Exchange 2010 E-Mail-Header-Firewall aktivieren

Jeder Administrator von E-Mail-Systemen arbeitet nahezu täglich mit den Nachrichtenkopfzeilen einer E-Mail. Auch im Helpdesk bzw. an der Hotline größerer Unternehmen werden mit Hilfe des Headers die Fragen nach Laufzeiten, Herkunft und Gründen für Verzögerungen in der Nachrichtenzustellung einer E-Mail beantwortet.

Darin finden sich auch eine Menge Informationen, die normalerweise nicht unbedingt für diese Tätigkeiten benötigt werden. Insbesondere detaillierte Angaben wie IP-Adressen zu den internen Servern sind damit öffentlich.

Der Exchange Server 2010 bietet dazu nun eine einfache Möglichkeit, beim Versand ins Internet den „Versand“ dieser internen Informationen zu unterbinden. Sehen wir uns dazu mal einen Auszug aus einem E-Mail-Header an, der alle Infos preisgibt:

it-Administrator-01-2013-#1

Mit einem einzigen Kommando lässt sich nun der „rot“ markierte Bereich in einer ausgehenden E-Mail unterdrücken und somit vor der Öffentlichkeit verbergen:

it-Administrator-01-2013-#2

Um diese Einstellung nun wirksam werden zu lassen, starten wir die Exchange Verwaltungs-Shell und geben folgendes Kommando ein um die aktuellen Einstellungen anzusehen. Der Name des Sende-Connectors (hier: SMTP-Versand) muss natürlich an Ihre Umgebung angepasst werden:

Get-SendConnector „SMTP-Versand“   | Get-ADPermission | Where-Object { $_.extendedrights -like   „*routing*“} | fl user, *rights

Für die Ausgabe bzw. Übermittlung der Header-Informationen ist eine spezielle Berechtigung auf dem Sendeconnector verantwortlich. Jeder Benutzer welcher das erweiterte Recht ms-Exch-Send-Headers-Routing auf dem Sendeconnector hat,  hat Zugriff auf die serverspezifischen Headerinformationen. In diesem Fall ist nun prüfen wir, wer dieses Recht auf dem Connector besitzt.

In der nachfolgenden Ausgabe des Kommandos ist insbesondere die Zeile mit “Anonymous“ interessant, ist diese doch dafür verantwortlich, dass bei ausgehenden E-Mails über diesen Connector die ausführlichen Header-Informationen mitgesandt werden.

User                    : NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
  AccessRights      : {ExtendedRight}
  ExtendedRights : {ms-Exch-Send-Headers-Routing}

User                    : YOUR-ADMIN\Exchange Servers
  AccessRights   : {ExtendedRight}

Im Regelfall verfügt der Anonymous – über dieses Recht und damit ist die Header-Firewall ausgeschaltet. Um die Header-Firewall zu aktivieren nehmen wir mit nachfolgendem Kommando für Anonymous die Berechtigungen weg:

Get-SendConnector „SMTP-Versand“   | Remove-ADPermission -User „Nt-Autorität\ Anonymous-Anmeldung“   -ExtendedRights „ms-Exch-Send-Headers-Routing“

Bestätigung
  Möchten Sie diese Aktion wirklich ausführen?
  Die Active Directory-Berechtigung ‚SMTP-Versand‘ für den Benutzer   ‚Nt-Autorität\ Anonymous-Anmeldung‘ mit ‚AccessRights‘    “ms-Exch-Send-Headers-Routing“ wird entfernt.

Diese Berechtigung kann auch über den ADSI-Edit geprüft bzw. verwaltet werden. Hier sehen Sie das aktuelle Beispiel:

it-Administrator-01-2013-#3

Für die Auswertung von E-Mail-Headern gibt es eine interessante Webseite, bei der nur der Header einkopiert werden muss, und schon erhält man eine übersichtliche Ausgabe, die sicherlich einfacher zu lesen ist, als der Header selbst.

–> http://www.mxtoolbox.com/EmailHeaders.aspx

 

Dieser Eintrag wurde veröffentlicht in Allgemein von dr-exchange. Permanenter Link des Eintrags.

Über dr-exchange

Über 15 Jahre Erfahrung in Projektierung, Administration und Support von kleinen bis hoch komplexen Mail-Infrastrukturen auf der Basis von Microsoft Exchange Server bis hin zur aktuellen Version 2010 Selbstverständlich haben wir auch die sonstigen, notwendigen Tools (Anti-Spam/Security/ Continuous Data Protection) im Programm

2 Gedanken zu „Exchange 2010 E-Mail-Header-Firewall aktivieren

  1. Pingback: jesse

  2. Pingback: Stephen

Schreibe einen Kommentar