Kombinieren des SMTP Exit Moduls mit einem lokalen SMTP-Server für erhöhte Ausfallsicherheit

Folgendes Szenario angenommen:

  • Die Zertifizierungsstelle ist nur Nutzung des SMTP Exit Moduls konfiguriert, um E-Mail-Benachrichtigungen über die Ereignisse auf der Zertifizierungsstelle zu versenden.
  • Der konfigurierte SMTP-Server ist nicht immer zuverlässig erreichbar, beispielsweise da er nicht hochverfügbar ausgelegt ist.
  • Bei einem Ausfall des SMTP-Servers wird die Zertifizierungsstelle nur noch sehr langsam arbeiten, da die E-Mail-Benachrichtigungen nicht zugestellt werden können. Unter Umständen wird der Zertifizierungsstellen-Dienst nicht mehr starten.

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden.

Das zugrundeliegende Problem ist, dass die E-Mail-Benachrichtigungsfunktion der Zertifizierungsstelle keine Funktionen besitzt, um einen Ausfall des SMTP-Servers zu kompensieren.

Dieses Problem kann durch die Installation eines lokalen SMTP-Servers auf der Zertifizierungsstelle umgangen werden. Der lokale SMTP-Server nimmt die E-Mails der Zertifizierungsstelle entgegen und speichert sie zwischen, wenn der SMTP-Server im Netzwerk nicht erreichbar ist.

Achtung: Diese Option bringt auch einige Nachteile mit sich – der SMTP-Server von Windows Server 2019 ist eine sehr, sehr alte IIS 6.0 Komponente, und als Abhängigkeit wird auch immer ein Webserver mit installiert, was auf einer Zertifizierungsstelle aufgrund der erhöhten Angriffsfläche nicht empfohlen wird. Eine bessere Lösung wäre die Implementierung einer zentralen Datenbank für die Auswertung der Ereignisprotokolle (beispielsweise Microsoft Azure Log Analytics), und eine Einrichtung der E-Mail Benachrichtigung an dieser Stelle.

Die SMTP-Server Rolle kann mit folgendem Windows PowerShell Befehl installiert werden:

Add-WindowsFeature SMTP-Server -IncludeManagementTools

Administriert wird der SMTP-Server mit dem IIS 6.0 Manager.

Per Rechtsklick auf den Standardeintrag und anschließendem Klick auf Eigenschaften wird die Konfiguration geöffnet.

Es muss definiert werden, welche Hosts über diesen SMTP-Server E-Mails verschicken dürfen. Das sollte nur der Host selbst sein. Im Karteireiter Access finden sich die Einstellungen bei den Relay restrictions.

Der SMTP-Server kann leider nicht auf die lokale Loopback-Adresse 127.0.0.1 gebunden werden, sondern nur auf entweder alle IP-Adressen oder bestimmte IP-Adressen, die auf einer Netzwerkkarte anliegen. Aufgrund der zuvor beschriebenen Einschränkungen sollte unbedingt sichergestellt werden, dass die lokale Firewall keine Verbindungen zu den Ports 25 (SMTP) und 80 (HTTP) zulässt.

Bei den Relay restrictions wird eingestellt, dass nur der lokale Host (eingetragen werden muss die IP-Adresse der Netzwerkkarte, nicht die Loopback-Adresse) E-Mails versenden darf.

Die Freigabe nach Authentifizierung wird abgeschaltet.

Damit die Weiterleitung an das interne Mail-Gateway funktioniert, muss ein Mail Exchanger (MX) Record im internen DNS für die Empfänger-Domäne konfiguriert sein, da man im IIS SMTP Server keine Weiterleitungsregeln definieren kann.

Nun kann das SMTP Exit Modul der Zertifizierungsstelle konfiguriert werden, die E-Mail Benachrichtigungen an den lokal installierten SMTP-Server zu versenden.

certutil -setreg exit\smtp\SMTPServer {Ip-Adresse-der-Zertifizierungsstelle}

Damit die Änderungen wirksam werden, muss der Zertifizierungsstellen-Dienst neu gestartet werden.

Die Warteschlange (Queue) des lokalen SMTP Servers befindet sich unter C:\inetpub\mailroot\Queue und kann dort eingesehen werden.

2 Gedanken zu „Kombinieren des SMTP Exit Moduls mit einem lokalen SMTP-Server für erhöhte Ausfallsicherheit“

Kommentare sind geschlossen.

de_DEDeutsch