Heute ist mir seit langen mal wieder ein Exchange Server unter die Finger gekommen, der als Offenes Relay konfiguriert war. Ich dachte eigentlich dass solche Konfigurationsfehler der Vergangenheit angehören. Scheinbar machen einige diesen bösen Fehler aber immer noch, daher hier einmal die Standardeinstellungen der Empfangsconnectoren, damit die Einstellungen korrigiert werden können.
In der Standardeinstellung gibt es 2 Connectoren mit den Namen “Default SERVERNAME” und “Client SERVERNAME”. Der Default-Connector ist für den kompletten Mailverkehr aus dem Internet zum Exchange Server zuständig
Daher hat der Default-Connector alle IPv4 und alle IPv6 Adressen als Remote Server eingetragen:
Hier die Authentifizierungsmethoden in der Standardeinstellung
Und hier die Berechtigungsgruppen
Nur auf dem Default-Connector ist der Haken bei “Anonyme Benutzer” gesetzt, Mailserver aus dem Internet werden sich nicht an Exchange Server authentifizieren wenn sie eine Mail loswerden wollen.
Der zweite Empfangsconnector ist der Client-Connector, er ist für den Mailverkehr der Benutzer zum Exchange Server zuständig.
Der Client Connector horcht nicht auf Port 25 sondern auf Port 587. Auch hier sind in der Standardeinstellung alle IPv4 und IPv6 Adressen zugelassen, dies kann man auf die lokalen Subnetze einschränken, wenn man möchte
Hier die Authentifizierungsmethoden
Und hier die Berechtigungsgruppen, bei denen nur “Exchange-Benutzer” ausgewählt ist.
Und jetzt die böse Falle, auf dem Default Connectoren darf nicht den Anonymen Benutzern das Recht “Accept-Any-Recipient” zugewiesen werden. Dies lässt sich mit der Shell prüfen:
Get-ADPermission „Default SMAIL01“ -user „NT-AUTORITÄT\ANONYMOUS-ANMELDUNG“ | ft identity,user,extendedrights
Im Bild oben sieht man die Standard Rechte. Im Bild unten einen Connector auf dem Anonymes Relay erlaubt ist:
In der Shell ist es also schön zu sehen: “Accept-Any-Sender” und “Accept-Any-Recipient”. Das ist eine denkbar schlechte Idee, wenn man es nicht gerade darauf anlegt auf einer Blacklist zu landen.
Allerdings benötigen manche Anwendungen zwingend eine Möglichkeit um ihre Mails anonym über den Exchange zu relayen. Wer dieses Feature benötigt, sollte sich einen separaten Connector anlegen und nur den einen Server mit Anwendung das Anonyme Relay erlauben. Wie das geht, habe ich hier beschrieben:
https://www.frankysweb.de/?p=180