Bonjour, dans cet article « Serveur d'échange »i Relais Nous considérerons sa structure. Les services de courrier électronique sont un outil de communication indispensable pour chaque institution et chaque individu. Bien que l'envoi d'un e-mail puisse sembler un processus simple pour les utilisateurs, en coulisses MTA, MUA ve RELAIS Il existe des concepts importants tels que.
Qu’est-ce que le relais ?
Relaisest l'outil qui garantit que les messages envoyés sont remis aux destinataires. Dans ce processus, les logiciels que nos utilisateurs connectent aux serveurs de messagerie MUA (agent utilisateur de messagerie) Comme nos serveurs de messagerie sont MTA (agent de transfert de courrier) s'appelle. MUALorsque vous souhaitez envoyer un e-mail à la cible, vous MTAtransmet à ; MTA vérifie les informations entrantes et Relais effectue l'opération.
Analogie du bureau de poste avec le processus de relais de courrier électronique
E-mail Relais On peut utiliser l'exemple de la poste pour mieux comprendre le processus : Lorsque l'on souhaite envoyer un colis, le destinataire et l'adresse de retour sont inscrits sur le colis et livrés au bureau de poste local. Le bureau de poste local transmet le colis au bureau de poste de la zone où se trouve l'adresse du destinataire. Le bureau de poste destinataire livre le colis à l'adresse indiquée. Si la livraison n'est pas effectuée, le colis est renvoyé à l'adresse de retour (analogie d'adresse ici, Le processus de relais est similaire : la demande du MUA est transmise au MTA et le message est remis au MTA du destinataire. Le MTA identifie le message par l'adresse e-mail du destinataire et le transmet au MUA.
Utiliser Relay dans la vie quotidienne
Relais Le concept est inclus dans de nombreux services différents dans nos flux de travail quotidiens. Par exemple, les rapports quotidiens et les alarmes reçus de diverses plateformes logicielles telles que les systèmes de sauvegarde, SIEM et ERP nous sont transmis via nos serveurs de messagerie internes. Dans ce processus, l'authentification peut être effectuée à l'aide de deux méthodes principales :
Relais ouvert
relais ouvert, Il s'agit de la capacité du serveur de messagerie à accepter des e-mails provenant de n'importe quelle source et à les transférer vers n'importe quelle destination sans nécessiter d'authentification. Ces serveurs peuvent être exploités par les spammeurs car ils acceptent et transfèrent tous les messages électroniques, quelle que soit leur source.
Relais authentifié
Relais authentifiéest une configuration dans laquelle le serveur de messagerie permet d'envoyer des e-mails uniquement aux utilisateurs disposant de certaines informations d'authentification. Cela peut inclure l'autorisation de l'envoi d'e-mails à des utilisateurs authentifiés avec des informations d'identification telles qu'un nom d'utilisateur et un mot de passe, ou à des clients à partir d'adresses IP spécifiques. Le relais authentifié garantit la livraison sécurisée des e-mails et peut empêcher toute utilisation malveillante.
résumé:
- Relais interne ve Relais externedéfinit la manière dont les e-mails sont acheminés entre les réseaux internes ou externes.
- Relais ouvert Il offre un accès large et incontrôlé, ce qui crée des risques pour la sécurité.
- Relais authentifiéimpose certaines exigences d’authentification pour garantir la sécurité.
Étapes du relais interne d'Exchange Server 2019
au-dessus Relais interne Nous avons brièvement évoqué le concept de relais interne sur Exchange Server.
Lorsque vous ajoutez Exchange Server 2016 ou 2019 pour la première fois à votre environnement, le processus d'installation démarre automatiquement un processus préconfiguré pour permettre la livraison d'e-mails d'expéditeurs anonymes vers des destinataires internes. connecteur crée. Cette configuration permet d'accepter les emails entrants par le serveur et est également utilisée pour la transmission interne des emails (relais).
Une fois l'installation d'Exchange Server terminée, cinq connecteurs seront installés par défaut. L'un de ces connecteurs dans mon exemple est « EXCSERVER\Frontend par défaut Il s'agit du connecteur appelé « EXCSERVER ».
Vous pouvez examiner visuellement ces connecteurs via le panneau de configuration Exchange (ECP) ou accéder à des informations détaillées via Exchange Management Shell (EMS). Ces connecteurs sont automatiquement configurés pour gérer l'échange de courrier électronique d'Exchange Server pendant le processus d'installation, offrant ainsi une flexibilité aux administrateurs système.
Get-ReceiveConnector
Get-ReceiveConnector
Identity Bindings Enabled
EXCSERVER\Default EXCSERVER {0.0.0.0:2525, [::]:2525} True
EXCSERVER\Client Proxy EXCSERVER {[::]:465, 0.0.0.0:465} True
EXCSERVER\Default Frontend EXCSERVER {[::]:25, 0.0.0.0:25} True
EXCSERVER\Outbound Proxy Frontend EXCSERVER {[::]:717, 0.0.0.0:717} True
EXCSERVER\Client Frontend EXCSERVER {[::]:587, 0.0.0.0:587} True
Étapes Telnet du connecteur de relais interne du serveur Exchange
telnet EXCSERVER 25
220 EXCSERVER.akkaya.local Microsoft ESMTP MAIL Service ready at Tue, 25 Apr 2022 22:14:29 +0300
helo
250 EXCSERVER.akkaya.local Hello [192.168.1.30]
mail from: [email protected]
250 2.1.0 Sender OK
rcpt to: [email protected]
250 2.1.5 Recipient OK
Data
354 Start mail input; end with .
Subject: Test email
Testing
.
250 2.6.0 <[email protected] > [
InternalId=854698491929, Hostname=EXCSERVER.akkaya.local ] Queued mail for
delivery
Vous n'avez pas besoin d'un connecteur supplémentaire pour le scénario de relais interne que j'ai mentionné ci-dessus, vous pouvez créer un nouveau port et un nouveau connecteur en fonction de vos exigences de sécurité. Cependant, il serait plus sain d’utiliser DNS plutôt que Connector.
Étapes du relais externe Exchange Server 2019
Nous utiliserons les étapes Telnet pour envoyer un e-mail à une adresse e-mail dans un environnement externe, via une adresse interne incluse dans notre environnement Exchange Server, et vérifions comment Telnet répondra lors de l'envoi.
220 EXCSERVER.akkaya.local Microsoft ESMTP MAIL Service ready at Tue, 25 Apr 2022 22:30:29 +0300
helo
250 EXCSERVER.akkaya.local Hello [192.168.1.30]
mail from: [email protected]
250 2.1.0 Sender OK
rcpt to: [email protected].
550 5.7.54 SMTP; Unable to relay recipient in non-accepted domain
External E-posta adresini girdiğim zaman “550 5.7.54 SMTP; Unable to relay recipient in non-accepted domain” hata kodu dönmektedir.
550 5.7.54 hata kodunu çözmemiz için kullanabileceğimiz iki yöntem bulunmaktadır.
Kullanıcı Authentication yapılandırması
Connector üzerinde Anonymous yetkilendirmesi
Étapes de relais externes utilisant l'authentification dans Exchange Server
La méthode préférée consiste toujours à utiliser des connexions SMTP qui nécessitent une authentification. Exchange Server 2019 qui vient par défaut dans votre environnement et accepte les connexions sécurisées utilisant TLS (Transport Layer Security)Front-end client » Le connecteur fonctionne sur le port TCP 587.
Une configuration minimale est suffisante pour que ce connecteur fonctionne efficacement. Exchange Server 2019 dans votre environnement SSL Supposons que vous ayez configuré le certificat et effectué les paramètres DNS nécessaires pour l'accès de vos appareils ou applications (par exemple : mail.cozumpark.com, relay.cozumpark.com). Maintenant, sur le connecteur TLS nom du certificat (TlsCertificateName) Nous continuerons le processus en ajustant les paramètres. Ces étapes sont essentielles pour sécuriser les communications par courrier électronique et accroître la sécurité des données grâce à des connexions authentifiées.
Tout d’abord, nous devons trouver le code d’empreinte de notre certificat SSL. Pour cela, utilisez simplement la commande « Get-ExchangeCertificate » via Exchange Management Shell.
Get-ExchangeCertificate
Thumbprint Services Subject
---------- -------- -------
F3D0A4E2578B66E2BB427FAC4C9FD450B7AE34CF ...WS.. CN=mail.cozumpark.com, OU=IT, O=cozumpark Portal,...
5D38258B1645D4A344B12EAB99D2CC25B3B4E5F3 ....S.. CN=Microsoft Exchange Server Auth Certificate
C2B9A4D5E3F67B0CDF7F82ABC337D453F7A4C2E9 IP.WS.. CN=EXCSERVER
8E57DA66CC25DBFAD2D3B5BBC5E4A5F534D5B60D ....... CN=WMSvc-EXCSERVER
La chaîne TlsCertificateName contient deux attributs du certificat SSL. Vous pouvez donc ajuster les paramètres à l'aide des commandes PowerShell suivantes :
$cert = Get-ExchangeCertificate -Thumbprint F3D0A4E2578B66E2BB427FAC4C9FD450B7AE34CF
$tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)"
Set-ReceiveConnector "EXCSERVER\Client Frontend EXCSERVER" -Fqdn mail.cozumpark.com -TlsCertificateName $tlscertificatename
Pour tester cette configuration PowerShell'de Send-MailMessage
J'utiliserai l'applet de commande.
$credential = Get-Credential
Ensuite, j'écrirai l'applet de commande qui contient les informations nécessaires pour envoyer un email :
Send-MailMessage -SmtpServer mail.cozumpark.com -Credential $credential -From '[email protected]' -To '[email protected]' -Subject 'Test email' -Port 587 -UseSsl
Avec cette configuration, nous avons un serveur authentifié en écoute sur le port 2019 de notre serveur Exchange Server 587. SMTP Nous avons testé avec succès notre connecteur qui accepte les connexions.
Configuration d'Anonyme pour le connecteur dans Exchange Server 2019
Nous pouvons utiliser le Panneau de configuration Exchange (ECP) dans Exchange Server 2019 pour créer un connecteur qui permet l'envoi anonyme d'e-mails à partir d'adresses IP ou de plages IP spécifiques :
- Accès au Panneau de configuration Exchange (ECP) :
- Connectez-vous à ECP et cliquez sur l'option « flux de messagerie » dans le menu de gauche.
- Allez dans l’onglet « recevoir des connecteurs » et appuyez sur le bouton « + » pour créer un nouveau connecteur.
- Dénomination du connecteur et définition des rôles :
- Nommez le connecteur « IP_Relay ».
- Sélectionnez l'option « Rôle » comme « Frontend Transport ».
- Sélectionnez « Personnalisé » comme « Type ».
- Liaisons d’adaptateur réseau :
- Dans la section « Liaisons de la carte réseau », l'adresse IP et le numéro de port que le connecteur écoutera seront affichés. Le port par défaut est « 25 », nous n'apporterons aucune modification dans cet exemple.
- Paramètres du réseau distant :
- Dans cette section, supprimez la plage IP par défaut et ajoutez les adresses IP privées ou les plages que vous souhaitez autoriser pour le relais SMTP anonyme.
- Évitez d'ajouter des adresses IP d'autres serveurs Exchange dans l'environnement, car cela pourrait entraîner des problèmes de communication de serveur à serveur.
- Enregistrer la configuration du connecteur :
- Après avoir terminé tous les réglages, enregistrez la configuration.
Paramètres du connecteur à l'aide d'Exchange Management Shell (EMS) :
- Ouvrez la fenêtre EMS et exécutez les commandes suivantes pour définir les autorisations des utilisateurs anonymes :
Set-ReceiveConnector "EXCSERVER\IP_Relay" -PermissionGroups AnonymousUsers
Vous pouvez exécuter la commande suivante pour accorder l'autorisation Relay aux utilisateurs sur Exchange Server.
Get-ReceiveConnector “EXCSERVER\IP_Relay” | Add-ADPermission -User ‘NT AUTHORITY\Anonymous Logon’ -ExtendedRights MS-Exch-SMTP-Accept-Any-Recipient
Dans notre article, pour un connecteur TLS Nous avons couvert la configuration du certificat et l'utilisation de TLS/SSL Envoyer un message électronique Nous avons examiné le processus de test que j'ai effectué.
Sécurité des relais
De nombreuses organisations créent des connecteurs capables d'envoyer des e-mails à partir de diverses adresses IP pour une distribution anonyme des e-mails. Des précautions doivent être prises lors de l'adaptation de ce scénario à votre propre environnement, car il peut présenter plus de risques de sécurité qu'il n'y paraît. Assurez-vous que les adresses IP que vous autorisez sont dignes de confiance. Cela peut présenter des risques de sécurité, en particulier si les adresses IP sont attribuées automatiquement à partir d'un pool DHCP ou si elles sont utilisées comme serveur de services Bureau à distance (RDS).
Authentification
La méthode d'authentification peut compliquer les transactions, mais il s'agit d'un défi acceptable pour un niveau de sécurité plus élevé. Il suffira de revoir régulièrement les informations de compte utilisées pour les appareils et services gérés.