Hallo, in diesem Artikel Exchange Server'die i Relais Wir werden seine Struktur betrachten. E-Mail-Dienste sind ein unverzichtbares Kommunikationsmittel für jede Institution und jeden Einzelnen. Obwohl das Versenden einer E-Mail hinter den Kulissen für Benutzer wie ein einfacher Vorgang erscheinen mag MTA, MUA ve RELAY Es gibt wichtige Konzepte wie.
Inhaltsverzeichnis
Was ist Relais?
Relaisist das Tool, das sicherstellt, dass gesendete Nachrichten den Empfängern zugestellt werden. Dabei handelt es sich um Software, die unsere Nutzer mit Mailservern verbindet MUA (Mail User Agent) So wie unsere Mailserver MTA (Mail Transfer Agent) heißt. MUAWenn Sie eine E-Mail an das Ziel senden möchten, müssen Sie MTAleitet weiter an; MTA überprüft die eingehenden Informationen und Relais führt die Operation aus.
Postamt-Analogie des E-Mail-Relay-Prozesses
E-Mail Relais Um den Vorgang besser zu verstehen, können wir uns das Beispiel der Post nehmen: Wenn wir ein Paket verschicken wollen, werden Empfänger und Absenderadresse auf das Paket geschrieben und an die örtliche Post abgegeben. Die örtliche Post leitet das Paket an die Postfiliale im Umkreis der Empfängeradresse weiter. Die empfangende Poststelle liefert das Paket an die angegebene Adresse. Erfolgt die Zustellung nicht, wird das Paket an die Rücksendeadresse zurückgesendet (Adressanalogie hier). Der Relay-Prozess ist ähnlich: Die MUA-Anfrage wird an den MTA weitergeleitet und die Nachricht wird an den MTA des Empfängers übermittelt. Der MTA identifiziert die Nachricht anhand der E-Mail-Adresse des Empfängers und leitet sie an den MUA weiter.
Verwendung von Relay im täglichen Leben
Relais Das Konzept ist in vielen verschiedenen Dienstleistungen in unseren täglichen Arbeitsabläufen verankert. Beispielsweise werden uns täglich Berichte und Alarme von verschiedenen Softwareplattformen wie Backup-, SIEM- und ERP-Systemen über unsere hauseigenen Mailserver zugestellt. In diesem Prozess kann die Authentifizierung mit zwei Hauptmethoden durchgeführt werden:
Relais öffnen
offenes Relais, Dabei handelt es sich um die Fähigkeit des E-Mail-Servers, E-Mails von jeder Quelle anzunehmen und an jedes Ziel weiterzuleiten, ohne dass eine Authentifizierung erforderlich ist. Solche Server können von Spammern ausgenutzt werden, da sie alle E-Mail-Nachrichten akzeptieren und weiterleiten, unabhängig von ihrer Quelle.
Authentifiziertes Relay
Authentifiziertes Relayist eine Konfiguration, bei der der E-Mail-Server das Versenden von E-Mails nur an Benutzer mit bestimmten Authentifizierungsdaten zulässt. Dies kann das Zulassen des E-Mail-Versands an authentifizierte Benutzer mit Anmeldeinformationen wie Benutzername und Passwort oder an Clients von bestimmten IP-Adressen umfassen. Die authentifizierte Weiterleitung gewährleistet eine sichere E-Mail-Zustellung und kann böswilligen Missbrauch verhindern.
Zusammenfassung:
- Internes Relais ve Externes Relaisdefiniert, wie E-Mails zwischen internen oder externen Netzwerken weitergeleitet werden.
- Relais öffnen Es bietet einen breiten und unkontrollierten Zugriff, der Sicherheitsrisiken mit sich bringt.
- Authentifiziertes Relayerlegt bestimmte Authentifizierungsanforderungen auf, um die Sicherheit zu gewährleisten.
Interne Relay-Schritte für Exchange Server 2019
oben Internes Relais Wir haben kurz über das Konzept des internen Relays auf Exchange Server gesprochen.
Wenn Sie Exchange Server 2016 oder 2019 zum ersten Mal zu Ihrer Umgebung hinzufügen, startet der Installationsprozess automatisch einen vorkonfigurierten Prozess, um die E-Mail-Zustellung von anonymen Absendern an interne Empfänger zu ermöglichen. Stecker schafft. Diese Konfiguration ermöglicht die Annahme eingehender E-Mails durch den Server und wird auch für den internen E-Mail-Versand (Relay) verwendet.
Wenn die Exchange Server-Installation abgeschlossen ist, werden standardmäßig fünf Connectors installiert. Einer dieser Konnektoren in meinem Beispiel ist „EXCSERVERStandard-Frontend Es handelt sich um den Connector namens „EXCSERVER“.
Sie können diese Konnektoren visuell über das Exchange Control Panel (ECP) untersuchen oder detaillierte Informationen über die Exchange Management Shell (EMS) abrufen. Diese Konnektoren werden automatisch eingerichtet, um den E-Mail-Austausch von Exchange Server während des Installationsprozesses zu verwalten, was Systemadministratoren Flexibilität bietet.
Get-ReceiveConnectorGet-ReceiveConnector
Identity Bindings Enabled
EXCSERVERDefault EXCSERVER {0.0.0.0:2525, [::]:2525} True
EXCSERVERClient Proxy EXCSERVER {[::]:465, 0.0.0.0:465} True
EXCSERVERDefault Frontend EXCSERVER {[::]:25, 0.0.0.0:25} True
EXCSERVEROutbound Proxy Frontend EXCSERVER {[::]:717, 0.0.0.0:717} True
EXCSERVERClient Frontend EXCSERVER {[::]:587, 0.0.0.0:587} TrueTelnet-Schritte für den internen Relay-Connector des Exchange-Servers
telnet EXCSERVER 25
220 EXCSERVER.akkaya.local Microsoft ESMTP MAIL Service ready at Tue, 25 Apr 2022 22:14:29 +0300
helo
250 EXCSERVER.akkaya.local Hello [192.168.1.30]
mail from: [email protected]
250 2.1.0 Sender OK
rcpt to: [email protected]
250 2.1.5 Recipient OK
Data
354 Start mail input; end with .
Subject: Test email
Testing
.
250 2.6.0 <[email protected] > [
InternalId=854698491929, Hostname=EXCSERVER.akkaya.local ] Queued mail for
deliveryFür das oben erwähnte interne Relay-Szenario benötigen Sie keinen zusätzlichen Connector. Sie können einen neuen Port und einen neuen Connector entsprechend Ihren Sicherheitsanforderungen erstellen. Es wäre jedoch gesünder, DNS anstelle von Connector zu verwenden.
Schritte zum externen Relay von Exchange Server 2019
Wir verwenden die Telnet-Schritte, um eine E-Mail über eine interne Adresse in unserer Exchange Server-Umgebung an eine E-Mail-Adresse in einer externen Umgebung zu senden, und prüfen wir, wie Telnet während des Sendens reagiert.
220 EXCSERVER.akkaya.local Microsoft ESMTP MAIL Service ready at Tue, 25 Apr 2022 22:30:29 +0300
helo
250 EXCSERVER.akkaya.local Hello [192.168.1.30]
mail from: [email protected]
250 2.1.0 Sender OK
rcpt to: [email protected].
550 5.7.54 SMTP; Unable to relay recipient in non-accepted domain
External E-posta adresini girdiğim zaman “550 5.7.54 SMTP; Unable to relay recipient in non-accepted domain” hata kodu dönmektedir.
550 5.7.54 hata kodunu çözmemiz için kullanabileceğimiz iki yöntem bulunmaktadır.
Kullanıcı Authentication yapılandırması
Connector üzerinde Anonymous yetkilendirmesiExterne Relay-Schritte mithilfe der Authentifizierung in Exchange Server
Die bevorzugte Methode ist immer die Verwendung von SMTP-Verbindungen, die eine Authentifizierung erfordern. Exchange Server 2019 das standardmäßig in Ihrer Umgebung vorhanden ist und sichere Verbindungen mithilfe von TLS (Transport Layer Security) akzeptiert.Client-Frontend" Der Connector funktioniert über TCP Port 587.
Damit dieser Connector effektiv funktioniert, reicht eine minimale Konfiguration aus. Exchange Server 2019 in Ihrer Umgebung SSL Nehmen wir an, Sie haben das Zertifikat konfiguriert und die notwendigen DNS-Einstellungen für den Zugriff durch Ihre Geräte oder Anwendungen vorgenommen (zum Beispiel: mail.cozumpark.com, Relay.cozumpark.com). Nun zum Stecker TLS Zertifikatsname (TlsCertificateName) Wir werden den Vorgang fortsetzen, indem wir die Einstellungen anpassen. Diese Schritte sind für die sichere E-Mail-Kommunikation von entscheidender Bedeutung und erhöhen die Datensicherheit durch authentifizierte Verbindungen.
Zunächst müssen wir den Fingerabdruckcode unseres SSL-Zertifikats finden. Dazu verwenden wir einfach den Befehl „Get-ExchangeCertificate“ über die Exchange Management Shell.
Get-ExchangeCertificate
Thumbprint Services Subject
---------- -------- -------
F3D0A4E2578B66E2BB427FAC4C9FD450B7AE34CF ...WS.. CN=mail.cozumpark.com, OU=IT, O=cozumpark Portal,...
5D38258B1645D4A344B12EAB99D2CC25B3B4E5F3 ....S.. CN=Microsoft Exchange Server Auth Certificate
C2B9A4D5E3F67B0CDF7F82ABC337D453F7A4C2E9 IP.WS.. CN=EXCSERVER
8E57DA66CC25DBFAD2D3B5BBC5E4A5F534D5B60D ....... CN=WMSvc-EXCSERVERDie Zeichenfolge „TlsCertificateName“ enthält zwei Attribute des SSL-Zertifikats. So können Sie die Einstellungen mit den folgenden PowerShell-Befehlen anpassen:
$cert = Get-ExchangeCertificate -Thumbprint F3D0A4E2578B66E2BB427FAC4C9FD450B7AE34CF $tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)"Set-ReceiveConnector "EXCSERVERClient Frontend EXCSERVER" -Fqdn mail.cozumpark.com -TlsCertificateName $tlscertificatenameUm diese Konfiguration zu testen Powershell'von Send-MailMessage Ich werde das Cmdlet verwenden.
$credential = Get-CredentialDann schreibe ich das Cmdlet, das die notwendigen Informationen zum Senden einer E-Mail enthält:
Send-MailMessage -SmtpServer mail.cozumpark.com -Credential $credential -From '[email protected]' -To '[email protected]' -Subject 'Test email' -Port 587 -UseSslMit dieser Konfiguration haben wir einen authentifizierten Server, der Port 2019 auf unserem Exchange Server 587-Server überwacht. SMTP Wir haben unseren Stecker, der Verbindungen akzeptiert, erfolgreich getestet.
Konfigurieren von Anonymous für Connector in Exchange Server 2019
Wir können das Exchange Control Panel (ECP) in Exchange Server 2019 verwenden, um einen Connector zu erstellen, der das anonyme Senden von E-Mails von bestimmten IP-Adressen oder IP-Bereichen ermöglicht:
- Zugriff auf das Exchange Control Panel (ECP):
- Melden Sie sich bei ECP an und klicken Sie im linken Menü auf die Option „Mailflow“.
- Gehen Sie zur Registerkarte „Anschlüsse empfangen“ und klicken Sie auf die Schaltfläche „+“, um einen neuen Anschluss zu erstellen.
- Connector-Benennung und Rolleneinstellung:
- Benennen Sie den Connector „IP_Relay“.
- Wählen Sie die Option „Rolle“ als „Frontend-Transport“.
- Wählen Sie „Benutzerdefiniert“ als „Typ“.
- Netzwerkadapterbindungen:
- Im Abschnitt „Netzwerkadapterbindungen“ werden die IP-Adresse und die Portnummer angezeigt, die der Connector abhört. Der Standardport ist „25“, wir werden in diesem Beispiel keine Änderungen vornehmen.
- Remote-Netzwerkeinstellungen:
- Entfernen Sie in diesem Abschnitt den Standard-IP-Bereich und fügen Sie die privaten IP-Adressen oder Bereiche hinzu, die Sie für anonymes SMTP-Relay zulassen möchten.
- Vermeiden Sie das Hinzufügen von IP-Adressen anderer Exchange-Server in der Umgebung, da dies zu Problemen bei der Server-zu-Server-Kommunikation führen kann.
- Connector-Konfiguration speichern:
- Nachdem Sie alle Einstellungen vorgenommen haben, speichern Sie die Konfiguration.
Connector-Einstellungen mit Exchange Management Shell (EMS):
- Öffnen Sie das EMS-Fenster und führen Sie die folgenden Befehle aus, um Berechtigungen für anonyme Benutzer festzulegen:
Set-ReceiveConnector "EXCSERVERIP_Relay" -PermissionGroups AnonymousUsersSie können den folgenden Befehl ausführen, um Benutzern auf Exchange Server die Relay-Berechtigung zu erteilen.
Get-ReceiveConnector “EXCSERVERIP_Relay” | Add-ADPermission -User ‘NT AUTHORITYAnonymous Logon’ -ExtendedRights MS-Exch-SMTP-Accept-Any-RecipientIn unserem Artikel für einen Stecker TLS Wir haben die Zertifikatskonfiguration und die Verwendung von TLS/SSL behandelt Send-MailMessage Wir haben den von mir durchgeführten Testprozess überprüft.
Relay-Sicherheit
Viele Organisationen erstellen Connectors, die E-Mails von verschiedenen IP-Adressen zur anonymen E-Mail-Zustellung senden können. Bei der Anpassung dieses Szenarios an Ihre eigene Umgebung ist Vorsicht geboten, da es möglicherweise größere Sicherheitsrisiken birgt, als es den Anschein hat. Stellen Sie sicher, dass die von Ihnen zugelassenen IP-Adressen vertrauenswürdig sind. Dies kann ein Sicherheitsrisiko darstellen, insbesondere wenn IP-Adressen automatisch aus einem DHCP-Pool zugewiesen werden oder wenn sie als RDS-Server (Remote Desktop Services) verwendet werden.
Authentifizierung
Die Authentifizierungsmethode kann Transaktionen erschweren, für ein höheres Maß an Sicherheit ist dies jedoch eine akzeptable Herausforderung. Es reicht aus, die für verwaltete Geräte und Dienste verwendeten Kontoinformationen regelmäßig zu überprüfen.
