In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

Definition von Relaying

Werbung 
Steuern von SMTP-Relaying mit Microsoft Exchange
(Engl. Originaltitel : Controlling SMTP Relaying with Microsoft Exchange)
Von Paul Robichaux
Definition von Relaying
Wenn Sie schon einmal unerwünschte Spammail in Ihrem Postfach vorgefunden haben, wissen Sie bereits, was
Relaying (Weiterleitung) bedeutet: das Verwenden eines Servers zum Annehmen und anschließenden erneuten
Senden von E-Mail an Empfänger auf einem anderen Server. Im einfachsten Fall stellt [email protected] eine
Verbindung zum SMTP-Server unter b.com her und verwendet diesen zum Übermitteln einer Nachricht an
[email protected]. Beachten Sie, dass sich dieser Vorgang vom Verwenden des SMTP-Servers der eigenen
Organisation von Alice unterscheidet. Dies ist ein realistischeres Beispiel: Angenommen, Sie sind mit Ihrem
Laptop unterwegs. Sie verfügen möglicherweise über eine DFÜ-Verbindung (oder eine Breitbandverbindung),
die Ihnen eine IP-Adresse außerhalb Ihres normalen Netzwerkblocks zuweist. Wenn Ihr SMTP-Server
Nachrichten von Ihnen für die Übermittlung an Dritte akzeptiert (z. B. Adressen, die sich nicht auf Ihrem
eigenen Mailserver befinden), handelt es sich um Relaying. Ein Server, für den Relaying aktiviert ist, akzeptiert
E-Mail für Empfänger in anderen Domänen und versucht anschließend, diese erneut zu übermitteln.
Erwägenswerte Aspekte
In einigen Fällen ist Relaying wünschenswert, z. B., wenn Sie unterwegs sind und den regulären Computer mit
Exchange Server als SMTP-Host verwenden möchten. Es ist jedoch wichtig, Relaying mit Einschränkungen und
Authentifizierung zu kombinieren. Wenn Sie anders vorgehen, können Spammailsender Ihr Relay zum Senden
von Spamnachrichten verwenden – und Sie scheinen verantwortlich zu sein, weil die Nachrichten von Ihrem
Server zu stammen scheinen! Sie vermeiden nicht nur die Verbreitung von Spammail, sondern verhindern auch,
dass Sie einen Kanal für Spammail zur Verfügung stellen, wenn Sie die Relayeinstellungen des Computers mit
Exchange Server richtig konfigurieren. Sie sparen Bandbreite und gehen möglichem Ärger aus dem Weg.
Mögliche Aktionen gegen Spammail
Für Exchange Server 5.5 und Exchange 2000 Server sind separate Konfigurationsvorgänge erforderlich. In
beiden Fällen konfigurieren Sie die Komponente, die Internet-E-Mail verarbeitet so, dass E-Mail
zurückgewiesen wird, die an nicht lokale Empfänger adressiert ist. Außerdem können Sie einige zusätzliche
Einstellungen vornehmen, die Relaying mit Authentifizierung oder von bestimmten IP-Adressen zulassen.
Denken Sie daran, dass Sie Relaying auf irgendeine Art aktivieren müssen, wenn der Computer mit
Exchange Server SMTP-Dienste für POP3- oder IMAP4-Clients bereitstellt.
Blockieren von Relaying in Exchange 2000 Server
Exchange 2000 Server verfügt über eine sehr flexible Sammlung von integrierten Antirelayfeatures. Sie
konfigurieren diese auf der Ebene des virtuellen SMTP-Servers und können daher unterschiedliche
Relayeigenschaften für verschiedene Server festlegen. Eine gebräuchliche Anwendungsweise für dieses
Vorgehen besteht im Einrichten zweier virtueller Server: eines Servers, auf dem Relaying an Port 25 für
Standardverkehr deaktiviert ist, sowie eines weiteren Servers, für den auf Authentifizierung basierendes
Relaying an einer nicht standardmäßigen Portnummer aktiviert ist. Die Remoteclients können ihre Mailclients
für die Verwendung des nicht standardmäßigen Ports konfigurieren. Diese Vorgehensweise vermeidet das
Problem von Spammailsendern, die nach geöffneten Relays suchen, auf elegante Weise.
Der tatsächliche Vorgang zum Steuern von Relays ist einfach, unterscheidet sich jedoch geringfügig in
Abhängigkeit davon, ob Sie Relaying für den virtuellen SMTP-Server oder einen SMTP-Connector
konfigurieren möchten. (Wenn Sie den Unterschied zwischen virtuellen Servern und Connectors nicht kennen,
lesen Sie den Microsoft Knowledge Base-Artikel Q294736 [englischsprachig]). Connectorrelaysteuerungen
werden in diesem Beitrag nicht behandelt. Lesen Sie den Abschnitt "Weitere Informationen" weiter unten, um
Einzelheiten zu erfahren.
Steuern von Relaying des virtuellen SMTP-Servers
1.
2.
3.
4.
Starten Sie den Exchange 2000 System-Manager. Navigieren Sie zu Ihrem virtuellen Standardserver für
SMTP (Sie finden diesen, wenn Sie unter Administrative Gruppen zunächst auf
Ihre_Admin_Gruppe, dann auf Ihr_Servername und anschließend auf Protokolle/SMTP klicken).
Klicken Sie mit der rechten Maustaste auf den virtuellen Server, und klicken Sie dann auf
Eigenschaften.
Wählen Sie die Registerkarte Zugriff aus.
Verwenden Sie die Schaltfläche Verbindung zur Angabe, welche Adressen SMTP-Verbindungen
herstellen dürfen, um eingehende SMTP-Verbindungen auf einen bestimmten Adressbereich zu
beschränken (z. B., wenn Ihre POP3/IMAP4-Clients einen Block von Adressen über eine VPN- oder
DFÜ-Verbindung verwenden). Beachten Sie, dass die Einstellungen im Dialogfeld Verbindung für alle
Hosts gelten, die versuchen, diesen SMTP-Server zu verwenden.
Zum Steuern von SMTP-Relaying klicken Sie auf die Schaltfläche Relay. Im Dialogfeld
Relayeinschränkungen (Relay Restrictions; siehe Abbildung 1) können Sie eine der folgenden
Optionen auswählen:
o
o
o
o
Aktivieren Sie das Optionsfeld Nur Computern in der Liste unten (Only the list below) und
lassen die Computerliste dann leer, um das gesamte Relaying von allen Adressen zu
deaktivieren. Dies ist die Standardeinstellung.
Für das Zulassen von Relaying von einem einzelnen Computer oder einem Block von
Netzwerkadressen verwenden Sie die Schaltfläche Hinzufügen (Add). So fügen Sie die IPAdressen oder Blöcke hinzu, deren Relay möglich sein soll (siehe Abbildung 2). Sie können
auch Relaying über den Domänennamen statt über die IP-Adresse zulassen. Dies führt jedoch
zu einer Leistungsverschlechterung.
Wählen Sie das Optionsfeld Alle, mit Ausnahme der Computer in der Liste unten (All
except the list below) aus, um eine bestimmte IP-Adressmenge zu blockieren, und verwenden
Sie dann die Schaltfläche Hinzufügen, um die entsprechenden Computer oder
Netzwerkadressen hinzuzufügen, über die das Relay möglich sein soll.
Stellen Sie sicher, dass das Kontrollkästchen Jedem Computer, der erfolgreich
authentifiziert ist, unabhängig von der Liste oben das Relay erlauben (Allow all
computers which successfully authenticate to relay, regardless of the list above) aktiviert
ist, um für in Exchange 2000 Server authentifizierte Computer, unabhängig von anderen
definierten Einschränkungen, das Relay zuzulassen.
Abbildung 1: Relayeinschränkungen
Abbildung 2: Hinzufügen der Relayerlaubnis
Blockieren von Relaying in Exchange Server 5.5
Das Wichtigste zuerst: Exchange Server 5.5 hat zu der IMS-Schnittstelle Relaysteuerungsfeatures in
Service Pack 1 hinzugefügt. Sie sollten unbedingt das aktuellste Service Pack ausführen. Wenn dies noch nicht
der Fall ist, sollten Sie die deutsche bzw. die englische Version downloaden und installieren, bevor Sie den
Vorgang mit diesen Anleitungen fortsetzen. Jedes Service Pack enthält Sicherheitsfixes, die auf jedem
internetfähigen Server vorhanden sein sollten. (Wenn Sie aus unerfindlichen Gründen nicht auf Service Pack 1
oder höher aktualisieren können, lesen Sie den Microsoft Knowledge Base-Artikel Q193922 (englischsprachig),
um Hilfe zum manuellen Konfigurieren des IMS-Relayuntersystems zu erhalten).
Wenn Sie IMS installieren, fragt das Exchange-Administrationsprogramm, ob Relaying aktiviert werden soll;
standardmäßig ist Relaying deaktiviert. Nach der Installation steuern Sie Relaying in Exchange Server 5.5 über
die Registerkarte Weiterleitung [Routing],siehe Abbildung 3) des Dialogfeldes Eigenschaften für Internet
Mail-Dienst (Internet Mail Service Properties). Beachten Sie, dass jede Änderung der Relayeinstellungen
erfordert, dass Sie IMS beenden und anschließend neu starten, bevor diese wirksam werden kann.
Abbildung 3: Registerkarte "Weiterleitung" des Dialogfeldes "Eigenschaften für Internet Mail-Dienst"
So deaktivieren Sie Relaying vollständig
Wenn Sie jedes SMTP-Relaying ohne Ausnahme verhindern möchten, stellen Sie sicher, dass das Optionsfeld
Eingehende SMTP-Nachrichten nicht umleiten (Do not reroute incoming SMTP mail) ausgewählt ist. So
einfach ist das! Dieses Optionsfeld kann möglicherweise für Server innerhalb des Firewalls aktiviert sein, die
normalerweise keine Verbindungen von Clients außerhalb des Firewalls annehmen.
So lassen Sie einige Arten von Relaying zu
Zuerst müssen Sie Relaying aktivieren, indem Sie das Optionsfeld Eingehende SMTP-Nachrichten umleiten
(erforderlich für POP3-Unterstützung) (Reroute incoming SMTP mail (required for POP3/IMAP4
support) auswählen. Nachdem Sie diesen Schritt durchgeführt haben, stehen zwei Hauptmechanismen zum
Steuern von Relaying zur Verfügung:


Die Weiterleitungsliste zeigt, für welche Domänen der Server SMTP-Mail annimmt. Im vorliegenden
Beispiel werden ratest.com und huntsville.ratest.com als eingehend aufgelistet. Dies bedeutet, dass
IMS E-Mail annimmt und versucht, diese lokal zu übermitteln. Die Domäne robichaux.net wird
ausdrücklich als Relaydomäne aufgelistet. Dies bedeutet, dass sie manuell (über die Schaltfläche
Hinzufügen) als Domäne hinzugefügt wurde, für die ohne Ausnahme SMTP-Mail angenommen
werden soll.
Über die Schaltflächen Hinzufügen (Add), Bearbeiten (Edit) und Entfernen (Remove) können Sie
ändern, welche Domänen in der Weiterleitungsliste angezeigt werden. Außerdem können Sie die
Vorgehensweise von IMS für E-Mail für diese Domänen anpassen: blockieren, zum Relaying
annehmen oder als eingehende E-Mail behandeln.
Mit der Schaltfläche Routingbeschränkungen (Routing Restrictions; siehe Abbildung 4) können Sie
die Vorgehensweise angeben, für die sich die meisten Administratoren entscheiden: für legitime Clients
das Relay zulassen, während Spammailsender blockiert werden. Standardmäßig sind alle
Steuerelemente in diesem Dialogfeld deaktiviert. Sie müssen die individuellen Einschränkungen
festlegen, die Sie erzwingen möchten.
o
o
o
o
Wenn jeder Client, der sich anmeldet (z. B. für POP3- oder IMAP4-Zugriff), relayberechtigt
sein soll, aktivieren Sie das Kontrollkästchen Hosts und Clients, die erfolgreich
authentifiziert werden (Hosts and clients that successfully authenticate). Beachten Sie,
dass durch Verlangen von SMTP-Authentifizierung in Kombination mit dieser Option für
SMTP-Server – nicht nur für Clients – das Relay über Ihren Server zugelassen werden kann.
Aktivieren Sie das Kontrollkästchen Hosts und Clients mit folgenden IP-Adressen, um für
bestimmte IP-Adressen – intern oder extern – das Relay zuzulassen. Verwenden Sie dann die
Schaltflächen Hinzufügen, Bearbeiten und Entfernen, um die Liste der IP-Adressen zu
erstellen, von denen Relayverkehr angenommen werden soll. Denken Sie daran, dass dieses
Kontrollkästchen das Relaying steuert, wenn Sie das Optionsfeld Eingehende SMTPNachrichten umleiten auf der Registerkarte Weiterleitung ausgewählt haben. Sie sollten
dieses Kontrollkästchen normalerweise aktivieren. Auf diese Weise wird Relaying verhindert.
Wenn Sie es deaktiviert lassen, ist der Server für das Relay aktiviert.
Wenn Sie die Relaying nur von Clients zulassen möchten, die Verbindungen zu einer
bestimmten IP-Adresse auf dem Server herstellen, aktivieren Sie das Kontrollkästchen Hosts
und Clients, die sich mit folgenden internen Adressen verbinden (Hosts and clients
connecting to these internal addresses).
Wenn Sie verhindern möchten, dass eine bestimmte Gruppe von Hosts oder Clients jemals EMail weiterleitet, übernehmen Sie deren IP-Adressen und Netzmasken in die Liste Geben Sie
die Hosts und Clients an, die NIE Nachrichten routen können (Specify the hosts and
clients that can NEVER route mail).
Abbildung 4: Einschränken bestimmter Hosts und Clients
Weitere Informationen





Sie können Ihre Server darauf hin überprüfen, ob es sich um geöffnete Relays handelt, indem Sie ein
Tool, wie z. B. Sam Spade (englischsprachig), verwenden (weitere Informationen hierzu finden Sie in
einem englischsprachigen Artikel im Information Security Magazine). Einige weitere Tools finden Sie
im Microsoft Knowledge Base-Artikel Q249266 (englischsprachig).
Im Microsoft Knowledge Base-Artikel Q260973 (englischsprachig) werden die Feinheiten beim
Einrichten von SMTP-Connectors für das Zulassen von Mailrelaying über Domänen statt über
Clientadressen behandelt.
Wenn Sie nicht sicher sind, ob Sie einen virtuellen SMTP-Server oder einen SMTP-Connector
verwenden sollten, finden Sie möglicherweise eine Entscheidungshilfe im Microsoft Knowledge BaseArtikel Q265293 (englischsprachig).
Wenn Sie hingegen einen Relayhost einrichten möchten, ist dies ebenfalls möglich. Dies kann z. B.
erforderlich sein, wenn Sie über eine Sammlung von SMTP-Gatewayservern verfügen, an die interne
Hosts Nachrichtenverkehr übergeben müssen. Bereiten Sie sich sorgfältig vor, und lesen Sie den
Microsoft Knowledge Base-Artikel Q293800 (englischsprachig), bevor Sie den Vorgang fortsetzen.
Das Internet Mail Consortium stellt einen faszinierenden Bericht zu einigen Experimenten
(englischsprachig) zur Verfügung, die durchgeführt wurden, um die Anzahl von Relayhosts im Internet
zu ermitteln.
Paul Robichaux ist Vorstand von Robichaux & Associates, Inc. Das Unternehmen stellt Kunden jeder Größe –
von lokalen Autohändlern bis hin zu Microsoft – Programmier-, technische Kommunikations- und
Sicherheitsdienste bereit. Robichaux hat gerade sein aktuellstes Buch Managing Microsoft Exchange Server
(O'Reilly & Associates; englischsprachig) veröffentlicht und genießt es, momentan wieder mehr Zeit mit seiner
Familie verbringen zu können. Leseranfragen an [email protected] (in Englisch) sind jederzeit
willkommen.
Das Team der Microsoft Corporation hofft, dass die Informationen in diesem Dokument für Sie von Nutzen sind.
Die Verwendung der in diesem Dokument enthaltenen Informationen erfolgt jedoch auf eigene Gefahr. Alle
Informationen werden wie besehen bereitgestellt, ohne jede Gewährleistung, sei sie ausdrücklich oder
konkludent, für die Richtigkeit, die Vollständigkeit, die Eignung für einen bestimmten Zweck, den
Eigentumsvorbehalt oder die Nichtverletzung von Rechten Dritter, und keine der in diesem Dokument genannten
Fremdherstellerprodukte oder Informationen von Dritten wurden/werden von der Microsoft Corporation verfasst,
empfohlen oder unterstützt, und Microsoft Corporation übernimmt keine Garantie dafür. Die
Microsoft Corporation kann nicht für Schäden haftbar gemacht werden, die aus der Verwendung dieser
Informationen entstehen, ungeachtet dessen, ob es sich um direkte oder indirekte, spezielle, zufällig entstandene
oder Folgeschäden handelt, selbst dann nicht, wenn Microsoft Corporation auf die mögliche Entstehung solcher
Schäden hingewiesen wurde. Die im vorliegenden Dokument genannten Preise für Produkte können jederzeit
ohne vorherige Ankündigung geändert werden.
Zugehörige Unterlagen
Das sollte Ihr Server können
Das sollte Ihr Server können
Brief
Brief
Document
Document
Langsamer Datenimport und/oder Datenabfrage - b
Langsamer Datenimport und/oder Datenabfrage - b
Gewünschte Technologien Gesuchter Bereich - Sw
Gewünschte Technologien Gesuchter Bereich - Sw
Volumenlizenzprogramme für mittelständische und große
Volumenlizenzprogramme für mittelständische und große
Gewünschte Technologien Projekt-Übersicht jetzt - Sw
Gewünschte Technologien Projekt-Übersicht jetzt - Sw
Winjur, Fehlermeldung Fehler bei der Anmeldung für den Benutzer
Winjur, Fehlermeldung Fehler bei der Anmeldung für den Benutzer
einführung ins Internet - Webseiten der Mitarbeiter der Universität
einführung ins Internet - Webseiten der Mitarbeiter der Universität
Microsoft System Update Server der TU Wien ("WSUS")
Microsoft System Update Server der TU Wien ("WSUS")
W&B Managed-IT-Services Service
W&B Managed-IT-Services Service
Fehlermeldung "Sie müssen die Verbindung zu diesem Server über
Fehlermeldung "Sie müssen die Verbindung zu diesem Server über
Herunterladen
Werbung