none
Exchange 2013 SMTP Authentifizierung RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    ich möchte auf Exchange 2013 ein offenes Relay mit Authentifizierung einrichten. Ich habe dafür einen Empfangsconnector erstellt. Dieser hört auf alle IP Adressen auf Port 25 und akzeptiert (derzeit) nur Verbindungen von einer einzigen IP.

    Als Sicherheitseinstellungen habe ich TLS gewählt und Basic Authentifizierung (zum Testen über Telnet habe ich "Basic erst nach TLS" noch deaktiviert.

    Meinem Postfachbenutzer habe ich entsprechende Rechte gegeben:

    Get-ReceiveConnector CAS-Server\Connector | Add-AdPermission -User meinbenutzer -ExtendedRights ms-exch-smtp-submit,ms-exch-smtp-accept-any-sender,msexch-smtp-accept-any-recipient,ms-exch-smtp-accept-authoritative-domain-sender

    Wenn ich nun ein Telnet auf den Server auf Port 25 mache, mache ich anschließend ein AUTH LOGIN und werde erfolgreich authentifiziert. Nehme ich als "FROM" Adresse eine Adresse, die von der eigentlichen SMTP Adresse des Benutzers abweicht, erhalte ich ganz am Ende beim Absenden der Mail "550 5.7.1 Client does not have permission to send as this sender".

    Ich lande definitiv auf dem richtigen Connector, da ich auch mal den HELO/EHLO Text angepasst habe und diesen dann im Telnet auch angezeigt bekomme. Die Authentifizierung funktioniert ja auch. Und die Rechte sind meiner Meinung nach auch OK. Ich habe sogar Testweise mal über ADSIEdit dem Benutzer Vollzugriff auf den Connector gegeben, hat aber zur selben Fehlermeldung geführt.

    Hat jemand noch eine Idee? Unter Exchange 2010 hat das ohne Probleme funktioniert.

    Freitag, 21. November 2014 08:46
    |

Alle Antworten

  • Discussion
    Anmelden
    1
    Anmelden

    Moin,

    Du möchtest ein "offenes Relay mit Authentifizierung"?

    Das widerspricht sich. Ein Relay ist dann offen, wenn man KEINE Authentifizierung benötigt. Wenn man relaying nur nach authentifizierung kann, ist das kein offenes Relay mehr.

    Im Standard kann ein normaler Benutzer an jeden Empfänger senden, wenn er sich authentifiziert hat. Er kann allerdings nicht jede Absender-Adresse nutzen, sondern nur seine eigene.

    Möchtest Du erreichen, dass ein Benutzer (nach Anmeldung) jede Absenderadresse verwenden kann?

    Auch ist Deine Beschreibung danach nicht so ganz gar, was Du machst und bei welchem Versuch Du diese Fehlermeldung bekommst.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Freitag, 21. November 2014 09:11
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Robert,

    ich habe mich mit dem "offenen" Relay vielleicht falsch ausgedrückt. Ich möchte eben erreichen, dass ein gewisser Benutzer das Recht hat, unter JEDER möglichen Absenderadresse zu senden (ob diese nun wirklich existiert oder nicht).

    Ich mache zum Testen folgendes:

    telnet servername 25
    ehlo
    auth login
    benutzername codiert
    passwort codiert
    235 2.7.0 Authentication succesful
    mail from:<irgendeine@adresse.de>
    250 2.1.0 Sender OK
    rcpt to:<einempfänger@einedomain.de>
    250 2.1.5 Recipient OK
    data
    354 Start mail input; end with <CTRLF>.<CTRLF>
    test 123

    .
    550 5.7.1 Client does not have permission to send as this sender.

    Get-ReceiveConnector CAS\Connector | Get-AdPermission | where{$_.user -like "*meinbenutzer*"} | ft user,extendedrights

    User                                                        ExtendedRights
    ----                                                        --------------
    domain\meinbenutzer                              {ms-Exch-SMTP-Accept-Authoritative-Domain-Sender}
    domain\meinbenutzer                              {ms-Exch-SMTP-Submit}
    domain\meinbenutzer                              {ms-Exch-SMTP-Accept-Any-Recipient}
    domain\meinbenutzer                              {ms-Exch-SMTP-Accept-Any-Sender}
    • Bearbeitet ihka Freitag, 21. November 2014 09:46
    Freitag, 21. November 2014 09:30
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hi,

    ich bin zwar kein Experte, was das angeht, aber ich denke, das wird so nicht möglich sein bzw. nur mit einem Konnektor, der einen anonymisierten Zugriff erlaubt.

    Sobald Du Dich am Exchange authentifizierst, kannst Du nur die eigene Mailadresse oder die eines Nutzers verwenden, für die Du "Senden als"-Rechte hast. Die Adresse muss aber existieren.

    Gruß

    Ben

    MCITP Windows 7

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Freitag, 21. November 2014 09:42
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Ben,

    ein Connector der anonymisierten Zugriff erlaubt steht ja für jeden offen. Warum sollte es da möglich sein, hingegen bei einem Connector, bei dem ich mich vorher sogar authentifiziere dann aber nicht? Das ergibt keinen Sinn für mich. Wie gesagt, ich habe solch einen Connector auch mit oben genannten Einstellung auf Exchange 2010 gebaut - völlig problemlos.

    Die Senden-Als Rechte habe ich ja mit "accept any sender" gesetzt. Weiterhin nutze ich ja Adressen, die in der Organisation nicht vorhanden sind (z.B. Drucker-OG1@domain.de)


    • Bearbeitet ihka Freitag, 21. November 2014 09:50
    Freitag, 21. November 2014 09:49
    |
  • Discussion
    Anmelden
    1
    Anmelden

    Hi ihka,

    gib dem Benutzer einmal die entsprechenden Rechte auf dem Connector über Add-ADPermission:
    ms-Exch-SMTP-Accept-Any-Sender

    http://technet.microsoft.com/de-DE/library/jj673053%28v=exchg.150%29.aspx

    Danach müsstest du darauf achten, dass der richtige Connector greift...

    Viele Grüße
    Christian

    Freitag, 21. November 2014 10:18
    |
    Moderator
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Christian,

    die Rechte sind entsprechend gesetzt (s.o.)

    Dass der richtige Connector greift weiß ich daher, dass die anderen Connectoren kein AUTH LOGIN anbieten. Außerdem habe ich mal den HELO/EHLO Text des Connectors verändert und dieser wurde mir in Telnet auch so zurückgegeben.

    Freitag, 21. November 2014 10:21
    |
  • Discussion
    Anmelden
    1
    Anmelden

    Ah ok. So hatte ich das letztendlich auch verstanden, wollte aber sicher gehen.

    zuerst ein kleines Detail: Du musst die AD-Berechtigungsänderungen unbedingt am Ende mache. Wenn Du danach Änderungen mit dem ECP vornimmst, setzt Dir Exchange die eventuell einfach wieder auf den Standard zurück und schmeißt Deine Änderungen ohne Kommentar raus.

    Ich persönlich mache die Änderungen auch lieber mit ADSIEdit.

    Nimm mal testweise die Gruppe "Authentifizierte User" raus. Es könnte sein, dass die eventuell "gewinnt" und nicht die spezifische Einstellung des User. Eigentlich bei Berechtigungen unüblich, aber Exchange macht schon gerne mal was anders dabei.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Freitag, 21. November 2014 10:23
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Robert,

    ich hab die AD Berechtigungen erst später gesetzt. Also zuerst den Connector im ECP angelegt, anschließend in der Powershell die AD-Rechte gesetzt. (danach habe ich den Connector im ECP nicht mehr angepackt)

    Soeben habe ich diese Rechte über ADSI Edit geprüft, alles sauber. Ich habe auch - wie du vorgeschlagen hast - die Authentifizierten Benutzer aus der ACL entfernt. Leider hat das nicht geholfen.

    Kann jemand das vielleicht mal nachstellen? Ich habe das jetzt in zwei verschiedenen ADs so abbilden können. Ich bin langsam echt ratlos.


    Ich habe jetzt sogar mal Vollzugriff für JEDER auf diesen Connector gegeben - geht weiterhin nicht. Wenn ich es nicht besser wüsste, würde ich ja sagen dass der falsche Connector verwendet wird, aber das kann ich ausschließen.
    • Bearbeitet ihka Freitag, 21. November 2014 10:33
    Freitag, 21. November 2014 10:29
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hi ihka,

    auf welchem Connector war das?
    http://www.administrator.de/forum/exchange-2013-ms-exch-smtp-accept-any-sender-funktioniert-nicht-auf-einem-frontendtransport-connector-211223.html

    Viele Grüße
    Christian

    Freitag, 21. November 2014 10:30
    |
    Moderator
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Christian,

    na das ist jetzt der Hammer. Wenn ich den Connector auf dem MBX Server anlege, dann funktioniert es!

    Danke für den Tipp!

    Das blöde ist jetzt, dass ich (da geloadbalanced wird) einen neuen DNS Eintrag einrichten muss und den Loadbalancer entsprechend auch um seine Services erweitern muss, denn der leitet ja bishher nur an die CAS Server weiter.

    Warum der Exchange sich so verhält ist mir weiterhin ein Rätsel. Alle anderen Connectoren laufen ja auch auf dem Frontend Transport.
    • Bearbeitet ihka Freitag, 21. November 2014 11:03
    Freitag, 21. November 2014 10:51
    |