Exchange Connector Relay aktivieren

Es kommt oft vor, das manche Programme Status Meldungen oder Berichte per Mail verschicken können, aber keine Art der Authentifizierung bieten. Häufig kann man nur einen SMTP Server angeben, aber leider keine Kontoinformationen. Für solche Fälle kann man einen neuen Empfangsconnector erstellen, der auch Mails ohne vorherige Authentifizierung annimmt und weiterleitet. Diese Möglichkeit ist allerdings mit Vorsicht zu genießen und sollte auf IP-Adressen beschränkt werden, denn es ein Relay lässt sich leicht für SPAM missbrauchen.

Ein neuer Empfangsconnector kann entweder über die Mangement Console oder über die Management Shell erstellt werden, zunächst der Weg über die Konsole:

Unter der Serverkonfiguration / Hub Transport klickt man im Aktionsfeld auf „Neuer Empfangsconnector“

Im nächsten Dialog wird der Name des Connectors angegeben und der Typ der Verwendung festgelegt, in diesem Fall „Intern“, dann wird mit „Weiter“ bestätigt.

Relay

Im darauffolgenden Dialog ist es wichtig nur die Server oder Systeme anzugeben, die auch wirklich berechtigt sind, Mails ohne Authentifizierung zu senden. Auf keinen Fall sollte hier das komplette Subnetz oder ein zu großer Bereich angegeben werden. In diesem Fall wird nur die IP 192.168.1.123 berechtigt sein, diesen Connector zu nutzen. Mit einem Klick auf „Weiter“ und im nächsten Dialog auf „Neu“ wird der Connector angelegt.

Per Management Shell wird der Connector mit diesem Befehl angelegt:

new-ReceiveConnector -Name ‚Allow Interal Relay‘ -Usage ‚Internal‘ -RemoteIPRanges ‚192.168.1.123‘ -Server ‚EXSRV01‘

Jetzt legen wir in den Eigenschaften des neuen Connectors fest, das Anonyme Benutzer Mails an diesen Connector senden dürfen, also Häkchen bei „Anonyme Benutzer“ setzen:

Get-ReceiveConnector „Allow Internal Relay“ | Add-ADPermission -User „NT-Autorität\Anonymous-Anmeldung“ -ExtendedRights „Ms-Exch-SMTP-Accept-Any-Recipient“

Hier gibt es einen kleinen Stolperstein:

  • Bei deutschen Servern heißt es „NT-Autorität\Anonymous-Anmeldung“
  • Bei englischen Servern heißt es „NT AUTHORITY\ANONYMOUS LOGON“

Die Ausgabe des Befehls sollte so aussehen:

Möchte man das Recht wieder entziehen, geht das über diesen Befehl:

Get-ReceiveConnector „Allow Internal Relay“ | Remove-ADPermission -User „NT-Autorität\Anonymous-Anmeldung“ -ExtendedRights „Ms-Exch-SMTP-Accept-Any-Recipient“

 

 

admin has written 102 articles