none
Exchange 2010 Openrelay bzw. Anlieferung von anon. externen Mails RRS feed

  • Frage

  • Hallo!

    Exchange 2010 nimmt in der Standardkonfiguration von "extern" (Internet) keine Emails von nicht auth. Absendern an. Nun simuliere ich aber "unsere" Umgebung, in der der jetzige Mailserver (IMAP, SMTP, POP) die Emails von der Firewall weitergereicht bekommt.

    Für Exchange heißt das, dass es Emails von anonymen Internetusern annehmen soll.

    Um dies zu erreichen habe ich unter Serverkonfig -> Hubtransport einen neuen Sendeconnector erstellt. Die lokale IP = die des Exchange Server, Remote = 0.0.0.0  - 255.255.255.255 (also das gesamte Internet).

    Bei Authentifizierung hab ich nur TLS aktiv. (das ist offenbar eine kann Bestimmung, oder?)

    Berechtigungsgruppen: Anonyme User.

    Soweit ich es mit Telnet testen konnte, wird es mir nun erlaubt von einem meiner Clients (mit from: irgendwas@gmail.com) an eine lokale Adresse zu senden.

    Will ich von zb irgendwas@gmail.com an irgendwas@hotmail.com senden, verweigert der Exchange brav mit 550. (sonst hätte man ja eine open relay).

    Müsste es mir allerdings nicht per Telnet erlaubt sein, von meiner lokalen Adresse an extern zu senden? Hier bekomme ich nämlich auch einen 550.

    Inwiefern ist die Konfiguration "anonyme Emails" von extern anzunehmen in obiger Konfiguration ein Problem?

    LG

    Daniel

    Freitag, 21. September 2012 13:36

Antworten

  • Moin,

    Hallo,

    danke dir für deine Ausführungen. Wenn man nun aber von extern nur authentifizierte annimmt, sperrt das zumindest in der von mir "gewollten" Testkonfiguration alle externen Sender aus.

    korrekt. Die Standard-Einstellung ist, dass Exchange nichts von fremden annimmt. Das muss man erst öffnen (entweder den Default-Connector anpassen oder einen neuen Connector anlegen).

    Wenn ich auf Organisation -> Hub-Transport gehe und dort einen Sendeconnector erstelle: Typ SMTP, Adresse *, Zustellung über Smarthost

    Dann sollte die Zustellung nach extern eigentlich funktionieren, oder? (Hätte ich einen Rootserver, mit entsprechenden DNS Einträgen wäre auch Direktzustellung möglich)

    Korrekt.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    • Als Antwort markiert mcdaniels2k12 Donnerstag, 27. September 2012 07:44
    Samstag, 22. September 2012 07:11

Alle Antworten

  • Moin,

    Will ich von zb irgendwas@gmail.com <mailto:irgendwas@gmail.com> anirgendwas@hotmail.com <mailto:irgendwas@hotmail.com> senden, verweigert der Exchange brav mit 550. (sonst hätte man ja eine open relay).

    Müsste es mir allerdings nicht per Telnet erlaubt sein, von meiner lokalen Adresse an extern zu senden? Hier bekomme ich nämlich auch einen 550.

    Nein. Du hast nur eingestellt, WER Mails einliefern darf -> jeder.

    Du hast aber noch nicht gesagt, WOHIN diese Mails dürfen gehen. Die Relay-Einstellung geht nur über die PowerShell (oder ADSIEdit). Und im Standard ist Relay nur für Authentifzierte User erlaubt.

    Siehe auch hier:
    https://www.frankysweb.de/?p=180

    Inwiefern ist die Konfiguration "anonyme Emails" von extern anzunehmen in obiger Konfiguration ein Problem?

    In der Theorie: Jemand fängt sich intern einen Trojaner ein, der dann alle internen Benutzer vollspammen kann, wenn er den Exchange bei einer "Suche" findet (und die Adressen kennt, usw. usf.).

    In der Praxis bist Du damit genauso sicher, wieder jeder Linux-Mail-Server, jeder Exchange 2003 und quasi alle anderen Mail-Server. Na ja, und die werden auch nicht jeden Tag intern für interne Empfänger vollgespammt, oder?

    ;)


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    • Als Antwort vorgeschlagen Alex Pitulice Donnerstag, 27. September 2012 07:48
    • Nicht als Antwort vorgeschlagen Alex Pitulice Donnerstag, 27. September 2012 07:48
    Freitag, 21. September 2012 14:34
  • Hallo,

    danke dir für deine Ausführungen. Wenn man nun aber von extern nur authentifizierte annimmt, sperrt das zumindest in der von mir "gewollten" Testkonfiguration alle externen Sender aus.


    Nein. Du hast nur eingestellt, WER Mails einliefern darf -> jeder.


    Wenn ich auf Organisation -> Hub-Transport gehe und dort einen Sendeconnector erstelle: Typ SMTP, Adresse *, Zustellung über Smarthost

    Dann sollte die Zustellung nach extern eigentlich funktionieren, oder? (Hätte ich einen Rootserver, mit entsprechenden DNS Einträgen wäre auch Direktzustellung möglich)

    Leider kann ich das hier nicht testen, da ich keinen "reale" Testdomain habe.


    Na ja, und die werden auch nicht jeden Tag intern für interne Empfänger vollgespammt, oder?

    Stimmt ;)

    LG

    Daniel



    Freitag, 21. September 2012 14:50
  • Moin,

    Hallo,

    danke dir für deine Ausführungen. Wenn man nun aber von extern nur authentifizierte annimmt, sperrt das zumindest in der von mir "gewollten" Testkonfiguration alle externen Sender aus.

    korrekt. Die Standard-Einstellung ist, dass Exchange nichts von fremden annimmt. Das muss man erst öffnen (entweder den Default-Connector anpassen oder einen neuen Connector anlegen).

    Wenn ich auf Organisation -> Hub-Transport gehe und dort einen Sendeconnector erstelle: Typ SMTP, Adresse *, Zustellung über Smarthost

    Dann sollte die Zustellung nach extern eigentlich funktionieren, oder? (Hätte ich einen Rootserver, mit entsprechenden DNS Einträgen wäre auch Direktzustellung möglich)

    Korrekt.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    • Als Antwort markiert mcdaniels2k12 Donnerstag, 27. September 2012 07:44
    Samstag, 22. September 2012 07:11