Manche Anwendungen oder Geräte benötigen ein Anonymes Relay um Mails verschicken zu können. Hierbei muss allerdings zwischen internem Relay und externen Relay unterschieden werden. Das interne Relay, also das anonyme Senden von Mails an die von Exchange akzeptierten Domains, funktioniert Out-of-the-Box:
Das Externe Relay, also das verschicken von Mails an externe Benutzer, ohne Authentifizierung allerdings nicht:
Das anonyme externe Relay, ist auch immer mit Vorsicht zu betrachten, denn bei falscher Konfiguration kann Exchange hier schnell als SPAM-Schleuder missbraucht werden. Es gilt daher die Connectoren entsprechend einzuschränken und nur bestimmte IPs zuzulassen, nicht aber ganze Subnetze oder noch schlimmer „Jeden“.
Wie aber schon eingangs erwähnt, gibt es durchaus Anwendungen, wie Ticketsysteme oder CRMs, die Mails an externe Empfänger schicken müssen, sich aber nicht authentifizieren können. Um diesen Anwendungen oder Geräten den Mailversand zu erlauben, kann ein neuer Empfangsconnector angelegt werden:
Die Einstellungen im nächsten Dialog können übernommen werden
In den Einstellungen der „Remotenetzwerkeinstellungen“ müssen jetzt alle IP-Adressen hinzugefügt werden, für die das anonyme externe Relay erlaubt werden soll:
Es macht hier Sinn nur einzelne IPs anzugeben, die diese Funktionalität wirklich benötigen, ganze Subnetze sollten hier nicht angegeben werden, es sei denn es ist unbedingt erforderlich (Servernetz, Management Netz oder ähnliches).
Hinweis: Exchange 2016 CU2 enthält derzeit einen Bug, es lässt sich kein neuer Empfangsconnector auf der gleichen IP anlegen via EAC anlegen. Ein entsprechender Connector kann aber nach wie vor via Exchange Shell erstellt werden. Die Schritte wie oben beschrieben, legen den Connector an:
New-Receiveconnector -Server FWEX2016 -Name "Relay" -RemoteIPRange ("172.16.100.102") -TransportRole "FrontendTransport" -Bindings ("0.0.0.0:25") -Usage "Custom"
Nach einem Klick auf „Fertigstellen“ ist der Connector angelegt:
Damit der Connector anonyme Mails annimmt, müssen die Sicherheitseinstellungen entsprechend geändert werden:
Damit nun aber auch Mails zu externen Empfängern versendet werden können, müssen noch entsprechende Berichtigungen für den neuen Connector vergeben werden. Am schnellsten funktioniert dies per Exchange Management Shell:
Get-ReceiveConnector "Anonymes Relay FWEX2016" | Add-ADPermission -User "NT-Autorität\Anonymous-Anmeldung" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
Beim zweiten Befehl gibt es einen kleinen Stolperstein:
- Bei deutschen Servern heißt es „NT-Autorität\Anonymous-Anmeldung“
- Bei englischen Servern heißt es „NT AUTHORITY\ANONYMOUS LOGON“
Der Connector ist jetzt aktiv und nimmt von den entsprechend freigeschalteten IPs (siehe Remotenetzwerkeinstellungen) anonym Mails entgegen. Bei Systemen die ein hohes Mailaufkommen produzieren oder sehr große Mails versenden, müssen gegeben falls noch weitere Parameter verändert werden:
Set-ReceiveConnector -identity "Anonymes Relay FWEX2016" -TarpitInterval 00:00:00 Set-ReceiveConnector -identity "Anonymes Relay FWEX2016" -ConnectionTimeout 00:30:00 Set-ReceiveConnector -identity "Anonymes Relay FWEX2016" -ConnectionInactivityTimeout 00:20:00 Set-ReceiveConnector -identity "Anonymes Relay FWEX2016" -MaxAcknowledgementDelay 00:00:00 Set-ReceiveConnector -identity "Anonymes Relay FWEX2016" -MaxInboundConnection 10000 Set-ReceiveConnector -identity "Anonymes Relay FWEX2016" -MaxInboundConnectionPerSource unlimited
Und zu guter Letzt noch ein wichtiger Hinweis:
Wer sich in folgender Umgebung wiederfindet, darf auf keinen Fall die interne IP Adresse des Routers in den Remotenetzwerkeinstellungen des Connectors hinterlegen:
MX-Record zeigt auf WAN IP des Routers, Router forwarded Port 25 (SMTP) per NAT an den Exchange Server. In diesem Fall sieht der Exchange Server nur die interne Router IP als Source IP. Wenn nun die interne Router IP zum Connector hinzugefügt wird, ist das ein Open Relay und somit sehr schnell eine SPAM-Schleuder.