LDAP Empfängerüberprüfung gegen AD

the_Uli

Member
Feb 17, 2020
8
1
23
32
Hallo zusammen,


ich verfolge das Proxmox Mail Gateway jetzt schon einige Zeit und bin sehr begeistert!
Derzeit läuft es bei mir privat in einer kleinen Testumgebung:
Firewall -> MailGateway -> Exchange 2019

Zu meinem Problem oder Frage:
Es existiert ja bereits die SMTP Empfängerprüfung, welche selbstständig über SMTP am Mail Server prüft ob es die E-Mail Adresse gibt.
Leider hat z.B, ein Exchange 2013/2016/2019 in der default Konfiguration am Frontend SMTP Connector für eingehende Mails erstmals keinerlei Empfänger Validierung... (Warum Microsoft dies für eine gute Idee hielt, kann ich leider beim besten Willen nicht nachvollziehen..)
Heißt somit im Endeffekt, dieser mimt fleißig erstmal jede E-Mail an, welcher für seine konfigurierte(n) Domain(s) bestimmt ist und schickt bei nicht vorhandenen E-Mail Adressen einen NDR "Postfach gibts nicht" zurück zum Absender.
Das hat in der Vergangenheit in größeren Umgebungen bereits zu viel NDR-Backscatter führt...
In vielen Proprietären E-Mail Gateway Lösungen (z.B. FortiMail / REDDOXX) gibt es eine sogenannte LDAP Empfängerüberprüfung gegen das Active Directory oder OpenLDAP etc..
Sozusagen nach der Logik "gibts die E-Mail im Verzeichnisdienst nicht, wird die Mail direkt vor Annahme auf SMTP abgelehnt."
Gibt es diese Funktionalität bereits und ich bin zu blöd diese zu finden, oder wird so etwas aktuell nicht supportet?

Ich freue mich auf Antworten =)

Viele Grüße
the_Uli

edit:
@Mod, sorry... hab es leider ins falsche Forum gepostet... könnte das bitte wer nach Proxmox MailGateway verschieben? Danke! =)
 
Last edited:
Meines Wissens muss Exchange nur entsprechend konfiguriert werden, dann geht die SMTP Prüfung wie bei jedem anderen SMTP server.
=> MS Support
 
Moin,

es gibt doch im PMG eine LDAP Empfänger Überprüfung unter User Management -> LDAP.

Vielleicht hast du die Übersehen?

Grüße

Gregor
 
@tom
Danke für die Info habe ich mal im Lab getestet und ja es funktioniert :) , ist aber ziemlich doof so...
Siehe hier Exchange Recipient Filter :(

@gregor
LDAP Connect habe ich eingerichtet (mit EMail Attribut Name: mail), kann mich auch E-Mail-Adresse an der Quarantäne Mailbox anmelden.
Jedoch berücksichtigt die Empfängerprüfung wohl keine Einträge aus dem LDAP?
Zukünftig sollte im LDAP sowieso das Feld "proxyAddresses" anstelle von "mail" abfragen, wenn dies jedoch eingerichtet ist funktioniert ein Quarantäne Login mit E-Mail-Adresse nicht mehr. :confused:
Die Einstellung "Konfiguration / Mail Proxy / Überprüfe Empfänger --> JA" ist aktiv. Testet aber am backend SMTP selbst nur via "RCPT TO:" ob es die Mailbox gibt.
Oder gibts da eine weitere Einstellung die ich bisher nicht gefunden habe?

Grüße
the_Uli
 
Die Einstellung "Konfiguration / Mail Proxy / Überprüfe Empfänger
die Einstellung testet tatsächlich auf smtp level (RCPT TO) - was normalerweise recht effizient ist und sinn macht. - Ich würde wirklich empfehlen dem Downstream Server (Exchange) beizubringen das richtig zu machen.

Eine alternative wäre sich die Postfix config anzupassen, damit er eine LDAP abfrage macht - In PMG wird das mit dem templating system integriert:
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#pmgconfig_template_engine

dazu wie Postfix sinnvoll ein AD abfragt sollte es Howtos im Netz geben.

Ich hoffe das hilft!
 
Hi the_Uli,

bei Exchange 2019 musst du als Zielport 2525 beim PMG eintragen, auf diesen Port hört der HubTransport der auch die Recipient-Filterung macht.
So haben wir es bei unseren PMG & Exchange 2019 gemacht.

Grüße Falconbase
 
Nur so als Hinweis: 2525 nutzt auch Outlook zum Versenden. Da du für PMG anonyme Zustellung aktivieren musst, würde ich auf die Bereichsdefinition des Connectors achten.
 
  • Like
Reactions: Stoiko Ivanov
Also bitte, Proxmox steht (hoffentlich) in der DMZ. LDAP freizuschalten könnte sicherheitskritisch sein.
Hallo,

die Proxmox stehen in der DMZ und die Ports sind geschlossen. Wenn sich im AD was ändert werden die Ports geöffnet und
die PMG User gesynct. Anschließend wieder geschlossen.

Die Lösung mit der 450/550 vom Exchange ist eleganter und werde ich mir mal zu gemühte führen.
Danke für den Tipp.

Beste Grüße

Der Ohly
 
Also bitte, Proxmox steht (hoffentlich) in der DMZ. LDAP freizuschalten könnte sicherheitskritisch sein. Der Exchange kann Verify Users 450/550 an Port 25, man muss die Funktion nur aktivieren:
https://nightwire-blog.de/microsoft-exchange-smtp-recipient-validation/
https://www.roaringpenguin.com/recipient-verification-exchange-2013

Man kann es auch ganz easy per Telnet testen, siehe 2. Link.
Die Links Funktionieren leider nicht

https://www.msxfaq.de/exchange/e2013/e2013recipientfilter.htm

"Das Problem bei diesem Verhalten ist natürlich, dass der sendende Mailserver nicht erkennen kann, welcher Empfänger aus der Liste nun ungültig ist und dass die komplette Mail "unzustellbar" ist. Der absendende Mailserver versucht es also nicht mehr erneut und der Absender bekommt die Information, dass alle Empfänger unerreichbar sind."

"Abhilfe
Nun ist es aber nicht so, dass Exchange es nicht könnte. Es ist nur der Frontend Service, der das per Default nicht macht. Der Backend Server aber kann schon entsprechend konfiguriert werden. Allerdings müssen Sie nun natürlich den Zugriff von extern am Frontend Server vorbei direkt auf den Backend Server leiten."

wären wir ja wieder bei dem Thema https://forum.proxmox.com/threads/ldap-empfängerüberprüfung-gegen-ad.65561/post-304804 was man ja eigentlich vermeiden will...

Ich suche immer noch eine einfache whitelist für Akzeptierte Empfänger...

grüße Malte
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!