SchweigersTechBlog

Exchange: Authentifiziertes SMTP-Relay

by · Published · Updated

Zertifikat zum Verschlüsseln des SMTP-Traffics

Hier stehen uns zwei Möglichkeiten zur Verfügung:

  1. Wir lassen die Mails unverschlüsselt zwischen den Clients und dem Exchange-Server transportieren und deaktivieren beim Receive-Connector die Option „TLS – Transport Layer Security“. Dadurch fällt dann auch das Zertifikat weg.
  2. Wir weisen dem Receive-Connector ein SSL Zertifikat zu und können somit gewährleisten, dass die Mails sicher übertragen werden.

Ich denke, an dieser Stelle sollte Jedem klar sein, zu welcher Option er greifen sollte – Variante 2! Auch, wenn es etwas aufwendiger erscheint, sollte man hier keine Risiken eingehen. Und nur so nebenbei: ein Zertifikat sollte bereits bei jedem(!) Exchange vorhanden sein.

Zuerst überprüfen wir, welche Zertifikate vorhanden sind (sollte das gewünschte Zertifikat noch nicht vorhanden sein, muss es zuvor über die Managementkonsole importiert werden):

[PS] C:Windowssystem32>Get-ExchangeCertificate

Thumbprint                                Services   Subject
----------                                --------   -------
11C3E3703239B63DE1EB1C8B702A936781723DD7  ....S..    CN=Microsoft Exchange Server Auth Certificate
63CC3B681C89964CE4C1A5027ECFAD85D527BD90  IP.WS..    CN=sw-ex01
8F7B5B10E3AA5AD829458293D7D3963A056E5253  .......    CN=WMSvc-SHA2-WIN-56PNV03QLDI
4E0B6D66F3F7D3F7C3416442923630947FD3C0D7  ...WS..    CN=*.schweigerstechblog.at

Im nächsten Schritt muss der Thumbprint des korrekten Zertifikates kopiert und folgende Befehle ausgeführt werden. Wichtig ist hierbei nur, dass das Zertifikat den zuvor gewählten FQDN des Receive-Connectors beinhaltet. In meinem Fall handelt es sich um ein Wildcard-Cert für die gesamte Domain, von daher sind alle Subdomains davon abgedeckt.

[PS] C:\Windows\system32>$TLSCert = Get-ExchangeCertificate -Thumbprint 4E0B6D66F3F7D3F7C3416442923630947FD3C0D7
[PS] C:\Windows\system32>$TLSCertName = "<I>$($TLSCert.Issuer)<S>$($TLSCert.Subject)"
[PS] C:\Windows\system32>Get-ReceiveConnector -Identity "SW-EX01\Client Frontend SW-EX01" | Set-ReceiveConnector -TlsCertificateName $TLSCertName

Werden alle cmdlets ohne Fehler ausgeführt, wurde das Zertifikat erfolgreich dem Empfangskonnektor zugeordnet.

 

Zum jetzigen Zeitpunkt kann das SMTP-Relay bereits von jedem Exchange-Benutzer verwendet werden. Der SMTP-Server entspricht dabei dem zuvor gewählten FQDN und der Port ist standardmäßig 587.

 

SMTP Einstellungen im „Outlook on the Web“ anzeigen

Zum Abschluss kann noch der Empfangskonnektor den Benutzern im Outlook on the Web (vorher OWA) angezeigt werden. Das würde dann wie folgt aussehen:

 

Dabei handelt es sich um eine rein kosmetische Änderung und hat auf die Funktionsweise keine Auswirkung. Möchte man diese Option trotzdem aktivieren, muss folgendes cmdlet abgefeuert werden:

[PS] C:\Windows\system32>Set-ReceiveConnector "SW-EX01\Client Frontend SW-EX01" -AdvertiseClientSettings $true

Damit haben wir alle nötigen Schritte unternommen und unser Exchange kann seine Arbeit als SMTP-Relay verrichten.

Tags:

You may also like...

Abonnieren
Benachrichtige mich bei
guest
3 Comments
Älteste
Neuste Meist bewertet
Inline Feedbacks
View all comments
Peter
Peter
3 Jahre zuvor

Hallo, ich bin auf Ihre Seite gestossen, da bei uns eine Software via SMTP e-Mails über den Exchange 2016 verschicken soll. Ich bekomme es aber leider nicht hin. Zertifikate, alles da. Ich habe folgende Kommandos ausgeführt (ohne Fehler – xxx steht für die Domain, da man die ja nicht unbedingt öffentlich zeigen muss). $cert = Get-ExchangeCertificate -Thumbprint xxxxx $tlscertificatename = „<i>$($cert.Issuer)<s>$($cert.Subject)“ Set-ReceiveConnector „SRV2-EXCH\Client Frontend SRV2-EXCH“ -Fqdn remote.xxx.de -TlsCertificateName $tlscertificatenam Leider zeigt OWA nur an, dass keine SMTP-Einstellung verfügbar ist. Wenn ich über die Software einen Sendetest mache kommt die Meldung: 5.7.60 SMTP; Client does not have permissions to send as… Weiterlesen »

0
Antworten
Kevin
Kevin
Autor
Reply to  Peter
3 Jahre zuvor

Hallo, dass die SMTP Einstellungen im OWA nicht angezeigt werden, ist nicht weiter schlimm und schränkt die Funktionalität vom Connector nicht ein. Die Fehlermeldung weist darauf hin, dass sich der Client durchaus mit den angegebenen Anmeldedaten am Exchange authentifizieren kann, allerdings scheint es so, als würde das Exchange Postfach die angegebene SMTP Adresse nicht besitzen. Sprich: Client möchte mit der test-smtp@test.com versendet. Das Exchange Postfach besitzt als Alias Adresse allerdings nur die test@test.com und somit wäre der Benutzer nicht dazu berechtigt, E-Mails mit der Absenderadresse test-smtp.test.com zu versenden. Man müsste hier die jeweilige SMTP Adresse am Client einstellen, dann sollte… Weiterlesen »

0
Antworten
Peter
Peter
Reply to  Kevin
3 Jahre zuvor

Hallo Kevin, vielen Dank für die Rückmeldung. Ich habe nun noch alles Mögliche ausprobiert und mich am Rechner auch mal mit test@Domänenenname.local oder mit test@Domain.de angemeldet (habe dafür im AD die UPN-Suffix ergänzt). Der User „test“ ist auch nur lokaler Admin und Domänen-Benutzer. Im Exchange gibt es für den User die Adresse „test@Domänenenname.local“ und als Standardadresse „test@Domain.de“. OWA funktioniert einwandfrei und ich probiere den Versand zum Test über Thunderbird hinzubekommen. Egal wie ich mich anmelde und als SMTP-Server „remote@Domain.de“ eingebe kommt die Meldung: „5.7.60 SMTP; Client does not have permissions to send as this sender“. Wenn ich als SMTP-Server „srv2-exch.Domäne.local“… Weiterlesen »

0
Antworten
3
0
Hinterlass' doch deine Meinung zu diesem Artikelx