SMTP Relay ohne Exchange

Mit der Bereitstellung der Exchange Management Rolle im April 2023 ist es möglich, Exchange Online Empfänger mit ADSync allein über eine lokale Powershell zu pflegen. Damit eröffnet sich ein Weg, den LES - Last Exchange Server lokal zu deinstallieren. Diese Seite stellt die Möglichkeiten vor, Systemen im LAN weiter per SMTP senden können.

Problemstellung

Gehen wir davon aus, dass Sie lokal keinen Exchange Server mehr betreiben. Ihr Postfächer liegen bei einem Provider, z.B. Microsoft 365 oder jeder andere Provider. Mit der Deinstallation des letzten lokalen SMTP-Service nehmen Sie natürlich auch allen anderen "SMTP-Sendern" in ihrem LAN die Möglichkeit, mal eben schnell sich über eine Mail zu melden. Die meisten Mailserver waren früher so konfiguriert, dass Sie auch anonyme Verbindungen annehmen und mit der Spam-Thematik wurde diese Konfiguration meist nur mit Blick auf das Internet angepasst. Mails aus "nicht vertrauenswürdigen Adressen" mussten sich entweder authentifizieren oder einen Spamfilter durchlaufen.

Es gibt aber sehr viele interne Systeme, die bisher weiter als "Trusted" angesehen wurden und Mails an den lokalen Server zustellen konnten. Teilweise waren die legitimen Empfänger auf "interne Postfächer" oder "definierte externe Kontakte" beschränkt aber sehr oft war der interne Mailserver auch ein "offenes Relay" ins Internet.

Interessant wird die Abschaltung des Windows SMTP-Service für die Nutzung durch SharePoint. Wenn Sie eingehende Mails an SharePoint Bibliotheken senden wollen, dann wurden diese Mails per SMTP durch den Windows Dienst abgerufen und als Datei in einen Ordner gespeichert, der dann durch den SharePoint Timerdienst regelmäßig eingelesen und verarbeitet wird. Wer noch einen Exchange Server nutzt, könnte hier mit einem Exchange Foreign Connector einen Weg haben.

Gehen Sie aber davon aus, dass Sie in absehbarer Zeit keinen Windows SMTP-Dienst mehr haben und wir uns nach Alternativen umschauen müssen

• Windows SMTP-Server
• Windows SMTP (Depreciated seit Win2012R2)
  https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/hh831568(v=ws.11)
• Windows 2025 (Entfernt)
  https://learn.microsoft.com/en-us/windows-server/get-started/removed-deprecated-features-windows-server-2025
• Exchange Foreign Connector

Hürden

Es ist eine Seite, erst einmal nur intern einen SMTP-Empfänger aufzubauen, der dann alle Mails an ihr eigenes System sendet. Wenn diese System aber Mails an Mailserver im Internet senden soll, dann gibt es Herausforderungen, die Sie dabei beachten müssen. Hier nur eine Auswahl:

• Schutz gegen Missbrauch
  Sobald ihr Mailserver/Mailrelay auch Mails an fremde Firmen senden soll, müssen Sie den Missbrauch verhindern. Eine ungefilterte Annahme eingehender Mails von internen Systemen dürfen Sie dann nicht mehr zulassen. Das Risiko wäre zu hoch, dass ihr Server bei einem Missbrauch dafür abgestraft wird
• Absenderprüfung
  Dazu zählt insbesondere die Sicherstellung, dass über diesen Server in ihrem Netzwerk niemand mit einer fremden Domain entsprechende Phishing-Mails einliefert und schlimmstenfalls weiter versendet
• Spamfilter: RPB, SPF DKIM
  Wenn ihr Server ins Internet sendet, sollte er die gängigen AntiSpam-Funktionen kennen und umsetzen. Mails ohne DKIM und mit falschem SPF-Eintrag werden immer mehr gar nicht erst angenommen
• NDR-Handling
  Denken Sie auch daran, die Unzustellbarkeiten bei fehlerhaftem Versand sinnvoll zu behandeln. Wenn ein Scanner ein Dokument an eine falsche Adresse sendet, wer bekommt dann diese Information?
• MX Auflösung
  Wenn der Service nicht selbst einen "Upstream Smarthost" nutzen kann, muss er auch DNS-Auflösungen (MX-Record) ausführen. Auch hier kann einiges schief gehen.

Viele dieser Funktionen hatte der kostenfreie Windows SMTP-Server auch nicht an Bord. Dennoch wurde er sehr oft eingesetzt. Damit ist aber ab Windows 2025 endgültig Schluss.

Pflichten/Lastenheft

Ehe Sie nun aber nach anderen "kostenfreien" SMTP-Servern schauen, sollten Sie erst einmal ihre Anforderungen niederschreiben. Welche Funktion brauchen Sie?

• Wie sollten eingehende Verbindungen zu ihrem Server authentifiziert werden?
  Source-IP, Zertifikat, User/Password, anonym
• Welche weitere Funktionen brauchen Sie
  Message Tracking, Archive, Disclaimer, DKIM-Signaturen

Dann kommt die Frage nach der Plattform, die Sie betreiben wollen.

• Windows 3rd Party
  Wenn Sie eh Exchange Online und ADSync nutzen, können Sie einen Hybrid Connector Server weiter betreiben. Ohne Postfächer sind die Anforderungen doch eher überschaubar und vielleicht haben Sie ja noch etwas Exchange Know-how Der Server muss ja auch nicht mehr per HTTP erreichbar sein. Ansonsten gibt es einige kostenfreie Server, von denn einige aber nicht mehr aktiv weiter entwickelt werden, z.B. hMailServer (https://www.hmailserver.com/  last update 2021), Mercury https://www.pmail.com/ oder https://emailrelay.sourceforge.net/. Auch ITB SMTP via GraphAPI” (https://www.itatbusiness.de/produkt/itb-smtp-via-graphapi/) könnte für den ein oder anderen Einsatzbereich interessant sein.
• Microsoft Exchange Server
  Sie können durchaus einen lokalen Exchange Server allein für Mailrouting betreiben. Mit Exchange Online haben Sie sogar die Lizenz für einen Hybrid Connector Server und mit Microsoft 365 E3/E5 dürfen Sie sogar Exchange mit lokalen Postfächern nutzen aber keinen Exchange Edge Server. Prüfen Sie ihre Cloud Lizenzen.
  Exchange ist robust, stabil und es gibt viele Dienstleister und Firmen, die dabei helfen können. Die Hardwareanforderungen sind heute auch kein echtes Problem mehr. Ohne Postfach können Sie durchaus unter den Empfehlungen von Microsoft bleiben und das Provisioning der Cloud-User ist per Browser im Admin Center möglich.
• Exchange Online
  Exchange Online nimmt durchaus Mails auch anonym an und über einen passenden Partner Inbound Connector können Sie z.B. auf Basis ihrer IP-Adresse die Zustellung an eigene Anwender erleichtern. Als Relay ins Internet ist dies nur bedingt geeignet und auch mit HVE - High Volume Email mit Exchange keine Lösung
• Eigener Linux Postfix/SendMail
  Wenn Sie auf Linux setzen, dann sind Postfix und Sendmail die dominierenden Server, die sehr leistungsfähig und kostenfrei sind.
• Firewall als Relay
  Kontrollieren sie aber auch einmal ihre Firewall. Oft ist eine SMTP-Relay-Funktion enthalten und könnte bei reduziertem Funktionsumfang ausreichen. Vielleicht kann auch ihr Spamfilter die Funktion übernehmen.
• Massenmail als Cloud-Services
  Zuletzt können Sie natürlich auch kommerzielle Cloud-Dienste, wie Azure SMTP Relay, SendGrid, Mailchimp und andere, als ausgehendes Relay nutzen.
• Hosting-Services
  Es muss aber gar nicht mal ein Massenmailer sein. Was sollte Sie daran hindern, ein einfaches "Webhosting" bei einem der deutschen Provider (Hetzner, IONOS, HostEurope, u.a) zu buchen, in dem in der Regel auch POP3/IMAP-Postfächer angelegt werden können. Ein klassisches SMTP-Sharing mit ihrer Exchange Umgebung wird es da weniger geben und natürlich können die Postfächer ohne MX-Record auch keine Mails empfangen. Aber wenn Sie die Server in den SPF-Eintrag addiere, können ihre Lösungen darüber auch ihre Mails versenden. Die meisten Hoster erlauben immer noch SMTP AUTH mit Username/Kennwort. Prüfen sie hier aber auch das "erlaubte Volumen".

Jetzt ist es an ihnen sich festzulegen.

Empfehlung

Ich habe keine Empfehlung für ein 3rd Party Produkt. Dazu sind sowohl die Anforderungen als auch die vorhandenen Systeme zu unterschiedlich.

• Ausgehend
  Wenn ihre Lösung keine Mail direkt senden kann sondern nur eine Datei irgendwo hinlegt, dann könnten Sie per Skript und Taskplaner solche Dateien erfassen und versenden
• Eingehend
  In die Gegenrichtung könnten Sie ein Postfach in ihrem Mailserver nutzen, welches dann durch einen geplanten Task und einem Skript per POP3, IMAP, EWS, Graph etc. abgerufen wird. Sie brauchen natürlich ein Postfach.
  Alternativ betreiben Sie einen SMTP-Empfänger, der eingehende Mails einfach als Datei irgendwo ablegt, so dass ihr Produkt damit weiter arbeiten kann. Notfalls kann das ein Exchange Foreign Connector sein.

Meine persönliche Präferenz ist natürlich ein Exchange Server, der als reiner Transportserver entsprechend reduziert wurde.

Lange Zeit habe ich hMailServer als interessante Alternative genannt, aber auch gute Software scheitert dann irgendwann am Geschäftsmodell. Open Source ist nett aber kann ich eine Software verwenden, die vom vom Entwickler nicht mehr weiter gepflegt wird.

hMailServer is no longer being actively developed. The latest major version was released several years ago and since then only critical updates have been released. hMailServer relies on algorithms which are considered insecure by modern standards, such as SHA1. For that reason, it's recommended that you migrate to an alternative software or service.
https://www.hmailserver.com/state

Wenn es etwas umfangreicher wird, würde ich mit vielleicht Postfix auf einem Linux-System genauer anschauen.

Weitere Links

• Windows SMTP-Server
• Exchange Foreign Connector
• Partner Inbound Connector
• Exchange Management Rolle
• LES - Last Exchange Server
• Hybrid Connector Server
• Exchange Online und Massenmail
• HVE - High Volume Email mit Exchange
• Exchange Online Provisioning
  Gegenüberstellung der verschiedenen Verwaltungskonzepte mit Exchange Online
• Exchange Online ADSync Provisioning
  So werden Exchange Online Postfächer mit AADConnect korrekt provisioniert
• hMailServer
• Hybrid Connector Server
• Multifunktionsgeräte mit Exchange Online
• Remove requirement for onprem Exchange when using DirSync
  https://feedback.azure.com/forums/169401-azure-active-directory/suggestions/6412831-remove-requirement-for-onprem-exchange-when-using
  https://social.msdn.microsoft.com/Forums/azure/en-US/8bff0c62-4dc1-4ed5-bda5-2512a807b6ee/dirsync-aad-sync-but-without-emc-on-prem?forum=WindowsAzureAD
• Manage recipients in Exchange Hybrid environments using Management tools
  https://learn.microsoft.com/en-us/Exchange/manage-hybrid-exchange-recipients-with-management-tools
• A New Tool to Manage Exchange-related Attributes Without Exchange Server
  https://practical365.com/a-new-tool-to-manage-exchange-related-attributes-without-exchange-server/
• 10 kostenlose SMTP-Server (2024)
  https://www.emailtooltester.com/de/blog/kostenlose-smtp-server/
• HMailServer
  https://www.hmailserver.com/
• Pegasus Mail Server
  https://www.pmail.com/
• Emailrelay
  https://emailrelay.sourceforge.net/
  https://4sysops.com/archives/e-mailrelay-free-smtp-server-for-windows/
• Und dann https://github.com/ChangemakerStudios/Papercut-SMTP
• smtp4dev - the fake SMTP email server for development and testing.
  https://github.com/rnwood/smtp4dev
• What is SmtpServer?
  https://github.com/cosullivan/SmtpServer
• ITB SMTP via GraphAPI”
  https://www.itatbusiness.de/produkt/itb-smtp-via-graphapi/
• Postfix als Smarthost / Mail-Relay / Gateway für andere Server
  https://legacy.thomas-leister.de/?p=6555
  https://legacy.thomas-leister.de/postfix-als-smarthost-mail-relay-fuer-andere-server/
• Piping message to application
  https://www.hmailserver.com/forum/viewtopic.php?t=2960
• What is SmtpServer? https://github.com/cosullivan/SmtpServer
  Create C# SMTP Server https://codequalitycoach.de/2022/05/create-c-smtp-server/
• Creating a SMTP Mail Server for Development
  https://adampresley.github.io/2010/07/20/creating-a-smtp-mail-server-for-development.html