SMTP 25 Einschränku...
 
Benachrichtigungen
Alles löschen

SMTP 25 Einschränkung

3 Beiträge
3 Benutzer
0 Reactions
4,180 Ansichten
(@gallahead)
Eminent Member
Beigetreten: Vor 4 Jahren
Beiträge: 15
Themenstarter  

Hallo zusammen,

ich hänge leider bei dem Thema SMTP fest und bin mittlerweile echt frustiert. Ich hoffe ihr könnt mir einen Tipp für die Lösung geben.

Ich habe vor meinem Exchange Server einen Mailproxy stehen. Dieser übernimmt die Überprüfung für Auth. SMTP auf Port 587 über LDAP. Anfragen mit gültigen Nutzerdaten werden durchgestellt, ansonsten abgewiesen. Das klappt auch.

Auch Port 25 geht über diesen Proxy. Port 25 soll natürlich als Tür für andere Mailserver offen bleiben, um mich nicht von der Außenwelt abzuscheiden. Leider habe ich mir irgendwie ein anonymes Relay gebaut, was ich nicht ganz verstehe. Der Proxy routet die Verbindung für Port 25 ohne weiteres zum Exchange durch. Wieso kommt Exchange überhaupt auf die Idee im Namen von Domains Mails zu versenden, wenn dieser nicht für diese Domains zuständig ist, bzw. der Nutzer nicht existiert? Ich möchte natürlich nur authentifizierten Nutzern das Senden über die Exchange Umgebung erlauben. Eigentlich will ich auch über Port 25 keine Nachrichten von Benutzern meiner Domains erhalten. Nur meine Exchange Umgebung darf im Namen meiner Domains senden. Alles andere muss Spoofing sein und kann eigentlich direkt in die Mülltonne.

Es gibt nur einen Empfangsconnector für Port 25:

RunspaceId                                : a913634d-e4ca-4173-b889-d78803c6070b
AuthMechanism                             : Tls, ExternalAuthoritative
Banner                                    :
BinaryMimeEnabled                         : True
Bindings                                  : {0.0.0.0:25}
ChunkingEnabled                           : True
DefaultDomain                             :
DeliveryStatusNotificationEnabled         : True
EightBitMimeEnabled                       : True
SmtpUtf8Enabled                           : True
BareLinefeedRejectionEnabled              : False
DomainSecureEnabled                       : False
EnhancedStatusCodesEnabled                : True
LongAddressesEnabled                      : False
OrarEnabled                               : False
SuppressXAnonymousTls                     : False
ProxyEnabled                              : False
AdvertiseClientSettings                   : False
Fqdn                                      : EX02EX.EX.local
ServiceDiscoveryFqdn                      :
TlsCertificateName                        :
Comment                                   :
Enabled                                   : True
ConnectionTimeout                         : 00:10:00
ConnectionInactivityTimeout               : 00:05:00
MessageRateLimit                          : Unlimited
MessageRateSource                         : IPAddress
MaxInboundConnection                      : 5000
MaxInboundConnectionPerSource             : 20
MaxInboundConnectionPercentagePerSource   : 2
MaxHeaderSize                             : 256 KB (262,144 bytes)
MaxHopCount                               : 60
MaxLocalHopCount                          : 12
MaxLogonFailures                          : 3
MaxMessageSize                            : 36 MB (37,748,736 bytes)
MaxProtocolErrors                         : 5
MaxRecipientsPerMessage                   : 200
PermissionGroups                          : ExchangeServers
PipeliningEnabled                         : True
ProtocolLoggingLevel                      : Verbose
RemoteIPRanges                            : {172.16.44.41}
RequireEHLODomain                         : False
RequireTLS                                : False
EnableAuthGSSAPI                          : False
ExtendedProtectionPolicy                  : None
LiveCredentialEnabled                     : False
TlsDomainCapabilities                     : {}
Server                                    : EX02EX
TransportRole                             : HubTransport
RejectReservedTopLevelRecipientDomains    : False
RejectReservedSecondLevelRecipientDomains : False
RejectSingleLabelRecipientDomains         : False
AcceptConsumerMail                        : False
SizeEnabled                               : Enabled
TarpitInterval                            : 00:00:05
AuthTarpitInterval                        : 00:00:05
MaxAcknowledgementDelay                   : 00:00:30
AdminDisplayName                          :
ExchangeVersion                           : 0.1 (8.0.535.0)
Name                                      : SMTP 25 EX02EX
DistinguishedName                         : CN=SMTP 25 EX02EX,CN=SMTP Receive Connectors,CN=Protocols,CN=EX02EX,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=EX,CN=Microsoft
                                            Exchange,CN=Services,CN=Configuration,DC=EX,DC=local
Identity                                  : EX02EX\SMTP 25 EX02EX
Guid                                      : 00790043-e3fd-4da2-b3e7-d35214c71de2
ObjectCategory                            : EX.local/Configuration/Schema/ms-Exch-Smtp-Receive-Connector
ObjectClass                               : {top, msExchSmtpReceiveConnector}
WhenChanged                               : 03.10.2021 19:13:08
WhenCreated                               : 03.10.2021 19:01:58
WhenChangedUTC                            : 03.10.2021 17:13:08
WhenCreatedUTC                            : 03.10.2021 17:01:58
OrganizationId                            :
Id                                        : EX02EX\SMTP 25 EX02EX
OriginatingServer                         : EX02AD.EX.local
IsValid                                   : True
ObjectState                               : Unchanged

 

Habe ihr einen Ansatz?

 

Liebe Grüße :)

 


   
Zitat
NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1597
 
Veröffentlicht von: @gallahead

Ich habe vor meinem Exchange Server einen Mailproxy stehen.

Was steht denn da?

Veröffentlicht von: @gallahead

Leider habe ich mir irgendwie ein anonymes Relay gebaut, was ich nicht ganz verstehe.

Wenn vor deinem Exchange was steht, warum leitet der denn was weiter, was nicht zu dir soll?

Veröffentlicht von: @gallahead

Der Proxy routet die Verbindung für Port 25 ohne weiteres zum Exchange durch.

Wenn man jetzt wüßte, was dein Proxy ist und was er tut, könnte man da auch evtl. ansetzen.

 

Veröffentlicht von: @gallahead

Wieso kommt Exchange überhaupt auf die Idee im Namen von Domains Mails zu versenden, wenn dieser nicht für diese Domains zuständig ist, bzw. der Nutzer nicht existiert?

Weil der Exchange per Bordmitteln erstens keinen sinnvollen Empfängerfilter hat (der der dabei ist, ist nur auf Edge Servern funktional und verursacht auf Mailboxservern definitiv Probleme). Der SMTP Frontend ReceiveConnector nimmt erstmal alles an (für seine Domains) und erst später wird entschieden ob der Empfänger überhaupt existiert. Beste Variante also um auf Backscatterlists zu landen. Deswegen lehnt man sowas schon vorher ab.

Veröffentlicht von: @gallahead

AuthMechanism : Tls, ExternalAuthoritative

Zusätzlich hast du natürlich auch noch alles an Schutzmaßnahmen abgeschaltet was der Exchange standardmäßig aktiv hat, indem du externalauthoritative aktiviert hast (da kam ne große Warnmeldung, die du abnicken mußtest). ;)

 

Bye

Norbert


   
AntwortZitat

(@jenny)
Trusted Member
Beigetreten: Vor 4 Jahren
Beiträge: 64
 
Veröffentlicht von: @gallahead

 

Auch Port 25 geht über diesen Proxy. Port 25 soll natürlich als Tür für andere Mailserver offen bleiben, um mich nicht von der Außenwelt abzuscheiden. Leider habe ich mir irgendwie ein anonymes Relay gebaut, was ich nicht ganz verstehe. Der Proxy routet die Verbindung für Port 25 ohne weiteres zum Exchange durch. Wieso kommt Exchange überhaupt auf die Idee im Namen von Domains Mails zu versenden, wenn dieser nicht für diese Domains zuständig ist, bzw. der Nutzer nicht existiert?

 

Hi,

du hast den Receive-Connector "EX02EX\SMTP 25 EX02EX" als ExternalAuthoritative konfiguriert. D.h. Mails von dieser Quelle sind vertrauenswürdig und werden wie interne behandelt. Damit dürfen sie auch "relayen", d.h. an jemanden Senden, der nicht aus den Accepted Domains stammt.

Gruß, Jenny

 


   
AntwortZitat
Teilen: