Hallo,
ich habe letzte Woche einen Exchange 2016 auf 2019 migriert, und dabei ist mir aufgefallen, das der Default Frontend Empfangssconnector des Exchange, Anonyme Anmeldung zulässt.
Dachte zuerst an eine Fehlkonfiguration, und habe es mit einem anderen Exchange verglichen, da ist es genauso.
Jetzt bin ich am rätseln ob ein Kollege hier etwas umgestellt hat, oder ob es durch einen Patch kam ?
Normal kann es eigentlich nicht sein, da wir für Geräte die Intern Mails zustellen und sich nicht authentifizieren können, extra Connectoren angelegt haben, wo nur die einzelnen IPs zugelassen sind.
Sicherheitstechnisch sehe ich die Server nicht gefährdet, da sie durch Zusatzlösungen umfassend geschützt sind, aber schön finde ich es trotzdem nicht.
Kann mir jemand dazu info's geben ?
Vielen Dank.
Doch, soweit ich weiß ist das bei Exchange 2019 normal im Default-Connector, dass der Anonyme Anmeldung erlaubt. Wenn man das nicht will muss man entsprechend umkonfigurieren, bzw. empfehlen die meisten Experten sowieso, die Default Connectors nicht zu benutzen und für alle gewollten Anwendungsfälle eigene zu erstellen.
Der Default Frontend Connector auf Port 25 erlaubt per default anonyme Zustellung (eine Anmeldung ist es ja eben nicht). ;)
Dort gibts die Tabelle mit den Default Settings für alle Connectoren.
Auf dem Default Connector sollte man definitiv keine Mails aus dem Internet zustellen. Denn erstens stimmt dort dann das Zertifikat nicht mit dem EHLO Namen überein, und zweitens sind dort bspw. noch Authentifizierungen erlaubt (Exchange Server usw.). Für Internet Zustellung also immer (auch wenn davor ein Gateway steht) einen eigenen Connector anlegen und das Logging aktivieren.