Unfortunately, there are still applications or devices that can only send mails without authentication. This is not possible in the Exchange Server default setting. However, a new receive connector can be set up which allows anonymous relay for certain IP addresses.
On a server with an English-language operating system, the following commands can be used to create a corresponding connector:
New-ReceiveConnector -Name "Anonymous Relay" -TransportRole FrontendTransport -Custom -Bindings 0.0.0.0:25 -RemoteIpRanges 192.168.100.50, 192.168.100.51
Set-ReceiveConnector "Anonymous Relay" -PermissionGroups AnonymousUsers
Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
The commands create a new send connector with the name "Anonymous Relay" and restrict the connector to the IPs 192.168.100.50 and 192.168.100.51. Only these two IPs are therefore allowed to use the connector and send mails without authentication. Care must be taken when specifying the IPs. Only internal IPs and no network ranges should be used here, otherwise you may quickly create an open relay which can be misused by spammers.
On your server with a German-language operating system, a command is slightly different, so here are the commands for a German-language server:
New-ReceiveConnector -Name "Anonymous Relay" -TransportRole FrontendTransport -Custom -Bindings 0.0.0.0:25 -RemoteIpRanges 192.168.100.50, 192.168.100.51
Set-ReceiveConnector "Anonymous Relay" -PermissionGroups AnonymousUsers
Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT-Authority\Anonymous-Logon" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
The new connector can be tested with the following command:
Send-MailMessage -SmtpServer -From relay@domain.de -To recicpient@domain.de -Subject "TEST RELAY"
The test only works if the IP has been explicitly allowed. Additional permitted IPs can also be conveniently added via the Exchange Admin Center:
If you operate several Exchange servers, you should add the host name of the server to the name of the connector (as is the case with the other connectors).
Vielen Dank für die ausführliche und gute Anleitung.
Eine Frage bleibt bei mir übrig:
Es sieht so aus als ob der Exchange Relay Nachrichten selbst versendet. Wie kann ich es anstellen, daas auch diese per Smarthost versendet werden?
Danke vorab
Hi.
Kann so ein anonymes E-Mail Relay auch so konfiguriert werden, dass es nur intern E-Mails versenden darf?
Wenn ja, was müsste hierbei konfiguriert werden?
Dankeschön
Hi.
Was mich interessieren würde..
Weiss jemand ob man so einen Anonymen E-Mail Relay auch so einrichten könnte, dass es nur intern E-Mails ohne Authentifizierung versenden kann? Also damit soll verhindert werden, dass E-Mails nach extern versendet werden.
Danke euch.
Hallo,
das könnte klappen, indem man beim Receive-Connector dem Benutzer Anonmyous NICHT das Recht SMTPAcceptAnyRecipient (Empfänger darf beliebig sein, also auch extern) gibt aber dafür ms-exch-smtp-accept-authoritative-domain-sender (Absenderadresse gehört zu einer internen Emaildmäne) und/oder ms-exch-smtp-accept-any-sender (Absenderadresse gehört nicht zu einer internen Emaildomäne). Habe ich allerdings nicht getestet.
Jenny
Hi.
Mich würde interessieren ob dieser anonymer Relay auch auf einem Exchange Server 2016 eingerichtet werden kann.. oder ist es explizit nur für Exchange Server 2019?
Danke
Natürlich geht das genauso für Exchange 2016 und 2013.
„Leider gibt es immer noch Anwendungen oder Geräte die Mails nur ohne Authentifizierung versenden können. “ das ist doch kein Nachteil, dass man OHNE senden kann. ;) Wer will denn in zig Drucker zig verschiedene Credentials eintragen? Vor allem liegen die dann ja auch meist auf/in Systemen, die man nur schwer verwalten kann hinsichtlich Security.
Das wird aber lustig bei mehreren 100 Druckgeräten die Scan2Mail brauchen.
Wir unterteilen nur zwischen Server (intern/extern) Druckgeräten.
Hierfür gibt es eigentlich sehr schöne & sinnvolle Follow 2 Print Lösungen, welche Scan Funktionen der Geräte mit abdecken können & bspw. das komplette SMTP & SMB Handling vom Print/App Server aus steuern. Spart ungemein viel Zeit & Arbeit – Deployment neuer Printer mit zentralisierter Konfiguration geht schnell & sicher – spart Zeit & raubt der IT keine Nerven mehr :)
Der Trend in Richtung großer MFP Geräte, welche im Gang anstatt in Büros stehen macht das ganze auch nochmal deutlich einfacher.
Ich habe mir angewöhnt, für jede einzelne IP, welche einen anonymen Relay benötigt, einen eigenen – genau auf diese eine IP zugelassenen – Konnector anzulegen. Dann behält man die Übersicht, wer von wo und was per anonymes SMTP einliefert.
Das wird aber lustig bei mehreren 100 Druckgeräten die Scan2Mail brauchen.
Wir unterteilen nur zwischen Server (intern/extern) Druckgeräten.