Authentifizierung

1. offizieller Beitrag

    Hallo liebes Forum
    Ich arbeite mit einem Exchange 2013 und das Standardverhalten des Servers ist, das er jede Mail annimmt und diese dann auch, wenn Empfänger im lokalen Lan sitzt, zuteilt. Das war bisher immer ganz gut für Backup Jobs oder dergleichen um sich Statusmails zukommen zu lassen.


    Nun möchte ich aber davon weg. Möchte das es nur mit User /Passwort möglich ist und nicht mehr ohne Authentifizierung an domainuser Emailadressen gesendet werden können. Habe dafür ein Postfach auf dem Exchange eingerichtet und die Software auf User Passwort eingerichtet. Das klappt auch, aber wie bekomme ich Möglichkeit weg immer noch ohne User und Passwort mails zum Exchange zu senden? Er soll diese ablehnen und nicht annehmen. An externe User sendet er die zwar nicht weiter, aber immer noch an interne.


    Kann mir hier jemand helfen?


    Gruß und vielen Dank
    Chukaro

    • Offizieller Beitrag

    Moin,


    wer hatte den denn mal eingerichtet?
    Welchen Stand hat der Server, aktuell?
    Welches CU ist auf dem Exchange?
    http://blog-schulenburg.de/ind…87-exchange-build-nummern


    Und dazu hilft ein Blick in die Empfangs-Connectoren, da solltest du fündig werden.


    War das mal eine Migration von einem älteren Exchange oder frisch installiert?


    ;)

    Vielen Dank für die Antworten.
    Der Stand ist CU11 und war eine Migration von 2007. Also parallele Installation und Übernahme der Postfächer und dem ganzen Rest.


    Heißt das, das ist Standardverhalten von Exchange? Anonym kann ich nicht aus den Empfangsconnectoren rausnehmen, dann bekomme ich wie schon gecshrieben keine Mails mehr aus dem Inet.


    Gruß

    Noch etwas:
    Die Empfangsconnectoren sind alle noch Standard. 3 Connectoren für den CA und 2 für den Mailbox Server mit Standardeinstellungen.

    • Offizieller Beitrag
    Zitat von Chukaro

    Heißt das, das ist Standardverhalten von Exchange? Anonym kann ich nicht aus den Empfangsconnectoren rausnehmen, dann bekomme ich wie schon gecshrieben keine Mails mehr aus dem Inet.

    Das ist nicht das Standardverhalten von Exchange sondern das von JEDEN Mailserver. Wer aus dem Internet kannst sich bei Dir authentifizieren? Das dürfte eine Minderheit sein. Authentifizierung wird daher von mir auch gerne als der "beste Spam-Schutz" bezeichnet. Einschalten = kein Spam mehr (und auch sonst keine Mails mehr).


    Du musst Dir also den Mail-Fluss aus dem Inet anschauen:
    - direkt (per Port-Weiterleitung) -> Lösung #1
    - über einen vorgelagerten Filter (Spam, etc.) -> Lösung #1 + #2


    Lösung #1: Einen neuen Connector anlegen und dort als Remote-IP die Ranges des internen Netzwerkes eintragen. An dem Connector die anonymen Benutzer abschalten. Ergebnis: Niemand in Deinem Netz kann unkontrolliert Mails einliefern. Von außen geht das aber zwangsläufig weiterhint.


    Lösung #2: Lösung #1 + Den Standard-Connector deaktivieren und einen neuen Connetor anlegen, der als Remote-IP-Adresse das Gateway hat. Hier dann entweder mit Authentifizierung oder anonym arbeiten.

    Vielen Dank für die schnelle Antwort.
    Ok ich glaube ich habe verstanden.


    Wir stellen gerade unseren Email Verkehr um auf einen externen Provider. D.h. der MX Record zeigt nicht auf unseren Exchange sondern auf deren Server.
    D.h. Ich würde einen Connector erstellen, den Standard deaktivieren, als Remote IPs könnte ich dann doch die von unserem Provider eintragen (sind 7 an der Zahl).
    Dann noch Lösung 1 Connector anlegen und es sollte passen, oder?


    Gruß

    • Offizieller Beitrag
    Zitat von Chukaro

    Dann noch Lösung 1 Connector anlegen und es sollte passen, oder?

    Wenn die Mails kontrolliert von außen kommen, kann man alles steuern.


    Wichtig ist, dass Du zwei Dinge beachtest:
    - immer nur die Front End-Connectoren ändern (die mit Port 25 + 587) - NIEMALS was an den anderen Connectoren (Port 2525 + 465)
    - jede Remote IP-Adresse kann nur einmal in einem Connector auftauchen, wobei die Regel gilt: Speziell kommt vor allgemein (eine IP-Adresse wird also einer Range bevorzugt)