigen Mailserver können wir leider nicht verwenden. Der Grund ist, dass wir genau dieses Netz extern überwachen lassen wollen und (unter anderem) per Mail benachrichtigt werden. Ist natürlich dämlich, wenn genau das Netz mit dem entsprechenden Relay dann down ist...
Edit: Ich habe mal die Tests von www.abuse.net/relay.html durchlaufen lassen. Er findet keine offenen Relays... Dennoch bin ich für Anmerkungen dankbar!
Gruß und vielen Dank,
Sebezahn
folgendes Problem, zumindest potentiell. Unser SBS 2003 mit Exchange 2003 werkelt mit interner IP hinter unserem Lancom-Router. Das funktioniert alles wunderbar, per VPN verbinden wir uns erst von extern mit dem Netz und dann mit dem Exchange. Bisher haben wir immer einen externen Mailserver genutzt, der mit dem Exchange überhaupt nichts zu tun hatte. Das muss sich nun aber ein wenig ändern, der Exchange soll nun Mails senden und empfangen können.
Die gute Nachricht: Das funktioniert schon! Wir haben eine statische IP (bei Arcor), haben einen Reverse-DNS-Eintrag setzen lassen, den MX-Eintrag der Domain beim Hoster setzen lassen. Seitdem klopfen die Mails am Port 25 am Router an, versenden klappt ebenfalls. Wir haben am Lancom testweise mal Port 25 freigegeben und per NAT zum Exchange geleitet. Dann kamen Mails auch einwandfrei an.
Nun zum eigentlichen Problem: Ich habe extreme Bauchschmerzen, ohne genaue Kenntnisse einen SMTP einfach freizugeben. Zwar haben wir tägliche Backups aller Daten und des gesamten Systems, aber wie kann ich in den Einstellungen im Exchange überprüfen, dass wirklich NUR Benutzer, die per Outlook im Exchange hängen oder per Smartphone (RPC over HTTPS) Mails versenden können? Im Grunde genommen kann ich den SMTP-Versand komplett auf das interne Netz eingrenzen, zusätzlich zur Authentifizierung. Aber ich muss den SMTP ja auf jeden Fall erreichbar lassen, wenn ich Mails empfangen will.
Einen SMTP-Relay an unserem bisherigen Mailserver können wir leider nicht verwenden. Der Grund ist, dass wir genau dieses Netz extern überwachen lassen wollen und (unter anderem) per Mail benachrichtigt werden. Ist natürlich dämlich, wenn genau das Netz mit dem entsprechenden Relay dann down ist...
Edit: Ich habe mal die Tests von www.abuse.net/relay.html durchlaufen lassen. Er findet keine offenen Relays... Dennoch bin ich für Anmerkungen dankbar!
Gruß und vielen Dank,
Sebezahn
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 137886
Url: https://administrator.de/contentid/137886
Printed on: April 23, 2024 at 18:04 o'clock
8 Comments
Latest comment
Hallo,
man kann - wenn ich mich recht erinnere - im SMTP-Connector irgendwo einstellen das nur authentifierte Benutzer verschicken können... ist aber gerade etwas lange her
Grüße
ElWiegaldo
man kann - wenn ich mich recht erinnere - im SMTP-Connector irgendwo einstellen das nur authentifierte Benutzer verschicken können... ist aber gerade etwas lange her
Grüße
ElWiegaldo
Hi,
leider nicht, oder ich habe es trotz intensiver Suche nicht gefunden. Du kannst nur einstellen, von welchem Versender Nachrichten angenommen werden. Und das ist natürlich nicht das, was ich möchte, denn empfangen werden sollen Mails ja von beliebigen Adressen. Ich habe auch keine Einschränkung des reinen Versands auf den internen IP-Adresskreis gefunden.
Gruß
Sebezahn
leider nicht, oder ich habe es trotz intensiver Suche nicht gefunden. Du kannst nur einstellen, von welchem Versender Nachrichten angenommen werden. Und das ist natürlich nicht das, was ich möchte, denn empfangen werden sollen Mails ja von beliebigen Adressen. Ich habe auch keine Einschränkung des reinen Versands auf den internen IP-Adresskreis gefunden.
Gruß
Sebezahn
... hmmm schade. Habe meinen 2003er vor kurzem platt gemacht.
Sonst könnte ich jetzt mal kucken.
Grüße
ElWiegaldo
Sonst könnte ich jetzt mal kucken.
Grüße
ElWiegaldo
Hallo.
Aber sicher doch
a) wenn der der Exchange über den Assistenten für den Internetzugang konfiguriert wurde, dann ist er relayfest und sicher
b) im virtuellen SMTP gibt es im Register Zugriff die Einstellungen -> Authentifizierung -> Benutzer, zudem die Einstellungen Verbindung und Relay.
Wenn ausschließlich Outlook Clients auf den Exchange zugreifen, kannst du hier eigentlich konfigurieren, dass nur der Exchange selbst auf den virtuellen SMTP zugreifen kann. Die Outlook Clients verwenden ja das MAPI Protokoll und benötigen SMTP gar nicht.
LG Günther
leider nicht, oder ich habe es trotz intensiver Suche nicht gefunden
Aber sicher doch
a) wenn der der Exchange über den Assistenten für den Internetzugang konfiguriert wurde, dann ist er relayfest und sicher
b) im virtuellen SMTP gibt es im Register Zugriff die Einstellungen -> Authentifizierung -> Benutzer, zudem die Einstellungen Verbindung und Relay.
Wenn ausschließlich Outlook Clients auf den Exchange zugreifen, kannst du hier eigentlich konfigurieren, dass nur der Exchange selbst auf den virtuellen SMTP zugreifen kann. Die Outlook Clients verwenden ja das MAPI Protokoll und benötigen SMTP gar nicht.
LG Günther
wusste doch das da was war
Grüße
ElWiegaldo
Grüße
ElWiegaldo
Hi nochmal,
Ja, das ist er, allerdings habe in den SMTP-Connector ebenfalls noch einmal angelegt, auch per Assistent.
vielen Dank schon einmal, bis dahin bin ich jetzt vorgedrungen. Das entsprechende Fenster heißt dann "Berechtigung für Übermittlung und Relay", und dort haben nur "Authentifizierte Benutzer" das Recht der "Übermittlungsberechtigung".
Wenn ich allerdings im Fenster davor, bei der "Authentifizierung" den "Anonymen Zugriff" verbiete, kommen keine Mails mehr an, was ja auch eigentlich Sinn macht, richtig? Denn der SMTP nimmt ja Mails von anderen Servern entgegen.
Was mir Sorge macht: Zwar können ganz offensichtlich fremde Mailadressen sich als Absender nicht anmelden, aber wenn jetzt jemand mit einer gültigen Emailadresse meines Servers über meinen SMTP sendet, geht die Mail dann durch? Per telnet habe ich getestet, damit kann ich nur von ungültigen Adressen an mich selbst senden, aber er lehnt fremde Empfangsadressen mit der Meldung "Unable to relay for mail@whatever.tld" ab.
Sorry der ganzen Fragerei, aber da bin ich lieber etwas zu vorsichtig... Und danke vielmals!
Gruß
Sebezahn
Zitat von @GuentherH:
a) wenn der der Exchange über den Assistenten für den Internetzugang konfiguriert wurde, dann ist er relayfest und
sicher
a) wenn der der Exchange über den Assistenten für den Internetzugang konfiguriert wurde, dann ist er relayfest und
sicher
Ja, das ist er, allerdings habe in den SMTP-Connector ebenfalls noch einmal angelegt, auch per Assistent.
Zitat von @GuentherH:
b) im virtuellen SMTP gibt es im Register Zugriff die Einstellungen -> Authentifizierung -> Benutzer, zudem die
Einstellungen Verbindung und Relay.
Wenn ausschließlich Outlook Clients auf den Exchange zugreifen, kannst du hier eigentlich konfigurieren, dass nur der
Exchange selbst auf den virtuellen SMTP zugreifen kann. Die Outlook Clients verwenden ja das MAPI Protokoll und benötigen
SMTP gar nicht.
b) im virtuellen SMTP gibt es im Register Zugriff die Einstellungen -> Authentifizierung -> Benutzer, zudem die
Einstellungen Verbindung und Relay.
Wenn ausschließlich Outlook Clients auf den Exchange zugreifen, kannst du hier eigentlich konfigurieren, dass nur der
Exchange selbst auf den virtuellen SMTP zugreifen kann. Die Outlook Clients verwenden ja das MAPI Protokoll und benötigen
SMTP gar nicht.
vielen Dank schon einmal, bis dahin bin ich jetzt vorgedrungen. Das entsprechende Fenster heißt dann "Berechtigung für Übermittlung und Relay", und dort haben nur "Authentifizierte Benutzer" das Recht der "Übermittlungsberechtigung".
Wenn ich allerdings im Fenster davor, bei der "Authentifizierung" den "Anonymen Zugriff" verbiete, kommen keine Mails mehr an, was ja auch eigentlich Sinn macht, richtig? Denn der SMTP nimmt ja Mails von anderen Servern entgegen.
Was mir Sorge macht: Zwar können ganz offensichtlich fremde Mailadressen sich als Absender nicht anmelden, aber wenn jetzt jemand mit einer gültigen Emailadresse meines Servers über meinen SMTP sendet, geht die Mail dann durch? Per telnet habe ich getestet, damit kann ich nur von ungültigen Adressen an mich selbst senden, aber er lehnt fremde Empfangsadressen mit der Meldung "Unable to relay for mail@whatever.tld" ab.
Sorry der ganzen Fragerei, aber da bin ich lieber etwas zu vorsichtig... Und danke vielmals!
Gruß
Sebezahn
Hallo.
Klar, es darf ja kein nicht authentifizierter Benutzer auf den Server zugreifen
Ist auch richtig so. Es können aber nur Nachrichten an die Maildomänen versendet werden, für die der Exchange verantwortlich ist. Es ist also kein Relay möglich. Sollte es dir gelingen ein Verfahren zu entwickeln, das dies nicht mehr geschieht, dann ist dir die Nominierung für einen Nobel Preis sicher, denn dann würde es keinen SPAM mehr geben.
Aktiviere einfach einmal das SMTP Logging, dann hast du einen Überblick über deinen virtuellen SMTP - http://blog.sbspraxis.de/exchange-2003-logging-des-virtuellen-smtp-serv ...
LG Günther
Wenn ich allerdings im Fenster davor, bei der "Authentifizierung" den "Anonymen Zugriff" verbiete, kommen keine Mails mehr an
Klar, es darf ja kein nicht authentifizierter Benutzer auf den Server zugreifen
Per telnet habe ich getestet, damit kann ich nur von ungültigen Adressen an mich selbst senden
Ist auch richtig so. Es können aber nur Nachrichten an die Maildomänen versendet werden, für die der Exchange verantwortlich ist. Es ist also kein Relay möglich. Sollte es dir gelingen ein Verfahren zu entwickeln, das dies nicht mehr geschieht, dann ist dir die Nominierung für einen Nobel Preis sicher, denn dann würde es keinen SPAM mehr geben.
Aktiviere einfach einmal das SMTP Logging, dann hast du einen Überblick über deinen virtuellen SMTP - http://blog.sbspraxis.de/exchange-2003-logging-des-virtuellen-smtp-serv ...
LG Günther
Hallo,
danke für die schnelle Hilfe! Ich dachte mir so etwas schon, ich bin auch auf Linux-Systemen mit Mailservern recht sicher unterwegs, aber ich (er)kenne einfach die Microsoft-Begrifflichkeiten nicht (wieder). Ich lasse den Port 25 jetzt mal offen und schaue, was passiert!
Grüße
Sebezahn
danke für die schnelle Hilfe! Ich dachte mir so etwas schon, ich bin auch auf Linux-Systemen mit Mailservern recht sicher unterwegs, aber ich (er)kenne einfach die Microsoft-Begrifflichkeiten nicht (wieder). Ich lasse den Port 25 jetzt mal offen und schaue, was passiert!
Grüße
Sebezahn
