Workshop: Relaying mit Exchange Server 2007
E-Mail-Transport in geordneten Bahnen
E-Mail-Relaying verstehen viele Systemverwalter als potenzielle Gefahr, die es unbedingt zu vermeiden gilt. Allerdings ist es in vielen Umgebungen notwendig, dass interne Server E-Mails über Microsoft Exchange versenden, ohne dabei über ein eigenes Postfach zu verfügen. LANline durchleuchtet in diesem Beitrag die technischen Möglichkeiten und beschreibt unterschiedliche Wege zur Konfiguration der Relaying-Funktion.
Damit Exchange überhaupt E-Mails empfangen und versenden kann, müssen Systemverwalter festlegen, welche E-Mail-Domänen die Exchange-Infrastruktur grundsätzlich berücksichtigen soll. Außerdem ist es notwendig, festzulegen, über welche so genannte Connectoren die einzelnen Domänen E-Mails versenden dürfen. Daher ist zuerst der konfigurierbare E-Mail-Fluss von Interesse, der mit einer Relay-Konfiguration in Verbindung steht. Der erste Schritt bei der Konfiguration des E-Mail-Flusses in Exchange Server 2007 besteht zunächst darin, dass Systemverwalter festlegen, welche E-Mail-Domänen die Exchange-Server entgegennehmen und welche Domänen die diversen Connectoren zum Versenden akzeptieren. Diese Domänen tragen in Exchange die Bezeichnung "akzeptierte Domänen". Für akzeptierte Domänen ist Exchange zuständig, was bedeutet, dass die E-Mails innerhalb der Exchange-Organisation bleiben und kein Connector diese nach außen versendet. Der Beitrag wird auf diese Konfiguration noch ausführlicher eingehen.
Viele Unternehmen setzen allerdings noch so genannte Edge-Transport-Server ein. Diese Server haben die Aufgabe, in einer DMZ (Demilitarisierte Zone) E-Mails entgegenzunehmen und an andere Exchange-Server weiterzuleiten. Da diese Edge-Transport-Server keine Verbindung zur Gesamtstruktur und auch keine direkte Verbindung zu den anderen Exchange-Servern haben, müssen Systemverwalter akzeptierte Domänen sowohl auf Exchange-Servern in der Organisation als auch auf den Edge-Transport-Servern in der DMZ konfigurieren. Es besteht allerdings die Möglichkeit, die akzeptierten Domänen so genannter Hub-Transport-Server mit den Edge-Transport-Servern zu synchronisieren. Meistens reicht es daher aus, das Relaying auf den internen Servern zu verwalten.
Festlegen und Konfiguration der E-Mail-Domänen
Eine einzelne Domäne betrachtet Exchange stets als "Standard". Um die als Standard akzeptierte Domäne zu ändern, legen Systemverwalter am besten eine neue akzeptierte Domäne an und legen diese als neuen Standard fest. Um eine neue akzeptierte Domäne für die Exchange-Organisation zu erstellen, ist der nachfolgend beschriebene Weg über die Exchange-Verwaltungskonsole ideal. Wer die Konfiguration jedoch lieber per Skript oder die Befehlszeile durchführen will, findet anschließend ebenfalls eine entsprechende Anleitung.
1. Starten der Exchange-Verwaltungskonsole.
2. Die nötigen Einstellungen finden sich im Menüpunkt "Organisationskonfiguration/Hub-Transport".
3. Auf der Registerkarte "Akzeptierte Domänen" zeigt Exchange die standardmäßig akzeptierte Domäne an.
4. Durch Rechtsklick und Auswahl von "Neue akzeptierte Domäne" startet der Assistent für die Konfiguration einer entsprechenden Domäne.
5. Im Assistenten legen Systemverwalter die Domäne fest und wählen aus, welchen Typ die neue akzeptierte Domäne haben soll. Exchange bietet dabei drei verschiedenen Typen an:
Autorisierende Domäne: E-Mails zu autorisierenden Domänen muss Exchange innerhalb der Organisation zustellen. Das heißt, dass diese E-Mail-Adresse einem Active-Directory-Benutzerkonto in der Gesamtstruktur zugeordnet sein muss - andernfalls ist die E-Mail nicht zustellbar. An dieser Stelle besteht zudem die Möglichkeit, mit Platzhaltern arbeiten, um auch Unterdomänen automatisch zu konfigurieren. So führt zum Beispiel "*.contoso.com" dazu, dass Exchange auch alle Unterdomänen von "contoso.com" als akzeptierte Domänen ansieht. Sollen jedoch einzelne E-Mail-Domänen in den Empfängerrichtlinien konfiguriert werden, dürfen Systemverwalter nicht mit Platzhaltern arbeiten, sondern müssen die jeweiligen untergeordneten Domänen direkt eintragen.
Interne Relay-Domäne: Auch bei diesem Typ bleibt die E-Mail innerhalb des Unternehmens. Die E-Mail-Adresse muss jedoch nicht zwingend in der Gesamtstruktur des Exchange-Servers vorhanden sein, sondern sie kann auch in einer anderen Gesamtstruktur liegen. In diesem Fall sendet Exchange die E-Mail aus der Organisation per SMTP zu einem anderen fest vorgegebenen E-Mail-Server. Außerdem liegen die Adressen der Empfänger als Kontakte im globalen Adressbuch. Die Synchronisierung von Exchange-Daten zwischen verschiedenen Gesamtstrukturen kann zum Beispiel über den Microsoft Identity Integration Server (MIIS) erfolgen. Durch die gemeinsame Nutzung des Active Directorys mit Exchange Server 2007 definiert die Grenze der Active-Directory-Gesamtstruktur (Forest) die Exchange-Server-2007-Organisation. Es ist nicht möglich, dass ein Forest mehrere unterschiedliche Exchange-Server-2007-Organisationen oder eine Exchange-Server-2007-Organisation mehrere Forests umfasst.
Externe Relay-Domäne: Bei dieser Auswahl nimmt Exchange die E-Mail an und sendet sie nach extern über einen Connector. Über diese Domäne haben Systemverwalter darüber hinaus keinerlei weitere Kontrolle: Der Server funktioniert in diesem Fall ausschließlich als Relay.
Um eine neue akzeptierte Domäne nicht wie beschrieben in der grafischen Oberfläche, sondern in der Befehlszeile oder per Skript zu erstellen, verwenden Systemverwalter den Befehl "New-AcceptedDomain" aus der Exchange-Verwaltungs-Shell. Um zum Beispiel die Domäne "contoso.fr" als "Contoso Frankreich" anzulegen - jedoch nicht als Standarddomäne - ist der folgende Befehl geeignet:
>New-AcceptedDomain -Name "Contoso Frankreich" -DomainName contoso.fr -DomainType Authoritative
Nutzung der Exchange-Verwaltungs-Shell
Exchange zeigt nach Drücken der F5-Taste neu erstellte Domänen in der Exchange-Verwaltungskonsole an. Alternativ können Systemverwalter in dem beschriebenen Befehl der Exchange-Verwaltungs-Shell als "DomainType" noch die Werte "InternalRelay" und "ExternalRelay" verwenden. Auch hier besteht wieder die Möglichkeit, mit "*" als Platzhalter zu arbeiten, um auch untergeordnete Domänen einzuschließen. Der Typ einer akzeptierten E-Mail-Domäne lässt sich mit dem Befehl "Set-AcceptedDomain" anpassen. Dieser Befehl kann auch die Standarddomäne ändern. Soll zum Beispiel die akzeptierte Domäne "Contoso Frankreich" zur Standarddomäne werden, ist der folgende Command-Line-Befehl zu verwenden:
>Set-AcceptedDomain -Identity "Contoso Frankreich" -DomainType Authoritative -MakeDefault $true
Hinweis: Ändern Systemverwalter die Standarddomäne, erscheint von der Exchange-Verwaltungs-Shell keinerlei Rückmeldung zu diesem Vorgang.
Neben den akzeptierten Domänen lassen sich in der Exchange-Verwaltungskonsole unter "Organisationskonfiguration/Hub-Transport" auf der Registerkarte "Remote-Domäne" auch Einstellungen für so genannte Remote-Domänen festlegen. Während die bereits beschriebenen akzeptierten Domänen festlegen, welche E-Mails die Exchange-Server in der Organisation annehmen, legen die Remote-Domänen fest, welche Nachrichten sich von intern nach extern senden lassen und welche Connectoren Exchange dafür verwendet. Beim Thema Relaying müssen Systemverwalter also berücksichtigen, welche Domänen Exchange überhaupt annimmt (akzeptierte Domänen) und wie es mit diesen Domänen verfahren soll, wenn E-Mails zu versenden sind (Remote-Domänen).
Remote-Domänen und akzeptierte Domänen im Vergleich
Nachdem der vorangegangenen Diskussionen des E-Mail-Flusses und der Domänen gilt es jetzt, die Relaying-Funktion genauer zu betrachten. In vielen Unternehmen existieren beispielsweise ERP-, CRM- oder auch Sharepoint-Server, die für ihre Funktionen einen E-Mail-Server auf SMTP-Basis ansprechen müssen, um E-Mails zu senden. Aus Sicherheitsgründen blockieren aber viele Messaging-Server E-Mails, die nicht von internen Anwendern kommen. Dabei ist es unerheblich, ob Exchange E-Mails intern zustellen, oder über entsprechende Connectoren nach extern versenden soll. Dazu ist der E-Mail-Fluss zu konfigurieren - wie bereits im Vorangehenden ausführlich behandelt.
Ist das Relaying für den Server deaktiviert, erhalten andere Server die Meldung "550 5.7.1 Unable to relay". Die Lösung dieses Problems besteht darin, dem Server das Relaying zu erlauben, wobei die Relay-Einschränkungen einer Exchange-Organisation allerdings so restriktiv wie möglich sein sollten.
Relaying für Applikations-Server erlauben
Der Beitrag zeigt nachfolgend zwei Wege für eine entsprechende Konfiguration auf. Die erste Möglichkeit und zugleich der optimale Weg, um über einen Exchange-Server E-Mails zu senden, ist die Variante, dass sich interne Server authentifizieren. So ist sichergestellt, dass keine unbefugten Anwender E-Mails versenden dürfen, sondern nur fest definierte Server. Anschließend zeigt der Beitrag die Lösung auf, auch anonymen Anwendern Relaying zu erlauben. Letzteres hat den Vorteil, dass die Konfiguration recht einfach ist - vor allem dann, wenn mehrere Server Exchange als Relay verwenden sollen. Allerdings ist in diesem Fall die Betriebssituation wesentlich unsicherer.
1. Um einen Empfangsconnector für einen Applikations-Server zu erstellen, klicken Systemverwalter mit der rechten Maustaste im Ergebnisbereich des Menüs "Server-Konfiguration/Hub-Transport/
2. Im Startfenster dient - für die vorgesehene Verwendung - die Option "Benutzerdefiniert".
3. Auf der nächsten Seite, "Lokale Netzwerkeinstellungen", sind keine Einstellungen zu ändern. Hier legen Systemverwalter auf Wunsch fest, auf welchen IP-Adressen der Hub-Transport-Server auf neue E-Mails für den Connector hört, wenn beispielsweise mehrere Netzwerkkarten im Server installiert sind.
4. Auf der nächsten Seite "Remote-Netzwerkeinstellungen" fügen Systemverwalter die IP-Adressen der internen Server hinzu, denen Exchange das Relaying erlauben soll.
5. Um die notwendige Konfiguration abzuschließen, rufen Systemverwalter die "Eigenschaften" des neuen Empfangsconnectors auf. Auf der Registerkarte "Berechtigungsgruppen", muss der Haken bei der Option "Exchange Server" gesetzt sein.
6. Auf der Registerkarte "Authentifizierung" ist die Option "Extern gesichert (zum Beispiel mit IPSec)" wichtig.
Anschließend sollte der hinterlegte Server berechtigt sein, E-Mails über Exchange zu versenden. Bei dem zweiten erwähnten, aber wesentlich unsichereren Weg, Relaying zu konfigurieren, erlauben Systemverwalter anonymen Benutzern das Relaying über den erstellten Connector. Wenn sich die Applikations-Server beziehungsweise die installierten Applikationen nicht an Exchange authentifizieren können, sieht Exchange solche Applikationen als anonym an.
Um auch nicht authentifizierten Anwendern das Relaying zu erlauben, rufen Systemverwalter die Eigenschaften des neuen Empfangsconnectors auf und wechseln auf die Registerkarte "Berechtigungsgruppen". Durch Aktivieren der Option "Anonyme Benutzer" lässt sich die Notwendigkeit der Authentifizierung umgehen. Durch diesen Konfigurationsschritt nimmt der Connector von den konfigurierten IP-Adressen zwar anonyme Verbindungen entgegen, allerdings erlaubt er noch nicht das Relaying von diesen Servern. Damit er tatsächlich E-Mails entgegennimmt, sind noch Eingaben in der Exchange-Verwaltungs-Shell notwendig. Mit dem auf deutschsprachigen Servern gültigen Command-Line-Befehl
>Get-ReceiveConnector
ist das Relaying jetzt aktiviert. Auf englischsprachigen Servern ist entsprechend der Befehl
>Get-ReceiveConnector
einzugeben, um das Relaying für die anonymen Verbindungen zuzulassen.
Lesen Sie mehr zum Thema
