11
Exchange Server - Wege, anonymes Senden zu verbieten
Ich grüße Euch!
Ziel 1: Alle PCs sollen Warnmeldungen per E-Mail geskriptet und anonym versenden können.
[In diesen Skripten handelt das Computerkonto und im Skript sollen keine Credentials hinterlegt werden müssen.]
Ziel 2: Niemand von den Nutzern soll anonym versenden können.
Die Frage richtet sich an Exchange-Admins.
Sehe ich das richtig, dass Exchange 2019 von sich aus keine Möglichkeit bietet, um beide Ziele zusammen zu realisieren?
[ich nutze derzeit einen Workaround, um beides zu verwirklichen, den ich aber nicht schön finde und mich deshalb mal wieder um eine bessere Lösung kümmere]
Ziel 1: Alle PCs sollen Warnmeldungen per E-Mail geskriptet und anonym versenden können.
[In diesen Skripten handelt das Computerkonto und im Skript sollen keine Credentials hinterlegt werden müssen.]
Ziel 2: Niemand von den Nutzern soll anonym versenden können.
Die Frage richtet sich an Exchange-Admins.
Sehe ich das richtig, dass Exchange 2019 von sich aus keine Möglichkeit bietet, um beide Ziele zusammen zu realisieren?
[ich nutze derzeit einen Workaround, um beides zu verwirklichen, den ich aber nicht schön finde und mich deshalb mal wieder um eine bessere Lösung kümmere]
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1402001292
Url: https://administrator.de/contentid/1402001292
Printed on: April 25, 2024 at 08:04 o'clock
11 Comments
Latest comment
Hi DWW,
schau mal "Pickup-Verzeichnis".
E.
schau mal "Pickup-Verzeichnis".
- Freigabe auf einem Fileserver (oder einem Exchange Server)
- Nur die Computer-Konten haben dort Schreibrecht.
- Die Scripte erstellen in dieser Freigabe EML-Dateien.
E.
Hi.
Ja, Skripte können irgendwohin schreiben und ein serverseitig minütlich laufender Dienst generiert aus diesem Output dann Warnmails - schon klar, das ist auch ein naheliegender Workaround.
Ich frage jedoch, ob Exchange eine Unterscheidung bietet "Rechner sendet versus Nutzer sendet"
Ja, Skripte können irgendwohin schreiben und ein serverseitig minütlich laufender Dienst generiert aus diesem Output dann Warnmails - schon klar, das ist auch ein naheliegender Workaround.
Ich frage jedoch, ob Exchange eine Unterscheidung bietet "Rechner sendet versus Nutzer sendet"
Die Authentifizierung erfolgt im über ein Mail-Enabled Postfach, das wird in der Regel kein Computer-Account sein, also direkt wird das wohl nicht hinhauen. Entweder ein User mit PW oder eben anonym.
Meines Wissens kann man den anonymen Relay Connector aber mit ADPermissions versehen, seit 2016 muss man die ja explizit hinzufügen, also könnte es vielleicht auch möglich sein das auf eine Gruppe zu beschränken.
Es gäbe noch die Option extern gesichert über IPSEC, damit hab ich aber persönlich noch kein Relay realisiert.
Meines Wissens kann man den anonymen Relay Connector aber mit ADPermissions versehen, seit 2016 muss man die ja explizit hinzufügen, also könnte es vielleicht auch möglich sein das auf eine Gruppe zu beschränken.
Es gäbe noch die Option extern gesichert über IPSEC, damit hab ich aber persönlich noch kein Relay realisiert.
Hallo.
Ja, https://docs.microsoft.com/en-us/exchange/mail-flow/connectors/allow-ano ... ist bekannt, aber ich sehe keinen Weg, damit zum Ziel zu kommen, ohne zusätzlich, beispielsweise über die Windowsfirewall (Kerberos-gesicherte Regeln), eine Verbindungsauthentifizierung hinzubekommen. Du?
Ja, https://docs.microsoft.com/en-us/exchange/mail-flow/connectors/allow-ano ... ist bekannt, aber ich sehe keinen Weg, damit zum Ziel zu kommen, ohne zusätzlich, beispielsweise über die Windowsfirewall (Kerberos-gesicherte Regeln), eine Verbindungsauthentifizierung hinzubekommen. Du?
Moin,
Das geht afaik nicht, da man anonymes Senden auf IPs beschränken kann aber nicht auf Konten. Wie denn auch? Entweder ist es ein Konto oder anonym. Das schließt sich ja gegenseitig aus.
Darauf läuft es hinaus. Du musst die Computer die Daten auf irgend einen Server schreiben und einen Trigger einrichten, der von dort aus die Mails per Skript versendet. Dem Server kannst Du dann ja anonymes Versenden erlauben.
Liebe Grüße
Erik
Zitat von @DerWoWusste:
Ziel 1: Alle PCs sollen Warnmeldungen per E-Mail geskriptet und anonym versenden können.
[In diesen Skripten handelt das Computerkonto und im Skript sollen keine Credentials hinterlegt werden müssen.]
Ziel 2: Niemand von den Nutzern soll anonym versenden können.
Ziel 1: Alle PCs sollen Warnmeldungen per E-Mail geskriptet und anonym versenden können.
[In diesen Skripten handelt das Computerkonto und im Skript sollen keine Credentials hinterlegt werden müssen.]
Ziel 2: Niemand von den Nutzern soll anonym versenden können.
Das geht afaik nicht, da man anonymes Senden auf IPs beschränken kann aber nicht auf Konten. Wie denn auch? Entweder ist es ein Konto oder anonym. Das schließt sich ja gegenseitig aus.
[ich nutze derzeit einen Workaround, um beides zu verwirklichen, den ich aber nicht schön finde und mich deshalb mal wieder um eine bessere Lösung kümmere]
Darauf läuft es hinaus. Du musst die Computer die Daten auf irgend einen Server schreiben und einen Trigger einrichten, der von dort aus die Mails per Skript versendet. Dem Server kannst Du dann ja anonymes Versenden erlauben.
Liebe Grüße
Erik
Hi @erikro
Aber das arbeitet eben mit vorgefertigten Maildateien, die nicht jeder Dienst erzeugen kann (z.B. Raidcontrolleralerts)
Ich werde wohl bei meiner Lösung bleiben - funktionieren tut sie ja.
Das geht afaik nicht, da man anonymes Senden auf IPs beschränken kann aber nicht auf Konten. Wie denn auch?
Zum Beispiel so, wie ich es schon mache: über sichere Firewallregeln wird der Zugang zu Port 25 beschränkt. Nur eine Gruppe von Computerkonten darf diesen Port nutzen, User laufen gegen die (Feuer-)Wand. Ich hatte nur gehofft, dass ich etwas übersehe, das eingebaut ist, was das vielleicht exchange-intern umsetzt.Du musst die Computer die Daten auf irgend einen Server schreiben und einen Trigger einrichten, der von dort aus die Mails per Skript versendet
Das widerum ist ja schon eingebaut in Exchange, siehe @emeriks https://www.frankysweb.de/exchange-2016-e-mail-pickup-verzeichnis/Aber das arbeitet eben mit vorgefertigten Maildateien, die nicht jeder Dienst erzeugen kann (z.B. Raidcontrolleralerts)
Ich werde wohl bei meiner Lösung bleiben - funktionieren tut sie ja.
Servus.
Cheers,
jsysde
Zitat von @DerWoWusste:
[...]Ich frage jedoch, ob Exchange eine Unterscheidung bietet "Rechner sendet versus Nutzer sendet"
Nope - zumindest nicht mit Konfiganpassungen im Exchange direkt. Dein Workaround ist da schon sehr weit, den würd' ich einfach beibehalten. [...]Ich frage jedoch, ob Exchange eine Unterscheidung bietet "Rechner sendet versus Nutzer sendet"
Cheers,
jsysde
Ich finde DDWs Ansatz da sogar richtig gut. Das werde ich mir garantiert mal ausprobieren.
Moin,
Geiler Ansatz.
Liebe Grüße
Erik
Zitat von @DerWoWusste:
Hi @erikro
Hi @erikro
Das geht afaik nicht, da man anonymes Senden auf IPs beschränken kann aber nicht auf Konten. Wie denn auch?
Zum Beispiel so, wie ich es schon mache: über sichere Firewallregeln wird der Zugang zu Port 25 beschränkt. Nur eine Gruppe von Computerkonten darf diesen Port nutzen, User laufen gegen die (Feuer-)Wand. Ich hatte nur gehofft, dass ich etwas übersehe, das eingebaut ist, was das vielleicht exchange-intern umsetzt.Geiler Ansatz.
Liebe Grüße
Erik
Zitat von @DerWoWusste:
Zum Beispiel so, wie ich es schon mache: über sichere Firewallregeln wird der Zugang zu Port 25 beschränkt. Nur eine Gruppe von Computerkonten darf diesen Port nutzen, User laufen gegen die (Feuer-)Wand.
Zum Beispiel so, wie ich es schon mache: über sichere Firewallregeln wird der Zugang zu Port 25 beschränkt. Nur eine Gruppe von Computerkonten darf diesen Port nutzen, User laufen gegen die (Feuer-)Wand.
Würde das nicht auch ein authentifiziertes Relayen blockieren, oder nutzt du das generell nicht?
Auf jeden Fall interessant, könnte man ja auch mit einem beliebigen anderen Port realisieren wenn man sich einen extra Connector anlegt.
Würde das nicht auch ein authentifiziertes Relayen blockieren, oder nutzt du das generell nicht?
Das nutzt andere Ports und wird davon nicht beeinträchtigt.
