Warum ziehen meine Connector-Beschränkungen nicht?

Der Microsoft Exchange Server bietet eine Reihe von Möglichkeiten, sich gegen unerwünschte E-Mails „halbwegs“ zu schützen. Neben den Verbindungs-, Empfänger- oder Absenderfiltern kann unter Exchange 2003 auch das kostenlose AddOn Intelligent Message Filter (IMF) von Microsoft verwendet werden, das im Übrigen im Service Pack #2 für Exchange 2003 integriert ist. Die meisten Administratoren schwören jedoch auf 3rd-Party-Antispam-Tools, deren Hersteller bereits mehrere Jahre Erfahrung im Umgang mit Spams aufweisen können.

Was ist jedoch, wenn ich meine Exchange Server für interne Benutzer einschränken will? Beispielsweise sollen bestimmte Benutzer nicht an eine oder auch mehrere Domänen ins Internet senden können. In diesem Beispiel möchten wir unseren Benutzern untersagen, E-Mails an die Domäne @unbekannt.de zusenden.

Eine Exchange Organisation nutzt in der Regel einen SMTP-Connector um ausgehende Nachrichten ins Internet zu senden, unabhängig von der Zieldomäne. Abhängig von der Organisationsgröße können an verschiedenen geografischen Punkten auch mehrere solcher SMTP-Connectoren arbeiten.

restrict-bild1.GIF    restrict-bild2.GIF

Ob dieser Versand ins Internet direkt per DNS-Lookup (Abb1.) oder über einen so genannten SMTP Relay-Server des Internetproviders erfolgt, lassen wir an dieser Stelle mal außen vor. Obiger SMTP-Connector leitet aufgrund des konfigurierten Adressraumes SMTP:* alle ausgehenden Nachrichten direkt zu den entsprechenden Mailservern der Zieldomäne weiter.

Um nun in unserem Beispiel den Versand an die Domäne @unbekannt.de zu verhindern, richten wir einen neuen SMTP-Connector „SMTP blocked outgoing Domains“ ein. Konfigurieren Sie den Connector unter „Allgemein“ identisch mit Ihrem bestehenden Connector und fügen Sie unter „Adressraum die Domäne unbekannt.de ein.

 restrict-bild3.GIF

Die Eigenschaften eines SMTP-Connectors bieten nun weitere Konfigurations-möglichkeiten, u.a. auch die Möglichkeit die Empfangseinschränkungen des Connectors zu konfigurieren.

 restrict-bild4.GIF    restrict-bild5.GIF

Empfangseinschränkungen können so konfiguriert werden, dass der Connector mit einer Ein- oder Ausschlussliste arbeitet. Entweder werden von diesem Connector grundsätzlich E-Mails angenommen, mit wenigen Ausnahmen, die unter „Nachrichten ablehnen von“ konfiguriert werden, oder er nimmt ausschließlich E-Mails von Benutzer an, die unter „Nachrichten annehmen von“ definiert wurden. Entsprechend ist auch die Option „Standardmäßig werden Nachrichten von allen Absendern“ auf „Angenommen“ oder „Abgelehnt“ zu setzen. (Abb. 4)

Die betroffenen Benutzer werden über die Schaltfläche „Hinzufügen“ direkt aus dem Active Directory ausgewählt. Selbstverständlich können hier auch komplette Verteilerlisten angegeben werden, um die Administration zu vereinfachen.

Nun sollten alle notwendigen Einstellungen getroffenen worden sein, zumindest das Offensichtliche. Aus diversen Gründen hat man sich bei Microsoft entschieden solche Einstellungen bzw. Beschränkungen nicht so ohne Weiteres wirksam werden zu lassen.

Es fehlt letztlich noch ein Registrierungsschlüssel, der den SMTP-Connector anweist, die gesetzten Empfangseinschränkungen zu überprüfen. Setzen Sie dazu auf allen unter Allgemein eingestellten lokalen Bridgehead Exchange Servern den Wert CheckConnectorRestrictions auf 1.

  • Starten Sie den Registrierungs Editor (Regedt32.exe).

  • Suchen Sie den folgenden Key HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Resvc/Parameters/ 

  • Fügen Sie den Wert CheckConnectorRestrictions vom Typ REG_DWORD hinzu

  • Setzen Sie CheckConnectorRestrictions auf 1

  • Abschließend müssen die beiden Dienste Microsoft Exchange-Routingmodul und Simple Mail Transfer Protocol (SMTP) neu gestartet werden um die Einstellungen zu aktivieren.

Testen Sie nun die Einschränkung, in dem Sie eine E-Mail absenden. Sie sollten eine Unzustellbarkeitsmeldung, ähnlich der nachfolgend aufgeführten Nachricht, erhalten.

Folgende(r) Empfänger konnte(n) nicht erreicht werden:
  test@unbekannt.de am 19.07.2005 12:28
  Sie sind nicht berechtigt, Nachrichten an diesen Empfänger zu senden. Wenden Sie sich an den Systemadministrator.
  <mail.your-admin.com #5.7.1 smtp;550 5.7.1

Doppelte SMTP-Adresse auffinden

Oftmals steht der Exchange Administrator vor dem Problem herauszufinden, zu welchem Objekt eine SMTP-Adresse innerhalb der Exchange Organisation gehört. Z.B.  wenn eine doppelt vergebene SMTP-Adressse , in der Regel wird dies durch die Event-ID 9514 auf einem oder mehreren Exchange Servern angezeigt, herausgefunden werden muss.

In einer Exchange Organisation muss jede SMTP-Adresse naturgemäß eindeutig sein. Wie kann es aber dazu kommen, dass verschiedene Objekte dieselbe SMTP-Adresse haben? Wer beispielsweise als Exchange Administrator unter Exchange 2003 „von Hand“ über das Management Console Snap-In „Active Directory Benutzer und Computer“ ein neues E-Mail-Objekt anlegt und dabei eine spezielle SMPT-Adresse vergeben will, der wird durch das Tool daran gehindert, eine bereits vergebene SMTP-Adresse zu setzen.

Allerdings gerade in größeren Active Directory-Umgebungen ist es üblich über sogenannte Meta-Directories oder Provisioning-Systeme die Adressen setzen zu lassen. Arbeiten diese Systeme nicht „korrekt“, dann kann es durchaus passieren, dass eine SMTP-Adresse doppelt vergeben wird. Ist dies der Fall, dann sind ab sofort beide E-Mailobjekte NICHT mehr erreichbar und die E-Mails gehen als unzustellbar an den Absender zurück, sicherlich eine unschöne Angelegenheit.

Als Hinweis darauf protokolliert der Exchange Server eine Warnung im Anwendungsprotokoll mit der ID 9514 (Two objects in the Directory have the same proxy – <address> and <address>.). Dabei wird in der Meldung der LegacyExchangeDN der beiden betroffenen Objekte anzeigt, der nicht immer einen lesbaren Hinweis auf den Namen des Objektes ergibt.

Um die betroffenen Objekte zu finden, die über identische SMTP-Adressen verfügen, ist der Einsatz diverser Tools möglich, am Einfachsten geht es jedoch auch hier über das Snap-In „Active Directory Benutzer und Computer“, indem wir dort eine LDAP-Abfrage ausführen. Diese LDAP-Abfrage wird es uns erlauben im Active Directory Attribut „proxyaddresses“ zu suchen, in welchem alle E-Mail-Adressen eines Objektes gespeichert sind. Eine Abfrage auf das Feld „mail“ ist hier nicht ausreichend, da in diesem Feld nur die Hauptadresse gespeichert ist, die als Standard-SMTP-Adresse des Objektes gilt. Diese wird als Absendeadresse genutzt und beim Empfänger der E-Mail angezeigt.

Dazu starten wir das Snap-In „Active Directory Benutzer und Computer“ und wählen die Suchfunktion durch Rechtsklick auf die Domäne.

it-administrator-03-2008-bild-1.GIF 

Im Dialog „Benutzer, Kontakte und Gruppen suchen“ wählen wir im Feld „Suchen“ die Funktion „Benutzerdefinierte Suche“ und klicken auf darunter liegende Register „Erweitert“

it-administrator-03-2008-bild-21.gif 

Nun öffnet sich uns das Eingabefeld für die benutzerdefinierte LDAP-Abfrage, in das wir unseren Abfrage-String eingeben. Dieser setzt sich wie folgt zusammen:

proxyaddresses=SMTP:<gesuchte SMTP-Adresse>
z.B: proxyaddresses=SMTP:Robert.Lindermeier@your-admin.com

Nach einem Klick auf „Jetzt suchen“ erhalten wir als Rückgabe die beiden Objekte, die beide identische SMTP-Adressen eingetragen haben und sich somit gegenseitig blockieren bzw. keine E-Mails empfangen können. Abschließend muss nun eines der beiden Objekte bearbeitet werden, so dass die SMTP-Adressen auf beiden Objekten unterschiedlich sind. Ab diesem Zeitpunkt können die Objekte wieder E-Mails empfangen – abgesehen von einer möglichen Verzögerung aufgrund der Replikation im Active Directory.

Es gibt auch diverse Tools, die die Suche nach doppelten SMTP-Adressen erleichtern. Eines dieser Freeware-Tools ist AD Explorer von Sysinternals, das mittlerweile zu Microsoft gehört. Download unter http://www.microsoft.com/technet/sysinternals. Mit Hilfe des AD-Explorers können Sie wie nachfolgend abgebildet Suchanfragen nach doppelt vergebenen SMPT-Adressen starten.

it-administrator-03-2008-bild-3.GIF