SBS 2011 Exchange für internes Relaying

von Ralf Martin (Kommentare: 0)

Der SBS 2011 lässt sich relativ geradeaus installieren. Hierfür mal ein Lob nach Redmond. Ist der Server aufgesetzt kann man direkt oder bei kleineren Unternehmen in der regel über einen Smarthost Mails in die Welt verschicken. Das funktioniert von Outlook prima. Hat man nun aber Programme im Netz, die zwar eine Authentisierung erlauben, aber denen man einfach nicht beibringen kann, das Zertifikat vom SBS Server zu akzeptieren hat man ein Problem.

In genau dieses Dilemma bin ich auch gekommen, als ich Kaspersky Security Center überreden wollte mit mir Kontakt aufnehmen zu können, wenn beim Kunden etwas schief läuft. Die Mail wollte einfach nicht raus. Nachdem ich im Netz recherchierte fand ich einige Möglichkeiten das Relaying für anonyme Benutzer zu erlauben. Natürlich mit dem Hinweis, dass man potentiell Spammern das Tor öffnet.

Für mich kommen Programme, welche keine Möglichkeit zur Authentisierung bieten, nicht in Frage. Also muss es einen anderen Weg geben; und den gibt es auch.

Das möchte ich mit Euch teilen.

Ausgangssituation

SBS 2011 (meiner heißt SBS-Server) setzt bei der Installation 3 sogenannte Empfangsconnectors auf:

  • Default SBS-Server (Für internen Empfang auf Port 25, TLS an mit Fallback auf unverschlüsselt)
  • Windows SBS Fax Sharepoint Receive SBS-Server (Für Empfang auf localhost mit Port 25)
  • Windows SBS Internet Receive SBS-Server (Für anonymen Empfang auf Port 25 aus dem Internet)

Zum Probieren, welchen man vor sich hat, reicht ein Telnet auf den Server und Port 25. beim helo oder ehlo meldet sich der Connector mit seinem Namen (Reiter Allgemein in dessen Eigenschaften)

Problem

Leider konnte ich mein Kaspersky Seurity Center nicht überreden, den Default Connector zu bedienen. Persönlich finde ich, dass Port 25 auch nicht per TLS abgesichert werden muss, sofern der zugehörige Connector nur Kontakt aus dem internen Netz entgegen nimmt und Authentisierung verlangt.

Lösung

Der Trick besteht darin, zwei interne Emapfangsconnectors einzurichten, der eine per TLS aber dann auch auf Port 587 und der andere auf Port 25 und ohne TLS.

Dazu habe ich den internen Connector deaktiviert (nicht gelöscht, man weiß ja nie) und 2 neue erstellt:

  • SBS Server Port 25 intern (Beim Erstellen intern gewählt)
    • Reiter Netzwerk: lokale IP Adressen auf das interne Netz Port 25 geändert. Remote nur internes Netz. Beispiel 192.168.0.0/24
    • Reiter Authentifizierung: Nur ein Häkchen bei Standardauthentifizierung (als User + PWD)
    • Reiter Berechtigungsgruppen: Exchange-Benutzer und Exchange Server
  • SBS Server Port 587 Clients TLS (Beim erstellen Clients gewählt)
    • Reiter Netzwerk: genauso wie der Port 25 Connector
    • Reiter Authentifizierung: TLS (nicht gegenseitig), Standard (erst nach TLS), Integriert Windows-Auhentifizierung
    • Reiter Berechtigungsgruppen: Exchange-Benutzer

Damit kann man prima z.B. mit Thunderbird (vergesst nicht den Dienst für IMAP zu starten) Kontakt mit dem SBS Server aufnhemen (Port 143 IMAP und 587 SMTP) und auch vom Security Center auf Port 25 Mails in die welt versenden ohne das anonym jedem zu erlauben.

Zurück