2
Exchange Server - Versand an interne Domain ohne Auth möglich
Hallo!
Im Moment beschäfitge ich mich gerade als blutiger Anfänger mit einem Exchange Server 2019 (auf Server 2019), um mich ein wenig einzuarbeiten und fortzubilden.
Dabei tritt bei meinen Versuchen folgendes auf:
Wenn ich einen einfachen E-Mail Client (Outlook, nicht als exchange konfiguriert, sondern POP3 / SMTP, Standardports 110/25, unverschlüsselt, keine Auth beim Ausgangsserver, falsche Zugangsdaten) nehme (externes Gerät irgendwo im Internet), kann ich ohne Probleme per SMTP ohne Auth, Port 25, E-Mails an interne Adressen versenden.
Somit kann sich eigentlich jeder x-beliege zb. als chef@beispieldomain.com ausgeben.
An externe, als SMTP Relay, klappt das nicht.
Im Header der Testmail sieht man dann, das die Mail von meinem Exchange Server an meinem Exchange Server zugestellt wurde.
Wie kann man das wirkungsvoll verhindern?
Einschränken auf interne IPs? SMTP nur mit Auth erlauben?
Danke!
Im Moment beschäfitge ich mich gerade als blutiger Anfänger mit einem Exchange Server 2019 (auf Server 2019), um mich ein wenig einzuarbeiten und fortzubilden.
Dabei tritt bei meinen Versuchen folgendes auf:
Wenn ich einen einfachen E-Mail Client (Outlook, nicht als exchange konfiguriert, sondern POP3 / SMTP, Standardports 110/25, unverschlüsselt, keine Auth beim Ausgangsserver, falsche Zugangsdaten) nehme (externes Gerät irgendwo im Internet), kann ich ohne Probleme per SMTP ohne Auth, Port 25, E-Mails an interne Adressen versenden.
Somit kann sich eigentlich jeder x-beliege zb. als chef@beispieldomain.com ausgeben.
An externe, als SMTP Relay, klappt das nicht.
Im Header der Testmail sieht man dann, das die Mail von meinem Exchange Server an meinem Exchange Server zugestellt wurde.
Wie kann man das wirkungsvoll verhindern?
Einschränken auf interne IPs? SMTP nur mit Auth erlauben?
Danke!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2464289677
Url: https://administrator.de/contentid/2464289677
Ausgedruckt am: 24.11.2024 um 15:11 Uhr
2 Kommentare
Neuester Kommentar
Das ist ganz normal. SMTP-Auth soll verhindern, dass man deinen Mailserver als Relay nutzt, sprich ich liefere eine Mail an deinem Server an und der leitet die an irgendeinen anderen Server AUSSERHALB deines Bereich ab.
Mails für deine eigene Domain muss der Server so annehmen und da Mailclients sowie Mailserver das gleiche SMTP sprechen, ist es nicht änderbar.
Mails für deine eigene Domain muss der Server so annehmen und da Mailclients sowie Mailserver das gleiche SMTP sprechen, ist es nicht änderbar.
Somit kann sich eigentlich jeder x-beliege zb. als chef@beispieldomain.com ausgeben.
Tja, daher sollte man Mails nicht blind vertrauen.
Danke für deinen Input 
Hab zu diesem Thema noch etwas rechachiert und folgendes gefunden:
Remove-ADPermission <ReceiveConnector Name> –user “NT AUTHORITY\Anonymous Logon” –ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Damit würde man das eigentlich unterbinden, weil man ihm dem anonymen Benutzer das Recht nimmt,
von der eigenen Domain zu senden.
Der Tipp stammt aber von einem exchange Server 2010 - hat sich da bei den neueren Version etwas geändert?
Hat das schon jemand so umgesetzt und Erfahrungen dazu gesammelt?
Hab zu diesem Thema noch etwas rechachiert und folgendes gefunden:
Remove-ADPermission <ReceiveConnector Name> –user “NT AUTHORITY\Anonymous Logon” –ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Damit würde man das eigentlich unterbinden, weil man ihm dem anonymen Benutzer das Recht nimmt,
von der eigenen Domain zu senden.
Der Tipp stammt aber von einem exchange Server 2010 - hat sich da bei den neueren Version etwas geändert?
Hat das schon jemand so umgesetzt und Erfahrungen dazu gesammelt?
