Relaying über Exchange Server 2007 erlauben

Neue Server, neue Vorgehensweisen!

Viele Administratoren kennen die Anforderung, dass „Nicht-Exchange-SMTP-Server“ über den Exchange Server Ihre E-Mails nach Extern versenden wollen, da es diesen Systemen oft nicht erlaubt ist, direkten Zugriff ins Internet zu erhalten.

In Exchange 2003 musste man dabei „lediglich“ die betreffende IP-Adresse beim SMTP-Server (Bild 1) eintragen, damit das „Relayen“ erlaubt wurde.

 it-administrator-01-2009-bild1.GIF

Ansonsten nimmt ein Exchange Server nur E-Mails an Empfänger an, für die er auch zuständig ist. Dies hat sich auch bei Exchange 2007 nicht geändert, denn die Funktion der Empfängerrichtlinien aus Exchange 200x ist in die Funktion „Akzeptierte Domänen“ übergegangen. Damit wird dem Exchange 2007 Server mitgeteilt, welche Domänen er anzunehmen hat bzw. darf.

Seit Exchange 2007 ist die ganze Angelegenheit des externen Relaying nicht mehr ganz so trivial wie in Exchagne 2000x. Die virtuellen SMTP Server wurden vollständig durch den Exchange Transport Service ersetzt und Sende- und Empfangsconnectoren übernehmen nun die Arbeit des früheren SMTP-Dienstes.

Wie in früheren Versionen erlaubt ein Exchange 2007 Server Relaying, wenn man sich erfolgreich authentifiziert. Oft ist dies aber nicht gewollt bzw. umständlich einzurichten und zu pflegen.

Um nun ohne Anmeldung über einen 2007er zu relayen, bedient man sich am geschicktesten eines Empfangs-Connectors der auf einer zusätzlichen IP-Adresse basiert und entsprechend konfiguriert werden kann.

Über die Verwaltungshell erstellen wir unter Serverkonfiguration – Hub-Transport einen neuen SMTP-Empfangsconnector mit folgenden Angaben:

Name:                Relaying nach Extern
Verwendung:    benutzerdefiniert
Lokale IP:          Hier geben Sie auf dem Exchange Server zusätzlich definierte IP an
FQDN:               Einen DNS-Eintrag definieren, wie z.B. mailrelay.your-admin.intern
RemoteIP:        Entspricht der(n) IP-Adresse(n) des(r) Sender(s) (Relayer)

Hinweis:
Alternativ könnte auch mit einem anderen TCP-Port auf derselben IP-Adresse gearbeitet werden, wenn das Sendesystem dies unterstützt.

Nachdem der Empfangsconnector erstellt worden ist, sollten sämtliche Sicherheitsmechanismen wie TLS, Standardauthentifizierung etc. abgeschaltet (Bild 2) und als Berechtigungsgruppen lediglich „Anonyme Benutzer“ aktiviert sein. (Bild 3)

it-administrator-01-2009-bild2.GIF

 it-administrator-01-2009-bild3.GIF

Nun nimmt der Connector zwar Mails von anonymen Sender an, aber er erlaubt noch nicht das Weiterleiten nach Extern. Dazu muss nun noch in der Exchange Verwaltungsshell folgender Befehl eingegeben werden:

Get-ReceiveConnector “Relaying nach Extern”| Add-ADPermission -User Anonymous-Anmeldung” -ExtendedRights ms-Exch-SMTP-Accept-Any-Recipient”