Immer wieder gibt es Gründe (z.B. SharePoint) um bestimmten Hosts anonymes Relaying über Exchange zu erlauben. Man muss sich so eine Konfiguration natürlich gut überlegen und die entsprechenden Hosts müssen vertrauenswürdig bzw. sicher sein.
Man erstellt also einen neuen “Custom” Receive Conenctor, dem man erst mal einen Namen geben muss (Server Configuration, Hub Transport).
Unter “Local Network Settings” kann man die IP Adresse angeben über welche der Exchange Server am besten mit dem Host reden kann. Wenn man nur eine Netzwerkkarte im Hub Transport Server hat kann man sich diese Einstellung schenken und einfach alle verfügbaren IPv4 Adressen verwenden. Außerdem kann man noch den FQDN eingeben mit dem sich der Exchange Server melden soll.
Unter “Remote Network Settings” wird jetzt der Host (bzw. die Hosts) hinzugefügt der anonym über den Exchange Relayen darf. Wichtig: der Host muss wirklich vertrauenswürdig sein und AntiVirus bzw. Firewall sollen laufen, damit man nicht selbst zur Spamschleuder wird. Man kann einzelne Hosts, IP Bereiche oder ganze Subnets angeben.
Durch klicken auf weiter und wird der Connector erstellt. Jetzt muss man noch die benötigten Berechtigungen setzen. Dazu Rechtsklick auf den Connector und die Eigenschaften öffnen. Unter “Authentication” werden alle Felder deaktiviert, unter “Permission Groups” wird die Gruppe Anonymous Users hinzugefügt.
Das Ganze kann man natürlich auch wieder mit der PowerShell machen, dazu einfach das New-ReceiveConnector cmdlet verwenden. Hier ein Beispiel:
New-ReceiveConnector -Name "SharePoint Relay" -Usage Custom -PermissionGroups AnonymousUsers -Bindings 0.0.0.0:25 -RemoteIpRanges 192.168.1.10,192.168.1.15-192.168.1.18
Jetzt gibt es also den Connector und die angegeben Hosts verwenden diesen, das Relaying funktioniert allerdings noch nicht.
Dazu muss man dem User “NT AUTHORITY\ANONYMOUS LOGON” die Berechtigung “Ms-Exch-SMTP-Accept-Any-Recipient” geben. Diese Aktion kann man nur in der EMS (Exchange Management Shell) durchführen.
Get-ReceiveConnector "SharePoint Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
Hat man auch das gemacht funktioniert das Realying.
tt