Fragensteller
Exchange 2013 SMTP Authentifizierung

Allgemeine Diskussion
-
Hallo,
ich möchte auf Exchange 2013 ein offenes Relay mit Authentifizierung einrichten. Ich habe dafür einen Empfangsconnector erstellt. Dieser hört auf alle IP Adressen auf Port 25 und akzeptiert (derzeit) nur Verbindungen von einer einzigen IP.
Als Sicherheitseinstellungen habe ich TLS gewählt und Basic Authentifizierung (zum Testen über Telnet habe ich "Basic erst nach TLS" noch deaktiviert.
Meinem Postfachbenutzer habe ich entsprechende Rechte gegeben:
Get-ReceiveConnector CAS-Server\Connector | Add-AdPermission -User meinbenutzer -ExtendedRights ms-exch-smtp-submit,ms-exch-smtp-accept-any-sender,msexch-smtp-accept-any-recipient,ms-exch-smtp-accept-authoritative-domain-sender
Wenn ich nun ein Telnet auf den Server auf Port 25 mache, mache ich anschließend ein AUTH LOGIN und werde erfolgreich authentifiziert. Nehme ich als "FROM" Adresse eine Adresse, die von der eigentlichen SMTP Adresse des Benutzers abweicht, erhalte ich ganz am Ende beim Absenden der Mail "550 5.7.1 Client does not have permission to send as this sender".
Ich lande definitiv auf dem richtigen Connector, da ich auch mal den HELO/EHLO Text angepasst habe und diesen dann im Telnet auch angezeigt bekomme. Die Authentifizierung funktioniert ja auch. Und die Rechte sind meiner Meinung nach auch OK. Ich habe sogar Testweise mal über ADSIEdit dem Benutzer Vollzugriff auf den Connector gegeben, hat aber zur selben Fehlermeldung geführt.
Hat jemand noch eine Idee? Unter Exchange 2010 hat das ohne Probleme funktioniert.
- Typ geändert Teodora MilushevaModerator Montag, 1. Dezember 2014 07:03
Alle Antworten
-
Moin,
Du möchtest ein "offenes Relay mit Authentifizierung"?
Das widerspricht sich. Ein Relay ist dann offen, wenn man KEINE Authentifizierung benötigt. Wenn man relaying nur nach authentifizierung kann, ist das kein offenes Relay mehr.
Im Standard kann ein normaler Benutzer an jeden Empfänger senden, wenn er sich authentifiziert hat. Er kann allerdings nicht jede Absender-Adresse nutzen, sondern nur seine eigene.
Möchtest Du erreichen, dass ein Benutzer (nach Anmeldung) jede Absenderadresse verwenden kann?
Auch ist Deine Beschreibung danach nicht so ganz gar, was Du machst und bei welchem Versuch Du diese Fehlermeldung bekommst.
Gruesse aus Berlin schickt Robert - MVP Exchange Server
-
Hallo Robert,
ich habe mich mit dem "offenen" Relay vielleicht falsch ausgedrückt. Ich möchte eben erreichen, dass ein gewisser Benutzer das Recht hat, unter JEDER möglichen Absenderadresse zu senden (ob diese nun wirklich existiert oder nicht).
Ich mache zum Testen folgendes:
telnet servername 25
ehlo
auth login
benutzername codiert
passwort codiert
235 2.7.0 Authentication succesful
mail from:<irgendeine@adresse.de>
250 2.1.0 Sender OK
rcpt to:<einempfänger@einedomain.de>
250 2.1.5 Recipient OK
data
354 Start mail input; end with <CTRLF>.<CTRLF>
test 123.
550 5.7.1 Client does not have permission to send as this sender.Get-ReceiveConnector CAS\Connector | Get-AdPermission | where{$_.user -like "*meinbenutzer*"} | ft user,extendedrights
User ExtendedRights
---- --------------
domain\meinbenutzer {ms-Exch-SMTP-Accept-Authoritative-Domain-Sender}
domain\meinbenutzer {ms-Exch-SMTP-Submit}
domain\meinbenutzer {ms-Exch-SMTP-Accept-Any-Recipient}
domain\meinbenutzer {ms-Exch-SMTP-Accept-Any-Sender}- Bearbeitet ihka Freitag, 21. November 2014 09:46
-
Hi,
ich bin zwar kein Experte, was das angeht, aber ich denke, das wird so nicht möglich sein bzw. nur mit einem Konnektor, der einen anonymisierten Zugriff erlaubt.
Sobald Du Dich am Exchange authentifizierst, kannst Du nur die eigene Mailadresse oder die eines Nutzers verwenden, für die Du "Senden als"-Rechte hast. Die Adresse muss aber existieren.
Gruß
Ben
MCITP Windows 7
Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)
Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können. -
Hallo Ben,
ein Connector der anonymisierten Zugriff erlaubt steht ja für jeden offen. Warum sollte es da möglich sein, hingegen bei einem Connector, bei dem ich mich vorher sogar authentifiziere dann aber nicht? Das ergibt keinen Sinn für mich. Wie gesagt, ich habe solch einen Connector auch mit oben genannten Einstellung auf Exchange 2010 gebaut - völlig problemlos.
Die Senden-Als Rechte habe ich ja mit "accept any sender" gesetzt. Weiterhin nutze ich ja Adressen, die in der Organisation nicht vorhanden sind (z.B. Drucker-OG1@domain.de)
- Bearbeitet ihka Freitag, 21. November 2014 09:50
-
Hi ihka,
gib dem Benutzer einmal die entsprechenden Rechte auf dem Connector über Add-ADPermission:
ms-Exch-SMTP-Accept-Any-Senderhttp://technet.microsoft.com/de-DE/library/jj673053%28v=exchg.150%29.aspx
Danach müsstest du darauf achten, dass der richtige Connector greift...
Viele Grüße
Christian -
Hallo Christian,
die Rechte sind entsprechend gesetzt (s.o.)
Dass der richtige Connector greift weiß ich daher, dass die anderen Connectoren kein AUTH LOGIN anbieten. Außerdem habe ich mal den HELO/EHLO Text des Connectors verändert und dieser wurde mir in Telnet auch so zurückgegeben.
-
Ah ok. So hatte ich das letztendlich auch verstanden, wollte aber sicher gehen.
zuerst ein kleines Detail: Du musst die AD-Berechtigungsänderungen unbedingt am Ende mache. Wenn Du danach Änderungen mit dem ECP vornimmst, setzt Dir Exchange die eventuell einfach wieder auf den Standard zurück und schmeißt Deine Änderungen ohne Kommentar raus.
Ich persönlich mache die Änderungen auch lieber mit ADSIEdit.
Nimm mal testweise die Gruppe "Authentifizierte User" raus. Es könnte sein, dass die eventuell "gewinnt" und nicht die spezifische Einstellung des User. Eigentlich bei Berechtigungen unüblich, aber Exchange macht schon gerne mal was anders dabei.
Gruesse aus Berlin schickt Robert - MVP Exchange Server
-
Hallo Robert,
ich hab die AD Berechtigungen erst später gesetzt. Also zuerst den Connector im ECP angelegt, anschließend in der Powershell die AD-Rechte gesetzt. (danach habe ich den Connector im ECP nicht mehr angepackt)
Soeben habe ich diese Rechte über ADSI Edit geprüft, alles sauber. Ich habe auch - wie du vorgeschlagen hast - die Authentifizierten Benutzer aus der ACL entfernt. Leider hat das nicht geholfen.
Kann jemand das vielleicht mal nachstellen? Ich habe das jetzt in zwei verschiedenen ADs so abbilden können. Ich bin langsam echt ratlos.
Ich habe jetzt sogar mal Vollzugriff für JEDER auf diesen Connector gegeben - geht weiterhin nicht. Wenn ich es nicht besser wüsste, würde ich ja sagen dass der falsche Connector verwendet wird, aber das kann ich ausschließen.- Bearbeitet ihka Freitag, 21. November 2014 10:33
-
Hi ihka,
auf welchem Connector war das?
http://www.administrator.de/forum/exchange-2013-ms-exch-smtp-accept-any-sender-funktioniert-nicht-auf-einem-frontendtransport-connector-211223.html
Viele Grüße
Christian -
Hallo Christian,
na das ist jetzt der Hammer. Wenn ich den Connector auf dem MBX Server anlege, dann funktioniert es!
Danke für den Tipp!
Das blöde ist jetzt, dass ich (da geloadbalanced wird) einen neuen DNS Eintrag einrichten muss und den Loadbalancer entsprechend auch um seine Services erweitern muss, denn der leitet ja bishher nur an die CAS Server weiter.
Warum der Exchange sich so verhält ist mir weiterhin ein Rätsel. Alle anderen Connectoren laufen ja auch auf dem Frontend Transport.- Bearbeitet ihka Freitag, 21. November 2014 11:03