Zulassen vom anonymen Relay auf Exchange-Servern

  • Artikel

Open Relay ist eine sehr schlechte Sache für Messagingserver im Internet. Messagingserver, die versehentlich oder absichtlich als offene Relays konfiguriert wurden, ermöglichen die transparente Umleitung von E-Mails aus einer beliebigen Quelle durch den offenen Relayserver. Dieses Verhalten maskiert die ursprüngliche Quelle der Nachrichten und lässt sie so aussehen, als ob die E-Mail vom geöffneten Relayserver stammt. Offene Relayserver werden von Spammern gesucht und verwendet, sodass Sie nie möchten, dass Ihre Messagingserver für open relay konfiguriert werden.

Andererseits stellt anonymes Relay eine allgemeine Anforderung für viele Unternehmen, die über interne Webserver, Datenbankserver, Überwachungsanwendungen und andere Netzwerkgeräte verfügen, die E-Mails generieren, jedoch nicht in der Lage sind, diese zu senden.

In Exchange Server können Sie einen dedizierten Empfangsconnector im Front-End-Transportdienst auf einem Postfachserver erstellen, der anonymes Relay aus einer bestimmten Liste interner Netzwerkhosts zulässt. Im Folgenden werden einige wichtige Überlegungen für den anonymen Relay-Empfangsconnector aufgeführt:

  • Sie müssen einen dedizierten Empfangsconnector erstellen, um die Netzwerkhosts anzugeben, die Anonymes Weiterleiten von Nachrichten zulassen, sodass Sie jede person oder andere Person von der Verwendung des Connectors ausschließen können. Versuchen Sie nicht, anonyme Relayfunktionen zu den standardmäßigen Empfangsconnectors hinzuzufügen, die von Exchange erstellt werden. Das Einschränken des Zugriffs auf den Empfangsconnector ist wichtig, da Sie den Server nicht als offenes Relay konfigurieren möchten.

  • Sie müssen den dedizierten Empfangsconnector im Front-End-Transportdienst erstellen, nicht im Transportdienst. In Exchange Server befinden sich der Front-End-Transportdienst und der Transportdienst immer zusammen auf Postfachservern. Der Front-End-Transportdienst verfügt über einen Standardmäßigen Empfangsconnector namens Standard-Front-End-Servername<>, der für das Lauschen auf eingehende SMTP-Verbindungen von einer beliebigen Quelle an TCP-Port 25 konfiguriert ist. Sie können einen weiteren Empfangsconnector im Front-End-Transportdienst erstellen, der ebenfalls eingehende SMTP-Verbindungen an TCP-Port 25 überwacht, Sie müssen jedoch die IP-Adressen angeben, die den Connector verwenden dürfen. Der dedizierte Empfangsconnector wird immer für eingehenden Verbindungen von diesen bestimmten Netzwerkhosts verwendet (der Empfangsconnector mit der exaktesten Übereinstimmung mit der IP-Adresse des verbindenden Servers).

    Im Gegensatz dazu verfügt der Transportdienst über einen Standard-Empfangsconnector mit dem Namen Standardservername<>, der ebenfalls so konfiguriert ist, dass er für eingehende SMTP-Verbindungen aus einer beliebigen Quelle aufgeführt ist, aber dieser Connector lauscht am TCP-Port 2525, sodass er keinen Konflikt mit dem Empfangsconnector im Front-End-Transportdienst verursacht. Darüber hinaus verwenden nur andere Transportdienste und Exchange-Server in Ihrer Organisation diesen Empfangsconnector, sodass die Authentifizierungs- und Verschlüsselungsmethoden entsprechend festgelegt sind.

    Weitere Informationen finden Sie unter Mail flow and the transport pipeline und Während der Installation erstellte Standardempfangsconnectors.

  • Nach Erstellung des dedizierten Empfangsconnectors müssen Sie die zugehörigen Berechtigungen bearbeiten, um anonymes Relay nur für durch die IP-Adressen angegebenen Netzwerkhosts zuzulassen. Die Netzwerkhosts benötigen mindestens die folgenden Berechtigungen für den Empfangsconnector, um Nachrichten anonym per Relay weiterzuleiten:

    • ms-Exch-Accept-Headers-Routing

    • ms-Exch-SMTP-Accept-Any-Recipient

    • ms-Exch-SMTP-Accept-Any-Sender

    • ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

    • ms-Exch-SMTP-Submit

      Weitere Informationen zu Berechtigungen für Empfangsconnectors finden Sie unter Berechtigungsgruppen für Empfangsconnectors und Empfangsconnectorberechtigungen.

      Es gibt zwei verschiedene Methoden zum Konfigurieren der Berechtigungen, die für die anonyme Weiterleitung per Relay für einen Empfangsconnector erforderlich sind. Diese Methoden werden in der folgenden Tabelle beschrieben.

Methode Gewährte Berechtigungen Vorteile Nachteile
Fügen Sie die Berechtigungsgruppe Anonyme Benutzer (Anonymous) zum Empfangsconnector und die Ms-Exch-SMTP-Accept-Any-Recipient Berechtigung dem NT AUTHORITY\ANONYMOUS LOGON Sicherheitsprinzipal für den Empfangsconnector hinzu. Verbindungen verwenden den NT AUTHORITY\ANONYMOUS LOGON Sicherheitsprinzipal mit den folgenden Berechtigungen:
  • ms-Exch-Accept-Headers-Routing
  • ms-Exch-SMTP-Accept-Any-Recipient
  • ms-Exch-SMTP-Accept-Any-Sender
  • ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
  • ms-Exch-SMTP-Submit
 Gewährt die minimalen erforderlichen Berechtigungen für anonymes Relay. Schwieriger zu konfigurieren (Verwendung der Exchange-Verwaltungsshell erforderlich).

Die Netzwerkhosts werden als anonyme Absender betrachtet. Nachrichten umgehen keine Antispam- oder Nachrichtengrößenbeschränkungsprüfungen, und die E-Mail-Adresse des Absenders kann nicht in den entsprechenden Anzeigenamen (falls vorhanden) in der globalen Adressliste aufgelöst werden.
Fügen Sie dem Empfangsconnector die Berechtigungsgruppe Exchange-Server (ExchangeServers) und den extern gesicherten (ExternalAuthoritative) Authentifizierungsmechanismus hinzu. Verbindungen verwenden den MS Exchange\Externally Secured Servers Sicherheitsprinzipal mit den folgenden Berechtigungen:
  • ms-Exch-Accept-Headers-Routing
  • ms-Exch-Bypass-Anti-Spam
  • ms-Exch-Bypass-Message-Size-Limit
  • ms-Exch-SMTP-Accept-Any-Recipient
  • ms-Exch-SMTP-Accept-Any-Sender
  • ms-Exch-SMTP-Accept-Authentication-Flag
  • ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
  • ms-Exch-SMTP-Accept-Exch50
  • ms-Exch-SMTP-Submit
 Einfacher zu konfigurieren (Verwendung von Exchange-Verwaltungskonsole ausreichend).

Die Netzwerkhosts werden als authentifizierte Absender betrachtet. Nachrichten umgehen Antispam- und Nachrichtengrößenbeschränkungsprüfungen, und die E-Mail-Adresse des Absenders kann in einen entsprechenden Anzeigenamen in der globalen Adressliste aufgelöst werden.

 Gewährt die Berechtigungen dazu, Nachrichten so zu übermitteln, als würden sie von internen Absendern innerhalb der Exchange-Organisation stammen. Die Netzwerkhosts werden als vollkommen vertrauenswürdig betrachtet, unabhängig von Volumen, Größe oder Inhalt der Nachrichten, die diese senden.

Letztendlich müssen Sie entscheiden, welcher Ansatz den Anforderungen Ihrer Organisation am besten entspricht. Im Folgenden wird die Konfiguration beider Methoden erläutert. Denken Sie daran, nur eine Methode zu verwenden, nicht beide gleichzeitig.

Was sollten Sie wissen, bevor Sie beginnen?

  • Geschätzte Zeit bis zum Abschließen dieser Aufgabe: 10 Minuten.

  • Einige dieser Verfahren erfordern die Exchange-Verwaltungsshell. Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Open the Exchange Management Shell.

  • Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Empfangsconnectors" im Thema Berechtigungen für den Nachrichtenfluss.

  • Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.

Tipp

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Sie finden die Foren unter folgenden Links: Exchange Server, Exchange Online oder Exchange Online Protection.

Schritt 1: Erstellen eines Empfangsconnectors für anonymes Relay

Sie können den Empfangsconnector im EAC oder in der Exchange-Verwaltungsshell erstellen.

Verwenden vom EAC zum Erstellen eines Empfangsconnectors für anonymes Relay

  1. Navigieren Sie im EAC zu Nachrichtenfluss>Empfangsconnectors, und klicken Sie dann auf Symbol Hinzufügen hinzufügen. Der Assistent für neue Empfangsconnectors wird gestartet.

  2. Geben Sie auf der ersten Seite die folgenden Informationen ein:

    • Name: Geben Sie einen beschreibenden Namen für den Empfangsconnector ein, z. B. Anonymes Relay.

    • Rolle: Wählen Sie Front-End-Transport aus.

    • Typ: Wählen Sie Benutzerdefiniert aus.

      Wenn Sie fertig sind, klicken Sie auf Weiter.

  3. Führen Sie auf der nächsten Seite im Abschnitt Netzwerkadapterbindungen eine der folgenden Aktionen aus:

    • Akzeptieren Sie den vorhandenen Eintrag (Alle verfügbaren IPv4) für Port 25, wenn der Exchange-Server über einen Netzwerkadapter verfügt und interner und externer Datenverkehr nicht anhand unterschiedlicher Subnetze aufgeteilt wird.

    • Wenn der Exchange-Server über einen internen und einen externen Netzwerkadapter verfügt und interner und externer Netzwerkdatenverkehr anhand unterschiedlicher Subnetze aufgeteilt wird, können Sie die Sicherheit für den Connector weiter erhöhen, indem Sie die Verwendung des Connectors für Anforderungen einschränken, die vom internen Netzwerkadapter stammen. Gehen Sie dazu wie folgt vor:

      1. Wählen Sie den vorhandenen Eintrag (Alle verfügbaren IPv4)-Einträge aus, klicken Sie auf EntfernenSymbol Entfernen, und klicken Sie dann auf Hinzufügen Symbol Hinzufügen.

      2. Wählen Sie im darauf folgenden Dialogfeld Netzwerkadapterbindungen die Option Geben Sie eine IPv4- oder IPv6-Adresse an, und geben Sie eine gültige und verfügbare IP-Adresse ein, die für den internen Netzwerkadapter konfiguriert ist, und klicken Sie dann auf Speichern.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  4. Führen Sie auf der nächsten Seite im Abschnitt Remotenetzwerkeinstellungen die folgenden Schritte aus:

    1. Wählen Sie den vorhandenen Eintrag 0.0.0.0-255.255.255.255 aus, klicken Sie dann auf Entfernen Symbol entfernen.Klicken Sie dann auf Hinzufügen Symbol hinzufügen.

    2. Geben Sie im resultierenden Dialogfeld Remoteadresseneinstellungen eine IP-Adresse oder einen IP-Adressbereich ein, die die zulässigen Netzwerkhosts mit diesem Connector identifiziert, und klicken Sie dann auf Speichern. Sie können diesen Schritt wiederholen, um mehrere IP-Adressen oder IP-Adressbereiche hinzuzufügen. Fehler auf der Seite, zu spezifisch zu sein, anstatt zu allgemein, um die Netzwerkhosts eindeutig zu identifizieren, die diesen Connector verwenden dürfen.

    Klicken Sie nach Abschluss des Vorgangs auf Fertig stellen.

Verwenden der Exchange-Verwaltungsshell zum Erstellen eines Empfangsconnectors für anonymes Relay

Verwenden Sie zum Erstellen des gleichen Sendeconnectors in der Exchange-Verwaltungsshell die folgende Syntax:

New-ReceiveConnector -Name <ConnectorName> -TransportRole FrontendTransport -Custom -Bindings <LocalIPAddresses>:25 -RemoteIpRanges <RemoteIPAddresses>

In diesem Beispiel wird ein neuer Empfangsconnector mit den folgenden Konfigurationsoptionen erstellt:

  • Name: Anonymes Relay

  • Transportrolle: FrontEndTransport

  • Verwendungstyp: Benutzerdefiniert

  • Bindungen: 0.0.0.0:25 (lauscht auf eingehende Nachrichten an allen IP-Adressen, die auf allen Netzwerkadaptern auf dem Exchange-Server über TCP-Port 25 konfiguriert sind.)

  • Remote-IP-Adressen, die diesen Connector verwenden dürfen: 192.168.5.10 und 192.168.5.11

New-ReceiveConnector -Name "Anonymous Relay" -TransportRole FrontendTransport -Custom -Bindings 0.0.0.0:25 -RemoteIpRanges 192.168.5.10,192.168.5.11

Hinweise:

  • Der Parameter Bindings ist erforderlich, wenn Sie den benutzerdefinierten Verwendungstyp angeben.

  • Der Parameter RemoteIpRanges akzeptiert eine einzelne IP-Adresse, einen IP-Adressbereich (z. B 192.168.5.10-192.168.5.20. ) oder CIDR (Classless InterDomain Routing) (z. B 192.168.5.1/24. ). Es können mehrere Werte durch Kommata getrennt angegeben werden.

Schritt 2: Konfigurieren der Berechtigungen für anonymes Relay für den dedizierten Empfangsconnector

Wie bereits beschrieben, gibt es zwei verschiedene Methoden zum Konfigurieren der erforderlichen Berechtigungen für den Empfangsconnector:

  • Konfigurieren der Verbindungen als anonym

  • Konfigurieren der Verbindungen als extern gesichert

Wählen Sie eine dieser Methoden. In den Beispielen wird der Empfangsconnector mit dem Namen Anonymes Relay verwendet, den Sie im Rahmen vom Schritt 1 erstellt haben.

Konfigurieren der Verbindungen als anonym

Führen Sie die folgenden Befehle in der Exchange-Verwaltungsshell aus:

1.

Set-ReceiveConnector "Anonymous Relay" -PermissionGroups AnonymousUsers

Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

Konfigurieren der Verbindungen als extern gesichert

  1. Navigieren Sie im EAC zu Nachrichtenfluss-Empfangsconnectors>, wählen Sie den Connector Für anonyme Relays aus, und klicken Sie dann auf Bearbeiten Symbol Bearbeiten.

  2. Klicken Sie in den Eigenschaften des Connectors auf Sicherheit, und treffen Sie die folgende Auswahl:

    • Authentifizierung: Deaktivieren Sie Transport Layer Security (TLS), und wählen Sie Extern gesichert (z. B. mit IPsec) aus.

    • Berechtigungsgruppen: Wählen Sie Exchange-Server aus.

    Klicken Sie nach Abschluss des Vorgangs auf Speichern.

Führen Sie zum Durchführen derselben Schritte in der Exchange-Verwaltungsshellden folgenden Befehl aus:

Set-ReceiveConnector "Anonymous Relay" -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob Sie das anonyme Relay erfolgreich konfiguriert haben:

  • Überprüfen Sie die Konfiguration des dedizierten Empfangsconnectors.

    Get-ReceiveConnector "Anonymous Relay" | Format-List Enabled,TransportRole,Bindings,RemoteIPRanges

  • Überprüfen Sie die Berechtigungen für den dedizierten Empfangsconnector.

    Get-ADPermission "Anonymous Relay" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

    oder -

    Get-ADPermission "Anonymous Relay" -User "MS Exchange\Externally Secured Servers" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

  • Verwenden Sie Telnet zur Prüfung, ob mehr als ein angegebener Netzwerkhost eine Verbindung mit dem dedizierten Empfangsconnector herstellen kann und die anonyme Weiterleitung von Nachrichten per Relay über den Connector möglich ist. Standardmäßig ist der Telnet-Client in den meisten Client- oder Serverversionen von Microsoft Windows nicht installiert. Installationsanweisungen finden Sie unter Installieren des Telnet-Clients.

    Weitere Informationen finden Sie unter Testen der SMTP-Kommunikation auf Exchange-Servern mithilfe von Telnet.

    Wenn der Netzwerkhost ein Gerät ohne Telnet ist, können Sie vorübergehend dem Empfangsconnector die IP-Adresse eines Computers hinzufügen und diese nach Abschluss der Tests wieder entfernen.

    Für den Test benötigen Sie die folgenden Werte:

    • Ziel: Dies ist die IP-Adresse oder der FQDN, die Sie zum Herstellen einer Verbindung mit dem dedizierten Empfangsconnector verwenden. Dies ist wahrscheinlich die IP-Adresse des Postfachservers, auf dem der Empfangsconnector definiert ist. Dies bezieht sich auf die Eigenschaft Netzwerkadapterbindungen (oder den Bindings-Parameter ), den Sie für den Connector konfiguriert haben. Sie müssen den gültigen Wert für Ihre Umgebung verwenden. In diesem Beispiel verwenden wir 10.1.1.1.

    • E-Mail-Adresse des Absenders: Sie konfigurieren wahrscheinlich die Server oder Geräte, die E-Mails anonym weiterleiten, um eine sendende E-Mail-Adresse zu verwenden, die sich in einer autoritativen Domäne für Ihre Organisation befindet. In diesem Beispiel verwenden chris@contoso.comwir .

    • E-Mail-Adresse des Empfängers: Verwenden Sie eine gültige E-Mail-Adresse. In diesem Beispiel verwenden kate@fabrikam.comwir .

    • Betreff der Nachricht: Test

    • Nachrichtentext: Dies ist eine Testnachricht

    1. Öffnen Sie ein Eingabeaufforderungsfenster, geben Sie telnet ein, und drücken Sie die EINGABETASTE.

    2. Geben Sie set localecho ein, und drücken Sie die EINGABETASTE.

    3. Geben Sie OPEN 10.1.1.1 25 ein, und drücken Sie die EINGABETASTE.

    4. Geben Sie EHLO ein, und drücken Sie die EINGABETASTE.

    5. Geben Sie MAIL FROM:chris@contoso.comein, und drücken Sie dann die EINGABETASTE.

    6. Geben Sie RCPT TO:kate@fabrikam.com ein, und drücken Sie dann die EINGABETASTE.

      • Wenn Sie die Antwort 250 2.1.5 Recipient OKerhalten, lässt der Empfangsconnector anonymes Relay vom Netzwerkhost zu. Fahren Sie mit dem nächsten Schritt fort, um den Sendevorgang der Testnachricht abzuschließen.

      • Wenn Sie die Antwort 550 5.7.1 Unable to relayerhalten, lässt der Empfangsconnector kein anonymes Relay vom Netzwerkhost zu. Wenn dies der Fall ist, führen Sie folgenden Schritte aus:

        • Stellen Sie sicher, dass Sie eine Verbindung mit der richtigen IP-Adresse oder dem vollqualifizierten Domänennamen für den dedizierten Empfangsconnector herstellen.

        • Stellen Sie sicher, dass der Computer, auf dem Sie Telnet ausführen, den Empfangsconnector verwenden darf.

        • Überprüfen Sie die Berechtigungen für den Empfangsconnector.

    7. Geben Sie DATA ein, und drücken Sie dann die EINGABETASTE.

      Sie sollten eine Antwort erhalten, die wie folgt aussieht:

      354 Start mail input; end with <CLRF>.<CLRF>

    8. Geben Sie Betreff: Test ein, und drücken Sie die EINGABETASTE.

    9. Drücken Sie die EINGABETASTE erneut.

    10. Geben Sie Dies ist eine Textnachricht. ein, und drücken Sie dann die EINGABETASTE.

    11. Drücken Sie die EINGABETASTE, geben Sie einen Punkt (.) ein, und drücken Sie dann die EINGABETASTE.

      Sie sollten eine Antwort erhalten, die wie folgt aussieht:

      250 2.6.0 <GUID> Queued mail for delivery

    12. Um die Verbindung mit dem SMTP-Server zu trennen, geben Sie QUIT ein, und drücken Sie dann die EINGABETASTE.

      Sie sollten eine Antwort erhalten, die wie folgt aussieht:

      221 2.0.0 Service closing transmission channel

    13. Um Ihre Telnet-Sitzung zu schließen, geben Sie quit ein und drücken dann die EINGABETASTE.

  • Wenn anonymes Relay gelegentlich funktioniert, müssen Sie möglicherweise die Grenzwerte für die Nachrichtenrate und die Einschränkungsgrenzwerte für den Empfangsconnector ändern. Weitere Informationen finden Sie unter Nachrichteneinschränkungen für Empfangsconnectors.