derwowusste
18.10.2021
view2705
view11
0
Goto Top

Exchange Server - Wege, anonymes Senden zu verbieten

FrageMicrosoftExchange Server
Ich grüße Euch!

Ziel 1: Alle PCs sollen Warnmeldungen per E-Mail geskriptet und anonym versenden können.
[In diesen Skripten handelt das Computerkonto und im Skript sollen keine Credentials hinterlegt werden müssen.]

Ziel 2: Niemand von den Nutzern soll anonym versenden können.

Die Frage richtet sich an Exchange-Admins.
Sehe ich das richtig, dass Exchange 2019 von sich aus keine Möglichkeit bietet, um beide Ziele zusammen zu realisieren?

[ich nutze derzeit einen Workaround, um beides zu verwirklichen, den ich aber nicht schön finde und mich deshalb mal wieder um eine bessere Lösung kümmere]
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 1402001292

Url: https://administrator.de/contentid/1402001292

Ausgedruckt am: 26.11.2024 um 03:11 Uhr

11 Kommentare
Neuester Kommentar
Goto Top
emeriks
emeriks 18.10.2021 um 15:04:53 Uhr
Goto Top
Hi DWW,
schau mal "Pickup-Verzeichnis".

  • Freigabe auf einem Fileserver (oder einem Exchange Server)
  • Nur die Computer-Konten haben dort Schreibrecht.
  • Die Scripte erstellen in dieser Freigabe EML-Dateien.

E.
DerWoWusste
DerWoWusste 18.10.2021 um 15:17:13 Uhr
Goto Top
Hi.

Ja, Skripte können irgendwohin schreiben und ein serverseitig minütlich laufender Dienst generiert aus diesem Output dann Warnmails - schon klar, das ist auch ein naheliegender Workaround.
Ich frage jedoch, ob Exchange eine Unterscheidung bietet "Rechner sendet versus Nutzer sendet"
rzlbrnft
rzlbrnft 18.10.2021 um 15:21:14 Uhr
Goto Top
Die Authentifizierung erfolgt im über ein Mail-Enabled Postfach, das wird in der Regel kein Computer-Account sein, also direkt wird das wohl nicht hinhauen. Entweder ein User mit PW oder eben anonym.
Meines Wissens kann man den anonymen Relay Connector aber mit ADPermissions versehen, seit 2016 muss man die ja explizit hinzufügen, also könnte es vielleicht auch möglich sein das auf eine Gruppe zu beschränken.

Es gäbe noch die Option extern gesichert über IPSEC, damit hab ich aber persönlich noch kein Relay realisiert.
DerWoWusste
DerWoWusste 18.10.2021 aktualisiert um 15:38:28 Uhr
Goto Top
Hallo.

Ja, https://docs.microsoft.com/en-us/exchange/mail-flow/connectors/allow-ano ... ist bekannt, aber ich sehe keinen Weg, damit zum Ziel zu kommen, ohne zusätzlich, beispielsweise über die Windowsfirewall (Kerberos-gesicherte Regeln), eine Verbindungsauthentifizierung hinzubekommen. Du?
erikro
erikro 18.10.2021 um 17:57:12 Uhr
Goto Top
Moin,

Zitat von @DerWoWusste:
Ziel 1: Alle PCs sollen Warnmeldungen per E-Mail geskriptet und anonym versenden können.
[In diesen Skripten handelt das Computerkonto und im Skript sollen keine Credentials hinterlegt werden müssen.]

Ziel 2: Niemand von den Nutzern soll anonym versenden können.

Das geht afaik nicht, da man anonymes Senden auf IPs beschränken kann aber nicht auf Konten. Wie denn auch? Entweder ist es ein Konto oder anonym. Das schließt sich ja gegenseitig aus. face-wink

[ich nutze derzeit einen Workaround, um beides zu verwirklichen, den ich aber nicht schön finde und mich deshalb mal wieder um eine bessere Lösung kümmere]

Darauf läuft es hinaus. Du musst die Computer die Daten auf irgend einen Server schreiben und einen Trigger einrichten, der von dort aus die Mails per Skript versendet. Dem Server kannst Du dann ja anonymes Versenden erlauben.

Liebe Grüße

Erik
DerWoWusste
DerWoWusste 18.10.2021 aktualisiert um 19:57:20 Uhr
Goto Top
Hi @erikro
Das geht afaik nicht, da man anonymes Senden auf IPs beschränken kann aber nicht auf Konten. Wie denn auch?
Zum Beispiel so, wie ich es schon mache: über sichere Firewallregeln wird der Zugang zu Port 25 beschränkt. Nur eine Gruppe von Computerkonten darf diesen Port nutzen, User laufen gegen die (Feuer-)Wand. Ich hatte nur gehofft, dass ich etwas übersehe, das eingebaut ist, was das vielleicht exchange-intern umsetzt.
Du musst die Computer die Daten auf irgend einen Server schreiben und einen Trigger einrichten, der von dort aus die Mails per Skript versendet
Das widerum ist ja schon eingebaut in Exchange, siehe @emeriks https://www.frankysweb.de/exchange-2016-e-mail-pickup-verzeichnis/
Aber das arbeitet eben mit vorgefertigten Maildateien, die nicht jeder Dienst erzeugen kann (z.B. Raidcontrolleralerts)

Ich werde wohl bei meiner Lösung bleiben - funktionieren tut sie ja.
jsysde
jsysde 18.10.2021 um 20:23:37 Uhr
Goto Top
Servus.

Zitat von @DerWoWusste:
[...]Ich frage jedoch, ob Exchange eine Unterscheidung bietet "Rechner sendet versus Nutzer sendet"
Nope - zumindest nicht mit Konfiganpassungen im Exchange direkt. Dein Workaround ist da schon sehr weit, den würd' ich einfach beibehalten. face-wink

Cheers,
jsysde
emeriks
emeriks 19.10.2021 um 08:04:19 Uhr
Goto Top
Zitat von @jsysde:
Dein Workaround ist da schon sehr weit, den würd' ich einfach beibehalten. face-wink
Ich finde DDWs Ansatz da sogar richtig gut. Das werde ich mir garantiert mal ausprobieren.
erikro
erikro 19.10.2021 um 10:57:38 Uhr
Goto Top
Moin,

Zitat von @DerWoWusste:

Hi @erikro
Das geht afaik nicht, da man anonymes Senden auf IPs beschränken kann aber nicht auf Konten. Wie denn auch?
Zum Beispiel so, wie ich es schon mache: über sichere Firewallregeln wird der Zugang zu Port 25 beschränkt. Nur eine Gruppe von Computerkonten darf diesen Port nutzen, User laufen gegen die (Feuer-)Wand. Ich hatte nur gehofft, dass ich etwas übersehe, das eingebaut ist, was das vielleicht exchange-intern umsetzt.

Geiler Ansatz. face-smile

Liebe Grüße

Erik
rzlbrnft
rzlbrnft 19.10.2021 um 11:24:19 Uhr
Goto Top
Zitat von @DerWoWusste:
Zum Beispiel so, wie ich es schon mache: über sichere Firewallregeln wird der Zugang zu Port 25 beschränkt. Nur eine Gruppe von Computerkonten darf diesen Port nutzen, User laufen gegen die (Feuer-)Wand.

Würde das nicht auch ein authentifiziertes Relayen blockieren, oder nutzt du das generell nicht?
Auf jeden Fall interessant, könnte man ja auch mit einem beliebigen anderen Port realisieren wenn man sich einen extra Connector anlegt.
DerWoWusste
DerWoWusste 19.10.2021 um 11:27:14 Uhr
Goto Top
Würde das nicht auch ein authentifiziertes Relayen blockieren, oder nutzt du das generell nicht?
Das nutzt andere Ports und wird davon nicht beeinträchtigt.
FrageMicrosoftExchange Server
Mehr von DerWoWussteDerWoWussteExcelstart bringt neuerdings FehlerDerWoWusste - 4 KommentareDerWoWussteWindows Server 2025 und Windows 11 24H2 - Remote Credential Guard erneut defektDerWoWusste - 6 KommentareDerWoWussteWin11 23H2 - Pin to start weg, "move to front" stattdessenDerWoWusste - 8 KommentareDerWoWussteAdobe Reader - Revocationcheck von Signaturen misslingtDerWoWusste - 15 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 KommentareLangaberWindows Server Sicherung Restore - MöglichkeitenLangaber - 21 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareBlitterWindows 10 u. 11 und 802.1x Netzwerk PortsecurityBlitter - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 14 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareEnrixkHilfe bei Netzwerkinfrastruktur für AbschlussprojektEnrixk - 12 KommentareDaniSIP Zugangsdaten von Vodafone erhaltenDani - 12 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 11 Kommentare