Website-Icon Frankys Web

Exchange 2010/2007: Relay ohne Authentifizierung erlauben

Es kommt oft vor, das manche Programme Status Meldungen oder Berichte per Mail verschicken können, aber keine Art der Authentifizierung bieten. Häufig kann man nur einen SMTP Server angeben, aber leider keine Kontoinformationen. Für solche Fälle kann man einen neuen Empfangsconnector erstellen, der auch Mails ohne vorherige Authentifizierung annimmt und weiterleitet. Diese Möglichkeit ist allerdings mit Vorsicht zu genießen und sollte auf IP-Adressen beschränkt werden, denn es ein Relay lässt sich leicht für SPAM missbrauchen.

Ein neuer Empfangsconnector kann entweder über die Mangement Console oder über die Management Shell erstellt werden, zunächst der Weg über die Konsole:

Unter der Serverkonfiguration / Hub Transport klickt man im Aktionsfeld auf „Neuer Empfangsconnector“

Im nächsten Dialog wird der Name des Connectors angegeben und der Typ der Verwendung festgelegt, in diesem Fall „Intern“, dann wird mit „Weiter“ bestätigt.

Im darauffolgenden Dialog ist es wichtig nur die Server oder Systeme anzugeben, die auch wirklich berechtigt sind, Mails ohne Authentifizierung zu senden. Auf keinen Fall sollte hier das komplette Subnetz oder ein zu großer Bereich angegeben werden. In diesem Fall wird nur die IP 192.168.1.123 berechtigt sein, diesen Connector zu nutzen. Mit einem Klick auf „Weiter“ und im nächsten Dialog auf „Neu“ wird der Connector angelegt.

Per Management Shell wird der Connector mit diesem Befehl angelegt:

new-ReceiveConnector -Name ‚Allow Interal Relay‘ -Usage ‚Internal‘ -RemoteIPRanges ‚192.168.1.123‘ -Server ‚EXSRV01‘

Jetzt legen wir in den Eigenschaften des neuen Connectors fest, das Anonyme Benutzer Mails an diesen Connector senden dürfen, also Häkchen bei „Anonyme Benutzer“ setzen:

Oder wieder per Powershell:

Set-ReceiveConnector -PermissionGroups ‚AnonymousUsers‘ -Identity ‚EXSRV01\Allow Interal Relay‘

Zum Schluss der wichtigste Schritt, wir haben zwar erlaubt das die IP 192.168.1.123 ohne Angabe von Benutzer und Passwort auf den Connector zugreifen darf, aber nicht das auch über diesen Connector Mails verschickt werden dürfen, um dies zu ändern müssen wir die Powershell bemühen, da es die entsprechende Einstellung in der Console nicht gibt:

Get-ReceiveConnector „Allow Internal Relay“ | Add-ADPermission -User „NT-Autorität\Anonymous-Anmeldung“ -ExtendedRights „Ms-Exch-SMTP-Accept-Any-Recipient“

Hier gibt es einen kleinen Stolperstein:

Die Ausgabe des Befehls sollte so aussehen:

Ab jetzt sollte der Rechner mit der IP 192.168.1.123 in der Lage sein, über diesen Connector Mails zu verschicken.

Möchte man das Recht wieder entziehen, geht das über diesen Befehl:

Get-ReceiveConnector „Allow Internal Relay“ | Remove-ADPermission -User „NT-Autorität\Anonymous-Anmeldung“ -ExtendedRights „Ms-Exch-SMTP-Accept-Any-Recipient“


Die mobile Version verlassen