Exchange Server - Wege, anonymes Senden zu verbieten

Ich grüße Euch!

Ziel 1: Alle PCs sollen Warnmeldungen per E-Mail geskriptet und anonym versenden können.
[In diesen Skripten handelt das Computerkonto und im Skript sollen keine Credentials hinterlegt werden müssen.]

Ziel 2: Niemand von den Nutzern soll anonym versenden können.

Die Frage richtet sich an Exchange-Admins.
Sehe ich das richtig, dass Exchange 2019 von sich aus keine Möglichkeit bietet, um beide Ziele zusammen zu realisieren?

[ich nutze derzeit einen Workaround, um beides zu verwirklichen, den ich aber nicht schön finde und mich deshalb mal wieder um eine bessere Lösung kümmere]

Content-Key: 1402001292

Url: https://administrator.de/contentid/1402001292

Ausgedruckt am: 27.11.2021 um 18:11 Uhr

Mitglied: emeriks
emeriks 18.10.2021 um 15:04:53 Uhr
Goto Top
Hi DWW,
schau mal "Pickup-Verzeichnis".

  • Freigabe auf einem Fileserver (oder einem Exchange Server)
  • Nur die Computer-Konten haben dort Schreibrecht.
  • Die Scripte erstellen in dieser Freigabe EML-Dateien.

E.
Mitglied: DerWoWusste
DerWoWusste 18.10.2021 um 15:17:13 Uhr
Goto Top
Hi.

Ja, Skripte können irgendwohin schreiben und ein serverseitig minütlich laufender Dienst generiert aus diesem Output dann Warnmails - schon klar, das ist auch ein naheliegender Workaround.
Ich frage jedoch, ob Exchange eine Unterscheidung bietet "Rechner sendet versus Nutzer sendet"
Mitglied: rzlbrnft
rzlbrnft 18.10.2021 um 15:21:14 Uhr
Goto Top
Die Authentifizierung erfolgt im über ein Mail-Enabled Postfach, das wird in der Regel kein Computer-Account sein, also direkt wird das wohl nicht hinhauen. Entweder ein User mit PW oder eben anonym.
Meines Wissens kann man den anonymen Relay Connector aber mit ADPermissions versehen, seit 2016 muss man die ja explizit hinzufügen, also könnte es vielleicht auch möglich sein das auf eine Gruppe zu beschränken.

Es gäbe noch die Option extern gesichert über IPSEC, damit hab ich aber persönlich noch kein Relay realisiert.
Mitglied: DerWoWusste
DerWoWusste 18.10.2021 aktualisiert um 15:38:28 Uhr
Goto Top
Hallo.

Ja, https://docs.microsoft.com/en-us/exchange/mail-flow/connectors/allow-ano ... ist bekannt, aber ich sehe keinen Weg, damit zum Ziel zu kommen, ohne zusätzlich, beispielsweise über die Windowsfirewall (Kerberos-gesicherte Regeln), eine Verbindungsauthentifizierung hinzubekommen. Du?
Mitglied: erikro
erikro 18.10.2021 um 17:57:12 Uhr
Goto Top
Moin,

Zitat von @DerWoWusste:
Ziel 1: Alle PCs sollen Warnmeldungen per E-Mail geskriptet und anonym versenden können.
[In diesen Skripten handelt das Computerkonto und im Skript sollen keine Credentials hinterlegt werden müssen.]

Ziel 2: Niemand von den Nutzern soll anonym versenden können.

Das geht afaik nicht, da man anonymes Senden auf IPs beschränken kann aber nicht auf Konten. Wie denn auch? Entweder ist es ein Konto oder anonym. Das schließt sich ja gegenseitig aus. ;-) face-wink

[ich nutze derzeit einen Workaround, um beides zu verwirklichen, den ich aber nicht schön finde und mich deshalb mal wieder um eine bessere Lösung kümmere]

Darauf läuft es hinaus. Du musst die Computer die Daten auf irgend einen Server schreiben und einen Trigger einrichten, der von dort aus die Mails per Skript versendet. Dem Server kannst Du dann ja anonymes Versenden erlauben.

Liebe Grüße

Erik
Mitglied: DerWoWusste
DerWoWusste 18.10.2021 aktualisiert um 19:57:20 Uhr
Goto Top
Hi @erikro
Das geht afaik nicht, da man anonymes Senden auf IPs beschränken kann aber nicht auf Konten. Wie denn auch?
Zum Beispiel so, wie ich es schon mache: über sichere Firewallregeln wird der Zugang zu Port 25 beschränkt. Nur eine Gruppe von Computerkonten darf diesen Port nutzen, User laufen gegen die (Feuer-)Wand. Ich hatte nur gehofft, dass ich etwas übersehe, das eingebaut ist, was das vielleicht exchange-intern umsetzt.
Du musst die Computer die Daten auf irgend einen Server schreiben und einen Trigger einrichten, der von dort aus die Mails per Skript versendet
Das widerum ist ja schon eingebaut in Exchange, siehe @emeriks https://www.frankysweb.de/exchange-2016-e-mail-pickup-verzeichnis/
Aber das arbeitet eben mit vorgefertigten Maildateien, die nicht jeder Dienst erzeugen kann (z.B. Raidcontrolleralerts)

Ich werde wohl bei meiner Lösung bleiben - funktionieren tut sie ja.
Mitglied: jsysde
jsysde 18.10.2021 um 20:23:37 Uhr
Goto Top
Servus.

Zitat von @DerWoWusste:
[...]Ich frage jedoch, ob Exchange eine Unterscheidung bietet "Rechner sendet versus Nutzer sendet"
Nope - zumindest nicht mit Konfiganpassungen im Exchange direkt. Dein Workaround ist da schon sehr weit, den würd' ich einfach beibehalten. ;-) face-wink

Cheers,
jsysde
Mitglied: emeriks
emeriks 19.10.2021 um 08:04:19 Uhr
Goto Top
Zitat von @jsysde:
Dein Workaround ist da schon sehr weit, den würd' ich einfach beibehalten. ;-) face-wink
Ich finde DDWs Ansatz da sogar richtig gut. Das werde ich mir garantiert mal ausprobieren.
Mitglied: erikro
erikro 19.10.2021 um 10:57:38 Uhr
Goto Top
Moin,

Zitat von @DerWoWusste:

Hi @erikro
Das geht afaik nicht, da man anonymes Senden auf IPs beschränken kann aber nicht auf Konten. Wie denn auch?
Zum Beispiel so, wie ich es schon mache: über sichere Firewallregeln wird der Zugang zu Port 25 beschränkt. Nur eine Gruppe von Computerkonten darf diesen Port nutzen, User laufen gegen die (Feuer-)Wand. Ich hatte nur gehofft, dass ich etwas übersehe, das eingebaut ist, was das vielleicht exchange-intern umsetzt.

Geiler Ansatz. :-) face-smile

Liebe Grüße

Erik
Mitglied: rzlbrnft
rzlbrnft 19.10.2021 um 11:24:19 Uhr
Goto Top
Zitat von @DerWoWusste:
Zum Beispiel so, wie ich es schon mache: über sichere Firewallregeln wird der Zugang zu Port 25 beschränkt. Nur eine Gruppe von Computerkonten darf diesen Port nutzen, User laufen gegen die (Feuer-)Wand.

Würde das nicht auch ein authentifiziertes Relayen blockieren, oder nutzt du das generell nicht?
Auf jeden Fall interessant, könnte man ja auch mit einem beliebigen anderen Port realisieren wenn man sich einen extra Connector anlegt.
Mitglied: DerWoWusste
DerWoWusste 19.10.2021 um 11:27:14 Uhr
Goto Top
Würde das nicht auch ein authentifiziertes Relayen blockieren, oder nutzt du das generell nicht?
Das nutzt andere Ports und wird davon nicht beeinträchtigt.
Heiß diskutierte Beiträge
question
Windows Server 2019 AD MigrationjamesbrownVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen Langsam habe ich Panik, die komplette Domäne zerschossen zu haben. Bevor ich weiter vergehe, wollte ich darum hier um Rat bitten. Was ist ...

question
Mobilfunk-Internet ins Heimnetzwerk integrieren? gelöst AvarianVor 1 TagFrageNetzwerkmanagement8 Kommentare

Hallo, Ich bin neu hier. Wir sind vorletztes Jahr umgezogen. Die Gelegenheit habe ich damals direkt genutzt, um künftig auf wackelige WLAN-Lösungen (Repeater, Mesh-Repeater, Powerlines ...

general
Sicherheit beim Online-BankingWeyershausenVor 13 StundenAllgemeinSicherheitsgrundlagen18 Kommentare

Hallo, in unserer Firma verwenden wir SFirm als Online-Banking-Software. In dieser Woche hatten wir einen IT-Berater bei uns, der uns dringend folgendes Vorgehen empfahl: Wir ...

question
Maximale Empfänger bei Office365 gelöst mmpmmpVor 1 TagFrageMicrosoft Office11 Kommentare

Hallo, ich verwende nun Office365 (Exchange Online) für Emails und würde gerne die Weihnachtsgrüße per Mail versenden. Wo liegen die Beschränkungen der maximalen Empfänger? ...

report
Mailversand durch Sophos XG gestört (25.11.2021)kgbornVor 1 TagErfahrungsberichtFirewall2 Kommentare

Kurze Information - vielleicht hat jemand eine ähnliche Beobachtung gemacht. Ein IT-Admin hat mich darauf hingewiesen, dass es wohl gestern (25.11.2021) ein Update des Antivirus-Pattern ...

question
Treuhand für ebay-Verkäufer, die nicht direkt nach D. liefernDerWoWussteVor 1 TagFrageHardware4 Kommentare

Moin Kollegen, es gibt ja Fälle, wo man alte Hardware benötigt, aber nur noch über ebay bekommt. Wenn der Verkäufer dann aber nicht nach Deutschland ...

question
Reinigung der Apple Watch gelöst honeybeeVor 1 TagFrageApple6 Kommentare

Hallo, mit welchem Reinigungsmittel kann ich das Armband meiner Apple Watch schonend reinigen? Auf dem Bild seht ihr, dass es in einem guten Zustand ist. ...

question
Über das Notebook per Simkarte von unterwegs aus ins Internet?isarc01Vor 1 TagFrage5G, 4G, LTE, UMTS, EDGE & GPRS8 Kommentare

Hallo, folgende Frage: Wenn ich über mein Notebook über eine angemeldete SIM Karte mit einer Datenflatrate ins Internet gehen möchte, benötige ich hier einen bestimmten ...