Exchange Server - Fragen zum anonymen SMTP-Relay
Hi.
Ich wende mich hiermit an die erfahrenen User bzgl. Exchange Server.
Es geht mir um die Einrichtung eines anonymen SMTP-Relays auf einem Exchange Server 2019.
Ich habe zwar einen eingerichtet, aber es ist nicht so wie ich es mir vorgestellt habe.
Daher meine Fragen hierzu...
1. Kann man den anonymen SMTP-Relay so einstellen, dass er nur extern E-Mails versenden darf!? Bei mir lässt sich damit auch nach extern versenden, was aber untersagt werden muss. Wo kann ich das hier einstellen?
2. Kann man den anonymen SMTP-Relay so einstellen, dass nur von bestimmen E-Mail Adressen ohne Authentifizierung versendet werden darf? Um z.B. sich nicht als jemand auszugeben, der man nicht wirklich ist.
3. Bei den Berechtigungen kann man entweder "NT-Autorität\Anonymous-Anmeldung" angeben oder auch einzelnen User. Was bedeutet das, wenn ich einzelnen User eintrage? Kann dann nicht mehr ohne Authentifizierung versendet werden, oder worauf hat die Berechtigung dann einen Einfluss?
4. Bei Geräten wo man nur den SMTP Server eingeben kann, kann nur Anonymous-Anmeldung aktiviert werden, ist das so richtig?
5. Man sagt, dass per default ein Exchange Server von jedem in der Organisation E-Mails ohne Authentifizierung versenden kann. Ist das so richtig? Wenn ja, wie kann man es abschalten, damit das eben nicht möglich ist? Ist ein spezieller Standard Connector dafür zuständig?
Danke euch.
Ich wende mich hiermit an die erfahrenen User bzgl. Exchange Server.
Es geht mir um die Einrichtung eines anonymen SMTP-Relays auf einem Exchange Server 2019.
Ich habe zwar einen eingerichtet, aber es ist nicht so wie ich es mir vorgestellt habe.
Daher meine Fragen hierzu...
1. Kann man den anonymen SMTP-Relay so einstellen, dass er nur extern E-Mails versenden darf!? Bei mir lässt sich damit auch nach extern versenden, was aber untersagt werden muss. Wo kann ich das hier einstellen?
2. Kann man den anonymen SMTP-Relay so einstellen, dass nur von bestimmen E-Mail Adressen ohne Authentifizierung versendet werden darf? Um z.B. sich nicht als jemand auszugeben, der man nicht wirklich ist.
3. Bei den Berechtigungen kann man entweder "NT-Autorität\Anonymous-Anmeldung" angeben oder auch einzelnen User. Was bedeutet das, wenn ich einzelnen User eintrage? Kann dann nicht mehr ohne Authentifizierung versendet werden, oder worauf hat die Berechtigung dann einen Einfluss?
4. Bei Geräten wo man nur den SMTP Server eingeben kann, kann nur Anonymous-Anmeldung aktiviert werden, ist das so richtig?
5. Man sagt, dass per default ein Exchange Server von jedem in der Organisation E-Mails ohne Authentifizierung versenden kann. Ist das so richtig? Wenn ja, wie kann man es abschalten, damit das eben nicht möglich ist? Ist ein spezieller Standard Connector dafür zuständig?
Danke euch.
Please also mark the comments that contributed to the solution of the article
Content-ID: 5942744133
Url: https://administrator.de/contentid/5942744133
Printed on: October 16, 2024 at 02:10 o'clock
15 Comments
Latest comment
Vielleicht ist ein Relay nicht der richtige Ansatz für deine Ansprüche.
Moin,
1. ist ein Widerspruch in sich!? Du kannst in jedem Fall (über eine Transportregeln) sagen, dass anonym nur intern (innerhalb des Exchange) oder auch nach extern versendet werden darf.
2. keine Ahnung, ob man das auf Absenderadressen einschränken kann, aber wir definieren immer die Scopes (IP-Bereiche/ Adressen), von denen versendet werden darf.
3. Keine Ahnung
4. wenn du keine User definieren kannst, geht ja nur anonym
5. Nöö. Für gewöhnlich lässt der Exhange in den Transportregeln nur authentifizierte (per Outlook) User zu.
Alles andere muss in weitere Transportregeln definiert werden.
1. ist ein Widerspruch in sich!? Du kannst in jedem Fall (über eine Transportregeln) sagen, dass anonym nur intern (innerhalb des Exchange) oder auch nach extern versendet werden darf.
2. keine Ahnung, ob man das auf Absenderadressen einschränken kann, aber wir definieren immer die Scopes (IP-Bereiche/ Adressen), von denen versendet werden darf.
3. Keine Ahnung
4. wenn du keine User definieren kannst, geht ja nur anonym
5. Nöö. Für gewöhnlich lässt der Exhange in den Transportregeln nur authentifizierte (per Outlook) User zu.
Alles andere muss in weitere Transportregeln definiert werden.
Moin...
Hallo
2. Kann man den anonymen SMTP-Relay so einstellen, dass nur von bestimmen E-Mail Adressen ohne Authentifizierung versendet werden darf? Um z.B. sich nicht als jemand auszugeben, der man nicht wirklich ist.
oha... sowas machste besser mal nicht! du kannst die ip adressen bestimmen, die senden dürfen!
3. Bei den Berechtigungen kann man entweder "NT-Autorität\Anonymous-Anmeldung" angeben oder auch einzelnen User. Was bedeutet das, wenn ich einzelnen User eintrage? Kann dann nicht mehr ohne Authentifizierung versendet werden, oder worauf hat die Berechtigung dann einen Einfluss?
wo genau meinst du das?
4. Bei Geräten wo man nur den SMTP Server eingeben kann, kann nur Anonymous-Anmeldung aktiviert werden, ist das so richtig?
ja und nein, kommt auf das gerät an!
5. Man sagt, dass per default ein Exchange Server von jedem in der Organisation E-Mails ohne Authentifizierung versenden kann. Ist das so richtig? Wenn ja, wie kann man es abschalten, damit das eben nicht möglich ist? Ist ein spezieller Standard Connector dafür zuständig?
nein, das ist nicht richtig! wenn dem so ist, ist dein Exchange falsch eingerichtet.
ich kann dir nicht mal eben einen EX kurs geben, wie ein Exchange eingerichtet wird, aber schau dir doch mal alle Conektoren an.
lesen, verstehen und Lernen.
Connectors auf Exchange-Servern
Danke euch.
gerne
Frank
Hallo
Es geht mir um die Einrichtung eines anonymen SMTP-Relays auf einem Exchange Server 2019.
erst mal die frage, für was genau brauchst du ein anonymes relay?Ich habe zwar einen eingerichtet, aber es ist nicht so wie ich es mir vorgestellt habe.
was hast du dir den vorgestellt?Daher meine Fragen hierzu...
1. Kann man den anonymen SMTP-Relay so einstellen, dass er nur extern E-Mails versenden darf!? Bei mir lässt sich damit auch nach extern versenden, was aber untersagt werden muss. Wo kann ich das hier einstellen?
das ist ein wiederspruch... also was willst du wirklich machen?1. Kann man den anonymen SMTP-Relay so einstellen, dass er nur extern E-Mails versenden darf!? Bei mir lässt sich damit auch nach extern versenden, was aber untersagt werden muss. Wo kann ich das hier einstellen?
2. Kann man den anonymen SMTP-Relay so einstellen, dass nur von bestimmen E-Mail Adressen ohne Authentifizierung versendet werden darf? Um z.B. sich nicht als jemand auszugeben, der man nicht wirklich ist.
3. Bei den Berechtigungen kann man entweder "NT-Autorität\Anonymous-Anmeldung" angeben oder auch einzelnen User. Was bedeutet das, wenn ich einzelnen User eintrage? Kann dann nicht mehr ohne Authentifizierung versendet werden, oder worauf hat die Berechtigung dann einen Einfluss?
4. Bei Geräten wo man nur den SMTP Server eingeben kann, kann nur Anonymous-Anmeldung aktiviert werden, ist das so richtig?
5. Man sagt, dass per default ein Exchange Server von jedem in der Organisation E-Mails ohne Authentifizierung versenden kann. Ist das so richtig? Wenn ja, wie kann man es abschalten, damit das eben nicht möglich ist? Ist ein spezieller Standard Connector dafür zuständig?
ich kann dir nicht mal eben einen EX kurs geben, wie ein Exchange eingerichtet wird, aber schau dir doch mal alle Conektoren an.
lesen, verstehen und Lernen.
Connectors auf Exchange-Servern
Danke euch.
Frank
Moin...
da wird dir geholfen
Frank
Zitat von @Estefania:
Mir geht es darum ob ich diesen einen Connector so einrichten kann, dass er nur intern versenden darf. Was müsste ich dafür tun?
ja... über den Receive-Connector!Mir geht es darum ob ich diesen einen Connector so einrichten kann, dass er nur intern versenden darf. Was müsste ich dafür tun?
da wird dir geholfen
Frank
Zitat von @Estefania:
Und trotzdem kann ich E-Mails nach extern damit versenden. Dabei sollte es nur intern möglich sein
Und trotzdem kann ich E-Mails nach extern damit versenden. Dabei sollte es nur intern möglich sein
Wie oben ja eigentlich schon gesagt wurde eine Transport-Regel anlegen welche das Versenden an Extern vom Range verbietet.
Bsp.
New-TransportRule -Name RejectExternalMessagesFromRelay -SenderIpRanges x.x.x.x -SentToScope NotInOrganization -RejectMessageReasonText 'External messages from relay prohibited!'
Wurstel
Moin...
Frank
Zitat von @5175293307:
Wie oben ja eigentlich schon gesagt wurde eine Transport-Regel anlegen welche das Versenden an Extern vom Range verbietet.
Bsp.
RTFM
Wurstel
genauso...Zitat von @Estefania:
Und trotzdem kann ich E-Mails nach extern damit versenden. Dabei sollte es nur intern möglich sein
Und trotzdem kann ich E-Mails nach extern damit versenden. Dabei sollte es nur intern möglich sein
Wie oben ja eigentlich schon gesagt wurde eine Transport-Regel anlegen welche das Versenden an Extern vom Range verbietet.
Bsp.
New-TransportRule -Name RejectExternalMessagesFromRelay -SenderIpRanges x.x.x.x -SentToScope NotInOrganization -RejectMessageReasonText 'External messages from relay prohibited'
Wurstel
Frank
Zitat von @Estefania:
Wie sieht es denn mit den Beschränkungen aus. OK, auf IP beschränken kann man es ja. Aber lässt es sich so einschränken dass nur eingetragene E-Mail Adressen als Absender möglich sind?
Ja, schau dir unter o.a. Link die verfügbaren Parameter an da wirst auch du fündig!!Wie sieht es denn mit den Beschränkungen aus. OK, auf IP beschränken kann man es ja. Aber lässt es sich so einschränken dass nur eingetragene E-Mail Adressen als Absender möglich sind?
Bspw.
-ExceptIfSenderDomainIs <Word>
-ExceptIfSenderInRecipientList <Word>
Bringt dir aber keine zusätzliche Sicherheit.
Ne IP lässt sich nicht faken sofern man die entsprechenden Maßnahmen am Switch/firewall einführt wie bspw. 802.1x usw.!
Was versprichst du dir von einer Einschränkung auf die Mail-Adresse?
Das ist ja sogar noch gefährlicher, als auf IP-Ebene!
An allen Druckern (auch betriebsfremden) trag ich dann überall meindrucker@domain.tld und fertig bin ich.
Schränke ich das auf eine explizite IP ein, kann am (fremden) Drucker irgendeine Mail hinterlegt sein, es kommt aber nichts durch….
Gibt der böse Bursche dem Drucker eine gleiche IP, merkt man das ohnehin über kurz oder lang…
Das ist ja sogar noch gefährlicher, als auf IP-Ebene!
An allen Druckern (auch betriebsfremden) trag ich dann überall meindrucker@domain.tld und fertig bin ich.
Schränke ich das auf eine explizite IP ein, kann am (fremden) Drucker irgendeine Mail hinterlegt sein, es kommt aber nichts durch….
Gibt der böse Bursche dem Drucker eine gleiche IP, merkt man das ohnehin über kurz oder lang…
Ich hatte schon Mal anders gefragt...
Sicher dass Du ein Relay brauchst?
Sicher dass Du ein Relay brauchst?