Exchange: Authentifiziertes SMTP-Relay

Zertifikat zum Verschlüsseln des SMTP-Traffics

Hier stehen uns zwei Möglichkeiten zur Verfügung:

  1. Wir lassen die Mails unverschlüsselt zwischen den Clients und dem Exchange-Server transportieren und deaktivieren beim Receive-Connector die Option „TLS – Transport Layer Security“. Dadurch fällt dann auch das Zertifikat weg.
  2. Wir weisen dem Receive-Connector ein SSL Zertifikat zu und können somit gewährleisten, dass die Mails sicher übertragen werden.

Ich denke, an dieser Stelle sollte Jedem klar sein, zu welcher Option er greifen sollte – Variante 2! Auch, wenn es etwas aufwendiger erscheint, sollte man hier keine Risiken eingehen. Und nur so nebenbei: ein Zertifikat sollte bereits bei jedem(!) Exchange vorhanden sein.

Zuerst überprüfen wir, welche Zertifikate vorhanden sind (sollte das gewünschte Zertifikat noch nicht vorhanden sein, muss es zuvor über die Managementkonsole importiert werden):

[PS] C:Windowssystem32>Get-ExchangeCertificate

Thumbprint                                Services   Subject
----------                                --------   -------
11C3E3703239B63DE1EB1C8B702A936781723DD7  ....S..    CN=Microsoft Exchange Server Auth Certificate
63CC3B681C89964CE4C1A5027ECFAD85D527BD90  IP.WS..    CN=sw-ex01
8F7B5B10E3AA5AD829458293D7D3963A056E5253  .......    CN=WMSvc-SHA2-WIN-56PNV03QLDI
4E0B6D66F3F7D3F7C3416442923630947FD3C0D7  ...WS..    CN=*.schweigerstechblog.at

Im nächsten Schritt muss der Thumbprint des korrekten Zertifikates kopiert und folgende Befehle ausgeführt werden. Wichtig ist hierbei nur, dass das Zertifikat den zuvor gewählten FQDN des Receive-Connectors beinhaltet. In meinem Fall handelt es sich um ein Wildcard-Cert für die gesamte Domain, von daher sind alle Subdomains davon abgedeckt.

[PS] C:\Windows\system32>$TLSCert = Get-ExchangeCertificate -Thumbprint 4E0B6D66F3F7D3F7C3416442923630947FD3C0D7
[PS] C:\Windows\system32>$TLSCertName = "<I>$($TLSCert.Issuer)<S>$($TLSCert.Subject)"
[PS] C:\Windows\system32>Get-ReceiveConnector -Identity "SW-EX01\Client Frontend SW-EX01" | Set-ReceiveConnector -TlsCertificateName $TLSCertName

Werden alle cmdlets ohne Fehler ausgeführt, wurde das Zertifikat erfolgreich dem Empfangskonnektor zugeordnet.

 

Zum jetzigen Zeitpunkt kann das SMTP-Relay bereits von jedem Exchange-Benutzer verwendet werden. Der SMTP-Server entspricht dabei dem zuvor gewählten FQDN und der Port ist standardmäßig 587.

 

SMTP Einstellungen im „Outlook an the Web“ anzeigen

Zum Abschluss kann noch der Empfangskonnektor den Benutzern im Outlook on the Web (vorher OWA) angezeigt werden. Das würde dann wie folgt aussehen:

 

Dabei handelt es sich um eine rein kosmetische Änderung und hat auf die Funktionsweise keine Auswirkung. Möchte man diese Option trotzdem aktivieren, muss folgendes cmdlet abgefeuert werden:

[PS] C:\Windows\system32>Set-ReceiveConnector "SW-EX01\Client Frontend SW-EX01" -AdvertiseClientSettings $true

Damit haben wir alle nötigen Schritte unternommen und unser Exchange kann seine Arbeit als SMTP-Relay verrichten.

Das könnte Dich auch interessieren …

Hinterlasse einen Kommentar

avatar
  Abonnieren  
Benachrichtige mich bei