Exchange 2013: Anonymes Relay

Manche Programme benötigen ein anonymes Relay um Mails abliefern zu können, um anonymes Relay mit Exchange 2013 einzurichten, sollte ein neuer Connector erstellt werden, der die entsprechenden Berechtigungen und Einschränkungen für IP-Adressen besitzt:

image

In diesem Bespiel wird der neue Connector „Relay“ erstellt:

image

Der Connector kann entweder auf allen IP-Adressen des Exchange Servers horchen oder nur auf bestimmten. In den meisten Fällen werden es wohl alle verfügbaren Adressen sein.

image

Jetzt wird der Connector entsprechend eingeschränkt, damit nur bestimmte IP-Adressen anonymes Relay nutzen können. Hier sollten auf keinen Fall zu große IP-Kreise eingetragen werden. Besser ist hier nur explizit die Systeme einzutragen, die den Connector auch nutzen sollen.

image

Die Sicherheitseinstellungen des Connectors:

Anonymes Relay

Damit der Connector auch Mails von jedem Absender an nimmt, muss noch die enstprechende Active Directory Berechtigung gesetzt werden.

Get-ReceiveConnector "Relay" | Add-ADPermission -User "NT-Autorität\Anonymous-Anmeldung" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

image

Hier gibt es einen kleinen Stolperstein:

  • Bei deutschen Servern heißt es „NT-Autorität\Anonymous-Anmeldung“
  • Bei englischen Servern heißt es „NT AUTHORITY\ANONYMOUS LOGON“

Der Connector ist jetzt aktiv und nimmt Mails anonym von jedem Absender zu jedem Empfänger, aber nur von den entsprechend freigeschalteten IPs entgegen. Falls es sich um Systeme handelt die ein hohes Mail aufkommen produzieren, können noch ein paar Sicherhietseinstellungen abgeschaltet werden um den Durchsatz des Connectors zu erhöhen:

Set-ReceiveConnector -identity "Relay" -TarpitInterval 00:00:00
Set-ReceiveConnector -identity "Relay" -ConnectionTimeout 00:30:00
Set-ReceiveConnector -identity "Relay" -ConnectionInactivityTimeout 00:20:00
Set-ReceiveConnector -identity "Relay" -MaxAcknowledgementDelay 00:00:00
Set-ReceiveConnector -identity "Relay" -MaxInboundConnection 10000
Set-ReceiveConnector -identity "Relay" -MaxInboundConnectionPerSource unlimited

2 Gedanken zu „Exchange 2013: Anonymes Relay“

  1. Nachtrag: Der Fehler beim Einspielen des CU war, das jeder Connector auf einen unique Port horchen müsste. Und da der Default auch auf 25 horcht, hat es die Installation bei mir zerlegt

    Antworten
  2. Hallo Frank,
    habe schon seit ein paar Monaten so einen Connector laufen. Jedoch crashte damit ein CU-Update (u.a. ECP defekt) und ich musste das über den ADSI-Editor bereinigen.
    Hast du mit obiger Einstellung schon erfolgreich ein CU einspielen können?

    Antworten

Schreibe einen Kommentar