Exchange 2019: Anonymes Relay konfigurieren

Leider gibt es immer noch Anwendungen oder Geräte die Mails nur ohne Authentifizierung versenden können. In der Standardeinstellung von Exchange Server ist dies so nicht möglich. Es lässt sich aber ein neuer Empfangsconnector einrichten, welcher das Anonyme Relay für bestimmte IP Adressen erlaubt.

Auf einem Server mit englisch sprachigen Betriebssystem können die folgenden Befehle verwendet werden um einen entsprechenden Connector anzulegen:

New-ReceiveConnector -Name "Anonymous Relay" -TransportRole FrontendTransport -Custom -Bindings 0.0.0.0:25 -RemoteIpRanges 192.168.100.50, 192.168.100.51
Set-ReceiveConnector "Anonymous Relay" -PermissionGroups AnonymousUsers
Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
Exchange 2019: Anonymes Relay konfigurieren

Die Befehle erstellen einen neuen Sendeconnector mit dem Namen „“Anonymous Relay“ und schränken den Connector auf die IPs 192.168.100.50 und 192.168.100.51 ein. Nur diese beiden IPs dürfen also den Connector nutzen und Mails ohne Authentifizierung versenden. Bei der Angabe der IPs muss vorsichtig vorgegangen werden. Hier sollten nur interne IPs und keine Netzbereiche verwendet werden, sonst baut man sich möglicherweise schnell ein Open Relay welches von Spammern missbraucht wird.

Auf deinem Server mit deutsch sprachigem Betriebssystem ist ein Befehl leicht anders, daher hier einmal die Befehle für einem Sever in deutscher Sprache:

New-ReceiveConnector -Name "Anonymous Relay" -TransportRole FrontendTransport -Custom -Bindings 0.0.0.0:25 -RemoteIpRanges 192.168.100.50, 192.168.100.51
Set-ReceiveConnector "Anonymous Relay" -PermissionGroups AnonymousUsers
Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT-Autorität\Anonymous-Anmeldung" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

Testen lässt sich der neue Connector mit dem folgenden Befehl:

Send-MailMessage -SmtpServer <EXCHANGEIPORFQDN> -From relay@domain.de -To recicpient@domain.de -Subject "TEST RELAY"

Der Test funktioniert nur, wenn die IP auch explizit erlaubt wurde. Weitere erlaubte IPs lassen sich auch bequem über das Exchange Admin Center hinzufügen:

Exchange 2019: Anonymes Relay konfigurieren

Wer mehrere Exchange Server betreibt, sollte den Namen des Connectors um den Hostnamen des Servers ergänzen (so wie es auch bei den anderen Connectoren der Fall ist).

11 Gedanken zu „Exchange 2019: Anonymes Relay konfigurieren“

  1. Vielen Dank für die ausführliche und gute Anleitung.

    Eine Frage bleibt bei mir übrig:
    Es sieht so aus als ob der Exchange Relay Nachrichten selbst versendet. Wie kann ich es anstellen, daas auch diese per Smarthost versendet werden?

    Danke vorab

    Antworten
  2. Hi.

    Kann so ein anonymes E-Mail Relay auch so konfiguriert werden, dass es nur intern E-Mails versenden darf?
    Wenn ja, was müsste hierbei konfiguriert werden?

    Dankeschön

    Antworten
  3. Hi.

    Was mich interessieren würde..
    Weiss jemand ob man so einen Anonymen E-Mail Relay auch so einrichten könnte, dass es nur intern E-Mails ohne Authentifizierung versenden kann? Also damit soll verhindert werden, dass E-Mails nach extern versendet werden.

    Danke euch.

    Antworten
    • Hallo,

      das könnte klappen, indem man beim Receive-Connector dem Benutzer Anonmyous NICHT das Recht SMTPAcceptAnyRecipient (Empfänger darf beliebig sein, also auch extern) gibt aber dafür ms-exch-smtp-accept-authoritative-domain-sender (Absenderadresse gehört zu einer internen Emaildmäne) und/oder ms-exch-smtp-accept-any-sender (Absenderadresse gehört nicht zu einer internen Emaildomäne). Habe ich allerdings nicht getestet.

      Jenny

      Antworten
  4. Hi.

    Mich würde interessieren ob dieser anonymer Relay auch auf einem Exchange Server 2016 eingerichtet werden kann.. oder ist es explizit nur für Exchange Server 2019?

    Danke

    Antworten
  5. „Leider gibt es immer noch Anwendungen oder Geräte die Mails nur ohne Authentifizierung versenden können. “ das ist doch kein Nachteil, dass man OHNE senden kann. ;) Wer will denn in zig Drucker zig verschiedene Credentials eintragen? Vor allem liegen die dann ja auch meist auf/in Systemen, die man nur schwer verwalten kann hinsichtlich Security.

    Antworten
    • Hierfür gibt es eigentlich sehr schöne & sinnvolle Follow 2 Print Lösungen, welche Scan Funktionen der Geräte mit abdecken können & bspw. das komplette SMTP & SMB Handling vom Print/App Server aus steuern. Spart ungemein viel Zeit & Arbeit – Deployment neuer Printer mit zentralisierter Konfiguration geht schnell & sicher – spart Zeit & raubt der IT keine Nerven mehr :)
      Der Trend in Richtung großer MFP Geräte, welche im Gang anstatt in Büros stehen macht das ganze auch nochmal deutlich einfacher.

      Antworten
  6. Ich habe mir angewöhnt, für jede einzelne IP, welche einen anonymen Relay benötigt, einen eigenen – genau auf diese eine IP zugelassenen – Konnector anzulegen. Dann behält man die Übersicht, wer von wo und was per anonymes SMTP einliefert.

    Antworten

Schreibe einen Kommentar