Jump to content

Receive Connector, Verständnisfrage


ChaS
Direkt zur Lösung Gelöst von cj_berlin,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

moin,

wir haben einen internen Receive Connector Port 25 der für interne Server zuständig ist. Jetzt ist mir aufgefallen, dass auch Mails von extern über diesen Connector gehen.

 

der vorgeschaltene mail Proxy (kein MS) ist (leider) auch in der Scope Liste aber Anyonoumus ist nicht aktiviert somit dürfte es eigentlich nicht sein, dass hier externe mails drüber gehen - oder? 

 

 

 

 

mx1.png

Link zu diesem Kommentar

frontend connector

 

2023-10-19T09:59:50.836Z,mx1\ConInternal,08DBCD8692F466F9,0,10.2.2.2:25,10.1.3.51:50823,+,,
2023-10-19T09:59:50.836Z,mx1\ConInternal,08DBCD8692F466F9,1,10.2.2.2:25,10.1.3.51:50823,*,SMTPSubmit SMTPAcceptAnyRecipient SMTPAcceptAuthenticationFlag SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender BypassAntiSpam BypassMessageSizeLimit SMTPAcceptEXCH50 AcceptRoutingHeaders,Set Session Permissions
2023-10-19T09:59:50.837Z,mx1\ConInternal,08DBCD8692F466F9,2,10.2.2.2:25,10.1.3.51:50823,>,"220 mail.firma.de Microsoft ESMTP MAIL Service ready at Thu, 19 Oct 2023 11:59:50 +0200",
2023-10-19T09:59:50.837Z,mx1\ConInternal,08DBCD8692F466F9,3,10.2.2.2:25,10.1.3.51:50823,<,EHLO BOX1,
2023-10-19T09:59:50.837Z,mx1\ConInternal,08DBCD8692F466F9,4,10.2.2.2:25,10.1.3.51:50823,>,250  mail.Firma.de Hello [10.1.3.51] SIZE 94371840 PIPELINING DSN ENHANCEDSTATUSCODES 8BITMIME BINARYMIME CHUNKING SMTPUTF8,
2023-10-19T09:59:50.838Z,mx1\ConInternal,08DBCD8692F466F9,5,10.2.2.2:25,10.1.3.51:50823,<,MAIL FROM:<extern@hotmail.com> SIZE=12932,
2023-10-19T09:59:50.838Z,mx1\ConInternal,08DBCD8692F466F9,6,10.2.2.2:25,10.1.3.51:50823,*,08DBCD869266F9;2023-10-19T09:59:50.836Z;1,receiving message
2023-10-19T09:59:50.839Z,mx1\ConInternal,08DBCD8692F466F9,7,10.2.2.2:25,10.1.3.51:50823,<,RCPT TO:<office@Firma.de> ORCPT=rfc822;office@Firma.de,
2023-10-19T09:59:50.839Z,mx1\ConInternal,08DBCD8692F466F9,8,10.2.2.2:25,10.1.3.51:50823,<,DATA,
2023-10-19T09:59:50.839Z,mx1\ConInternal,08DBCD8692F466F9,9,10.2.2.2:25,10.1.3.51:50823,>,250 2.1.0 Sender OK,
2023-10-19T09:59:50.839Z,mx1\ConInternal,08DBCD8692F466F9,10,10.2.2.2:25,10.1.3.51:50823,>,250 2.1.5 Recipient OK,
2023-10-19T09:59:50.839Z,mx1\ConInternal,08DBCD8692F466F9,11,10.2.2.2:25,10.1.3.51:50823,>,354 Start mail input; end with <CRLF>.<CRLF>,
2023-10-19T09:59:50.845Z,mx1\ConInternal,08DBCD8692F466F9,12,10.2.2.2:25,10.1.3.51:50823,*,,Proxy destination(s) obtained from OnProxyInboundMessage event. Correlation Id:1e4ed298-1e3b-40b9-adb6-a636c7dd3cb8
 

Link zu diesem Kommentar

Hi,

 

deine Kombination "Externally Secured" und "Exchange Servers" entspricht (einem eher schlechten / ungünstigen) "Anonymous Relay": Allow anonymous relay on Exchange servers | Microsoft Learn

Zitat

Add the Exchange servers (ExchangeServers) permission group and the Externally secured (ExternalAuthoritative) authentication mechanism to the Receive connector.

 

Connections use the MS Exchange\Externally Secured Servers security principal with the following permissions:

  • ms-Exch-Accept-Headers-Routing
  • ms-Exch-Bypass-Anti-Spam
  • ms-Exch-Bypass-Message-Size-Limit
  • ms-Exch-SMTP-Accept-Any-Recipient
  • ms-Exch-SMTP-Accept-Any-Sender
  • ms-Exch-SMTP-Accept-Authentication-Flag
  • ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
  • ms-Exch-SMTP-Accept-Exch50
  • ms-Exch-SMTP-Submit

Easier to configure (can do everything in the Exchange admin center). The network hosts are considered authenticated senders. Messages bypass antispam and message size limit checks, and the sender's email address can be resolved to a corresponding display name in the global address list.

 

Grants the permissions to submit messages as if they originated from internal senders within your Exchange organization. The network hosts are considered completely trustworthy, regardless of the volume, size, or content of the messages that they send.

 

Daher: By Design. ;)

 

Gruß

Jan

bearbeitet von testperson
Link zu diesem Kommentar
  • Beste Lösung

Moin,

 

solange kein wirkliches Relay entstanden ist, kann es Dir nicht eigentlich egal sein, welchen Receive Connector Exchange für den Empfang eingehender Mails aus dem Gateway auswählt?

 

Ist es Dir aus irgendwechen Gründen wichtig, musst Du den Mail-Gateway aus dem Scope des internen Connectors ausschließen. Ich vermute aber aus Deiner Ausführung, dass das interne Bein des Mail-Gateway im Server-Subnetz ist und Du daher den Scope aufbrechen müsstest, um eine Adresse auszuschließen. Normalerweise jedoch, wenn der Scope des externen Connectors nur die IP des Gateways umfasst und nicht das gesamte Subnetz, müsste dieser gewählt werden - Exchange versucht immer, die möglichst genau passende Konstellation zu wählen.

 

Wenn allle Stricke reißen, kannst Du den externen Connector auf einem anderen Port laufen lassen und das Ziel im Mail-Gateway ändern.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...