Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Letztes Änderungsdatum des Themas: 2005-06-21
In der Standardeinstellung wird Exchange 2003 im sicheren Modus für den anonymen SMTP-Zugriff eingerichtet. Die anonyme oder offene Weiterleitung per Relay ist deaktiviert, und nicht authentifizierte E-Mail, die an Exchange 2003 innerhalb der Organisation gesendet wird, wird auf dem Outlook-Client nicht als aufgelöst dargestellt. Somit wird bereits in der Standardeinstellung der anonyme Zugriff auf SMTP teilweise eingeschränkt, da die anonyme Weiterleitung per Relay deaktiviert ist. Der interne anonyme SMTP-Zugriff ist jedoch nicht deaktiviert. In diesem Abschnitt werden Empfehlungen zum Überprüfen der Relaykonfiguration und zum weiteren Einschränken des internen anonymen SMTP-Zugriffs gegeben.
Anonymes Relay
Es ist äußerst wichtig, dass Sie auf Ihren virtuellen SMTP-Servern die anonyme Weiterleitung nicht zulassen. Die Weiterleitung per Relay bedeutet, dass jemand den Exchange-Server für das Senden einer E-Mail an eine externe Domäne verwendet. Bei einem offenen Relay wird gestattet, dass jemand Spam sendet und dabei Ihre externen SMTP-Server zum Senden von Nachrichten im Namen dieser externen SMTP-Server verwendet. Durch diese Aktivitäten werden Ihre Gatewayserver vermutlich als Spamrelay in die Internetsperrlisten aufgenommen.
In der Standardkonfiguration ermöglicht Exchange nur authentifizierten Benutzern die Weiterleitung von E-Mail-Nachrichten per Relay. Nur authentifizierte Benutzer können mithilfe von Exchange E-Mail-Nachrichten an eine externe Domäne senden. Wenn Sie die Standardrelayeinstellungen so ändern, dass nicht authentifizierte Benutzer E-Mail-Nachrichten per Relay weiterleiten können, oder wenn über einen Connector in Ihrer Domäne ein offenes Relay verfügbar ist, können nicht authentifizierte Benutzer oder bösartige Computerwürmer Ihren Exchange-Server zum Senden von Spam verwenden. Der Server wird möglicherweise gesperrt, und es können keine E-Mail-Nachrichten mehr an legitime Remoteserver gesendet werden. Um zu verhindern, dass nicht autorisierte Benutzer Ihren Exchange-Server zum Weiterleiten von E-Mail-Nachrichten per Relay verwenden, sollten Sie zumindest die Standardrelayeinschränkungen verwenden.
Wenn Sie gute Gründe für die Weiterleitung per Relay haben, sollten Sie die Richtlinien befolgen, damit die Sicherheit Ihrer Implementierung gewahrt bleibt. Dies geschieht im Wesentlichen dadurch, dass alle Standardwerte deaktiviert bleiben und lediglich die IP-Adressen hinzugefügt werden, von denen weitergeleitete E-Mail-Nachrichten akzeptiert werden, und der Zugriff für authentifizierte Benutzer deaktiviert wird.
Überprüfen Sie, wie die integrierten Konten (lokaler Administrator) und andere Benutzer auf den Gatewayservern verwendet werden. Es ist unwahrscheinlich, dass Sie die integrierten Konten in irgendeiner Art für die Weiterleitung per Relay verwenden. Im Falle einer Weiterleitung erfolgt diese vermutlich durch bekannte Benutzer oder Computer. Es empfiehlt sich, die Weiterleitungsrechte auf bestimmte Benutzer und Computer oder auf eine IP-Adresse zu beschränken.
Durch das Konfigurieren expliziter Berechtigungen für die Weiterleitung per Relay wird dazu beigetragen, den Server gegen Angriffe zu stärken. Böswillige Benutzer versuchen möglicherweise, mithilfe von Bruteforce-Angriffen an Kennwörter für integrierte Konten oder für Benutzerkonten im Internet zu gelangen, um dann Ihren Server als Spamproxy zu verwenden. Daher sind die Standardeinstellungen, mit denen jedem authentifizierten Computer die Weiterleitung per Relay gestattet wird, nicht für Computer zu empfehlen, die vom Internet zugänglich sind. Es empfiehlt sich, diese Einstellung zu deaktivieren.
Anonymer SMTP-Zugriff
Exchange 2003 bietet clientseitigen Benutzern die Möglichkeit, gefälschte Nachrichten daran zu erkennen, dass bei nicht authentifizierten E-Mail-Nachrichten die tatsächliche SMTP-Adresse angezeigt wird, während sonst der Anzeigename in der GAL angezeigt wird. Es wird jedoch empfohlen, auf allen internen Exchange-Servern den anonymen SMTP-Zugriff zu deaktivieren. In Outlook sind nicht authentifizierte (oder potenziell gefälschte) E-Mail nicht immer leicht zu erkennen. Nur aufmerksame und erfahrene Benutzer erkennen rasch, dass das Anzeigen der tatsächlichen SMTP-Adresse bedeutet, dass der Sender nicht authentifiziert ist. Daher gewährleistet das Deaktivieren des anonymen Zugriffs, dass nur authentifizierte Benutzer Nachrichten innerhalb der Organisation übermitteln können. Außerdem werden Clientprogramme wie Outlook Express und Outlook im Internet-Modus (POP3 oder IMAP4) durch die erforderliche Authentifizierung gezwungen, sich vor dem Senden von E-Mails zu authentifizieren.
Empfehlungen
- Überprüfen Sie die Relaykonfiguration. Konfigurieren Sie alle virtuellen SMTP-Server so, dass nur explizite Benutzer, Computer oder IP-Adressen berechtigt sind, Weiterleitungen per Relay an andere Organisationen vorzunehmen.
- Deaktivieren Sie für alle authentifizierten Computer die Option, Nachrichten per Relay weiterzuleiten.
- Deaktivieren Sie auf allen internen Exchange-Servern den anonymen SMTP-Zugriff.
Ressourcen
- Weitere Informationen zum Absichern der SMTP-Weiterleitung per Relay und Routing finden Sie unter „Sichern des Exchange-Servers“ im Exchange Server 2003 Transport and Routing Guide.
- Weitere Informationen zum Steuern der Weiterleitung per Relay finden Sie im Microsoft Knowledge Base-Artikel 304897 SMTP relay behavior in Windows 2000, Windows XP, and Exchange Server.