Ausgangssituation:
Das SEPPmail Secure E-Mail Gateway wird im E-Mail-Fluss direkt vor einen Microsoft Exchange Server platziert.
Nach dem Aktivieren der Option Verify recipient addresses using SMTP-Lookups in der Administrationsoberfläche des SEPPmail Secure E-Mail Gateways unter Mail System Managed domains, lehnt das SEPPmail Secure E-Mail Gateway eingehende E-Mails mit der Meldung „550 5.1.1 Recipient address rejected“ ab. Die Hinweise aus dem Handbuch zu dieser Option wurden beachtet.
Frage:
Was muss zusätzlich beachtet werden, damit die Funktion erfolgreich im Zusammenspiel mit Microsoft Exchange genutzt werden kann.
Antwort / Lösung:
Ab Exchange 2013 (gilt auch für 2016 und 2019 ) funktioniert der AD Lookup im SMTP Front End Connector nicht mehr direkt. Für die korrekte Funktion der SMTP AD Recipient Verification muss deshalb der Backend Connector auf Port 2525 verwendet werden.
Beim Installieren der CAS Rolle wird der SMTP Frontend Server per Standard mit installiert. Das hat zur Folge, dass der AntiSpam Agent für die Recipient Verification doppelt greift, zunächst beim Empfang der E-Mail über Port 25 und im Anschluss bei der Proxy Weiterleitung via Port 2525. Hierdurch werden E-Mails, welche auch nur eine ungültige Empfängeradresse beinhalten abgelehnt.
Wird die E-Mail hingegen direkt an Port 2525 übergeben, so greift der AntiSpam Agent nur einfach, wodurch die Recipient Verification wie erwartet funktioniert. Im Detail wird dabei jeder Empfänger einer E-Mail überprüft. Ist wenigstens einer der adressierten Empfänger gültig, so wird die E-Mail angenommen.
Für den Empfang von E-Mails sollten bei den Permission Groups des Default Receive Connector HUB Transport
•Anonymous Users
(für den E-Mail Empfang via Port 2525)
•Exchange Users
(sofern eine Login Verifikation benötigt wird, zum Beispiel wenn das Frontend die Authentication via SMTP Login vornimmt.)
Weitere erforderliche Aktionen über die Exchange Admin Shell:
•Install Antispam Agents
& $env:ExchangeInstallPath\Scripts\Install-AntiSpamAgents.ps1
•Benötigte Transport Agents aktivieren
Enable-TransportAgent “Recipient Filter Agent”
•Spam Filters Konfigurieren
set-recipientFilterConfig –Enabled $true
set-recipientFilterConfig –RecipientValidationEnabled $true
set-ContentFilterConfig –Enabled $false
set-SenderIDConfig –Enabled $false
Set-IPAllowListConfig –Enabled $false
Set-IPAllowListProvidersConfig –Enabled $false
Set-IPBlockListConfig –Enabled $false
Set-IPBlockListProvidersConfig –Enabled $false
Set-SenderfilterConfig –Enabled $false
Set-SenderIDConfig –Enabled $false
Set-SenderReputationConfig –Enabled $false
Theoretisch könnten noch verschiedene Filter aktiviert werden, was in der Regel jedoch bei einem System mit externen Front End nicht notwendig ist.
Eventuell muss die Recipient Domain noch überprüft / angepasst werden
Get-AcceptedDomain |fl name,AddressBookEnabled
Ebenso muss für den Lookup - sofern noch nicht geschehen das Adressbuch aktiviert werden:
set-recipientDomain xxxxx.ch AddressBookEnabled $true
Restart Transport Services
Abschließend sind die Exchange Transportdienste neu zu starten
Restart-Service MSExchangeTransport
Das Front End System, also das SEPPmail Secure E-Mail Gateway kann nun eingehende E-Mails unter Verwendung der Option Verify recipient addresses using SMTP-Lookups an den Exchange Backend Server auf Port 2525 übergeben (siehe Mail System Managed domains, Tabelle, Spalte Server IP Address).