Exchange Empfangsco...
 
Benachrichtigungen
Alles löschen

Exchange Empfangsconnector erlaubt Anonyme Anmeldung ?

3 Beiträge
3 Benutzer
0 Reactions
208 Ansichten
(@miker13)
Active Member
Beigetreten: Vor 4 Jahren
Beiträge: 4
Themenstarter  

Hallo,

 

ich habe letzte Woche einen Exchange 2016 auf 2019 migriert, und dabei ist mir aufgefallen, das der Default Frontend Empfangssconnector des Exchange, Anonyme Anmeldung zulässt.

Dachte zuerst an eine Fehlkonfiguration, und habe es mit einem anderen Exchange verglichen, da ist es genauso. 

Jetzt bin ich am rätseln ob ein Kollege hier etwas umgestellt hat, oder ob es durch einen Patch kam ?

Normal kann es eigentlich nicht sein, da wir für Geräte die Intern Mails zustellen und sich nicht authentifizieren können, extra Connectoren angelegt haben, wo nur die einzelnen IPs zugelassen sind.

Sicherheitstechnisch sehe ich die Server nicht gefährdet, da sie durch Zusatzlösungen umfassend geschützt sind, aber schön finde ich es trotzdem nicht.

Kann mir jemand dazu info's geben ?

Vielen Dank.


   
Zitat
Schlagwörter für Thema
(@dartzen)
Estimable Member
Beigetreten: Vor 4 Jahren
Beiträge: 120
 

Doch, soweit ich weiß ist das bei Exchange 2019 normal im Default-Connector, dass der Anonyme Anmeldung erlaubt. Wenn man das nicht will muss man entsprechend umkonfigurieren, bzw. empfehlen die meisten Experten sowieso, die Default Connectors nicht zu benutzen und für alle gewollten Anwendungsfälle eigene zu erstellen. 


   
AntwortZitat

NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1597
 

Der Default Frontend Connector auf Port 25 erlaubt per default anonyme Zustellung (eine Anmeldung ist es ja eben nicht). ;)

https://learn.microsoft.com/en-us/exchange/mail-flow/connectors/receive-connectors?view=exchserver-2019

Dort gibts die Tabelle mit den Default Settings für alle Connectoren.

Auf dem Default Connector sollte man definitiv keine Mails aus dem Internet zustellen. Denn erstens stimmt dort dann das Zertifikat nicht mit dem EHLO Namen überein, und zweitens sind dort bspw. noch Authentifizierungen erlaubt (Exchange Server usw.). Für Internet Zustellung also immer (auch wenn davor ein Gateway steht) einen eigenen Connector anlegen und das Logging aktivieren.

Diese r Beitrag wurde geändert Vor 3 Monaten von NorbertFe

   
AntwortZitat
Teilen: