Exchange 2010 - Smarthost und unbekannte Empfänger

[FETT 10]

Hallo,

 

ich habe eine Frage...

 

Wir haben Exchange 2010 SP3 CU14 im Einsatz.

Die Emails werden über einen Smarthost gefiltert, dieser steht in einer DMZ.

Dieser ist ein SPAM Filter und Virusscanner.

 

Der SMTP Connector geht auf diesen Smarthost.

 

Wenn ich eine Telnetverbindung mache von meinem Rechner auf den Exchange Server sieht es wie folgt aus:

 

telnet IP.EXCHANGE.INTERN 25

220 hostname.interne.domäne Microsoft ESMTP MAIL Service ready at Thu, 11 Aug 2016 15:59:54 +0200

helo mail.externe.domäne

250 hostname.interne.domäne Hello [iP.CLIENT.INTERN]

mail from:johnny@gmx.de

250 2.1.0 Sender OK

rcpt to: tester@externe.dömane

550 5.1.1 User unknown

 

Das ist ja soweit richtig.

 

Wenn ich jetzt vom Smarthost eine Telnet Verbindung zum Exchange mache sieht es wie folgt aus:

 

telnet IP.EXCHANGE.INTERN 25

220 hostname.interne.domäne Microsoft ESMTP MAIL Service ready at Fri, 12 Aug 2016 07:09:00 +0200

helo mail.externe.domäne

250 hostname.interne.domäne Hello [iP.SMARTHOST.DMZ]

mail from: <johnny@gmx.de>

250 2.1.0 Sender OK

rcpt to: <tester@externe.dömane>

250 2.1.5 Recipient OK

 

Hier sagt er mir das der Empfänger ok ist.

Aber wenn ich lokal das mache sagt er der Empfänger ist nicht bekannt.

 

Das obere ist doch richtig, aber warum lässt er es über den Smarthost zu?

 

Auf dem Exchange Server ist der Haken gesetzt bei

Organisationskonfiguration/Hub-Transport/Antispam/Empfängerfilterung - Nachrichten blockieren, die an....

 

Was übersehe ich?

[NorbertFe 2.035]

Was steht zwischen den beiden Servern?

[FETT 10]

Eine Firewall.

[NorbertFe 2.035]

Und was tut die mit dem SMTP Traffic? Gibt es für den smarthosts einen eigenen empfangsconnector auf dem Exchange?

[FETT 10]

Die Firewall lässt den SMTP Traffic zwischen diesen zwei Hosts zu.

 

Nein. Es gibt nur Empfangsconnectoren für interne Sachen wie z.B. Drucker usw. ob die intern oder extern Mails versenden können.

Da ist nirgends die IP vom Smarthost drin.

[testperson 1.680]

Da ist nirgends die IP vom Smarthost drin.

Auch nicht in einem Bereich der IP Adresse eines Connectors (z.B.: 0.0.0.0-255.255.255.255)?

[FETT 10]

Im Default Hostname Connector,

ist natürlich 0.0.0.0-255.255.255.255 eingetragen, dadurch ist natürlich der Smarthost auch drin.

Aber wenn ich darüber nachdenke, sollte hier nur der Smarthost drin stehen oder?

[NorbertFe 2.035]

Ändert aber nichts an deinem Problem. Ich hab spontan weiterhin die Firewall in Verdacht. ;) Welche ist es denn?

bearbeitet 12. August 2016 von NorbertFe

[FETT 10]

Hmmm,

 

aber die Firewall, checkt ja nicht die Empfänger!?

Das ist eine Checkpoint R77.30 Firewall.

 

Wenn ich jetzt folgendes eingebe:

Get-ADPermission "Default HOSTNAME" | ft identity,user,extendedrights

 

Bekomme ich folgende Interessante Dinge:

 

HOSTNAME\Default HOSTNAME                   INTERNE.DOMÄNE\Exchange Servers             {ms-Exch-SMTP-Accept-Any-Recipient}

HOSTNAME\Default HOSTNAME                   NT-AUTORITÄT\Authentifizierte Benutzer  {ms-Exch-SMTP-Accept-Any-Recipient}

HOSTNAME\Default HOSTNAME                   INTERNE.DOMÄNE\ExchangeLegacyInterop        {ms-Exch-SMTP-Accept-Any-Recipient}

HOSTNAME\Default HOSTNAME                   MS Exchange\Hub Transport Servers       {ms-Exch-SMTP-Accept-Any-Recipient}

HOSTNAME\Default HOSTNAME                   MS Exchange\Edge Transport Servers      {ms-Exch-SMTP-Accept-Any-Recipient}

HOSTNAME\Default HOSTNAME                   MS Exchange\Externally Secured Servers  {ms-Exch-SMTP-Accept-Any-Recipient}

 

Das irritiert mich ein wenig.

Das sollte doch nicht so sein?

Oder ist das schon richtig?

bearbeitet 12. August 2016 von FETT

[NorbertFe 2.035]

Wie ist dein Standard Receive Connector denn konfiguriert? External Secured zufälligerweise? Dann mußt du dich doch nicht wundern, wenn du intern ein open relay bist. ;)

bearbeitet 12. August 2016 von NorbertFe

[FETT 10]

Get-ReceiveConnector "Default HOSTNAME" | Format-List

 

RunspaceId                              : d837fa32-2c5d-414a-976f-f2d3b3eee0d1

AuthMechanism                           : Tls, Integrated, BasicAuth, BasicAuthRequireTLS, ExchangeServer

Banner                                  :

BinaryMimeEnabled                       : True

Bindings                                : {:::25, 0.0.0.0:25}

ChunkingEnabled                         : True

DefaultDomain                           :

DeliveryStatusNotificationEnabled       : True

EightBitMimeEnabled                     : True

BareLinefeedRejectionEnabled            : False

DomainSecureEnabled                     : False

EnhancedStatusCodesEnabled              : True

LongAddressesEnabled                    : False

OrarEnabled                             : False

SuppressXAnonymousTls                   : False

AdvertiseClientSettings                 : False

Fqdn                                    : HOSTNAME.INTERNE.DOMÄNE

Comment                                 :

Enabled                                 : True

ConnectionTimeout                       : 00:10:00

ConnectionInactivityTimeout             : 00:05:00

MessageRateLimit                        : unlimited

MessageRateSource                       : IPAddress

MaxInboundConnection                    : 5000

MaxInboundConnectionPerSource           : unlimited

MaxInboundConnectionPercentagePerSource : 100

MaxHeaderSize                           : 64 KB (65,536 bytes)

MaxHopCount                             : 60

MaxLocalHopCount                        : 12

MaxLogonFailures                        : 3

MaxMessageSize                          : 20 MB (20,971,520 bytes)

MaxProtocolErrors                       : 5

MaxRecipientsPerMessage                 : 5000

PermissionGroups                        : AnonymousUsers, ExchangeUsers, ExchangeServers, ExchangeLegacyServers

PipeliningEnabled                       : True

ProtocolLoggingLevel                    : None

RemoteIPRanges                          : {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}

RequireEHLODomain                       : False

RequireTLS                              : False

EnableAuthGSSAPI                        : False

ExtendedProtectionPolicy                : None

LiveCredentialEnabled                   : False

TlsDomainCapabilities                   : {}

Server                                  : HOSTNAME

SizeEnabled                             : EnabledWithoutValue

TarpitInterval                          : 00:00:01

MaxAcknowledgementDelay                 : 00:00:30

AdminDisplayName                        :

ExchangeVersion                         : 0.1 (8.0.535.0)

Name                                    : Default HOSTNAME

DistinguishedName                       : CN=Default HOSTNAME,CN=SMTP Receive Connectors,CN=Protocols,CN=HOSTNAME,CN=Server

                                          s,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups

                                          ,CN=ORGA NAME,CN=Microsoft Exchange,CN=Services,CN=Configuration,

                                          DC=INTERN,DC=DOMÄNE

Identity                                : HOSTNAME\Default HOSTNAME

Guid                                    : cd1aaaab-9c8a-4033-9f62-cf268975e975

ObjectCategory                          : INTERNE.DOMÄNE/Configuration/Schema/ms-Exch-Smtp-Receive-Connector

ObjectClass                             : {top, msExchSmtpReceiveConnector}

WhenChanged                             : 25.08.2015 16:29:49

WhenCreated                             : 16.04.2015 13:22:49

WhenChangedUTC                          : 25.08.2015 14:29:49

WhenCreatedUTC                          : 16.04.2015 11:22:49

OrganizationId                          :

OriginatingServer                       : DNSSERVER.INTERNE:DOMÄNE

IsValid                                 : True

 

 

[NorbertFe 2.035]

Ich würde vorschlagen, du definierst dir einen eigenen Receiveconnector für deinen Smarthost und definierst nur anonyme Benutzer und TLS. Dann dürfte sich das Problem zumindest sinnvoll eingrenzen lassen. Ausserdem kann man im Log besser filtern. ;) (wenn man es aktiviert hat)

 

Bye

Norbert

[FETT 10]

Kurze Frage.

Was genau ist der Unterschied zwischen

 

"Diese lokalen IP-Adressen zum Empfangen von E-Mail verwenden"

und

"E-Mail von Remoteservern mit folgenden IP-Adressen empfangen"

 

Wo trage ich z.B. den Samrthost ein?

Ich denke beim oberen lokalen...

 

Protokollierung kann ich ja nur über den Schalter Protokolliergrad "Keine" oder "Ausführlich" aktivieren?

[testperson 1.680]

Hi,

 

Lokale IP Adresse -> Exchange IP(s)

Remoteserver -> SmartHost

 

Ja, Protokollierung geht nur nichts oder alles.

 

Gruß

Jan

[magheinz 110]

fehlen die <> nur im posting beim Empfänger?

 

edit: beim Absender auch!

bearbeitet 12. August 2016 von magheinz