FloXXI 10 Geschrieben 13. September 2011 Melden Teilen Geschrieben 13. September 2011 Hallo allerseits, in meiner Organisation steht eine Exchange 2010 SP1 Installation mit vorgeschaltetem TMG, d.h. ohne Edge-Server. Zum Empfang von Mails aus dem Internet wurde bis jetzt ein Mailserver verwendet, der sozusagen als Gateway für alle internen Mailserver dient und für den am Exchange ein Empfangsconnector ohne Authentifizierung eingerichtet ist. Nun wollte ich die ExchangeServer direkt ans Internet anbinden (so wie es das Projekt auch vorsieht) und habe zu diesem Zweck einen Empfangsconnector konfiguriert, der von allen IP-Adressen ohne Authentifizierung Mails akzeptiert. Anschließend habe ich mit Telnet getestet und folgendes festgestellt: von externen an interne Adressen ohne Authentifizierung -> wird zugestellt -> :) von internen an externe Adressen ohne Authentifizierung -> unable to relay -> :) von internen an interne Adressen ohne Authentifizierung -> wird zugestellt -> :suspect: Mit dieser Konfiguration wäre es also möglich mit der Mailadresse eines anderen innerhalb unserer Organisation Mails zu verschicken...so soll das nicht sein. Hat jemand einen Tipp für mich?? Danke! Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 13. September 2011 Melden Teilen Geschrieben 13. September 2011 Neuen Receive Connector erstellen. Name IMC annehmen von allen IP Adressen anonym. Auf dem Default COnnector umstellen, dass nur von internen IP Kreisen und nur authentifiziert Emails angenommen werden. Bye Norbert Zitieren Link zu diesem Kommentar
FloXXI 10 Geschrieben 13. September 2011 Autor Melden Teilen Geschrieben 13. September 2011 Das löst aber das eigentliche Problem nicht, oder? :suspect: Die generelle Gefahr, dass von außerhalb Mails mit gefälschten Absendern eingeworfen werden besteht ja weiterhin. Außerdem haben wir zahlreiche Mitarbeiter, die auch von zuhause oder sonstwo (ohne VPN-Einwahl) Mails verschicken können und sollen. Den IP-Bereich für den Connector mit Authentifizierung auf die internen IPs zu beschränken hilft uns also ohnehin nicht umfassend. Zitieren Link zu diesem Kommentar
FloXXI 10 Geschrieben 13. September 2011 Autor Melden Teilen Geschrieben 13. September 2011 Mir dämmert, dass das wohl eher ein generelles Problem ist, dass sich garnicht durch entsprechende Konfiguration der Empfangsconnectors lösen lässt??? Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 13. September 2011 Melden Teilen Geschrieben 13. September 2011 Hi. dass von außerhalb Mails mit gefälschten Absendern eingeworfen werden besteht ja weiterhin. Korrekt, und genau das nennt man u.a. SPAM. Wo ist jetzt genau dein Problem? Außerdem haben wir zahlreiche Mitarbeiter, die auch von zuhause oder sonstwo (ohne VPN-Einwahl) Mails verschicken können und sollen Das wird ja mit dem Vorschlag von Norbert erledigt. Es darf nur ein authentifizierter User über diesen Connector senden. LG Günther Zitieren Link zu diesem Kommentar
FloXXI 10 Geschrieben 13. September 2011 Autor Melden Teilen Geschrieben 13. September 2011 Ich war dem Irrtum unterlegen, dass ich durch entsprechende Empfangsconnector-Konfiguration zumindest verhindern könnte, Mails mit gefälschten Absendern meiner eigenen Organisation zu erhalten. Der Vorschlag von Norbert ist sicherlich sinnvoll, verhindert aber doch nicht, dass beispielsweise ein böswilliger Mitarbeiter von zuhause (und d.h. die Mail kommt nach meinem Verständnis am anonymen Connector an) mit der Absenderadresse eines anderen Mitarbeiters (oder sonst eine Adresse) Mails einwirft. Klärt mich auf, wenn ich jetzt völlig falsch liege!? :confused: Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 13. September 2011 Melden Teilen Geschrieben 13. September 2011 Hi. dass beispielsweise ein böswilliger Mitarbeiter von zuhause Das kannst du aber verhindern, indem die Mitarbeiter ausschließlich über Outlook Anywhere oder OWA auf den Exchange Server zugreifen können. Dann hast du die Möglichkeit über den Absenderfilter Mails von extern, die mit dem eigenen Domänennamen daherkommen zu filtern. LG Günther Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 13. September 2011 Melden Teilen Geschrieben 13. September 2011 Das löst aber das eigentliche Problem nicht, oder? :suspect: Doch. Intern ist keine Adressfälschung mehr möglich. Genau deine Anforderung von oben. Die generelle Gefahr, dass von außerhalb Mails mit gefälschten Absendern eingeworfen werden besteht ja weiterhin. Man setzt seine eigene SMTP Domain auf die Blacklist und schon kann von aussen nix mehr kommen. :) Außerdem haben wir zahlreiche Mitarbeiter, die auch von zuhause oder sonstwo (ohne VPN-Einwahl) Mails verschicken können und sollen. Den IP-Bereich für den Connector mit Authentifizierung auf die internen IPs zu beschränken hilft uns also ohnehin nicht umfassend. Doch, die sollen einfach Port 587 nutzen und sich authentifizieren. Wo siehst du jetzt das Problem? Bye Norbert Zitieren Link zu diesem Kommentar
FloXXI 10 Geschrieben 14. September 2011 Autor Melden Teilen Geschrieben 14. September 2011 Also danke erstmal für die Vorschläge, die helfen mir auf jeden fall schonmal weiter. ;) Ja, aus dem eigenen Netz ist dann keine Adressfälschung möglich, das hab ich auch nicht bestritten. :) Mein Problem war eher das generelle Problem der Absenderfälschung beim Versand von internen an interne Adressen unabhängig vom Netz...ich hab da allerdings auch noch Nachholbedarf was generelles Know-How zum Betrieb von Mailservern angeht. :o Zitieren Link zu diesem Kommentar
FloXXI 10 Geschrieben 6. Oktober 2011 Autor Melden Teilen Geschrieben 6. Oktober 2011 Es gibt scheinbar doch eine Möglichkeit, um dieses Problem schon auf Ebene des Empfangsconnectors zu lösen: Exchangepedia | HOW TO: Prevent annoying spam from your own domain Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.