Relay mit Exchange 2000

Exchange 2000 nutzen den SMTP Dienst von Windows 2000 als Connector für Internet Mail. Diese Abhandlung befasst sich mit der Konfiguration, bei der Exchange 2000 aus dem Internet erreichbar ist. Sie finden hier keine Informationen, wie sie einen anderen Mailserver relaysicher machen können.

Relayschutz mit Exchange 2000

Der virtuelle SMTP-Server von Exchange 2000 ist von Hause aus relaysicher. Er nimmt einfach alle Mails an, die an die Domänen gerichtet sind, die in den Empfängerrichtlinien (Siehe Empfängerrichtlinien) vorgegeben sind. Alle anderen Mails lehnt er ab. Im SMTP-Protokoll sieht das dann so aus:

220 nawsv001.netatwork.de Microsoft ESMTP MAIL Service, Version: 5.0.2195.1600 ready
helo spammer.de
250 nawsv001.netatwork.de Hello [192.168.100.65]
mail from:fcarius@gmx.de
250 2.1.0 fcarius@gmx.de....Sender OK
rcpt to:fcarius@web.de
550 5.7.1 unable to relay für fcarius@web.de

Und so sollte es auch über all in der Welt sein. Wenn es bei ihnen nicht so ist, dann sollten Sie die Konfiguration prüfen. Starten Sie dazu den Systemmanager für Exchange 2000, gehen Sie zu dem virtuellen SMTP Server und bearbeiten Sie die Eigenschaften. Sie sollten auf der Karteikarte "Zugriff" folgendes sehen:

Hier erfolgt die Konfiguration des SMTP-Servers. Zuerst ist für uns der Button "Authentifizierung" interessant. Sie sollten dann folgendes sehen:

Sie sollten auf jeden Fall "anonymer Zugriff" aktiv lassen, da sie ansonsten keine Mails mehr aus dem Internet empfangen können !!. In Vorabversionen von Exchange 2000 war dieses Kreuz manchmal entfernt. Die anderen Verfahren sind nicht zwingend notwendig, aber für eine spätere gezielte Steuerung für interne SMTP-Systeme möglich. Speichern Sie diese Einstellungen und klicken Sie dann auf den Button "Relay" auf dem vorhergehenden Fenster: Sie finden hier dann:

Hier sehen Sie meine Einstellungen. Ich nutze intern private IP-Adressen und erlauben auch den Versand von intern per SMTP (und nur von intern !). Ich rate ihnen aber, hier die Option "Nur Computer in der Liste unten" zu aktivieren und die Liste erst mal leer zu lassen. Wenn Sie intern keine Outlook Express oder andere SMTP- Benutzer haben, brauchen Sie überhaupt kein Relay zulassen. Diese Einstellungen sind für "echte" Exchange Clients (z.B. Outlook, OWA etc.) nicht relevant). Eventuell sollten Sie hier ausgewählte Server eintragen, die in das Internet senden müssen (z.B. Backupserver, Virenscanner etc.) für den Versand von Systemmeldungen an einen Benutzer oder Ordner ihres Exchange Server brauchen Sie aber nicht einmal dies zu erlauben. Wenn ihr Exchange 200 als Relay missbraucht wird, dann liegt es in der Regel daran, dass Sie hier die Checkbox "Alle, mit Ausnahme der Computer in der Liste unten" aktiviert hatte.

Weiter unten ist eine Checkbox, über die sie "authentifizierte Clients" global zulassen können. Dies ist der Weg, wenn Personen im Internet ihren Server als Relay nutzen sollten, aber keine feste IP-Adressen haben. Exchange 2000 kann aber kein "SMTP after POP". Weitere Informationen finden Sie dazu auch bei POP3//IMAP4 unterwegs.

Wenn Sie ein Relay für bestimme Domänen einrichten wollen, dann müssen Sie im Exchange 2000 Systemmanager einen SMTP-Connector einrichten, um dort die entsprechenden Optionen einzustellen, d.h. für welche Domänen Sie zusätzlich Nachrichten annehmen und wohin diese weitergeleitet werden sollen. Die Beschreibung einer entsprechenden Konfiguration würde aber den Rahmen dieser FAQ sprengen

Virtueller SMTP und der SMTP Connector

Sie können einiges im virtuellen SMTP-Server einstellen, aber auch im SMTP-Connector sind Einstellungen möglich, welche dann für Nachrichten über diesen Connector die Einstellungen des virtuellen SMTP Servers überschreiben. (Siehe Q314734 XCON: Relay Restrictions on Default Virtual SMTP Server Are Not Working). Daher ist es auch wichtig, im SMTP-Connector die Relayfunktion "richtig" einzustellen.

Dazu sind folgende Schritte notwendig:

  • Exchange Systemadministrator starten.
  • Den SMTP-Connector (NICHT den virtuellen Server) anwählen.
  • In den Eigenschaften die Kartekarte "Adressraum" wählen.
  • Die Option ""Weitergabe von Nachrichten an diese Domänen per Relay erlauben" deaktivieren.
  • Alles speichern und die Replikation des Active Directory abwarten.
  • Den SMTP-Service neu starten.

Ansonsten sind die Einstellungen des virtuellen SMTP-Servers außer Kraft gesetzt. Aber Vorsicht, wenn Exchange als eingehendes Relay fungiert und Nachrichten aus dem Internet nach intern zu anderen Systemen weiter leiten muss. (Siehe Internet Mail Connector Exchange 2000)

Exchange Bug mit Gast Account

Wie auch schon auf Exchange 2000 bekannte Bugs beschrieben, helfen die gesamten Einstellungen aber nicht, wenn die den Gast Account aktivieren.

Weitere Links