Auf nahezu jedem Exchange Server ist es erforderlich dass teilweise anyonyme Sender den Exchange als Mailserver nutzen dürfen. Diese Sender können Multifunktionsgeräte wie Scanner/Kopierer, Maschinen oder einfach diverse Software wie ein Intranetserver, Monitoring usw. sein.
Es gibt hierbei 2 Ausprägungen welche
Möglich sind:
Mailversand an interne Empfänger
- Ist es ausreichend wenn die Empfänger nur innerhalb der eigenen Exchange-Landschaft sind, ist die Konfiguration denkbar einfach. Das funktioniert nämlich von Haus aus.
Bei jeder Exchange-2013/2016 Installation wird ein Receive Connector "Default Frontend Servername" eingerichtet. Dieser Connector nimmt SMTP-Zugriffe (Port 25) von anonymen Benutzern an und stellt diese Nachrichten an interne Empfänger zu.
- Es empfiehlt sich hier lediglich einen zusätzlichen DNS-Namen für diesen Dienst zu erstellen. (zb. SMTP.domaene.internal)
Damit ist es bei einer möglichen späteren Migration/Erweiterung, nur erforderlich den DNS-Eintrag zu ändern und nicht eben auf jedem Geräte/Software.
Mailversand an externe Empfänger
Ist es hingegen erforderlich, dass anonyme Sender auch nach extern schicken können, sind ein paar zusätzliche Handgriffe notwendig.
Zusätzlichen Connector einrichten:
- Damit wir uns nicht einen offenen Mailrelayserver und damit ein Sicherheitsrisiko in unser Netzwerk holen, wird zuerst mal ein zusätzlicher Receive Connector eingerichtet.
Mit Next weiter.
Die AdapterBindings kann man ebenfalls mit Next überspringen.
- Bei den "Remote Network Settings" muß man dann den Default-Wert mit dem "-" entfernen und für alle Geräte, welche nach extern Senden sollen, die IP-Adresse eintragen. --> Danach mit Finish bestätigen.
- Dann nochmals mit dem Stiftsymbol den soeben erstellten Connector bearbeiten und unter Security bei den "Permission groups", die "Anonymous users" anhaken und mit "Save" bestätigen.
- Damit dieser neu erstellte Connector jetzt auch nach extern schicken darf, muß in der EMC eine AD-Berechtigung gesetzt werden:
Get-ReceiveConnector "ExternalRelay" | Add-ADPermission -User 'NT AUTHORITY\Anonymous Logon' -ExtendedRights MS-Exch-SMTP-Accept-Any-Recipient
Wenn also wie in unserem Beispiel von der IP-Adresse, 10.93.85.113 eine Verbindung zum Exchange aufgebaut wird, weiss der Exchange-Server dass für diese IP-Adresse der ExternalRelay-Connector verwendet werden soll. Alle anderen nicht aufgelisteten Sender/IP-Adressen verwenden den Default Front End und können somit nur internes relay machen.
ACHTUNG:
Bei manchen Exchange-Umgebungen, bei denen ein Load-Balancer vorgeschaltet ist, kann es vorkommen, dass die Absender-Adresse immer die IP des Loadbalancers ist! Wenn es nicht möglich ist, den Loadbalancer so zu konfigurieren, dass die Source-IP-Adresse weitergeleitet wird, empfiehlt es sich eine eigene Adresse am Loadbalancer für externes Relay einzurichten. In diesem Fall müsste dann der Loadbalancer für die Sicherheit der IP-Zugriffe sorgen.
Keine Kommentare:
Kommentar veröffentlichen