none
Empfangsconnectoren und Relaying von anderen Servern RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    einen habe ich für heute noch. Ich teste gerade das Relaying an externe Adressen anderer lokaler Server über Exchange 2010. Soweit ich weiß, gibt es hier zwei Möglichkeiten:

    1. Dem Server eine zweite IP-Adresse hinzufügen und daran einen neuen Empfangsconnector binden, bei dem unter Authentifzierung "Externally Secured" und unter Permission Groups "Exchange Servers" aktiviert wird. Mache ich das, funktioniert das Relaying an externe Adressen. Aber gibt es irgendwo eine Erklärung, was die Permission Group "Exchange Servers" in diesem Fall zu bedeuten hat? Ich kann nämlich von jedem beliebigen Server überall hin relayen (sofern die IP Adresse des Servers im Connector erlaubt ist). Für mich sieht es so aus, als wäre die o.g. Kombination eine Möglichkeit, die Authentifzierung für den Connector KOMPLETT zu deaktivieren. Zu der "Gruppe Exchange Servers" sehe ich da jedenfalls überhaupt keinen Zusammenhang!

    2. Auf dem Default Connector die Permission Group "Anonymous Users" aktivieren und zusätzlich in der Shell das Extended Right ms-ExchSMTP-Accept-Any-Recipient dafür setzen. Sicherheitstechnisch sehe ich da in unserem Fall keine Probleme, da der HUB Server hinter einem Smarthost sitzt und ich somit auf dem Connector auch die IP-Adressen einschränken kann. Dann würde ich dort den Smarthost, alle anderen HUB Server und die Server hinterlegen, die relayen müssen.

    Wie macht man das denn in der Praxis? Für Variante 1 müsste ich ja entweder eine zweite IP-Adresse oder einen anderen Port verwenden, was ich ehrlich gesagt beides etwas gewöhnungsbedürftig finde. Ich tendiere deshalb eher zu Variante 2, es sei denn aus Eurer Sicht ist davon absolut abzuraten.

    Achso, noch was zu diesem Thema: Würde ich auf dem Smarthost als Authentifzierung am HUB Server die Basisauthentifizierung verwenden wollen, wo lege ich eigentlich den entsprechenden Benutzer in Exchange bzw. im AD dafür fest? Auf der Karteikarte "Permission Groups" gibt es ja nur die Punkte "Anonymous Users", "Exchange Users", "Exchange Servers", "Legacy Exchange Servers" und "Partner Servers". Oder gilt "Exchange Users" in dem Fall dann für jeden belieben AD Benutzer mit Exchange Postfach?

    So, dann lasse ich Euch aber für heute auch wieder in Ruhe :-)

    Gruß
    Michael


    • Bearbeitet sam.bell Donnerstag, 31. Mai 2012 13:57
    Donnerstag, 31. Mai 2012 13:52
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    1. Dem Server eine zweite IP-Adresse hinzufügen und daran einen neuen Empfangsconnector binden, bei dem unter Authentifzierung "Externally Secured" und unter Permission Groups "Exchange Servers" aktiviert wird. Mache ich das, funktioniert das Relaying an externe Adressen. Aber gibt es irgendwo eine Erklärung, was die Permission Group "Exchange Servers" in diesem Fall zu bedeuten hat? Ich kann nämlich von jedem beliebigen Server überall hin relayen (sofern die IP Adresse des Servers im Connector erlaubt ist). Für mich sieht es so aus, als wäre die o.g. Kombination eine Möglichkeit, die Authentifzierung für den Connector KOMPLETT zu deaktivieren. Zu der "Gruppe Exchange Servers" sehe ich da jedenfalls überhaupt keinen Zusammenhang!

    Nein, der Zusammenhang ist zu "Externally Secured". In diesem Fall geht MSFT davon aus, dass der externe Rechner die Authentifzierung übernommen hat und alles von dem "sicher" ist. Und die Berechtigungen, z.B. wohin er darf, erfolgt dann über die Gruppe "Exchange Servers".

    Die Berechtigungen solltest Du Dir mal mit ADSIEdit anschauen, dann wird das ein wenig klarer

    2. Auf dem Default Connector die Permission Group "Anonymous Users" aktivieren und zusätzlich in der Shell das Extended Right ms-ExchSMTP-Accept-Any-Recipient dafür setzen. Sicherheitstechnisch sehe ich da in unserem Fall keine Probleme, da der HUB Server hinter einem Smarthost sitzt und ich somit auf dem Connector auch die IP-Adressen einschränken kann. Dann würde ich dort den Smarthost, alle anderen HUB Server und die Server hinterlegen, die relayen müssen.

    OK.

    Wie macht man das denn in der Praxis? Für Variante 1 müsste ich ja entweder eine zweite IP-Adresse oder einen anderen Port verwenden, was ich ehrlich gesagt beides etwas gewöhnungsbedürftig finde. Ich tendiere deshalb eher zu Variante 2, es sei denn aus Eurer Sicht ist davon absolut abzuraten.

    Ich nutze Variante 2 oder Variante 3 (die nachstehende):

    Achso, noch was zu diesem Thema: Würde ich auf dem Smarthost als Authentifzierung am HUB Server die Basisauthentifizierung verwenden wollen, wo lege ich eigentlich den entsprechenden Benutzer in Exchange bzw. im AD dafür fest?

    So mache ich das meistens. Der einliefernde Server soll sich Authentifizieren.

    Einzelne Konten kannst Du per Shell oder ADSIEdit dediziert berechtigen, dass sie dann relayen dürfen.

    Auf der Karteikarte "Permission Groups" gibt es ja nur die Punkte "Anonymous Users", "Exchange Users", "Exchange Servers", "Legacy Exchange Servers" und "Partner Servers". Oder gilt "Exchange Users" in dem Fall dann für jeden belieben AD Benutzer mit Exchange Postfach?

    Korrekt, Exchange Users ist jeder Authentifzierte mit einem Postfach.

    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    • Als Antwort markiert sam.bell Freitag, 1. Juni 2012 07:45
    Donnerstag, 31. Mai 2012 14:39
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    1. Dem Server eine zweite IP-Adresse hinzufügen und daran einen neuen Empfangsconnector binden, bei dem unter Authentifzierung "Externally Secured" und unter Permission Groups "Exchange Servers" aktiviert wird. Mache ich das, funktioniert das Relaying an externe Adressen. Aber gibt es irgendwo eine Erklärung, was die Permission Group "Exchange Servers" in diesem Fall zu bedeuten hat? Ich kann nämlich von jedem beliebigen Server überall hin relayen (sofern die IP Adresse des Servers im Connector erlaubt ist). Für mich sieht es so aus, als wäre die o.g. Kombination eine Möglichkeit, die Authentifzierung für den Connector KOMPLETT zu deaktivieren. Zu der "Gruppe Exchange Servers" sehe ich da jedenfalls überhaupt keinen Zusammenhang!

    Nein, der Zusammenhang ist zu "Externally Secured". In diesem Fall geht MSFT davon aus, dass der externe Rechner die Authentifzierung übernommen hat und alles von dem "sicher" ist. Und die Berechtigungen, z.B. wohin er darf, erfolgt dann über die Gruppe "Exchange Servers".

    Die Berechtigungen solltest Du Dir mal mit ADSIEdit anschauen, dann wird das ein wenig klarer

    2. Auf dem Default Connector die Permission Group "Anonymous Users" aktivieren und zusätzlich in der Shell das Extended Right ms-ExchSMTP-Accept-Any-Recipient dafür setzen. Sicherheitstechnisch sehe ich da in unserem Fall keine Probleme, da der HUB Server hinter einem Smarthost sitzt und ich somit auf dem Connector auch die IP-Adressen einschränken kann. Dann würde ich dort den Smarthost, alle anderen HUB Server und die Server hinterlegen, die relayen müssen.

    OK.

    Wie macht man das denn in der Praxis? Für Variante 1 müsste ich ja entweder eine zweite IP-Adresse oder einen anderen Port verwenden, was ich ehrlich gesagt beides etwas gewöhnungsbedürftig finde. Ich tendiere deshalb eher zu Variante 2, es sei denn aus Eurer Sicht ist davon absolut abzuraten.

    Ich nutze Variante 2 oder Variante 3 (die nachstehende):

    Achso, noch was zu diesem Thema: Würde ich auf dem Smarthost als Authentifzierung am HUB Server die Basisauthentifizierung verwenden wollen, wo lege ich eigentlich den entsprechenden Benutzer in Exchange bzw. im AD dafür fest?

    So mache ich das meistens. Der einliefernde Server soll sich Authentifizieren.

    Einzelne Konten kannst Du per Shell oder ADSIEdit dediziert berechtigen, dass sie dann relayen dürfen.

    Auf der Karteikarte "Permission Groups" gibt es ja nur die Punkte "Anonymous Users", "Exchange Users", "Exchange Servers", "Legacy Exchange Servers" und "Partner Servers". Oder gilt "Exchange Users" in dem Fall dann für jeden belieben AD Benutzer mit Exchange Postfach?

    Korrekt, Exchange Users ist jeder Authentifzierte mit einem Postfach.

    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    • Als Antwort markiert sam.bell Freitag, 1. Juni 2012 07:45
    Donnerstag, 31. Mai 2012 14:39
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Robert,

    super, vielen Dank! Ich hoffe es ist OK, wenn ich in diesem Forum weiterhin die ein oder andere Frage stelle.

    Gruß
    Michael

    Freitag, 1. Juni 2012 07:47
    |