Manche Programme benötigen ein anonymes Relay um Mails abliefern zu können, um anonymes Relay mit Exchange 2013 einzurichten, sollte ein neuer Connector erstellt werden, der die entsprechenden Berechtigungen und Einschränkungen für IP-Adressen besitzt:
In diesem Bespiel wird der neue Connector „Relay“ erstellt:
Der Connector kann entweder auf allen IP-Adressen des Exchange Servers horchen oder nur auf bestimmten. In den meisten Fällen werden es wohl alle verfügbaren Adressen sein.
Jetzt wird der Connector entsprechend eingeschränkt, damit nur bestimmte IP-Adressen anonymes Relay nutzen können. Hier sollten auf keinen Fall zu große IP-Kreise eingetragen werden. Besser ist hier nur explizit die Systeme einzutragen, die den Connector auch nutzen sollen.
Die Sicherheitseinstellungen des Connectors:
Damit der Connector auch Mails von jedem Absender an nimmt, muss noch die enstprechende Active Directory Berechtigung gesetzt werden.
Get-ReceiveConnector "Relay" | Add-ADPermission -User "NT-Autorität\Anonymous-Anmeldung" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
Hier gibt es einen kleinen Stolperstein:
- Bei deutschen Servern heißt es „NT-Autorität\Anonymous-Anmeldung“
- Bei englischen Servern heißt es „NT AUTHORITY\ANONYMOUS LOGON“
Der Connector ist jetzt aktiv und nimmt Mails anonym von jedem Absender zu jedem Empfänger, aber nur von den entsprechend freigeschalteten IPs entgegen. Falls es sich um Systeme handelt die ein hohes Mail aufkommen produzieren, können noch ein paar Sicherhietseinstellungen abgeschaltet werden um den Durchsatz des Connectors zu erhöhen:
Set-ReceiveConnector -identity "Relay" -TarpitInterval 00:00:00 Set-ReceiveConnector -identity "Relay" -ConnectionTimeout 00:30:00 Set-ReceiveConnector -identity "Relay" -ConnectionInactivityTimeout 00:20:00 Set-ReceiveConnector -identity "Relay" -MaxAcknowledgementDelay 00:00:00 Set-ReceiveConnector -identity "Relay" -MaxInboundConnection 10000 Set-ReceiveConnector -identity "Relay" -MaxInboundConnectionPerSource unlimited
Nachtrag: Der Fehler beim Einspielen des CU war, das jeder Connector auf einen unique Port horchen müsste. Und da der Default auch auf 25 horcht, hat es die Installation bei mir zerlegt
Hallo Frank,
habe schon seit ein paar Monaten so einen Connector laufen. Jedoch crashte damit ein CU-Update (u.a. ECP defekt) und ich musste das über den ADSI-Editor bereinigen.
Hast du mit obiger Einstellung schon erfolgreich ein CU einspielen können?