Exchange 2010 -> Neuen Empfangskonnektor erstellen

Problem: Wir haben einen Server für ein neues Ticketsystem (OTRS) installiert, welcher über unseren Exchange Server auch E-Mails an externe Adressen versenden soll. Da dem Exchange weder der Sender noch der Empfänger gesichert bekannt ist, muss dieser als Relay Server für diese E-Mails fungieren. Diese Art des Mail Transports ist potentiell gefährlich, weil der Exchange Server von Spammern missbraucht werden könnte. Daher ist diese Art des Mailtransport idR nicht erlaubt. Im konkreten Fall jedoch müssen wir eine Ausnahme machen.

New-ReceiveConnector

Das folgende Kommando erstellt einen neuen Empfangskonnektor1) »TicketSystemServer« der auf der lokalen IP Adresse des Exchangeservers »192.168.1.1:25« Port 25 lauscht und Mails von der Remote Adresse »192.168.1.100« annimmt2):

[PS]C:\Windows\system32> New-ReceiveConnector -Name "TicketSystemServer" -Usage Custom -PermissionGroups AnonymousUsers -Bindings 192.168.1.1:25 -RemoteIpRanges 192.168.1.100

Add-ADPermission

Damit haben wir jetzt zwar einen Empfangskonnektor der von dem Remote Server »192.168.1.100« Mails annimmt aber das würde unser Default Konnektor prinzipiell ja auch schon machen. Was unser Default Konnektor aber nicht macht, ist das Weiterleiten der E-Mail an externe Adressen, weil somit ja die Bedingung des offenen Relays erfüllt wäre, was wir auf keinen Fall wollen. Demnach müssen wir dem Konnektor noch die Berechtigung geben diese E-Mail weiterzugeben:

[PS]C:\Windows\system32>Get-ReceiveConnector "TicketSystemServer" | Add-ADPermission -User "NT-AUTORITÄT\ANONYMOUS-ANMELDUNG"" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

Note: Ich fand die Einstellung bzw der Ort an dem sie versteckt wird, nämlich im AD, etwas beunruhigend, weil bei der Betrachtung des Konnektors seine brisante Funktionalität, nämlich als offenes Relay zu fungieren, wenn auch nur von einer Remote Adresse erlaubt, nicht offensichtlich wird. Man kann jetzt umständlich mit zB ADSIEdit im AD rumwurschtel aber das macht niemand aus reinem Verdacht. Hier könnte das Setup etwas mehr Transparenz vertragen…

pronto 2015/05/13 09:55

win/exc2010_new-receiveconnector.txt (1218 views) · Zuletzt geändert: 2015/05/13 09:56 von wikisysop
CC Attribution-Share Alike 3.0 Unported
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0