15
Exchange Server - Fragen zum anonymen SMTP-Relay
Hi.
Ich wende mich hiermit an die erfahrenen User bzgl. Exchange Server.
Es geht mir um die Einrichtung eines anonymen SMTP-Relays auf einem Exchange Server 2019.
Ich habe zwar einen eingerichtet, aber es ist nicht so wie ich es mir vorgestellt habe.
Daher meine Fragen hierzu...
1. Kann man den anonymen SMTP-Relay so einstellen, dass er nur extern E-Mails versenden darf!? Bei mir lässt sich damit auch nach extern versenden, was aber untersagt werden muss. Wo kann ich das hier einstellen?
2. Kann man den anonymen SMTP-Relay so einstellen, dass nur von bestimmen E-Mail Adressen ohne Authentifizierung versendet werden darf? Um z.B. sich nicht als jemand auszugeben, der man nicht wirklich ist.
3. Bei den Berechtigungen kann man entweder "NT-Autorität\Anonymous-Anmeldung" angeben oder auch einzelnen User. Was bedeutet das, wenn ich einzelnen User eintrage? Kann dann nicht mehr ohne Authentifizierung versendet werden, oder worauf hat die Berechtigung dann einen Einfluss?
4. Bei Geräten wo man nur den SMTP Server eingeben kann, kann nur Anonymous-Anmeldung aktiviert werden, ist das so richtig?
5. Man sagt, dass per default ein Exchange Server von jedem in der Organisation E-Mails ohne Authentifizierung versenden kann. Ist das so richtig? Wenn ja, wie kann man es abschalten, damit das eben nicht möglich ist? Ist ein spezieller Standard Connector dafür zuständig?
Danke euch.
Ich wende mich hiermit an die erfahrenen User bzgl. Exchange Server.
Es geht mir um die Einrichtung eines anonymen SMTP-Relays auf einem Exchange Server 2019.
Ich habe zwar einen eingerichtet, aber es ist nicht so wie ich es mir vorgestellt habe.
Daher meine Fragen hierzu...
1. Kann man den anonymen SMTP-Relay so einstellen, dass er nur extern E-Mails versenden darf!? Bei mir lässt sich damit auch nach extern versenden, was aber untersagt werden muss. Wo kann ich das hier einstellen?
2. Kann man den anonymen SMTP-Relay so einstellen, dass nur von bestimmen E-Mail Adressen ohne Authentifizierung versendet werden darf? Um z.B. sich nicht als jemand auszugeben, der man nicht wirklich ist.
3. Bei den Berechtigungen kann man entweder "NT-Autorität\Anonymous-Anmeldung" angeben oder auch einzelnen User. Was bedeutet das, wenn ich einzelnen User eintrage? Kann dann nicht mehr ohne Authentifizierung versendet werden, oder worauf hat die Berechtigung dann einen Einfluss?
4. Bei Geräten wo man nur den SMTP Server eingeben kann, kann nur Anonymous-Anmeldung aktiviert werden, ist das so richtig?
5. Man sagt, dass per default ein Exchange Server von jedem in der Organisation E-Mails ohne Authentifizierung versenden kann. Ist das so richtig? Wenn ja, wie kann man es abschalten, damit das eben nicht möglich ist? Ist ein spezieller Standard Connector dafür zuständig?
Danke euch.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5942744133
Url: https://administrator.de/contentid/5942744133
Printed on: April 28, 2024 at 07:04 o'clock
15 Comments
Latest comment
Vielleicht ist ein Relay nicht der richtige Ansatz für deine Ansprüche.
Danke, aber ich würde gerne bei dem vom Exchange Server zur Verfügung stehenden Connector reden..
Moin,
1. ist ein Widerspruch in sich!? Du kannst in jedem Fall (über eine Transportregeln) sagen, dass anonym nur intern (innerhalb des Exchange) oder auch nach extern versendet werden darf.
2. keine Ahnung, ob man das auf Absenderadressen einschränken kann, aber wir definieren immer die Scopes (IP-Bereiche/ Adressen), von denen versendet werden darf.
3. Keine Ahnung
4. wenn du keine User definieren kannst, geht ja nur anonym
5. Nöö. Für gewöhnlich lässt der Exhange in den Transportregeln nur authentifizierte (per Outlook) User zu.
Alles andere muss in weitere Transportregeln definiert werden.
1. ist ein Widerspruch in sich!? Du kannst in jedem Fall (über eine Transportregeln) sagen, dass anonym nur intern (innerhalb des Exchange) oder auch nach extern versendet werden darf.
2. keine Ahnung, ob man das auf Absenderadressen einschränken kann, aber wir definieren immer die Scopes (IP-Bereiche/ Adressen), von denen versendet werden darf.
3. Keine Ahnung
4. wenn du keine User definieren kannst, geht ja nur anonym
5. Nöö. Für gewöhnlich lässt der Exhange in den Transportregeln nur authentifizierte (per Outlook) User zu.
Alles andere muss in weitere Transportregeln definiert werden.
Moin...
Hallo
2. Kann man den anonymen SMTP-Relay so einstellen, dass nur von bestimmen E-Mail Adressen ohne Authentifizierung versendet werden darf? Um z.B. sich nicht als jemand auszugeben, der man nicht wirklich ist.
oha... sowas machste besser mal nicht! du kannst die ip adressen bestimmen, die senden dürfen!
3. Bei den Berechtigungen kann man entweder "NT-Autorität\Anonymous-Anmeldung" angeben oder auch einzelnen User. Was bedeutet das, wenn ich einzelnen User eintrage? Kann dann nicht mehr ohne Authentifizierung versendet werden, oder worauf hat die Berechtigung dann einen Einfluss?
wo genau meinst du das?
4. Bei Geräten wo man nur den SMTP Server eingeben kann, kann nur Anonymous-Anmeldung aktiviert werden, ist das so richtig?
ja und nein, kommt auf das gerät an!
5. Man sagt, dass per default ein Exchange Server von jedem in der Organisation E-Mails ohne Authentifizierung versenden kann. Ist das so richtig? Wenn ja, wie kann man es abschalten, damit das eben nicht möglich ist? Ist ein spezieller Standard Connector dafür zuständig?
nein, das ist nicht richtig! wenn dem so ist, ist dein Exchange falsch eingerichtet.
ich kann dir nicht mal eben einen EX kurs geben, wie ein Exchange eingerichtet wird, aber schau dir doch mal alle Conektoren an.
lesen, verstehen und Lernen.
Connectors auf Exchange-Servern
Danke euch.
gerne
Frank
Hallo
Es geht mir um die Einrichtung eines anonymen SMTP-Relays auf einem Exchange Server 2019.
erst mal die frage, für was genau brauchst du ein anonymes relay?Ich habe zwar einen eingerichtet, aber es ist nicht so wie ich es mir vorgestellt habe.
was hast du dir den vorgestellt?Daher meine Fragen hierzu...
1. Kann man den anonymen SMTP-Relay so einstellen, dass er nur extern E-Mails versenden darf!? Bei mir lässt sich damit auch nach extern versenden, was aber untersagt werden muss. Wo kann ich das hier einstellen?
das ist ein wiederspruch... also was willst du wirklich machen?1. Kann man den anonymen SMTP-Relay so einstellen, dass er nur extern E-Mails versenden darf!? Bei mir lässt sich damit auch nach extern versenden, was aber untersagt werden muss. Wo kann ich das hier einstellen?
2. Kann man den anonymen SMTP-Relay so einstellen, dass nur von bestimmen E-Mail Adressen ohne Authentifizierung versendet werden darf? Um z.B. sich nicht als jemand auszugeben, der man nicht wirklich ist.
3. Bei den Berechtigungen kann man entweder "NT-Autorität\Anonymous-Anmeldung" angeben oder auch einzelnen User. Was bedeutet das, wenn ich einzelnen User eintrage? Kann dann nicht mehr ohne Authentifizierung versendet werden, oder worauf hat die Berechtigung dann einen Einfluss?
4. Bei Geräten wo man nur den SMTP Server eingeben kann, kann nur Anonymous-Anmeldung aktiviert werden, ist das so richtig?
5. Man sagt, dass per default ein Exchange Server von jedem in der Organisation E-Mails ohne Authentifizierung versenden kann. Ist das so richtig? Wenn ja, wie kann man es abschalten, damit das eben nicht möglich ist? Ist ein spezieller Standard Connector dafür zuständig?
ich kann dir nicht mal eben einen EX kurs geben, wie ein Exchange eingerichtet wird, aber schau dir doch mal alle Conektoren an.
lesen, verstehen und Lernen.
Connectors auf Exchange-Servern
Danke euch.
Frank
Hallo Frank.
Damit man nicht im Namen von jemand anderen E-Mails versenden kann.
Add-ADPermission -User “Domäne\Username” -ExtendedRights “Ms-Exch-SMTP-Accept-Any-Recipient”
Mir geht es darum ob ich diesen einen Connector so einrichten kann, dass er nur intern versenden darf. Was müsste ich dafür tun?
erst mal die frage, für was genau brauchst du ein anonymes relay?
Also so ein anonymes Relay benötige ich für alle Geräte die E-Mails versenden sollen, wo keine Authentifizierung möglich ist wie z.B. bei Druckern etc.was hast du dir den vorgestellt?
Der anonyme Relay (Connector) soll nur intern E-Mails versenden können. Natürlich kann man das auf IP-Basis beschränken, aber nehmen wir mal an, jemand würde die IP sich vergeben die auf dem Relay zugelassen ist, dann könnte derjenige darüber E-Mails versenden und das schlimme dabei, auch den Absender beliebig nennen.das ist ein wiederspruch... also was willst du wirklich machen?
Ja, sorry.. habe es erst jetzt gelesen. Natürlich soll es heisse, dass nur intern E-Mails versendet werden dürfen.oha... sowas machste besser mal nicht! du kannst die ip adressen bestimmen, die senden dürfen!
Gerade das würde ich gerne auf bestimmte E-Mail Adressen zusätzlich einschränken und nicht nur auf IP.Damit man nicht im Namen von jemand anderen E-Mails versenden kann.
wo genau meinst du das?
als Beispiel.. bei diesem Befehl kann auch einzelner User eingetragen werdenAdd-ADPermission -User “Domäne\Username” -ExtendedRights “Ms-Exch-SMTP-Accept-Any-Recipient”
ja und nein, kommt auf das gerät an!
Wenn man den Benutzernamen eintragen kann, dann spricht man wohl hier von Authentifizierung, richtig?nein, das ist nicht richtig! wenn dem so ist, ist dein Exchange falsch eingerichtet.
ich kann dir nicht mal eben einen EX kurs geben, wie ein Exchange eingerichtet wird, aber schau dir doch mal alle Conektoren an.
lesen, verstehen und Lernen.
Connectors auf Exchange-Servern
ich kann dir nicht mal eben einen EX kurs geben, wie ein Exchange eingerichtet wird, aber schau dir doch mal alle Conektoren an.
lesen, verstehen und Lernen.
Connectors auf Exchange-Servern
Mir geht es darum ob ich diesen einen Connector so einrichten kann, dass er nur intern versenden darf. Was müsste ich dafür tun?
Moin...
da wird dir geholfen
Frank
Zitat von @Estefania:
Mir geht es darum ob ich diesen einen Connector so einrichten kann, dass er nur intern versenden darf. Was müsste ich dafür tun?
ja... über den Receive-Connector!Mir geht es darum ob ich diesen einen Connector so einrichten kann, dass er nur intern versenden darf. Was müsste ich dafür tun?
da wird dir geholfen
Frank
Danke Frank.
Genau so habe ich den Connector auch angelegt. Und trotzdem kann ich E-Mails nach extern damit versenden. Dabei sollte es nur intern möglich sein
Genau so habe ich den Connector auch angelegt. Und trotzdem kann ich E-Mails nach extern damit versenden. Dabei sollte es nur intern möglich sein
Zitat von @Estefania:
Und trotzdem kann ich E-Mails nach extern damit versenden. Dabei sollte es nur intern möglich sein
Und trotzdem kann ich E-Mails nach extern damit versenden. Dabei sollte es nur intern möglich sein
Wie oben ja eigentlich schon gesagt wurde eine Transport-Regel anlegen welche das Versenden an Extern vom Range verbietet.
Bsp.
New-TransportRule -Name RejectExternalMessagesFromRelay -SenderIpRanges x.x.x.x -SentToScope NotInOrganization -RejectMessageReasonText 'External messages from relay prohibited!' Wurstel
Moin...
Frank
Zitat von @5175293307:
Wie oben ja eigentlich schon gesagt wurde eine Transport-Regel anlegen welche das Versenden an Extern vom Range verbietet.
Bsp.
RTFM
Wurstel
genauso...Zitat von @Estefania:
Und trotzdem kann ich E-Mails nach extern damit versenden. Dabei sollte es nur intern möglich sein
Und trotzdem kann ich E-Mails nach extern damit versenden. Dabei sollte es nur intern möglich sein
Wie oben ja eigentlich schon gesagt wurde eine Transport-Regel anlegen welche das Versenden an Extern vom Range verbietet.
Bsp.
New-TransportRule -Name RejectExternalMessagesFromRelay -SenderIpRanges x.x.x.x -SentToScope NotInOrganization -RejectMessageReasonText 'External messages from relay prohibited' Wurstel
Frank
Danke.. werde ich mal ausprobieren.
Wie sieht es denn mit den Beschränkungen aus. OK, auf IP beschränken kann man es ja. Aber lässt es sich so einschränken dass nur eingetragene E-Mail Adressen als Absender möglich sind?
Wie sieht es denn mit den Beschränkungen aus. OK, auf IP beschränken kann man es ja. Aber lässt es sich so einschränken dass nur eingetragene E-Mail Adressen als Absender möglich sind?
Zitat von @Estefania:
Wie sieht es denn mit den Beschränkungen aus. OK, auf IP beschränken kann man es ja. Aber lässt es sich so einschränken dass nur eingetragene E-Mail Adressen als Absender möglich sind?
Ja, schau dir unter o.a. Link die verfügbaren Parameter an da wirst auch du fündig!!Wie sieht es denn mit den Beschränkungen aus. OK, auf IP beschränken kann man es ja. Aber lässt es sich so einschränken dass nur eingetragene E-Mail Adressen als Absender möglich sind?
Bspw.
-ExceptIfSenderDomainIs <Word>
-ExceptIfSenderInRecipientList <Word>
Bringt dir aber keine zusätzliche Sicherheit.
Ne IP lässt sich nicht faken sofern man die entsprechenden Maßnahmen am Switch/firewall einführt wie bspw. 802.1x usw.!
Was versprichst du dir von einer Einschränkung auf die Mail-Adresse?
Das ist ja sogar noch gefährlicher, als auf IP-Ebene!
An allen Druckern (auch betriebsfremden) trag ich dann überall meindrucker@domain.tld und fertig bin ich.
Schränke ich das auf eine explizite IP ein, kann am (fremden) Drucker irgendeine Mail hinterlegt sein, es kommt aber nichts durch….
Gibt der böse Bursche dem Drucker eine gleiche IP, merkt man das ohnehin über kurz oder lang…
Das ist ja sogar noch gefährlicher, als auf IP-Ebene!
An allen Druckern (auch betriebsfremden) trag ich dann überall meindrucker@domain.tld und fertig bin ich.
Schränke ich das auf eine explizite IP ein, kann am (fremden) Drucker irgendeine Mail hinterlegt sein, es kommt aber nichts durch….
Gibt der böse Bursche dem Drucker eine gleiche IP, merkt man das ohnehin über kurz oder lang…
Mir geht es darum, dass wenn eine IP irgendwo do gefaked wird, dass derjenige sich die E-Mail Adresse als Absender nicht einfach selbst aussuchen kann bzw, im Namen von jemand anderen z.B. E-Mail versendet.
Es soll auf IP und am besten auf bestimmte E-Mail Adresse eingeschräkt werden, damit es kein Missbrauch gibt
Es soll auf IP und am besten auf bestimmte E-Mail Adresse eingeschräkt werden, damit es kein Missbrauch gibt
Ich hatte schon Mal anders gefragt...
Sicher dass Du ein Relay brauchst?
Sicher dass Du ein Relay brauchst?
ja sicher.. Über diesen E-Mail Relay sollen E-Mails von z.B. Geräten versendet werden die auf dem Exchange Server keinen Account haben
