estefania
Goto Top

Exchange Server - Fragen zum anonymen SMTP-Relay

Hi.

Ich wende mich hiermit an die erfahrenen User bzgl. Exchange Server.
Es geht mir um die Einrichtung eines anonymen SMTP-Relays auf einem Exchange Server 2019.
Ich habe zwar einen eingerichtet, aber es ist nicht so wie ich es mir vorgestellt habe.
Daher meine Fragen hierzu...

1. Kann man den anonymen SMTP-Relay so einstellen, dass er nur extern E-Mails versenden darf!? Bei mir lässt sich damit auch nach extern versenden, was aber untersagt werden muss. Wo kann ich das hier einstellen?

2. Kann man den anonymen SMTP-Relay so einstellen, dass nur von bestimmen E-Mail Adressen ohne Authentifizierung versendet werden darf? Um z.B. sich nicht als jemand auszugeben, der man nicht wirklich ist.

3. Bei den Berechtigungen kann man entweder "NT-Autorität\Anonymous-Anmeldung" angeben oder auch einzelnen User. Was bedeutet das, wenn ich einzelnen User eintrage? Kann dann nicht mehr ohne Authentifizierung versendet werden, oder worauf hat die Berechtigung dann einen Einfluss?

4. Bei Geräten wo man nur den SMTP Server eingeben kann, kann nur Anonymous-Anmeldung aktiviert werden, ist das so richtig?

5. Man sagt, dass per default ein Exchange Server von jedem in der Organisation E-Mails ohne Authentifizierung versenden kann. Ist das so richtig? Wenn ja, wie kann man es abschalten, damit das eben nicht möglich ist? Ist ein spezieller Standard Connector dafür zuständig?

Danke euch.

Content-Key: 5942744133

Url: https://administrator.de/contentid/5942744133

Printed on: May 22, 2024 at 02:05 o'clock

Mitglied: 2423392070
2423392070 Feb 11, 2023 at 09:51:20 (UTC)
Goto Top
Vielleicht ist ein Relay nicht der richtige Ansatz für deine Ansprüche.
Member: Estefania
Estefania Feb 11, 2023 at 10:17:10 (UTC)
Goto Top
Danke, aber ich würde gerne bei dem vom Exchange Server zur Verfügung stehenden Connector reden..
Member: em-pie
em-pie Feb 11, 2023 at 11:20:30 (UTC)
Goto Top
Moin,

1. ist ein Widerspruch in sich!? Du kannst in jedem Fall (über eine Transportregeln) sagen, dass anonym nur intern (innerhalb des Exchange) oder auch nach extern versendet werden darf.

2. keine Ahnung, ob man das auf Absenderadressen einschränken kann, aber wir definieren immer die Scopes (IP-Bereiche/ Adressen), von denen versendet werden darf.

3. Keine Ahnung

4. wenn du keine User definieren kannst, geht ja nur anonym

5. Nöö. Für gewöhnlich lässt der Exhange in den Transportregeln nur authentifizierte (per Outlook) User zu.
Alles andere muss in weitere Transportregeln definiert werden.
Member: Vision2015
Vision2015 Feb 11, 2023 at 17:32:48 (UTC)
Goto Top
Moin...
Zitat von @Estefania:

Hi.

Ich wende mich hiermit an die erfahrenen User bzgl. Exchange Server.
Hallo face-smile
Es geht mir um die Einrichtung eines anonymen SMTP-Relays auf einem Exchange Server 2019.
erst mal die frage, für was genau brauchst du ein anonymes relay?
Ich habe zwar einen eingerichtet, aber es ist nicht so wie ich es mir vorgestellt habe.
was hast du dir den vorgestellt?
Daher meine Fragen hierzu...

1. Kann man den anonymen SMTP-Relay so einstellen, dass er nur extern E-Mails versenden darf!? Bei mir lässt sich damit auch nach extern versenden, was aber untersagt werden muss. Wo kann ich das hier einstellen?
das ist ein wiederspruch... also was willst du wirklich machen?

2. Kann man den anonymen SMTP-Relay so einstellen, dass nur von bestimmen E-Mail Adressen ohne Authentifizierung versendet werden darf? Um z.B. sich nicht als jemand auszugeben, der man nicht wirklich ist.
oha... sowas machste besser mal nicht! du kannst die ip adressen bestimmen, die senden dürfen!

3. Bei den Berechtigungen kann man entweder "NT-Autorität\Anonymous-Anmeldung" angeben oder auch einzelnen User. Was bedeutet das, wenn ich einzelnen User eintrage? Kann dann nicht mehr ohne Authentifizierung versendet werden, oder worauf hat die Berechtigung dann einen Einfluss?
wo genau meinst du das?

4. Bei Geräten wo man nur den SMTP Server eingeben kann, kann nur Anonymous-Anmeldung aktiviert werden, ist das so richtig?
ja und nein, kommt auf das gerät an!

5. Man sagt, dass per default ein Exchange Server von jedem in der Organisation E-Mails ohne Authentifizierung versenden kann. Ist das so richtig? Wenn ja, wie kann man es abschalten, damit das eben nicht möglich ist? Ist ein spezieller Standard Connector dafür zuständig?
nein, das ist nicht richtig! wenn dem so ist, ist dein Exchange falsch eingerichtet.
ich kann dir nicht mal eben einen EX kurs geben, wie ein Exchange eingerichtet wird, aber schau dir doch mal alle Conektoren an.
lesen, verstehen und Lernen.
Connectors auf Exchange-Servern



Danke euch.
gerne
Frank
Member: Estefania
Estefania Feb 12, 2023 at 07:40:20 (UTC)
Goto Top
Hallo Frank.

erst mal die frage, für was genau brauchst du ein anonymes relay?
Also so ein anonymes Relay benötige ich für alle Geräte die E-Mails versenden sollen, wo keine Authentifizierung möglich ist wie z.B. bei Druckern etc.

was hast du dir den vorgestellt?
Der anonyme Relay (Connector) soll nur intern E-Mails versenden können. Natürlich kann man das auf IP-Basis beschränken, aber nehmen wir mal an, jemand würde die IP sich vergeben die auf dem Relay zugelassen ist, dann könnte derjenige darüber E-Mails versenden und das schlimme dabei, auch den Absender beliebig nennen.

das ist ein wiederspruch... also was willst du wirklich machen?
Ja, sorry.. habe es erst jetzt gelesen. Natürlich soll es heisse, dass nur intern E-Mails versendet werden dürfen.

oha... sowas machste besser mal nicht! du kannst die ip adressen bestimmen, die senden dürfen!
Gerade das würde ich gerne auf bestimmte E-Mail Adressen zusätzlich einschränken und nicht nur auf IP.
Damit man nicht im Namen von jemand anderen E-Mails versenden kann.

wo genau meinst du das?
als Beispiel.. bei diesem Befehl kann auch einzelner User eingetragen werden
Add-ADPermission -User “Domäne\Username” -ExtendedRights “Ms-Exch-SMTP-Accept-Any-Recipient”

ja und nein, kommt auf das gerät an!
Wenn man den Benutzernamen eintragen kann, dann spricht man wohl hier von Authentifizierung, richtig?

nein, das ist nicht richtig! wenn dem so ist, ist dein Exchange falsch eingerichtet.
ich kann dir nicht mal eben einen EX kurs geben, wie ein Exchange eingerichtet wird, aber schau dir doch mal alle Conektoren an.
lesen, verstehen und Lernen.
Connectors auf Exchange-Servern

Mir geht es darum ob ich diesen einen Connector so einrichten kann, dass er nur intern versenden darf. Was müsste ich dafür tun?
Member: Vision2015
Vision2015 Feb 12, 2023 at 07:58:05 (UTC)
Goto Top
Moin...
Zitat von @Estefania:
Mir geht es darum ob ich diesen einen Connector so einrichten kann, dass er nur intern versenden darf. Was müsste ich dafür tun?
ja... über den Receive-Connector!

da wird dir geholfen face-smile
Frank
Member: Estefania
Estefania Feb 12, 2023 at 08:30:16 (UTC)
Goto Top
Danke Frank.
Genau so habe ich den Connector auch angelegt. Und trotzdem kann ich E-Mails nach extern damit versenden. Dabei sollte es nur intern möglich sein
Mitglied: 5175293307
5175293307 Feb 12, 2023 updated at 09:26:37 (UTC)
Goto Top
Zitat von @Estefania:
Und trotzdem kann ich E-Mails nach extern damit versenden. Dabei sollte es nur intern möglich sein

Wie oben ja eigentlich schon gesagt wurde eine Transport-Regel anlegen welche das Versenden an Extern vom Range verbietet.

Bsp.
New-TransportRule -Name RejectExternalMessagesFromRelay -SenderIpRanges x.x.x.x -SentToScope NotInOrganization -RejectMessageReasonText 'External messages from relay prohibited!'  
RTFM

Wurstel
Member: Vision2015
Vision2015 Feb 12, 2023 at 09:27:27 (UTC)
Goto Top
Moin...
Zitat von @5175293307:

Zitat von @Estefania:
Und trotzdem kann ich E-Mails nach extern damit versenden. Dabei sollte es nur intern möglich sein

Wie oben ja eigentlich schon gesagt wurde eine Transport-Regel anlegen welche das Versenden an Extern vom Range verbietet.

Bsp.
New-TransportRule -Name RejectExternalMessagesFromRelay -SenderIpRanges x.x.x.x -SentToScope NotInOrganization -RejectMessageReasonText 'External messages from relay prohibited'  
RTFM

Wurstel
genauso...

Frank
Member: Estefania
Estefania Feb 12, 2023 at 09:53:43 (UTC)
Goto Top
Danke.. werde ich mal ausprobieren.

Wie sieht es denn mit den Beschränkungen aus. OK, auf IP beschränken kann man es ja. Aber lässt es sich so einschränken dass nur eingetragene E-Mail Adressen als Absender möglich sind?
Mitglied: 5175293307
5175293307 Feb 12, 2023 updated at 10:49:22 (UTC)
Goto Top
Zitat von @Estefania:
Wie sieht es denn mit den Beschränkungen aus. OK, auf IP beschränken kann man es ja. Aber lässt es sich so einschränken dass nur eingetragene E-Mail Adressen als Absender möglich sind?
Ja, schau dir unter o.a. Link die verfügbaren Parameter an da wirst auch du fündig!!
Bspw.
-ExceptIfSenderDomainIs <Word>
-ExceptIfSenderInRecipientList <Word>

Bringt dir aber keine zusätzliche Sicherheit.
Ne IP lässt sich nicht faken sofern man die entsprechenden Maßnahmen am Switch/firewall einführt wie bspw. 802.1x usw.!
Member: em-pie
em-pie Feb 12, 2023 at 10:39:02 (UTC)
Goto Top
Was versprichst du dir von einer Einschränkung auf die Mail-Adresse?

Das ist ja sogar noch gefährlicher, als auf IP-Ebene!
An allen Druckern (auch betriebsfremden) trag ich dann überall meindrucker@domain.tld und fertig bin ich.
Schränke ich das auf eine explizite IP ein, kann am (fremden) Drucker irgendeine Mail hinterlegt sein, es kommt aber nichts durch….
Gibt der böse Bursche dem Drucker eine gleiche IP, merkt man das ohnehin über kurz oder lang…
Member: Estefania
Estefania Feb 13, 2023 at 07:03:10 (UTC)
Goto Top
Mir geht es darum, dass wenn eine IP irgendwo do gefaked wird, dass derjenige sich die E-Mail Adresse als Absender nicht einfach selbst aussuchen kann bzw, im Namen von jemand anderen z.B. E-Mail versendet.

Es soll auf IP und am besten auf bestimmte E-Mail Adresse eingeschräkt werden, damit es kein Missbrauch gibt
Mitglied: 2423392070
2423392070 Feb 13, 2023 at 07:11:07 (UTC)
Goto Top
Ich hatte schon Mal anders gefragt...

Sicher dass Du ein Relay brauchst?
Member: Estefania
Estefania Mar 11, 2023 at 16:32:44 (UTC)
Goto Top
ja sicher.. Über diesen E-Mail Relay sollen E-Mails von z.B. Geräten versendet werden die auf dem Exchange Server keinen Account haben