Zulassen von anonymem Relay für einen Empfangsconnector

  • Artikel

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2007-07-02

In diesem Thema wird erläutert, wie ein Empfangsconnector mithilfe der Exchange-Verwaltungskonsole oder der Exchange-Verwaltungsshell erstellt und konfiguriert werden kann, der anonymes Relay zulässt. Der Empfangsconnector wird auf Servern konfiguriert, auf denen die Microsoft Exchange Server 2007-Serverfunktion Hub-Transport oder Edge-Transport installiert ist.

Relay ist die Übermittlung von Nachrichten von einem SMTP-Messagingserver (Simple Mail Transfer Protocol) auf einen anderen, wenn der annehmende SMTP-Messagingserver nicht das Endziel der Nachricht ist. Wenn keine Beschränkungen bestehen, ist anonymes Relay für Internet-SMTP-Messagingserver ein ernsthaftes Sicherheitsdefizit, das von den Absendern unerwünschter kommerzieller E-Mail-Nachrichten (Spammern) ausgenutzt werden kann, um die Quelle ihrer Nachrichten zu verbergen. Aus diesem Grund werden dem Internet ausgesetzte Messagingserver mit Einschränkungen versehen, um das Relay nicht autorisierter Ziele zu verhindern.

In Exchange 2007 wird Relay normalerweise mithilfe akzeptierter Domänen behandelt. Akzeptierte Domänen werden auf dem Edge-Transport-Server oder dem Hub-Transport-Server konfiguriert. Die akzeptierten Domänen werden außerdem als interne Relaydomänen oder externe Relaydomänen klassifiziert. Weitere Informationen zu akzeptierten Domänen finden Sie unter Verwalten von akzeptierten Domänen.

Sie können anonymes Relay auch basierend auf der Quelle der eingehenden Nachrichten einschränken. Diese Methode eignet sich, wenn ein nicht authentifizierter Anwendungs- oder Messagingserver einen Hub-Transport-Server oder einen Edge-Transport-Server als Relayserver verwenden muss.

Bevor Sie beginnen

Damit Sie das folgende Verfahren ausführen können, muss Folgendes an das verwendete Konto delegiert worden sein:

  • Exchange-Serveradministrator-Rolle und lokale Gruppe Administratoren für den Zielserver

Um die folgenden Verfahren auf einem Computer ausführen zu können, auf dem die Serverfunktion Edge-Transport installiert ist, müssen Sie sich mit einem Konto anmelden, das Mitglied der lokalen Gruppe Administratoren auf diesem Computer ist.

Weitere Informationen zu Berechtigungen, zum Delegieren von Rollen und zu den Rechten, die für die Verwaltung von Exchange 2007 erforderlich sind, finden Sie unter Überlegungen zu Berechtigungen.

Erstellen eines Empfangsconnectors, der bestimmten Quell-IP-Adressen anonymes Relay erlaubt

Wenn Sie den Empfangsconnector erstellen, der so konfiguriert ist, dass er anonymes Relay erlaubt, sollten Sie die folgenden Einschränkungen für den Empfangsconnector vorsehen:

  • Lokale Netzwerkeinstellungen   Schränken Sie den Empfangsconnector so ein, dass er nur die entsprechende Netzwerkkarte auf dem Hub-Transport-Server oder Edge-Transport-Server überwacht.

  • Remotenetzwerkeinstellungen   Schränken Sie den Empfangsconnector so ein, dass er nur Verbindungen von dem oder den angegebenen Server(n) annimmt. Diese Einschränkung ist erforderlich, weil der Empfangsconnector für das Annehmen von Relay von anonymen Benutzern konfiguriert ist. Das Einschränken der Quellserver nach IP-Adresse ist die einzige Schutzmaßnahme, die für diesen Empfangsconnector zulässig ist.

Wenn Sie anonymen Benutzern für den Empfangsconnector die Relayberechtigung erteilen möchten, können Sie eine der in den folgenden Abschnitten beschriebenen Strategien verwenden. Jede dieser Strategien besitzt Vor- und Nachteile.

Erteilen der Relayberechtigung für anonyme Verbindungen

Diese Strategie umfasst die folgenden Aufgaben:

  • Erstellen eines neuen Empfangsconnectors, dessen Verwendungstyp auf Custom festgelegt ist.

  • Hinzufügen der Berechtigungsgruppe Anonym zum Empfangsconnector.

  • Zuweisen der Relayberechtigung zum Sicherheitsprinzipal Anonyme Anmeldung für den Empfangsconnector.

Die Berechtigungsgruppe Anonym erteilt dem Sicherheitsprinzipal Anonyme Anmeldung für den Empfangsconnector die folgenden Berechtigungen:

  • Ms-Exch-Accept-Headers-Routing

  • Ms-Exch-SMTP-Accept-Any-Sender

  • Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

  • Ms-Exch-SMTP-Submit

Um anonymes Relay für diesen Empfangsconnector zuzulassen, müssen Sie dem Sicherheitsprinzipal Anonyme Anmeldung für den Empfangsconnector jedoch auch die folgende Berechtigung erteilen:

  • Ms-Exchange-SMTP-Accept-Any-Recipient

Der Vorteil dieser Strategie besteht darin, dass sie den angegebenen IP-Remoteadressen die mindestens für Relay erforderlichen Berechtigungen erteilt.

Diese Strategie besitzt die folgenden Nachteile:

  • Die können dem Konto Anonyme Anmeldung für den Empfangsconnector die Relayberechtigung nur mithilfe der Exchange-Verwaltungsshell in einem separaten Schritt zuweisen, nachdem Sie den Empfangsconnector erstellt haben.

  • Die Nachrichten, die von den angegebenen IP-Adressen stammen, werden als anonyme Nachrichten behandelt. Aus diesem Grund umgehen die Nachrichten weder die Antispamüberprüfungen noch die Überprüfungen zur Beschränkung der Nachrichtengröße, und es können keine anonymen Absender aufgelöst werden. Durch das Auflösen anonymer Absender wird eine versuchte Zuordnung zwischen der E-Mail-Adresse des anonymen Absenders und dem entsprechenden Anzeigenamen in der globalen Adressliste erzwungen.

    Hinweis

    Wenn Exchange 2007 Service Pack 1 (SP1) auf einem Computer bereitgestellt wird, der Windows Server 2008 ausführt, können Sie IP-Adressen und IP-Adressbereiche im Internetprotokollformat Version 4 (IPv4), im Internetprotokollformat Version 6 (IPv6) oder in beiden Formaten eingeben. In einer Standardinstallation von Windows Server 2008 ist die Unterstützung für IPv4 und IPv6 aktiviert.
    Es wird dringend davon abgeraten, Empfangsconnectors für das Akzeptieren von anonymen Verbindungen von unbekannten IPv6-Adressen zu konfigurieren. Wenn Sie einen Empfangsconnector für das Akzeptieren von anonymen Verbindungen von unbekannten IPv6-Adressen konfigurieren, wird das Spamaufkommen, das bei Ihrer Organisation eingeht, vermutlich zunehmen. Aktuell ist kein ausreichend breit als Industriestandard akzeptiertes Protokoll für das Nachschlagen von IPv6-Adressen vorhanden. Die meisten Anbieter von IP-Sperrlisten unterstützen keine IPv6-Adressen. Wenn Sie daher anonyme Verbindungen von unbekannten IPv6-Adressen auf einem Empfangsconnector zulassen, erhöhen Sie die Wahrscheinlichkeit, dass Spammer die Anbieter von IP-Sperrlisten umgehen und Spam erfolgreich an Ihre Organisation zustellen.
    Weitere Informationen über die Unterstützung von IPv6-Adressen in Exchange 2007 SP1 finden Sie unter IPv6-Unterstützung in Exchange 2007 SP1 und SP2. Weitere Informationen zur Verbindungsfilterung und zum Hinzufügen von IP-Adressen zur IP-Zulassungs- und IP-Sperrliste sowie zum Konfigurieren von Anbieterdiensten für geblockte und für zugelassene IP-Adressen finden Sie unter Konfigurieren der Verbindungsfilterung.

So erstellen Sie mithilfe der Exchange-Verwaltungskonsole einen neuen Empfangsconnector, der anonymen Verbindungen die Relayberechtigung erteilt

  1. Öffnen Sie die Exchange-Verwaltungskonsole. Führen Sie einen der folgenden Schritte aus:

    1. Um auf einem Computer, auf dem die Serverfunktion Edge-Transport installiert ist, einen Empfangsconnector zu erstellen, wählen Sie Edge-Transport aus, und klicken Sie dann im Arbeitsbereich auf die Registerkarte Empfangsconnectors.

    2. Erweitern Sie zum Erstellen eines Empfangsconnectors auf einem Hub-Transport-Server in der Konsolenstruktur den Knoten Serverkonfiguration, und wählen Sie Hub-Transport. Wählen Sie im Ergebnisbereich den Server aus, auf dem der Connector erstellt werden soll, und klicken Sie dann auf die Registerkarte Empfangsconnectors.

  2. Klicken Sie im Aktionsbereich auf Neuer Empfangsconnector. Der Assistent für neue SMTP-Empfangsconnectors wird gestartet.

  3. Führen Sie auf der Seite Einführung die folgenden Schritte aus:

    1. Geben Sie im Feld Name: einen sprechenden Namen für diesen Connector ein. Dieser Name wird zum Identifizieren des Connectors verwendet.

    2. Wählen Sie im Feld Wählen Sie die vorgesehene Verwendung für diesen Connector aus: die Option Benutzerdefiniert aus.

    3. Klicken Sie auf Weiter.

  4. Führen Sie auf der Seite Lokale Netzwerkeinstellungen folgende Schritte aus.

    1. Wählen Sie den Eintrag Alle verfügbaren aus, und klicken Sie auf Entfernen (Symbol).

    2. Klicken Sie auf Hinzufügen. Wählen Sie im Dialogfeld Empfangsconnectorbindung hinzufügen die Option Eine IP-Adresse angeben aus. Geben Sie eine IP-Adresse ein, die einer Netzwerkkarte auf dem lokalen Server zugeordnet ist, die sich am besten für die Kommunikation mit dem Remotemessagingserver eignet.

    3. Geben Sie auf der Seite Lokale Netzwerkeinstellungen im Feld Port den Wert 25 ein, und klicken Sie dann auf OK.

    4. Klicken Sie auf Weiter.

  5. Führen Sie auf der Seite Remote-Netzwerkeinstellungen folgende Schritte aus.

    1. Wählen Sie den Eintrag 0.0.0.0 - 255.255.255.255 aus, und klicken Sie dann auf Entfernen (Symbol).

    2. Klicken Sie auf Hinzufügen oder auf den Dropdownpfeil neben Hinzufügen, und geben Sie die IP-Adresse oder den IP-Adressbereich für den Remotemessagingserver oder für Server ein, die Nachrichten mittels Relay auf diesen Server leiten dürfen. Wenn Sie die Eingabe der IP-Adressen abgeschlossen haben, klicken Sie auf OK.

    3. Klicken Sie auf Weiter.

  6. Überprüfen Sie auf der Seite Neuer Connector die Konfigurationszusammenfassung für den Connector. Wenn Sie die Einstellungen ändern möchten, klicken Sie auf Zurück. Um den Empfangsconnector mit den in der Konfigurationszusammenfassung angezeigten Einstellungen zu erstellen, klicken Sie auf Neu.

  7. Klicken Sie auf der Seite Fertigstellung auf Fertig stellen.

  8. Wählen Sie im Arbeitsbereich den Empfangsconnector aus, den Sie erstellt haben.

  9. Klicken Sie im Aktionsbereich unterhalb des Namens des Empfangsconnectors auf Eigenschaften, um die Seite Eigenschaften zu öffnen.

  10. Klicken Sie auf die Registerkarte Berechtigungsgruppen. Wählen Sie Anonyme Benutzer aus.

  11. Klicken Sie auf OK, um Ihre Änderungen zu speichern und die Seite Eigenschaften zu schließen.

  12. Öffnen Sie die Exchange-Verwaltungsshell.

  13. Führen Sie den folgenden Befehl aus, und verwenden Sie dabei den Namen des Empfangsconnectors, den Sie in den Schritten 1 bis 11 erstellt haben:

    Get-ReceiveConnector "Receive Connector Name" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

So erstellen Sie mithilfe der Exchange-Verwaltungsshell einen neuen Empfangsconnector, der anonymen Verbindungen die Relayberechtigung erteilt

  1. Führen Sie den folgenden Befehl aus:

    New-ReceiveConnector -Name <Name> -Usage Custom -PermissionGroups AnonymousUsers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>

    Um z. B. einen neuen Empfangsconnector namens "Anonymous Relay" zu erstellen, der die lokale IP-Adresse 10.2.3.4 an Port 25 von einem Quellserver mit der IP-Adresse 192.168.5.77 aus überwacht, führen Sie den folgenden Befehl aus:

    New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -PermissionGroups AnonymousUsers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77

  2. Führen Sie den folgenden Befehl aus, und verwenden Sie dabei den Namen des Empfangsconnectors, den Sie in Schritt 1 erstellt haben:

    Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

Konfigurieren des Empfangsconnectors als extern gesichert

Diese Strategie umfasst die folgenden Aufgaben:

  • Erstellen eines neuen Empfangsconnectors, dessen Verwendungstyp auf Custom festgelegt ist.

  • Hinzufügen der Berechtigungsgruppe ExchangeServers zum Empfangsconnector.

  • Hinzufügen des Authentifizierungsmechanismus ExternalAuthoritative zum Empfangsconnector.

Die Berechtigungsgruppe ExchangeServers ist erforderlich, wenn Sie den Authentifizierungsmechanismus ExternalAuthoritative auswählen. Diese Kombination aus Authentifizierungsmethode und Berechtigungsgruppe erteilt allen eingehenden Verbindungen, die für den Empfangsconnector zulässig sind, die folgenden Berechtigungen:

  • Ms-Exch-Accept-Headers-Routing

  • Ms-Exch-SMTP-Accept-Any-Sender

  • Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

  • Ms-Exch-SMTP-Submit

  • Ms-Exch-Accept-Exch50

  • Ms-Exch-Bypass-Anti-Spam

  • Ms-Exch-Bypass-Message-Size-Limit

  • Ms-Exch-SMTP-Accept-Any-Recipient

  • Ms-Exch-SMTP-Accept-Authentication-Flag

Diese Strategie besitzt die folgenden Vorteile:

  • Einfache Konfiguration

  • Die Nachrichten, die von den angegebenen IP-Adressen stammen, werden als authentifizierte Nachrichten behandelt. Die Nachrichten umgehen die Antispamüberprüfungen, sie umgehen die Überprüfungen zur Beschränkung der Nachrichtengröße, und sie können anonyme Absender auflösen.

Der Nachteil dieser Strategie besteht darin, dass die IP-Remoteadressen als vollkommen vertrauenswürdig betrachtet werden. Die Berechtigungen, die den IP-Remoteadressen erteilt werden, erlauben dem Remotemessagingserver das Übermitteln von Nachrichten als stammten diese von internen Absendern in Ihrer Exchange-Organisation.

So erstellen Sie mithilfe der Exchange-Verwaltungskonsole einen neuen Empfangsconnector, der als extern gesichert konfiguriert ist

  1. Öffnen Sie die Exchange-Verwaltungskonsole. Führen Sie einen der folgenden Schritte aus:

    1. Um auf einem Computer, auf dem die Serverfunktion Edge-Transport installiert ist, einen Empfangsconnector zu erstellen, wählen Sie Edge-Transport aus, und klicken Sie dann im Arbeitsbereich auf die Registerkarte Empfangsconnectors.

    2. Erweitern Sie zum Erstellen eines Empfangsconnectors auf einem Hub-Transport-Server in der Konsolenstruktur den Knoten Serverkonfiguration, und wählen Sie Hub-Transport. Wählen Sie im Ergebnisbereich den Server aus, auf dem der Connector erstellt werden soll, und klicken Sie dann auf die Registerkarte Empfangsconnectors.

  2. Klicken Sie im Aktionsbereich auf Neuer Empfangsconnector. Der Assistent für neue SMTP-Empfangsconnectors wird gestartet.

  3. Führen Sie auf der Seite Einführung die folgenden Schritte aus:

    1. Geben Sie im Feld Name: einen sprechenden Namen für diesen Connector ein. Dieser Name wird zum Identifizieren des Connectors verwendet.

    2. Wählen Sie im Feld Wählen Sie die vorgesehene Verwendung für diesen Connector aus: die Option Benutzerdefiniert aus.

    3. Klicken Sie auf Weiter.

  4. Führen Sie auf der Seite Lokale Netzwerkeinstellungen folgende Schritte aus.

    1. Wählen Sie den Eintrag Alle verfügbaren aus, und klicken Sie auf Entfernen (Symbol).

    2. Klicken Sie auf Hinzufügen. Wählen Sie im Dialogfeld Empfangsconnectorbindung hinzufügen die Option Eine IP-Adresse angeben aus. Geben Sie eine IP-Adresse ein, die einer Netzwerkkarte auf dem lokalen Server zugeordnet ist, die sich am besten für die Kommunikation mit dem Remotemessagingserver eignet.

    3. Geben Sie auf der Seite Lokale Netzwerkeinstellungen im Feld Port den Wert 25 ein, und klicken Sie dann auf OK.

    4. Klicken Sie auf Weiter.

  5. Führen Sie auf der Seite Remote-Netzwerkeinstellungen folgende Schritte aus.

    1. Wählen Sie den Eintrag 0.0.0.0 - 255.255.255.255 aus, und klicken Sie dann auf Entfernen (Symbol).

    2. Klicken Sie auf Hinzufügen oder auf den Dropdownpfeil neben Hinzufügen, und geben Sie die IP-Adresse oder den IP-Adressbereich für den Remotemessagingserver oder für Server ein, die Nachrichten mittels Relay auf diesen Server leiten dürfen. Wenn Sie die Eingabe der IP-Adressen abgeschlossen haben, klicken Sie auf OK.

    3. Klicken Sie auf Weiter.

  6. Überprüfen Sie auf der Seite Neuer Connector die Konfigurationszusammenfassung für den Connector. Wenn Sie die Einstellungen ändern möchten, klicken Sie auf Zurück. Um den Empfangsconnector mit den in der Konfigurationszusammenfassung angezeigten Einstellungen zu erstellen, klicken Sie auf Neu.

  7. Klicken Sie auf der Seite Fertigstellung auf Fertig stellen.

  8. Wählen Sie im Arbeitsbereich den Empfangsconnector aus, den Sie erstellt haben.

  9. Klicken Sie im Aktionsbereich unterhalb des Namens des Empfangsconnectors auf Eigenschaften, um die Seite Eigenschaften zu öffnen.

  10. Klicken Sie auf die Registerkarte Berechtigungsgruppen. Wählen Sie Exchange-Server aus.

  11. Klicken Sie auf die Registerkarte Authentifizierung. Wählen Sie Extern gesichert (zum Beispiel mit IPsec) aus.

  12. Klicken Sie auf OK, um Ihre Änderungen zu speichern und die Seite Eigenschaften zu schließen.

So erstellen Sie mithilfe der Exchange-Verwaltungsshell einen neuen Empfangsconnector, der als extern gesichert konfiguriert ist

  • Führen Sie den folgenden Befehl aus:

    New-ReceiveConnector -Name <Name> -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>

    Um z. B. einen neuen Empfangsconnector namens "Anonymous Relay" zu erstellen, der die lokale IP-Adresse 10.2.3.4 an Port 25 von einem Quellserver mit der IP-Adresse 192.168.5.77 aus überwacht, führen Sie den folgenden Befehl aus:

    New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77

Weitere Informationen

Weitere Informationen hierzu finden Sie unter den folgenden Themen: