Exchange 2010: Standardeinstellungen für die Empfangsconnectoren

Heute ist mir seit langen mal wieder ein Exchange Server unter die Finger gekommen, der als Offenes Relay konfiguriert war. Ich dachte eigentlich dass solche Konfigurationsfehler der Vergangenheit angehören. Scheinbar machen einige diesen bösen Fehler aber immer noch, daher hier einmal die Standardeinstellungen der Empfangsconnectoren, damit die Einstellungen korrigiert werden können.

In der Standardeinstellung gibt es 2 Connectoren mit den Namen “Default SERVERNAME” und “Client SERVERNAME”. Der Default-Connector ist für den kompletten Mailverkehr aus dem Internet zum Exchange Server zuständig

image

Daher hat der Default-Connector alle IPv4 und alle IPv6 Adressen als Remote Server eingetragen:

Empfangsconnectoren

Hier die Authentifizierungsmethoden in der Standardeinstellung

image

Und hier die Berechtigungsgruppen

image

Nur auf dem Default-Connector ist der Haken bei “Anonyme Benutzer” gesetzt, Mailserver aus dem Internet werden sich nicht an Exchange Server authentifizieren wenn sie eine Mail loswerden wollen.

Der zweite Empfangsconnector ist der Client-Connector, er ist für den Mailverkehr der Benutzer zum Exchange Server zuständig.

image

Der Client Connector horcht nicht auf Port 25 sondern auf Port 587. Auch hier sind in der Standardeinstellung alle IPv4 und IPv6 Adressen zugelassen, dies kann man auf die lokalen Subnetze einschränken, wenn man möchte

image

Hier die Authentifizierungsmethoden

image

Und hier die Berechtigungsgruppen, bei denen nur “Exchange-Benutzer” ausgewählt ist.

image

Und jetzt die böse Falle, auf dem Default Connectoren darf nicht den Anonymen Benutzern das Recht “Accept-Any-Recipient” zugewiesen werden. Dies lässt sich mit der Shell prüfen:

Get-ADPermission „Default SMAIL01“ -user „NT-AUTORITÄT\ANONYMOUS-ANMELDUNG“ | ft identity,user,extendedrights

image

Im Bild oben sieht man die Standard Rechte. Im Bild unten einen Connector auf dem Anonymes Relay erlaubt ist:

image

In der Shell ist es also schön zu sehen: “Accept-Any-Sender” und “Accept-Any-Recipient”. Das ist eine denkbar schlechte Idee, wenn man es nicht gerade darauf anlegt auf einer Blacklist zu landen.

Allerdings benötigen manche Anwendungen zwingend eine Möglichkeit um ihre Mails anonym über den Exchange zu relayen. Wer dieses Feature benötigt, sollte sich einen separaten Connector anlegen und nur den einen Server mit Anwendung das Anonyme Relay erlauben. Wie das geht, habe ich hier beschrieben:

https://www.frankysweb.de/?p=180

3 Kommentare zu “Exchange 2010: Standardeinstellungen für die Empfangsconnectoren”

  1. Hallo Franky,
    welche Einstellungen beim Exchange Server 2010 genau verhindern, das externe Emails mit der internen Domain an diese gesendet werden?
    Beispiel:
    Extern sendet von Mailadresse „kopierer@meineDomain.com“ an einige Mitarbeiter des Unternehmens „user@meineDomain.com“ .

    Erkennt der Exchange Server nicht automatisch das die Adresse des externen Mailservers nicht die korrekte IP zu der Mail-Domäne ist?

    Vielen Grüße Dank im voraus

    Seidel

  2. welche Einstellungen beim Exchange Server 2010 genau verhindern, das externe Emails mit der internen Domain an diese gesendet werden?
    Beispiel:
    Extern sendet von Mailadresse „kopierer@meineDomain.com“ an einige Mitarbeiter des Unternehmens „user@meineDomain.com“ .

    Erkennt der Exchange Server nicht automatisch das die Adresse des externen Mailservers nicht die korrekte IP zu der Mail-Domäne ist?

    1. Hi Jochen,
      das wird nicht über IP-Adressen geregelt, sondern über Berechtigungen auf den Empfangsconnectoren. Ich schreibe dazu noch einen kleinen Beitrag. Hier aber schon einmal der entsprechende Befehl:

      Get-ReceiveConnector „Name des Empfangsconnectors aus Richtung Internet“ | Get-ADPermission -user „NT-Autorität\Anonymous-Anmeldung“ | where {$_.ExtendedRights -like “ms-exch-smtp-accept-authoritative-domain-sender”} | Remove-ADPermission

      Gruß, Frank

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.