scar71
Goto Top

Externe Webseite internen Mailserver nutzen lassen

Hallo zusammen,

ich habe einen MS Exchange 2016, eine Domain meineFirma.com, ein Postfach "mailversand@meineFirma.com" und einen externen Dienst "Software ABC" (gehostet bei AWS).

"Software ABC" soll nun befähigt werden, mit "mailversand@meineFirma.com" (was quasi mein interner Exchange Server ist), E-Mails zu schicken.

Dabei handelt es sich um nicht mehrere hundert pro Tag (um Spam auszuschließen). Darüber sollen lediglich hin und wieder einige Bestätigungen und Informationen laufen.


Meine Frage:
Wie kann ich das oben genannte Szenario am besten/sichersten bei einem OnPremise Exchange umsetzen? Reicht es wirklich, einfach das Postfach (inkl. Passwort natürlich, smtp server) dem Dienst "Software ABC" zu übergeben? Port 25 würde ich bei diesem Szenario vermeiden wollen, wäre 587 ohne Probleme machbar? Welche zusätzliche Sachen müsste ich prüfen/erledigen, damit dies klappt?

Vielen Dank!!

Content-ID: 1925433800

Url: https://administrator.de/contentid/1925433800

Ausgedruckt am: 25.11.2024 um 07:11 Uhr

ArnoNymous
ArnoNymous 16.02.2022 um 09:04:46 Uhr
Goto Top
Moin,

entweder wie von dir beschrieben, wenn das so unterstützt wird, oder, wenn der Hoster einen eigenen SMTP-Server nutzt, dessen IP in SFP-Records ect. mit aufnehmen.

Gruß
BirdyB
BirdyB 16.02.2022 um 09:49:20 Uhr
Goto Top
Moin,
Zitat von @scar71:
Meine Frage:
Wie kann ich das oben genannte Szenario am besten/sichersten bei einem OnPremise Exchange umsetzen? Reicht es wirklich, einfach das Postfach (inkl. Passwort natürlich, smtp server) dem Dienst "Software ABC" zu übergeben?
Ja, reicht... Du kannst natürlich auch einen eigenen Connector definieren und diesen auf die IP deines Webservers beschränken, dann hättest du noch etwas zusätzliche Sicherheit.
Bedenke dabei nur, dass dein Provider vielleicht mal die IP wechselt und dann hast du Probleme.

VG
scar71
scar71 16.02.2022 um 10:40:33 Uhr
Goto Top
vielen Dank für die Antworten.

Der Hersteller hat keinen eigenen SMTP Server -> somit fällt ein weiterer berechtigter Host im SPF weg.

Ich nutze meinen eigenen SMTP Server, jedoch möchte es nicht klappen (weder über 25, noch über 587 bzw 465).

Habe folgendes konfiguriert (auch verschiedene Konstellationen):
Mailbox: mailversand@meineFirma.com
Benutzername: mailversand@meineFirma.com (auch getestet: mailversand)
Passwort. (intern OWA etc. funktioniert alles, also liegt es nicht an der Authentifizierung)
SMTP: mail.meineFirma.com
Port: 587 (StartTLS) (auch getestet: 25 (keine) , 465 (SSL/TLS))

Alles bringt keinen Erfolg, sondern die Meldung -> SMTP Server nicht richtig konfiguriert.

Zugriff über OWA/ActiveSync funktioniert..

Da ich diese Konstellation so noch nie hatte:
- Muss ich zusätzliches an unserer FW oder Mailproxy anpassen?
(DKIM, DMARC und SPF sind konfiguriert, aber bei dem Szenario dürften diese Sachen nicht angepasst werden)
RoadRage3
RoadRage3 16.02.2022 um 12:50:30 Uhr
Goto Top
Zitat von @scar71:
- Muss ich zusätzliches an unserer FW oder Mailproxy anpassen?

Du könntest mal in den Logs prüfen, ob überhaupt eine eingehende Verbindung in deinem Netzwerk erkannt wird. IONOS z.B. blockiert Port 25 erstmal generell für jeden bei denen gemieteten Server und muss durch den Support freigeschaltet werden. Eventuell hat AWS ähnliche Vorkehrungen.
Aber ebenso kann es in deinem Netzwerk die Firewall sein, die eingehende Verbindungen blockiert.

(DKIM, DMARC und SPF sind konfiguriert, aber bei dem Szenario dürften diese Sachen nicht angepasst werden)
Die spielen ja keine Rolle, da du ja keinen weiteren Mailserver aufsetzt, sondern über den bestehenden versendest.
BirdyB
BirdyB 16.02.2022 um 16:18:09 Uhr
Goto Top
Dann prüf doch erstmal deinen SMTP-Zugang. Z.B. so: https://www.thomas-krenn.com/de/wiki/TCP_Port_25_(smtp)_Zugriff_mit_teln ...
Dani
Dani 16.02.2022 um 20:20:46 Uhr
Goto Top
Moin,
wenn du es über ein Postfach abbilden möchtest, ist Port 587/tcp der richtige Weg. Dafür ist es am Besten einen seperaten Connector anzulegen mit den spzifischen Einstellungen für die Internetseite. wichtig ist, dass der Port auchüber das Internet erreichbar ist.

Dazu kommt noch, die Anwendung muss natürlich auch TLS über Port 587 unterstützen. DAs können wir von hier nicht sehen.

Bei OWA und AS erfolgt der Zugriff nicht über Port 587/tcp sondern über 443/tcp. Daher ist es erst einmal nachvollziehbar, dass die Anmeldung dort funktioniert.


Gruß,
Dani
EliteHacker
EliteHacker 16.02.2022 aktualisiert um 22:46:38 Uhr
Goto Top
Du drückst dem externen Dienst Zugangsdaten in die Hände und hängst vom Internen Netzwerk einen Mail-Server über Port 465 TCP ans Netz. Port 587 ist veraltet und sollte nicht mehr verwendet werden.
Dann noch ein bisschen Firewallregeln erstellen und fertig ist die Soße.
Dani
Dani 19.02.2022 um 10:12:09 Uhr
Goto Top
Moin,
meines Wissens nach unterstützt Microsoft Exchange Server nach wie vor kein SMTPS (Port 465). Daher bleibt doch nur Port 587 übrig, oder?


Gruß,
Dani