How to Configure Application Servers to Relay Through Exchange 2007

  • Artikel

 

Gilt für: Exchange Server 2007 SP3

Letztes Änderungsdatum des Themas: 2009-08-14

In einigen Umgebungen müssen Sie ggf. einem Anwendungsserver erlauben, E-Mail-Nachrichten über einen Servercomputer mit Exchange mittels Relay weiterzuleiten. Dies kann der Fall sein, wenn Sie einen SharePoint-Server, eine CRM-Anwendung wie z. B. Dynamics oder eine Website verwenden, die E-Mail-Nachrichten an Ihre Angestellten oder Kunden sendet.

Wenn Sie Ihre Anwendung für erfolgreiches Relay über einen Servercomputer mit Exchange konfigurieren, wird die Fehlermeldung "550 5.7.1 Kein Relay möglich." verhindert.

Sie können eines der folgenden Verfahren verwenden, damit ein Anwendungsserver Relay über Exchange 2007 ausführt:

  • Aktivieren von Computern, die Exchange 2007-Benutzer authentifizieren können, für das Relay von Nachrichten.

  • Erstellen eines benutzerdefinierten Empfangsconnectors für Computer, die Exchange 2007-Benutzer nicht authentifizieren können.

Aktivieren von Computern, die Exchange-Benutzer automatisch authentifizieren können, für das Relay von Nachrichten

Standardmäßig ist Exchange 2007 so konfiguriert, dass E-Mail nur von Hosts angenommen und weitergeleitet wird, die Exchange-Benutzer authentifizieren können. Der "Standard-" und der "Client"empfangsconnector sind auf diese Weise konfiguriert. Authentifizierung ist die einfachste Methode, mit der Benutzern die Übermittlung von Nachrichten erlaubt werden kann, und diese Methode wird in vielen Fällen bevorzugt.

Die Gruppe ExchangeUsers erlaubt authentifizierten Benutzern die Übermittlung und Weiterleitung von Nachrichten. Die folgenden Berechtigungen werden der Gruppe ExchangeUsers erteilt:

  • NT AUTHORITY\Authenticated Users {ms-Exch-SMTP-Submit}

  • NT AUTHORITY\Authenticated Users {ms-Exch-Accept-Headers-Routing}

  • NT AUTHORITY\Authenticated Users {ms-Exch-Bypass-Anti-Spam}

  • NT AUTHORITY\Authenticated Users {ms-Exch-SMTP-Accept-Any-Recipient}

Sie System-Zugriffssteuerungsliste (System Access Control List), die den Relayvorgang steuert, ist ms-Exch-SMTP-Accept-Any-Recipient.

Erstellen eines benutzerdefinierten Empfangsconnectors für Computer, die Exchange-Benutzer nicht authentifizieren können

Für Computer, die Exchange 2007-Benutzer nicht authentifizieren können, müssen Sie einen neuen benutzerdefinierten Empfangsconnector erstellen. Der benutzerdefinierte Empfangsconnector ähnelt einer Protokollüberwachung und wird verwendet, um Benutzer mit Exchange zu authentifizieren. Das am häufigsten verwendete Beispiel ist ein Anwendungsserver, der Nachrichten mittels Relay über Exchange weiterleiten muss. Sie müssen einen neuen Empfangsconnector erstellen, weil Sie die Remote-IP-Adressen einschließen möchten, die Sie zulassen wollen.

So erstellen Sie einen benutzerdefinierten Empfangsconnector

  1. Öffnen Sie die Exchange-Verwaltungskonsole. Führen Sie einen der folgenden Schritte aus:

    • Wählen Sie auf einem Computer, auf dem die Serverfunktion Edge-Transport installiert ist, Edge-Transport aus, und klicken Sie dann auf die Registerkarte Empfangsconnectors.

    • Erweitern Sie zum Erstellen eines Empfangsconnectors auf einem Hub-Transport-Server in der Konsolenstruktur den Knoten Serverkonfiguration, und wählen Sie dann Hub-Transport aus. Wählen Sie im Ergebnisbereich den Server aus, auf dem der Connector erstellt werden soll, und klicken Sie dann auf die Registerkarte Empfangsconnectors.

  2. Klicken Sie im Aktionsbereich auf Neuer Empfangsconnector. Der Assistent für neue SMTP-Empfangsconnectors wird gestartet.

  3. Geben Sie auf der Seite Einführung in das Feld Name einen aussagekräftigen Namen für diesen Connector ein. Dieser Name wird zum Identifizieren des Connectors verwendet.

  4. Wählen Sie Benutzerdefiniert im Feld Wählen Sie die vorgesehene Verwendung für diesen Empfangsconnector aus aus, um einen angepassten Connector zu erstellen, über den eine Verbindung mit Systemen hergestellt werden kann, die Exchange Server nicht ausführen.

  5. Klicken Sie dann auf Weiter.

  6. Geben Sie auf der Seite Remote-Netzwerkeinstellungen die IP-Adresse bzw. den IP-Adressbereich der Remoteserver ein, von denen der Connector eingehende Verbindungen akzeptieren soll. Verwenden Sie zum Hinzufügen der Remote-IP-Adresse bzw. des Remote-IP-Adressbereichs eine der folgenden Methoden:

    • Klicken Sie auf Hinzufügen oder auf den Dropdownpfeil neben Hinzufügen, und wählen Sie dann IP-Adresse aus, um eine IP-Adresse oder ein Subnetz ohne Subnetmask anzugeben oder um die Subnetmask mithilfe von CIDR-Schreibweise (Classless Interdomain Routing) anzugeben.

    • Geben Sie die IP-Adresse im Dialogfeld IP-Adresse(n) von Remoteservern hinzufügen mithilfe einer der folgenden Methoden ein:

      Geben Sie eine IP-Adresse ohne eine Subnetmask ein. Geben Sie z. B. 192.168.100.1 ein. Wenn Sie keine Subnetmask mithilfe von CIDR-Schreibweise angeben, wird von der klassenbehafteten Standardsubnetmask ausgegangen.

      Geben Sie mithilfe der CIDR-Schreibweise eine IP-Adresse ein. Geben Sie z. B. 192.168.1.0/24 ein.

    • Klicken Sie zum Eingeben einer IP-Adresse oder eines Subnetzes zusammen mit einer Subnetmask in punktierter Dezimalschreibweise auf den Dropdownpfeil neben Hinzufügen, und wählen Sie dann IP und Mask aus. Geben Sie im Dialogfeld Remoteserver hinzufügen - IP und Mask die IP-Adresse und die Subnetmask mithilfe der folgenden Syntax ein:

      IP-Adresse   Geben Sie z. B. 192.168.1.0 ein.

      Subnetmask   Geben Sie z. B. 255.255.255.0 ein.

    • Klicken Sie zum Angeben eines IP-Adressbereichs mithilfe der ersten IP-Adresse und der letzten IP-Adresse im Bereich auf den Pfeil neben Hinzufügen, und wählen Sie dann IP-Bereich aus. Geben Sie im Dialogfeld Remoteserver hinzufügen – IP-Bereich die IP-Adresse und die Subnetmask mithilfe der folgenden Syntax ein:

      Startadresse   Geben Sie z. B. 192.168.1.1 ein.

      Endadresse   Geben Sie z. B. 192.168.255.255 ein.

      Da Sie keine Subnetmask angeben können, wird von der klassenbehafteten Standardsubnetmask ausgegangen.

  7. Klicken Sie nach Abschluss des Vorgangs auf OK und dann auf Weiter.

  8. Überprüfen Sie auf der Seite Neuer Connector die Konfigurationszusammenfassung für den Connector. Wenn Sie die Einstellungen ändern möchten, klicken Sie auf Zurück. Um den Empfangsconnector mit den in der Konfigurationszusammenfassung angezeigten Einstellungen zu erstellen, klicken Sie auf Neu.

  9. Klicken Sie auf der Seite Fertigstellung auf Fertig stellen.

Erstellen eines extern gesicherten Connectors für den benutzerdefinierten Empfangsconnector

Das Erstellen eines extern gesicherten Connectors für den neuen Empfangsconnector wird meistens dann bevorzugt, wenn eine Anwendung E-Mail-Nachrichten an interne Benutzer übermittelt und E-Mail-Nachrichten mittels Relay an das Internet weiterleitet.

Bevor Sie diesen Connector erstellen können, müssen Sie die Berechtigungsgruppe Exchange-Server aktivieren.

Hinweis

Sie müssen die folgenden Schritte in der angegebenen Reihenfolge ausführen.

So erstellen Sie einen extern gesicherten Connector für den benutzerdefinierten Empfangsconnector

  1. Klicken Sie mit der rechten Maustaste auf den neuen Connector, klicken Sie auf Eigenschaften, klicken Sie auf die Registerkarte Berechtigungsgruppen, und wählen Sie dann Exchange-Server aus.

  2. Klicken Sie auf die Registerkarte Authentifizierung, und klicken Sie dann, um das Kontrollkästchen Extern gesichert zu aktivieren.

Wenn Sie diese Einstellung konfigurieren, erteilen Sie verschiedene Rechte, z. B. das Recht Senden im Auftrag von Benutzern in Ihrer Organisation, und das Recht ResolveP2 (die Nachricht so erscheinen lassen, als ob sie innerhalb der Organisation und nicht anonym gesendet wurde). Mithilfe dieser Einstellung können Sie auch Antispamfilter und Größeneinschränkungen umgehen. Die Standardberechtigungen für Extern gesichert lauten folgendermaßen:

  • MS Exchange\Externally Secured Servers {ms-Exch-SMTP-Accept-Authoritative-Domain}

  • MS Exchange\Externally Secured Servers {ms-Exch-Bypass-Anti-Spam}

  • MS Exchange\Externally Secured Servers {ms-Exch-Bypass-Message-Size-Limit}

  • MS Exchange\Externally Secured Servers {ms-Exch-SMTP-Accept-Exch50}

  • MS Exchange\Externally Secured Servers {ms-Exch-Accept-Headers-Routing}

  • MS Exchange\Externally Secured Servers {ms-Exch-SMTP-Submit}

  • MS Exchange\Externally Secured Servers {ms-Exch-SMTP-Accept-Any-Recipient}

  • MS Exchange\Externally Secured Servers {ms-Exch-SMTP-Accept-Authentication-Flag}

  • MS Exchange\Externally Secured Servers {ms-Exch-SMTP-Accept-Any-Sender}

Erteilen anonymer Berechtigungen für den benutzerdefinierten Empfangsconnector

Diese Option erteilt die minimal erforderlichen Berechtigungen an die übermittelnde Anwendung. Mit dem benutzerdefinierten Empfangsconnector, den Sie zuvor erstellt haben, können Sie dem anonymen Konto die Berechtigung ms-Exch-SMTP-Accept-Any-Recipient erteilen.

So erteilen Sie dem benutzerdefinierten Empfangsconnector anonyme Berechtigungen

  1. Klicken Sie mit der rechten Maustaste auf den neuen Connector, klicken Sie auf Eigenschaften, klicken Sie auf die Registerkarte Berechtigungsgruppen, und wählen Sie dann Anonyme Benutzer aus.

    Auf diese Weise erteilen Sie dem anonymen Konto die meisten Berechtigungen. Die Relayberechtigung wird jedoch nicht erteilt. Dieser Schritt muss mithilfe der Exchange-Verwaltungsshell ausgeführt werden.

  2. Klicken Sie im Menü Start auf Alle Programme, dann auf Microsoft Exchange Server 2007 und anschließend auf Exchange-Verwaltungsshell.

  3. Geben Sie an der Eingabeaufforderung Folgendes ein, und drücken Sie dann die EINGABETASTE:

    Get-ReceiveConnector "CRM Application" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "ms-Exch-SMTP-Accept-Any-Recipient"