ChaS 0 Geschrieben 19. Oktober 2023 Melden Teilen Geschrieben 19. Oktober 2023 moin, wir haben einen internen Receive Connector Port 25 der für interne Server zuständig ist. Jetzt ist mir aufgefallen, dass auch Mails von extern über diesen Connector gehen. der vorgeschaltene mail Proxy (kein MS) ist (leider) auch in der Scope Liste aber Anyonoumus ist nicht aktiviert somit dürfte es eigentlich nicht sein, dass hier externe mails drüber gehen - oder? Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 19. Oktober 2023 Melden Teilen Geschrieben 19. Oktober 2023 vor 58 Minuten schrieb ChaS: Jetzt ist mir aufgefallen, dass auch Mails von extern über diesen Connector gehen. Wie sieht da so ein logeintrag exemplarisch aus? Ist das ein frontend oder hub connector? Zitieren Link zu diesem Kommentar
ChaS 0 Geschrieben 20. Oktober 2023 Autor Melden Teilen Geschrieben 20. Oktober 2023 frontend connector 2023-10-19T09:59:50.836Z,mx1\ConInternal,08DBCD8692F466F9,0,10.2.2.2:25,10.1.3.51:50823,+,, 2023-10-19T09:59:50.836Z,mx1\ConInternal,08DBCD8692F466F9,1,10.2.2.2:25,10.1.3.51:50823,*,SMTPSubmit SMTPAcceptAnyRecipient SMTPAcceptAuthenticationFlag SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender BypassAntiSpam BypassMessageSizeLimit SMTPAcceptEXCH50 AcceptRoutingHeaders,Set Session Permissions 2023-10-19T09:59:50.837Z,mx1\ConInternal,08DBCD8692F466F9,2,10.2.2.2:25,10.1.3.51:50823,>,"220 mail.firma.de Microsoft ESMTP MAIL Service ready at Thu, 19 Oct 2023 11:59:50 +0200", 2023-10-19T09:59:50.837Z,mx1\ConInternal,08DBCD8692F466F9,3,10.2.2.2:25,10.1.3.51:50823,<,EHLO BOX1, 2023-10-19T09:59:50.837Z,mx1\ConInternal,08DBCD8692F466F9,4,10.2.2.2:25,10.1.3.51:50823,>,250 mail.Firma.de Hello [10.1.3.51] SIZE 94371840 PIPELINING DSN ENHANCEDSTATUSCODES 8BITMIME BINARYMIME CHUNKING SMTPUTF8, 2023-10-19T09:59:50.838Z,mx1\ConInternal,08DBCD8692F466F9,5,10.2.2.2:25,10.1.3.51:50823,<,MAIL FROM:<extern@hotmail.com> SIZE=12932, 2023-10-19T09:59:50.838Z,mx1\ConInternal,08DBCD8692F466F9,6,10.2.2.2:25,10.1.3.51:50823,*,08DBCD869266F9;2023-10-19T09:59:50.836Z;1,receiving message 2023-10-19T09:59:50.839Z,mx1\ConInternal,08DBCD8692F466F9,7,10.2.2.2:25,10.1.3.51:50823,<,RCPT TO:<office@Firma.de> ORCPT=rfc822;office@Firma.de, 2023-10-19T09:59:50.839Z,mx1\ConInternal,08DBCD8692F466F9,8,10.2.2.2:25,10.1.3.51:50823,<,DATA, 2023-10-19T09:59:50.839Z,mx1\ConInternal,08DBCD8692F466F9,9,10.2.2.2:25,10.1.3.51:50823,>,250 2.1.0 Sender OK, 2023-10-19T09:59:50.839Z,mx1\ConInternal,08DBCD8692F466F9,10,10.2.2.2:25,10.1.3.51:50823,>,250 2.1.5 Recipient OK, 2023-10-19T09:59:50.839Z,mx1\ConInternal,08DBCD8692F466F9,11,10.2.2.2:25,10.1.3.51:50823,>,354 Start mail input; end with <CRLF>.<CRLF>, 2023-10-19T09:59:50.845Z,mx1\ConInternal,08DBCD8692F466F9,12,10.2.2.2:25,10.1.3.51:50823,*,,Proxy destination(s) obtained from OnProxyInboundMessage event. Correlation Id:1e4ed298-1e3b-40b9-adb6-a636c7dd3cb8 Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 20. Oktober 2023 Melden Teilen Geschrieben 20. Oktober 2023 (bearbeitet) Hi, deine Kombination "Externally Secured" und "Exchange Servers" entspricht (einem eher schlechten / ungünstigen) "Anonymous Relay": Allow anonymous relay on Exchange servers | Microsoft Learn Zitat Add the Exchange servers (ExchangeServers) permission group and the Externally secured (ExternalAuthoritative) authentication mechanism to the Receive connector. Connections use the MS Exchange\Externally Secured Servers security principal with the following permissions: ms-Exch-Accept-Headers-Routing ms-Exch-Bypass-Anti-Spam ms-Exch-Bypass-Message-Size-Limit ms-Exch-SMTP-Accept-Any-Recipient ms-Exch-SMTP-Accept-Any-Sender ms-Exch-SMTP-Accept-Authentication-Flag ms-Exch-SMTP-Accept-Authoritative-Domain-Sender ms-Exch-SMTP-Accept-Exch50 ms-Exch-SMTP-Submit Easier to configure (can do everything in the Exchange admin center). The network hosts are considered authenticated senders. Messages bypass antispam and message size limit checks, and the sender's email address can be resolved to a corresponding display name in the global address list. Grants the permissions to submit messages as if they originated from internal senders within your Exchange organization. The network hosts are considered completely trustworthy, regardless of the volume, size, or content of the messages that they send. Daher: By Design. ;) Gruß Jan bearbeitet 20. Oktober 2023 von testperson Zitieren Link zu diesem Kommentar
Beste Lösung cj_berlin 1.315 Geschrieben 20. Oktober 2023 Beste Lösung Melden Teilen Geschrieben 20. Oktober 2023 Moin, solange kein wirkliches Relay entstanden ist, kann es Dir nicht eigentlich egal sein, welchen Receive Connector Exchange für den Empfang eingehender Mails aus dem Gateway auswählt? Ist es Dir aus irgendwechen Gründen wichtig, musst Du den Mail-Gateway aus dem Scope des internen Connectors ausschließen. Ich vermute aber aus Deiner Ausführung, dass das interne Bein des Mail-Gateway im Server-Subnetz ist und Du daher den Scope aufbrechen müsstest, um eine Adresse auszuschließen. Normalerweise jedoch, wenn der Scope des externen Connectors nur die IP des Gateways umfasst und nicht das gesamte Subnetz, müsste dieser gewählt werden - Exchange versucht immer, die möglichst genau passende Konstellation zu wählen. Wenn allle Stricke reißen, kannst Du den externen Connector auf einem anderen Port laufen lassen und das Ziel im Mail-Gateway ändern. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.