SBS 2011 – Exchange 2010 – externer sicherer Mail Relay mittels Transport Hub

System ist ein SBS 2011 Standard
Ziel ist es mittels Mail Relay über den Exchange und der eigenen Domain von einem Webserver aus Kunden anzuschreiben. Der Webserver ist nicht Mitglied der Domain und die Webseite nur gehostet. Von der Webseite sollen jedoch Interessenten mit der Mailadresse info@meine-domain.de angeschieben werden. Sie können dann z.B. direkt Antworten und die Mail landet wieder im Büro. Möglich macht dies die Einrichtung eines zusätzlichen Emfpangsconnector, der über den Hub-Transport erstellt wird.

1. Exchange-Verwaltungskonsole als Administrator ausführen (rechte Maustaste)

2. unter Microsoft Exchange lokal -> Serverkonfiguration -> Hub-Transport auswählen

2.1 Liste der aktuelle Empfangsconnectoren

3. auf der rechten Seite unter Aktionen -> „Neuer Empfangsconnector“ anklicken

4. als erstes muss ein Name vergeben werden z.B. ext. WebClientRelay

4.1  außerdem die Art der Verwendung auswählen – für meinen Zwekc habe ich hier „Client“ gewählt – hier noch eine Erklärung die aber auch unterhalb der Auswahl erscheint
— Benutzerdefiniert = eigene Einstellungen für z.B. nicht Exchange Systeme
— Internet = für Verbindung von anderen Server mit anonymen Benutzern
— Intern = für ausschließlich Exchange Servern innerhalb der Exchange Organisation
— Client = nur für Clientübermittlungen von authentifizierten Microsoft Exchange Benutzern
— Partner = für den Empfang aus Partnerdomänen die in der Liste der sicheren Empfängerdomänen enthalten sind, TLS Verbindung ist notwendig

5. Remote-Netzwerkeinstellungen konfigurieren
— Standard ist 0.0.0.0-255.255.255.255 für alle Netze konfiguriert
— hier empfielt es sich diese zu entfernen und nur die IP des berechtigten Server einzutragen

6. es folgt eine letzte Übersicht der Konfiguration des Empfangsconnectors
– mit dem Klick unten auf dem Button „Neu“ wird der neue Empfangsconnector erstellt und das Ergebnis angezeigt -> Fertig stellen anklicken

7. der neue Empfangsconnector wird nun in der Liste der Connectoren zusammen mit den anderen angezeigt und ist einsatzbereit

8. damit nun die Authentifizierung vom Webserver beim SBS2011 korrekt funktioniert muss hier noch etwas angepasst werden – den neuen Empfangsconnector auswählen und rechts auf Eigenschaften klicke

8.1 als nächstes können / müssen wir noch die Eigenschaften, wie maximale Mailgröße, lokale IP-Adresse und Port, IP-Adresse des Remoteservers, die Authentifizierung und Berechtigung ändern

!Wichtig hier ist der Port 587, dieser muss in der Firewall ggf. geöffnet und zum SBS2011 weitergeleitet werden.
!Wichtig ist der Reiter Authentifizierung – hier musste ich, damit der Linux-Webserver korrekt mit dem SBS2011 spricht, TLS deaktivieren, sodass nur Standardauthentifizierung und Integrierte Windows-Authentifizierung aktiviert sind

Sicherheit
Damit der SBS2011 und der Echange 2010 kein offener Relay sind greifen hier 2 Sicherheitsmechanismen. 1. Muss der Server der über den Exchange relayen will die eingetragene IP-Adresse besitzen und 2. muss der User der benutzt wird im Active Directory des SBS2011 vorhanden und korrekt authentifiziert werden. Ich habe noch einen extra Benutzer eingerichtet, der nichts anderes darf, als Mails senden und empfangen. Das Passwort führ ihm sollte ein sicheres sein und >12 Zeichen, Groß- und Kleinschreibung und Sonderzeichen mit Zahlen aufweisen 😉

Webserver / Webapplikation

Bei der Webanwendung auf dem Webserver muss dann:
– der Port 587 nach außen geöffnet werden
– der User z.B. OfficeWebRelay als Name für die Authentifizierung,
– das Active Directory Passwort des Users,
– das Protokoll smtp und natürlich,
– der Servername / Domain,
hinterlegt werden

Test mittels Telnet

Link zum Testbeispiel

Links
Technet – Exchange 2010 – Erstellen eines SMTP-Empfangsconnectors