• Artikel

Der SMTP-Server hat den Test auf offenes Relay nicht bestanden

[Dieses Thema beschäftigt sich mit einem besonderen Problem, das von Exchange Server Analyzer angezeigt wird. Die Problembehandlung sollte nur auf Systeme angewendet werden, auf denen Exchange Server Analyzer ausgeführt wird und dieses spezielle Problem auftritt. Exchange Server Analyzer (als kostenloser Download verfügbar) trägt remote Konfigurationsdaten von allen Servern in der Topologie zusammen und analysiert diese Daten automatisch. Der sich ergebende Bericht enthält ausführliche Informationen zu wichtigen Konfigurationskonflikten, möglichen Problemen und Produkteinstellungen, die nicht den Standardeinstellungen entsprechen. Indem Sie diese Empfehlungen beachten, können Sie bessere Leistung, Skalierbarkeit, Zuverlässigkeit und Betriebszeit erzielen. Weitere Informationen zum Tool sowie zum Download der aktuellsten Version finden Sie unter "Microsoft Exchange Analyzers" unter der Adresse https://go.microsoft.com/fwlink/?linkid=34707.]  

Letztes Änderungsdatum des Themas: 2010-06-29

Auf einem Server, auf dem Microsoft Exchange Server 2003 oder eine frühere Version ausgeführt wird, versucht Microsoft® Exchange Best Practices Analyzer, eine Nachricht per Relay über einen SMTP-Server (Simple Mail Transfer Protocol) weiterzuleiten und führt dazu die folgenden Schritte aus:

  • Öffnen einer Socket-Verbindung mit dem SMTP-Server. Wenn der Analyzer den Antwortcode 220 empfängt, wird dieser Schritt als erfolgreich ausgeführt angesehen.
  • Übermitteln des SMTP-Befehlsverbs EHLO. Wenn Exchange Server Analyzer eine Reihe von Antwortcodes 250 empfängt, wird dieser Schritt als erfolgreich ausgeführt angesehen. Eine Reihe dieser Antwortcodes enthält 250-X-LINK2STATE und 250-XEXCH50.
  • Übermitteln des SMTP-Befehlsverbs MAIL FROM: ExBPA-OpenRelayTest@Fabrikam.com. Wenn der Analyzer den Antwortcode 250 empfängt, wird dieser Schritt als erfolgreich ausgeführt angesehen.
  • Übermitteln des SMTP-Befehlsverbs RCPT TO: ExBPA-OpenRelayTest@Fabrikam.com. Wenn der Analyzer den Antwortcode 250 empfängt, wird dieser Schritt als erfolgreich ausgeführt angesehen.

Das Analyzer-Tool fragt außerdem die WMI-Klasse (Microsoft Windows ® Management Instrumentation) Win32_OperatingSystem ab, um den Wert für den Schlüssel OSProductSuite zu bestimmen. Der Wert dieses Schlüssels entspricht einer bestimmten Version eines Windows Server-Betriebssystems. Wenn das Analyzer-Tool auf einem Exchange Server-Computer, der Teil einer Installation von Microsoft Small Business Server 2000 oder Microsoft Windows Small Business Server 2003 ist, alle Schritte erfolgreich ausführen kann, wird ein Fehler angezeigt.

Auf einem Server, der Exchange Server 2007 oder eine höhere Version ausführt, bestimmt das Analyzer-Tool, ob auf der Registerkarte Berechtigungsgruppen des Empfangsconnectors die Option Anonyme Benutzer aktiviert ist. Darüber hinaus bestimmt das Tool, ob dem Benutzer NT-AUTOTITÄT\ANONYMOUS-ANMELDUNG auf dem Empfangsconnector die Berechtigung für Ms-Exch-SMTP-Accept-Any-Recipient erteilt wurde. Wenn der Analyzer feststellt, dass Exchange Server diese Konfiguration aufweist, wird eine Fehlermeldung angezeigt. Der Fehler weist darauf hin, dass dieser Server als offenes Relay konfiguriert ist.

Hinweise

  • Das Zulassen von offenem Relay ist keine empfohlene bewährte Methode. Ein offenes Relay tritt auf, wenn ein E-Mail-Server das Durchführen eines Relays für E-Mail-Nachrichten über das System ermöglicht, ohne dabei Einschränkungen oder Kontrolle über diese Nachrichten auszuüben.
  • Dieser Fehler kann auftreten, wenn Ihre Exchange-Organisation aus beliebigem Grund eine SMTP-Domäne mit dem Namen Fabrikam.com verwendet. Falls dies den Grund darstellt, können Sie diesen Fehler unbesorgt ignorieren. Die Domäne Fabrikam.com ist Eigentum von Microsoft Corporation und wird für Schulungen und Dokumentationszwecke verwendet.

Relay ist nicht grundsätzlich negativ, da SMTP für diesen Zweck ausgelegt wurde. (Weitere Informationen finden Sie im RFC 2821-Dokument, Abschnitte 2.1 und 3.7 (http://ietf.org)). Dieser Vorgang kann jedoch unkontrolliert sein. Ein unkontrollierter Host wird als Open Relay-Host bezeichnet. Wenn Relay nicht kontrolliert ist, können böswillige Benutzer Relay potenziell verwenden, um unverlangte kommerzielle E-Mail-Massensendungen (Spam oder UCE) weiterzuleiten. Durch das Umleiten dieser unerwünschten E-Mail-Nachrichten über einen zwischengeschalteten Host versuchen böswillige Benutzer, ihre Identität zu verschleiern. Dies bindet Ressourcen auf dem Relay-Host und kann diesen daran hindern, ordnungsgemäße E-Mail-Nachrichten zu senden. Insbesondere können die meisten Benutzer, die solche unaufgeforderten E-Mail-Nachrichten senden, eine einzelne Nachricht an sehr viele Empfänger gleichzeitig senden, ohne dass ihre eigene Bandbreite verwendet wird.

Stellen Sie sicher, dass Sie auf Ihren mit dem Internet verbundenen virtuellen SMTP-Servern kein anonymes Relay ermöglichen. In der Standardkonfiguration ermöglicht Exchange nur authentifizierten Benutzern das Weiterleiten von Nachrichten per Relay. Nur authentifizierte Benutzer können Exchange dazu verwenden, E-Mail an eine externe Domäne zu senden. Wenn Sie die Relay-Standardeinstellungen ändern, um nicht authentifizierten Benutzern das Weiterleiten per Relay zu ermöglichen, oder wenn Sie auf einer Domäne offenes Relay über einen Connector ermöglichen, können nicht autorisierte Benutzer oder bösartige Würmer Ihren Exchange-Server zum Senden von Spam verwenden. Ihr Server kann blockiert und dadurch daran gehindert werden, Mail an legitime Remoteserver zu senden. Verwenden Sie mindestens die Standard-Relayeinschränkungen, um nicht autorisierte Benutzer daran zu hindern, Ihren Exchange-Server zum Weiterleiten von E-Mail per Relay zu verwenden.

Wenn Sie legitime Gründe zum Weiterleiten per Relay haben, gehen Sie anhand der Richtlinien vor, um sicherzustellen, dass in Ihrer Implementierung die Sicherheit gewährleistet ist. Behalten Sie dazu die Standardwerte zum vollständigen Verweigern bei, und fügen Sie nur die IP-Adressen hinzu, von denen Sie Relay-Mail akzeptieren, und deaktivieren Sie den Zugriff authentifizierter Benutzer.

Überprüfen Sie, wie auf Ihren Gateway-Servern Review vordefinierte Konten (für lokalen Administrator) und andere Benutzer verwendet werden. Es ist unwahrscheinlich, dass vordefinierte Konten für Weitergabe per Relay verwendet werden. Wenn Sie per Relay weiterleiten, erfolgt dies wahrscheinlich über bekannte Benutzer oder Computer. Es wird empfohlen, Relay-Berechtigungen auf bestimmte Benutzer und Computer oder auf eine IP-Adresse zu beschränken.

Auch das Konfigurieren expliziter Relay-Berechtigungen trägt zur Sicherheit Ihres Servers bei. Böswillige Benutzer können durch einen Brute-Force-Angriff versuchen, die Kennwörter für in Internet gefundene vordefinierte Konten oder Benutzerkonten zu ermitteln, um Ihren Server als Spam-Proxy zu verwenden. Deshalb wird die Standardeinstellung, die allen authentifizierten Computern die Weitergabe per Relay ermöglicht, für vom Internet aus zugängliche Computer nicht empfohlen. Es wird empfohlen, diese Einstellung zu deaktivieren.

In deb folgenden Verfahren wird das Deaktivieren anonymer Weitergabe per Relay in Abhängigkeit davon erläutert, ob der virtuelle SMTP-Server mit dem Internet verbunden ist. Wie bereits in diesem Artikel erwähnt, sollte jegliche Form anonymen Relays nur dann aktiviert werden, wenn das Sicherheitsrisiko bekannt und für Ihre Organisation akzeptabel ist. Weitere Informationen zum Verwenden der Weitergabe per Relay finden Sie in den Verweisen am Schluss dieses Artikels.

Wenn ein virtueller SMTP-Server nicht vom Internet aus zugänglich ist, wird empfohlen, dass Sie die Relay-Konfigurationen auf die Standardwerte zurücksetzen. Dadurch werden die virtuellen SMTP-Server auf das interne Relay von authentifizierten Computern beschränkt.

Für aus dem Internet zugängliche virtuelle SMTP-Server wird empfohlen, die Standard-Relay-Konfigurationen zusätzlich zu sichern, sodass nur solche Benutzer und Computer per Relay weiterleiten können, die ausdrücklich dazu berechtigt sind.

Wenn Sie sichergestellt haben, dass Exchange zum Blockieren von Weiterleitung per Relay konfiguriert ist, und dieser Fehler im Exchange Server Analyzer immer noch auftritt, sollten Sie darauf achten, dass keine Proxys oder Prozesse wie Firewall-, Antiviren- oder Anti-Spam-Software anonymes Weiterleiten per Relay ermöglichen.

So setzen Sie auf virtuellen SMTP-Servern die anonymen Relay-Konfigurationen auf die Standardeinstellungen zurück

  1. Öffnen Sie den Exchange-System-Manager.

  2. Erweitern Sie in der Konsolenstruktur den Eintrag Server, erweitern Sie den gewünschten Server, erweitern Sie Protokolle, und erweitern Sie anschließend SMTP.

  3. Klicken Sie mit der rechten Maustaste auf den virtuellen SMTP-Server, für den Sie Relay-Einschränkungen festlegen möchten, und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie in Eigenschaften von <Virtueller SMTP-Server> auf die Registerkarte Zugriff, und klicken Sie dann auf Relay.

  5. Wählen Sie in den Relayeinschränkungen unter Legen Sie fest, welchen Computern das Relay über diesen virtuellen Server erlaubt ist die Option Nur Computer in der Liste unten aus, aktivieren Sie das Kontrollkästchen Jedem Computer, der erfolgreich authentifiziert ist, unabhängig von der Liste oben das Relay erlauben, und klicken Sie dann auf OK.

So konfigurieren Sie in Exchange Server 2003 explizite Relay-Berechtigungen auf virtuellen SMTP-Servern mit Internetzugang

  1. Öffnen Sie den Exchange-System-Manager.

  2. Erweitern Sie in der Konsolenstruktur den Eintrag Server, erweitern Sie den gewünschten Server, erweitern Sie Protokolle, und erweitern Sie anschließend SMTP.

  3. Klicken Sie mit der rechten Maustaste auf den virtuellen SMTP-Server, für den Sie Relay-Einschränkungen festlegen möchten, und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie in Eigenschaften von <Virtueller SMTP-Server> auf die Registerkarte Zugriff, und klicken Sie dann auf Relay.

  5. Deaktivieren Sie in den Relayeinschränkungen das Kontrollkästchen Jedem Computer, der erfolgreich authentifiziert ist, unabhängig von der Liste oben das Relay erlauben, und klicken Sie dann auf Benutzer, um eine Untergruppe von Benutzern auszuwählen, denen Sie die Relay-Berechtigungen auf diesem virtuellen SMTP-Server erteilen möchten.

  6. Wählen Sie zum Entfernen eines Benutzers oder einer Gruppe in den Berechtigungen für Übermittlung und Relay einen Benutzer oder eine Gruppe aus, und klicken Sie dann auf Entfernen.

  7. Klicken Sie zum Hinzufügen einer Gruppe oder eines Benutzers auf Hinzufügen, und wählen Sie dann den Benutzer oder die Gruppe aus, für die Sie Berechtigungen festlegen möchten. Wählen Sie eine der folgenden Optionen aus:

    • Geben Sie unter Microsoft Windows Server™ 2003 in Benutzer, Computer oder Gruppen auswählen unter Geben Sie die zu verwendenden Objektnamen ein den Namen des Benutzers oder der Gruppe ein. Wenn Sie nach einem Benutzer oder einer Gruppe suchen möchten, klicken Sie auf Erweitert, suchen Sie nach dem Namen des Benutzers oder der Gruppe, und klicken Sie dann auf Namen überprüfen, um Ihre Eingaben zu überprüfen.
      tipTipp:
      Klicken Sie auf die Verknüpfung Beispiele, um die möglichen Eingabeformate anzuzeigen.
    • Wählen Sie unter Windows 2000 Server in Benutzer, Computer oder Gruppen auswählen die Gruppe oder den Benutzer aus, der oder dem Sie Übermittlungsberechtigungen erteilen möchten, und klicken Sie dann auf Hinzufügen.

  8. Klicken Sie auf OK, um zum Dialogfeld der Berechtigungen für Übermittlung und Relay zurückzukehren.

  9. Wählen Sie in der Liste Gruppen- und Benutzernamen die neu hinzugefügte Gruppe aus.

  10. Aktivieren Sie ggf. unter Berechtigungen für <ausgewählte Gruppe> neben Übermittlungsberechtigung das Kontrollkästchen unter Zulassen, um zuzulassen, dass der ausgewählte Benutzer oder die ausgewählte Gruppe über diesen virtuellen SMTP-Server Nachrichten weiterleiten kann.

  11. Aktivieren Sie neben den Relay-Berechtigungen das Kontrollkästchen unter Zulassen, um dem ausgewählten Objekt die Weiterleitung per Relay über diesen virtuellen SMTP-Server zu ermöglichen, oder aktivieren Sie das Kontrollkästchen unter Verweigern, um dem ausgewählten Objekt die Weiterleitung per Relay über diesen virtuellen Server zu verweigern.

    noteAnmerkung:
    Wenn Sie Relay-Berechtigungen zulassen möchten, müssen Sie Übermittlungsberechtigungen zulassen.

  12. Klicken Sie auf OK.

So konfigurieren Sie in Exchange Server 2000 Relay-Berechtigungen auf virtuellen SMTP-Servern mit Internetzugang

  1. Öffnen Sie den Exchange-System-Manager.

  2. Erweitern Sie in der Konsolenstruktur den Eintrag Server, erweitern Sie den gewünschten Server, erweitern Sie Protokolle, und erweitern Sie dann SMTP.

  3. Klicken Sie mit der rechten Maustaste auf den virtuellen SMTP-Server, für den Sie Relay-Einschränkungen festlegen möchten, und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie in Eigenschaften von <Virtueller SMTP-Server> auf die Registerkarte Zugriff, und klicken Sie dann auf Relay.

  5. Wählen Sie unter Legen Sie fest, welchen Computern das Relay über diesen virtuellen Server erlaubt ist in den Relay-Einschränkungen die Option Nur Computer in der Liste unten aus.

  6. Klicken Sie auf Hinzufügen, um einen einzelnen Computer, eine Gruppe von Computern oder einen SMTP-Domänennamen hinzuzufügen, und klicken Sie dann auf OK. Wiederholen Sie diesen Schritt für jeden zusätzlichen Eintrag, den Sie hinzufügen möchten.

  7. Wählen Sie Jedem Computer, der erfolgreich authentifiziert ist, unabhängig von der Liste oben das Relay erlauben aus, und klicken Sie dann zweimal auf OK.

Weitere Informationen zum Weiterleiten von Nachrichten per Relay finden Sie in den folgenden Handbüchern der technischen Bibliothek für Exchange Server 2003:

Weitere Informationen zum Testen und Sichern des Verhaltens offener Relays in einer Exchange- und Microsoft Windows®-Umgebung finden Sie im Microsoft Knowledge Base-Artikel 304897, Verhalten der SMTP-Weiterleitung in Windows 2000, Windows XP und Exchange Server.