Der Exchange Server unterbindet in der Grundkonfiguration das Annehmen und Weiterleiten von E-Mails anonymer Benutzer. Dieses Sicherheitsmerkmal soll verhindern, dass der E-Mail-Server als Open Relay missbraucht wird. Davon unberührt sind natürlich Empfang und Weiterleitung externer E-Mails durch den Standardempfangsconnector. Doch hier besteht die “Einschränkung”, dass nur E-Mails für konfigurierte Domänen angenommen werden. Damit der Exchange Server als Relay fungiert, muss ein neuer Empfangsconnector (Receive Connector) erstellt und entsprechend konfiguriert werden. Doch warum sollte man anonymen Benutzern das Recht einräumen, einen Exchange Server als Relay zu verwenden?
Applikationen wie bspw. Monitoring Tools bieten die Funktion, bei auftretenden Ereignissen E-Mails zu versenden. Einige Programme unterstützen jedoch keine SMTP-Authentifizierung. Sie übermitteln dem Server die E-Mail, dieser muss dann so konfiguriert sein, dass er diese auch anonym entgegennimmt. Der Exchange Server quittiert in der Standardkonfiguration diesen Versuch mit dem Fehler:
Man muss dem Exchange Server also noch beibringen diese E-Mails weiterzuleiten. Als Lösung erstellt man entweder über das GUI oder der Powershell einen neuen Receive Connector.
PS C:\> New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -PermissionGroups AnonymousUsers -Bindings 192.168.50.15:25 -RemoteIpRanges 192.168.120.0/24 -TransportRole Frontend
Über Bindings legt man fest an welcher Netzwerkschnittstelle des Exchange Servers der Konnektor lauscht. In diesem Fallbeispiel über die IP 192.168.50.15 und Port 25. Die RemoteIpRanges legen den Adressenbereich fest, die diesen Konnektor verwenden dürfen. In diesem Beispiel ist es der komplette Range 192.168.120.0/24, respektive 192.168.120.1 bis 192.168.120.254. Es werden nur E-Mails von Systemen angenommen und weitergeleitet, die in den RemoteIpRanges angegeben wurden. Die Transportrolle Frontend ist für den Mail-Empfang von SMTP-Clients zuständig.
Es ist wichtig diese Einschränkung zu verstehen und korrekt zu konfigurieren. Eine Fehlkonfiguration führt zu einem Sicherheitsrisiko und öffnet dem Missbrauch Tür und Tor. Um dem zu begegnen, ist eine dedizierte IP-Adresse nur für diesen Zweck sehr zu empfehlen. Diese kann dann durch Firewall-Regeln zusätzlich abgesichert werden.
Wird eine zusätzliche IP-Adresse verwendet, sollte sie mit dem Parameter SkipAsSource per Powershell hinzugefügt werden, um sie von der allgemeinen Serverkommunikation auszunehmen. SkipAsSouce ist auch Thema in einem Beitrag zu OWA-Verzeichnissen.
PS C:\> New-NetIPAddress -IPAddress 192.168.50.15 -InterfaceAlias "Ethernet" -SkipAsSource $true -PrefixLength 24
Exchange Server: Separate OWA Virtual Directory
Nun muss noch die Berechtigung für anonyme Benutzer gesetzt werden.
PS C:\> Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
Handelt es sich um einen deutschsprachigen Server, muss die Benutzergruppe auf deutsch angegeben werden.
PS C:\> Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT-AUTORITÄT\ANONYMOUS-ANMELDUNG" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
Abschließend startet man den Exchange Transport-Dienst neu.
PS C:\> Restart-Service MSExchangeTransport
0 Kommentare