relay-ohne-authentifizierung-erlauben

https://www.frankysweb.de/exchange-20102007-relay-ohne-authentifizierung-erlauben/

Es kommt oft vor, das manche Programme Status Meldungen oder Berichte
per Mail verschicken können, aber keine Art der Authentifizierung
bieten. Häufig kann man nur einen SMTP Server angeben, aber leider keine
Kontoinformationen. Für solche Fälle kann man einen neuen
Empfangsconnector erstellen, der auch Mails ohne vorherige
Authentifizierung annimmt und weiterleitet. Diese Möglichkeit ist
allerdings mit Vorsicht zu genießen und sollte auf IP-Adressen
beschränkt werden, denn es ein Relay lässt sich leicht für SPAM
missbrauchen.

Ein neuer Empfangsconnector kann entweder über die Mangement Console
oder über die Management Shell erstellt werden, zunächst der Weg über
die Konsole:

Unter der Serverkonfiguration / Hub Transport klickt man im Aktionsfeld auf „Neuer Empfangsconnector“

Im darauffolgenden Dialog ist es wichtig nur die Server oder Systeme
anzugeben, die auch wirklich berechtigt sind, Mails ohne
Authentifizierung zu senden. Auf keinen Fall sollte hier das komplette
Subnetz oder ein zu großer Bereich angegeben werden. In diesem Fall wird
nur die IP 192.168.1.123 berechtigt sein, diesen Connector zu nutzen.
Mit einem Klick auf „Weiter“ und im nächsten Dialog auf „Neu“ wird der
Connector angelegt.

Per Management Shell wird der Connector mit diesem Befehl angelegt:

new-ReceiveConnector -Name ‚Allow Interal Relay‘ -Usage ‚Internal‘ -RemoteIPRanges ‚192.168.1.123‘ -Server ‚EXSRV01‘

Jetzt legen wir in den Eigenschaften des neuen Connectors fest, das
Anonyme Benutzer Mails an diesen Connector senden dürfen, also Häkchen
bei „Anonyme Benutzer“ setzen:

Oder wieder per Powershell:

Set-ReceiveConnector -PermissionGroups ‚AnonymousUsers‘ -Identity ‚EXSRV01\Allow Interal Relay‘

Zum Schluss der wichtigste Schritt, wir haben zwar erlaubt das die IP
192.168.1.123 ohne Angabe von Benutzer und Passwort auf den Connector
zugreifen darf, aber nicht das auch über diesen Connector Mails
verschickt werden dürfen, um dies zu ändern müssen wir die Powershell
bemühen, da es die entsprechende Einstellung in der Console nicht gibt:

Get-ReceiveConnector
„Allow Internal Relay“ | Add-ADPermission -User
„NT-Autorität\Anonymous-Anmeldung“ -ExtendedRights
„Ms-Exch-SMTP-Accept-Any-Recipient“

Hier gibt es einen kleinen Stolperstein:

  • Bei deutschen Servern heißt es „NT-Autorität\Anonymous-Anmeldung“
  • Bei englischen Servern heißt es „NT AUTHORITY\ANONYMOUS LOGON“

Die Ausgabe des Befehls sollte so aussehen:

Ab jetzt sollte der Rechner mit der IP 192.168.1.123 in der Lage sein, über diesen Connector Mails zu verschicken.

Möchte man das Recht wieder entziehen, geht das über diesen Befehl:

Get-ReceiveConnector
„Allow Internal Relay“ | Remove-ADPermission -User
„NT-Autorität\Anonymous-Anmeldung“ -ExtendedRights
„Ms-Exch-SMTP-Accept-Any-Recipient“