Exchange 2007 / 2010: Anonymes Relay
Man trifft gelegentlich auf Programme oder Geräte, die ihren Status oder etwaige Berichte zwar per Mail versenden können, allerdings keinerlei Authentifizierungsmöglichkeiten unterstützen (z.B. bei der WBADMIN Mailbenachrichtigung). Dabei kann häufig nur ein SMTP Server, aber kein Benutzername und Passwort angegeben werden. Dazu gibt es an Microsofts Exchange die Möglichkeit, ein anonymes Relay einzurichten.
Ein wichtiger Hinweis vorweg: diese Möglichkeit sollte nur sehr eingeschränkt erlaubt werden, da der Connector leicht für SPAM missbraucht werden könnte. Daher sollte das anonyme Versenden nur für einzelne IPs freigegeben werden.
Für das anonyme Relay müssen wir zunächst einen neuen Empfangsconnector anlegen – das kann entweder über die Exchange Management Console oder über die Exchange Management Shell erfolgen:
Exchange Management Console
Unter Serverkonfiguration > Hub-Transport klickt man im rechten Bereich auf Neuer Empfangsconnector…
Es öffnet sich ein Fenster, in dem wir dem Connector einen aussagekräftigen Namen geben und als Verwendungszweck Intern auswählen.
Im nächsten Schritt geben wir ausschließlich die IPs der Server oder Geräte an, die anonym über den Exchange Server versenden müssen. Werden hier ganze IP-Bereiche oder Subnetze angegeben, kann der Connector schnell für SPAM missbraucht werden (bspw. über einen virenbefallenen PC im Netzwerk). Auf der Grafik ist z.B. nur die IP 192.168.2.254 zum anonymen Versenden berechtigt.
Nun legen wir in den Eigenschaften des neuen Empfangsconnectors fest, dass anonyme User den Connector benutzen dürfen:
Der letzte Schritt kann nur über die Exchange Management Shell durchgeführt werden. Wir haben bis jetzt nur erlaubt, dass sich anonyme Benutzer am Empfangsconnector authentifizieren können, allerdings können noch keine Mails versendet werden. Das erledigen wir mit folgendem Befehl auf der Exchange Management Shell:
Get-ReceiveConnector “Anonymous Relay” | Add-ADPermission -User “NT-Autorität\Anonymous-Anmeldung” -ExtendedRights “Ms-Exch-SMTP-Accept-Any-Recipient”
- bei deutschen Servern: “NT-Autorität\Anonymous-Anmeldung”
- bei englischen Servern: “NT AUTHORITY\ANONYMOUS LOGON”
Das Ergebnis sollte folgendermaßen aussehen:
Nun können die angegebenen Server und Geräte ohne Authentifizierung Mails über den Exchange Server verschicken. Wie bereits erwähnt, kann die Prozedur auch komplett über die Shell erfolgen:
Exchange Management Shell
Mit folgendem Befehl wird der Empfangsconnector angelegt:
new-ReceiveConnector -Name ‘Anonymous Relay’ -Usage ‘Internal’ -RemoteIPRanges ’192.168.2.254′ -Server ‘SRV01′
Die anonyme Anmeldung am Connector wird erlaubt:
Set-ReceiveConnector -PermissionGroups ‘AnonymousUsers’ -Identity ‘SRV01\Anonymous Relay’
Mailversand als anonymer Benutzer wird aktiviert:
Get-ReceiveConnector “Anonymous Relay” | Add-ADPermission -User “NT-Autorität\Anonymous-Anmeldung” -ExtendedRights “Ms-Exch-SMTP-Accept-Any-Recipient”
- bei deutschen Servern: “NT-Autorität\Anonymous-Anmeldung”
- bei englischen Servern: “NT AUTHORITY\ANONYMOUS LOGON”
Dieses Tutorial funktioniert bei Microsoft Exchange Server 2007 und 2010.
anonymous relay Exchange 2010
Du musst angemeldet sein, um kommentieren zu können.