Exchange Server - Versand an interne Domain ohne Auth möglich

fritzkarl85
Goto Top
Hallo!

Im Moment beschäfitge ich mich gerade als blutiger Anfänger mit einem Exchange Server 2019 (auf Server 2019), um mich ein wenig einzuarbeiten und fortzubilden.
Dabei tritt bei meinen Versuchen folgendes auf:

Wenn ich einen einfachen E-Mail Client (Outlook, nicht als exchange konfiguriert, sondern POP3 / SMTP, Standardports 110/25, unverschlüsselt, keine Auth beim Ausgangsserver, falsche Zugangsdaten) nehme (externes Gerät irgendwo im Internet), kann ich ohne Probleme per SMTP ohne Auth, Port 25, E-Mails an interne Adressen versenden.
Somit kann sich eigentlich jeder x-beliege zb. als chef@beispieldomain.com ausgeben.

An externe, als SMTP Relay, klappt das nicht.

Im Header der Testmail sieht man dann, das die Mail von meinem Exchange Server an meinem Exchange Server zugestellt wurde.

Wie kann man das wirkungsvoll verhindern?
Einschränken auf interne IPs? SMTP nur mit Auth erlauben?

Danke!

Content-Key: 2464289677

Url: https://administrator.de/contentid/2464289677

Ausgedruckt am: 30.06.2022 um 01:06 Uhr

Mitglied: tikayevent
Lösung tikayevent 10.04.2022 um 12:34:35 Uhr
Goto Top
Das ist ganz normal. SMTP-Auth soll verhindern, dass man deinen Mailserver als Relay nutzt, sprich ich liefere eine Mail an deinem Server an und der leitet die an irgendeinen anderen Server AUSSERHALB deines Bereich ab.

Mails für deine eigene Domain muss der Server so annehmen und da Mailclients sowie Mailserver das gleiche SMTP sprechen, ist es nicht änderbar.


Somit kann sich eigentlich jeder x-beliege zb. als chef@beispieldomain.com ausgeben.
Tja, daher sollte man Mails nicht blind vertrauen.
Mitglied: fritzkarl85
fritzkarl85 12.04.2022 um 12:03:59 Uhr
Goto Top
Danke für deinen Input :) face-smile

Hab zu diesem Thema noch etwas rechachiert und folgendes gefunden:

Remove-ADPermission <ReceiveConnector Name> –user “NT AUTHORITY\Anonymous Logon” –ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

Damit würde man das eigentlich unterbinden, weil man ihm dem anonymen Benutzer das Recht nimmt,
von der eigenen Domain zu senden.

Der Tipp stammt aber von einem exchange Server 2010 - hat sich da bei den neueren Version etwas geändert?

Hat das schon jemand so umgesetzt und Erfahrungen dazu gesammelt?