Hello Forum,
wir haben in einer Organisation einen neuen Exchange aufgesetzt und entsprechend Frankys Anleitung eingerichtet. Vor allem sitzt eine Sophos XG. Auch diese konnten wir mittels Frankys Anleitung und den Ergänzungen von Sophos zum Laufen bekommen. Also alles fein.
Nun gibt es im hauseigenen Netzwerk einen Server, der E-Mails erzeugt und diese loswerden will. ich habe dem System als SMTP-Server den Exchange mitgeteilt und auf dem Exchange-Server (im AD) einen Benutzer mit Passwort angelegt. Mit diesen Benutzerdaten authentifiziert sich der andere Server an dem Exchange und liefert die Mails ab. Der Exchange soll dann diese Mails alle beim Provider abliefern.
Nun werden allerdings nur E-Mails weitergeleitet, die der eigenen Exchange-Server-Domain entsprechen. Mailadressen außerhalb der eigenen Domain werden nicht weitergeleitet. Ich kann im Vorwege nicht sagen, ob die schon beim Einliefern auf den Exchange abgelehnt werden, oder einfach nur die interne Domain nicht verlassen.
Nennt sich sowas Relay-Server? Muß ich dem Exchange-Server erlauben, auch E-Mails anderer Domains zu akzeptieren?
Freue mich auf eine Antwort.
MfG
Christoph
Hi,
wenn du willst, dass euer Exchange Mails von anderen Systemen annimmt, würde ich einen separaten Empfangsconnector einrichten und diesen ip-seitig auf die IP(s) vom abgebenden Server einschränken.
Dann musst du für diesen Connector noch das Relaying ansich erlauben, sonst ist schon beim der Verbindungsaufbau Schluss (relay access denied)
Siehe Link zu Franks Artikel, der die Einrichtung beschreibt:
https://www.frankysweb.de/exchange-20102007-relay-ohne-authentifizierung-erlauben/
Wenn du aber auch Mails anderer Domänen versendest, bedenke die Anpassung von SPF Records und DMARC, sofern vorhanden. Sonst lehnen dir manche Provider die Mailannahme ab, wenn eine andere Public IP versendet als die, die im SPF steht. Ebenso, falls der Exchange Rückläufer annehmen soll, muss er die Domäne(n) als accepted Domain im Bauch haben, sonst lehnt er die Annahme ab.
Greetings,
Ralf
Hallo Monthy,
ich habe auf dem DC einen Benutzer 'mueller' mit Passwort angelegt. Damit hat er die E-Mailadresse 'mueller@domäne1.de'. Das andere System erzeugt E-Mails an Benutzer der Domäne 'domäne1' und auch an Benutzer einer externen 'Domäne2.de' und 'Domäne3.de'. Er liefert auf Port 25 die E-Mails an den Exchange-Server und authentifiziert sich mit 'mueller' und dem zugehörigen Passwort.
Die E-Mails an die hauseigene Domäne werden zugestellt, die an die beiden externen Domänen nicht.
Wenn ich das so richtig deute, dann werden die Mails vom Exchange ja scheinbar angenommen. In den Transport-Logs der Firewall finde ich keine Hinweise auf ausgehende Mails an die beiden externen Domänen.
Nun könnte es ja sein, daß entweder a) der Exchange schon das Einliefern der externen Mails ablehnt oder aber b) das Absenden verweigert.
Ich habe nach obigem Link einen Empfangsconnector angelegt und auch den Shell-Befehl (für deutsche Server) abgesetzt. Muß der Server oder der Transportdienst neu gestartet werden?
In welchen Logs könnte ich nachsehen, wo die externen Mails bleiben?
Besten Dank im voraus.
Greetings
Christoph
Hi,
du musst ja erstmal "sehen", ob der einliefernde Server den passenden Connector nutzt, sprich ob du ihn korrekt konfiguriert hast. Dies wäre in deinem Fall vom Typ her ein Frontend Connector und dann musst du unbedingt den Scope auf die IP des abgebenden Systems eingrenzen und nicht irgendein komplettes Subnetz erlauben.
Schalte daher das Logging auf dem neuen Connector ein, starte die Transport Services durch und schaue ins Transport Log -> SMTPReceive, also eingehende Verbindungen. Wenn du nun vom abgebenden Server ein Telnet für Port 25 machst, sollte das der Exchange loggen und dann siehst du auch, ob der richtige Connector genutzt wird:
Bsp: (hier wird der Default Frontend Connector genutzt. Bei dir sollte dann der Name deines neu angelegten Connectors stehen.
Exchange nutzt immer den Connector, der am besten vom Scope her passt. Sprich, wenn die IP/der Bereich im Connector mit der IP des abgebenden Systems matched oder in dessen Bereich liegt, dann wird dieser Connector genutzt. Ansonsten Fallback auf Default Connector.
!Bedenke, dass durch das Absetzen des Befehls für -> diesen Connector <- Exchange alle Mails annimmt und auch nach extern versendet. Sprich, wenn da ein IP Bereich erlaubt ist, kann jeder in diesem Bereich an dem Server Mails abgeben = Potential für Open Relay = doof.!
Bonne Chance
