Kompliziertes Relay

nordicmike
Goto Top
Moin zusammen,

Zur Beschreibung:
Wir betreiben aus Kostengründen einen Exchange Server und einen Linux IMAP Server unter dem gleichen Domain Namen. Der IMAP Server empfängt alle Emails und gibt die Emails, die für die Exchange User sind, an den Exchange Server weiter. Der Exchange Server ist unter "akzeptierte Domänen" als interner Relay eingerichtet, damit er auch emails für die nicht-exchange-Benutzer an den IMAP Server zurück gibt. Der Exchange Server selbst erhält nichts von extern und versendet nichts nach extern, sondern von und nur zum IMAP Server, der als Smarthost fungiert.
Die Geschäftsleitung hat natürlich die Exchange Postfächer.

Zum Problem:
Nun kam eine Anforderung von der Geschäftsleitung, dass, wenn sie eine Email erhalten, in der sich eine Rechnung befindet, es manuell umgeleitet werden kann an unsere Rechnungsadresse, unter der Voraussetzung, dass es sich um eine Umleitung und nicht um eine Weiterleitung handelt, da das Tool hinter unserer Rechnungs-Email-Adresse den Absender richtig erkennen muss.

Wenn ich ein Versuch aus Outlook starte (empfangene Email vom Lieferanten öffnen - Datei - erneut versenden), sehe ich, dass der Absender und der Inhalt original weiter versendet wird. Jedoch meldet dann der Exchange Server zurück:

[quote]
"Diese Nachricht konnte nicht gesendet werden. Versuchen Sie es später erneut, oder wenden Sie sich an den Netzwerkadministrator. Sie besitzen nicht die Berechtigung, die Nachricht im Auftrag des angegebenen Benutzers zu senden. Fehler: [0x80070005-0x0004dc-0x000524].[/quote]

Als angegebenen Benutzer meint er wohl die externe Email Adresse der Lieferanten. Der Authentifizierte Benutzer bin bei dem Test ich mit meinem Outlook Client.

Ein anonymes Relay leitet ja nur Mails weiter, die per Port 25 kommen. Dazu zählen die Outlook Clients ja nicht. Also habe ich es versucht indem ich beim Empfangsconnector "Client Frontend <servername>" die Berechtigungsgruppe "Anonyme Benutzer" hinzuzufügen und habe die Transportrolle neu gestartet. Die Fehlermeldung erscheint jedoch trotzdem.

Die Rechnungsadresse (Zieladresse) ist auch kein Exchangepostfach, sondern ein Postfach auf dem IMAP Server, vielleicht verkompliziert das auch noch etwas. Es müsste also ein erlaubtes Relay sein, das nur authentifizierten Benutzern gestattet wird, und einen fremden Absendernamen im Feld "From:" trägt.

Kann es der Exchange überhaupt?

(Exchange 2016, Outlook 2016)

Danke euch and keep rockin

Der Mike

Content-Key: 601263

Url: https://administrator.de/contentid/601263

Ausgedruckt am: 19.08.2022 um 10:08 Uhr

Mitglied: Ad39min
Ad39min 02.09.2020 um 17:26:40 Uhr
Goto Top
Das Rechnungspostfach auf dem Exchange betreiben. Dann kann man den ausgewählten Personen Zugriff auf dessen Posteingang geben, sodass sie Mails mit Rechnung dahin verschieben können.

Gruß
Alex
Mitglied: NordicMike
NordicMike 02.09.2020 um 17:36:13 Uhr
Goto Top
Gute Idee, da hängt jedoch noch mehr dahinter und ich darf nicht umziehen. Ausserdem habe ich ähnliche Fälle, ich will doch lieber die Transportrollen beherrschen.
Mitglied: erikro
erikro 02.09.2020 um 18:28:59 Uhr
Goto Top
Moin,

ich ahne mal, dass die Rechnungen deshalb an die GL versendet werden, weil die freigegeben werden müssen, bevor sie automatisiert weiterverarbeitet werden. Richtig? Normalerweise geht das so:

Kunde schickt Rechnung an Rechnungsadresse.
Rechnung (PDF?) wird abgetrennt und in das Fach "wartet auf Freigabe" abgelegt.
GL, Prokurist haben Zugriff auf das Postfach oder werden anderweitig über den Rechnungseingang informiert.
Rechnung wird in der Software freigegeben und weiterverarbeitet.

Keine Ahnung, welche Software Ihr da habt. Aber es würde mich doch sehr wundern, wenn das nicht so gehen sollte.

Liebe Grüße

Erik
Mitglied: NordicMike
NordicMike 02.09.2020 um 18:46:01 Uhr
Goto Top
Nein, die Freigaben laufen über SAP. Es gibt bestimmt 1000 andere Möglichkeiten die verschiedenen Prozesse zu gestalten und auch die ganze Firma umzukrempeln, ich würde jedoch trotzdem gerne diese blöden Transportregeln zum laufen bekommen.
Mitglied: erikro
erikro 02.09.2020 um 18:53:32 Uhr
Goto Top
Mitglied: NordicMike
NordicMike 02.09.2020 um 19:32:45 Uhr
Goto Top
Da war ich schon drauf. Zunächst konnte ich es nicht verwenden, weil anonymes Relay hier nicht stattfindet - kein Port 25.

Aber auch auf der Seite habe diesen Befehl entdeckt, mit dem ich es gerade versuche:

Get-ReceiveConnector -Identity <ExServer\Connector> | Add-ADPermission -User <DOMÄNE\SMTPUSER> -ExtendedRights ms-exch-smtp-accept-any-sender

Ich meinen eigenen User testweise auf dem Connector "Client Frontend <servername>" damit freigegeben (um die anderen nicht zu stören) und die Transportrolle neu gestartet, jedoch erhalte ich immer noch diese oben genannte Fehlermeldung.
Mitglied: Th0mKa
Th0mKa 02.09.2020 um 23:08:04 Uhr
Goto Top
Zitat von @NordicMike:
Zum Problem:
Nun kam eine Anforderung von der Geschäftsleitung, dass, wenn sie eine Email erhalten, in der sich eine Rechnung befindet, es manuell umgeleitet werden kann an unsere Rechnungsadresse, unter der Voraussetzung, dass es sich um eine Umleitung und nicht um eine Weiterleitung handelt, da das Tool hinter unserer Rechnungs-Email-Adresse den Absender richtig erkennen muss.

Sind die Absender bekannt? Woran soll die Transportregel denn festmachen das es eine Rechnung ist? Tendenziell ist es aber immer schlecht organisatorische Probleme technisch zu lösen, ich würde bei den Lieferanten ansetzen. Sollen die halt an die richtige Adresse schicken, die wollen ja Geld haben.

/Thomas
Mitglied: filippg
filippg 03.09.2020 aktualisiert um 00:25:55 Uhr
Goto Top
Hallo,

EDIT:
Sorry, alles Unsinn.
[...] wenn sie eine Email erhalten, in der sich eine Rechnung befindet, es manuell umgeleitet werden kann an unsere Rechnungsadresse, [...]
Ich war davon ausgegangen, dass du eine automatische (vollständige) Umleitung eines Postfachs an ein anderes willst.
Eine "manuelle" Umleitung ist in Exchange schlicht nicht vorgesehen.
Deine Anforderung ist ja, dass du eine Mail mit Absender lieferant@extern.de an ein Postfach (oder wohin auch immer sonst) schickst. Das mag Exchange nicht. Als Absender darfst du nur deine eigene (primäre) Adresse verwenden oder die von anderen Empfängern (Postfächern, Kontakten, Verteilern) auf die du Send-As oder Send-On-Behalf-Rechte besitzt.
Mit dem Konstrukt mit dem IMAP-Server hat das nichts zu tun.

Grüße

Filipp

/EDIT

Original:
Hallo,

das ist so wirr, dass ich gar nicht weiß, wo ich anfangen soll... ;)

Vielleicht am besten beim Fehler:
Wenn ich ein Versuch aus Outlook starte (empfangene Email vom Lieferanten öffnen - Datei - erneut versenden), [... ] Jedoch meldet dann der Exchange Server zurück:
Sie besitzen nicht die Berechtigung, die Nachricht im Auftrag des angegebenen Benutzers zu senden.
Das ist so ja auch völlig richtig & gewollt. Wenn du über Outlook eine Mail mit einem anderen Absender als dir selbst sendet, dann wird Exchange das immer ablehnen - außer natürlich, das ist ein anderer Exchange-Empfänger und du hast Send-As oder Send-On-Behalf-Rechte darauf, aber das ist hier nicht zielführend.

Der manuelle Versand (meinetwegen auch "Weiterleitung") einer Email mit fremden Absender ist als Test für eine Weiterleitungs-/Umleitungsregel nicht geeignet!
Was passiert denn, wenn du eine entsprechende Regel im Outlook einrichtest (im Rechnungs-Postfach)? Nach meiner Einschätzung/soweit ich die Umgebung verstehe dürfte das spontan funktionieren.
Wenn Outlook-Regeln nichts sind: man kann auch Serverseitig eine Weiterleitung einrichten. Wenn du Serveradmin bist, halte ich das auch für eine bessere Lösung: sie kümmern sich nicht um Restriktionen zu Outlook-Forward-Regeln (suche: set-remotedomain), sie funktionieren stabiler als Outlook-Regeln (die habe ich auch schon spontan kaputt gehen sehen) und ich bin mir sicher, dass es "echte" Umleitungen sind (wo ich mir bei Outlook nie ganz sicher bin...). Siehe https://docs.microsoft.com/de-de/exchange/recipients/user-mailboxes/emai ....
Transport Rules halte ich für diesen Anwendungsfall für den falschen Ansatz. Viel zu kompliziert.
Der Aufbau mit dem IMAP-Server hat nach meiner Einschätzung mit dem von dir beschriebenen Fehler nichts zu tun.

Grüße

Filipp
Mitglied: NordicMike
NordicMike 03.09.2020 um 09:13:35 Uhr
Goto Top
Vielen Dank für die ausführlichen Infos. Fokusiert Euch bitte trotzdem darauf, dass die Anforderung so heisst:

[quote]wenn sie eine Email erhalten, in der sich eine Rechnung befindet, es manuell umgeleitet werden kann[/quote]
(also nicht automatisch und nicht weitergeleitet, sondern umgeleitet) :c)

Outlook sieht es vor (Thunderbird übrigens auch). Nachdem dieser Exchange Powershell Befehl existiert, gehe ich davon aus, dass es auch Exchange irgendwie kann:

Outlook versendet doch über SMTP Port 587, oder nicht?
Mitglied: mbehrens
mbehrens 03.09.2020 um 15:23:38 Uhr
Goto Top
Zitat von @NordicMike:

Outlook versendet doch über SMTP Port 587, oder nicht?

Das kommt darauf an face-smile. Hier wird alles schön über https abgewickelt.
Mitglied: NordicMike
NordicMike 03.09.2020 um 15:56:16 Uhr
Goto Top
Zitat von @mbehrens:

Zitat von @NordicMike:

Outlook versendet doch über SMTP Port 587, oder nicht?

Das kommt darauf an face-smile. Hier wird alles schön über https abgewickelt.

Das hatte ich ja auch schon im Gedanken, dass es eigentlich alles über Active Sync geht. Aber dafür sehe ich keinen Connector zum einstellen.
Mitglied: filippg
filippg 03.09.2020 um 22:43:59 Uhr
Goto Top
Hallo,

Outlook versendet doch über SMTP Port 587, oder nicht?
Nein. In Verbindung mit Exchange versendet Outlook über MAPI (bzw eine HTTPS-Kapselung davon).

Du kannst versuchen, in Outlook ein zusätzliches Konto für IMAP (oder POP3) + SMTP anzulegen, und dann über das zu senden. Dann kannst du auch einen zusätzlichen Receive-Connector in Exchange bauen, dort die Client-IP in die Remote Bindings einzutragen und das anonyme Relayen zu erlauben. Wichtige wäre in dem Moment noch, dass Outlook sich nicht authentifiziert, sonst darf es nämlich wieder nur mit der eigenen Adresse senden. Ich hatte früher mal etwas ähnliches in Outlook 2010. In Outlook 2016 habe ich das dann schlicht und einfach nicht mehr konfiguriert bekommen.
Wer einen Connector anlegt, der anonymes relayen erlaubt, sollte eine gute Vorstellung davon haben, was er tut. Oder besser: wer einen Mailserver betreibt, sollte eine gute Vorstellung davon haben, was er tut.

Grüße

Filipp
Mitglied: NordicMike
NordicMike 04.09.2020 um 11:08:06 Uhr
Goto Top
Naja, IMAP ist doch Murks, ich kann doch nicht bei der sauberen Installation beim Vorstand überall noch ein IMAP Konto hinzufügen.

Alle Konnektoren reagieren nur auf Portnummern, also fallen diese schon mal aus. Die ganzen Powershell Einstellungen stellen nur SMTP Berechtigungen ein. Ich such mal nach MAPI Einstellungen.