[English]Heute mal wieder ein Beitrag zu einem Problem, welches durch einen Administrator an mich herangetragen wurde. Auf einem Windows Server 2022 wird das "SMTP Server"-Feature bei jeder Update-Installation deinstalliert. Das ist inzwischen das zweite Mal um Umfeld des Patchday passiert. Für mich stellt es sich nach einer Recherche so dar, dass Microsoft die Rolle per Update entfernt und in Windows Server 2025 entfallen lässt. Ergänzung: Gemäß Leserkommentar wurde das Feature bereits in Windows Server 2012 abgekündigt.
Anzeige
Das SMTP Server-Feature
Beim SMTP Server-Feature handelt es sich um eine Rolle, die unter Windows Server für die IIS installiert werden kann. Eine Anleitung, um den SMTP Server-Dienst unter Windows Server 2019 einzurichten, findet sich in diesem Beitrag. Allerdings scheint das bei Windows Server 2022 ein Problem zu sein – ich habe den Beitrag IIS SMTP Windows Server 2022 gefunden, wo es heißt: "Microsoft mag seinen IIS und nachgelagerte Dinge nicht so richtig. Wir sollen doch in die Cloud." Dort geht darum, dass sich der Mail Service nach einem Windows Update, entweder bei Aufruf der MMC oder nach einigen versendeten Emails, beendet. Im Beitrag wird dieser Bug analysiert.
"SMTP Server"-Feature ist nach Update weg
Ein Blog-Leser hat mich per E-Mail kontaktiert, weil er in Probleme mit dem "SMTP Server"-Feature hat. Das Szenario: Es wird ein Windows Server 2022 Standard als Basis eingesetzt. Auf diesem Server als Basis läuft ein Internet Information Services (IIS), der als Rolle installiert ist.
Für das Weiterleiten von internen Mails verwenden die Administratoren das "SMTP Server"-Feature auf dem jeweiligen Server. Bisher lief dieser Dienst unter Windows Server 2019. Vor einiger Zeit hat man das "SMTP Server"-Feature von Windows Server 2019 auf Windows Server 2022 umgezogen. So weit so gut, der Ansatz funktioniert auch – das ist nicht das Problem.
Aber der Blog-Leser und Administrator hat nun ein fettes Problem, was er jetzt schon zwei Monate beobachte. Nach dem Patchday 04/2024 war plötzlich das "SMTP Server"-Feature, dass im IIS integriert ist, nicht mehr installiert. Aber Mails wurden noch weitergeleitet.
Anzeige
Ich nehme mal an, dass der betreffende Dienst noch vorhanden war und lief, aber die betreffende Rolle für das "SMTP Server"-Feature nicht mehr als installiert angezeigt wurde.
Etwas überrascht hat der Leser das Feature dann wieder installiert und stellte fest, dass die Konfiguration auch noch vorhanden war. Nach dem aktuellen Patchday 05/2024 ist genau das Gleiche wieder passiert – das Feature war nicht mehr installiert aber der SMTP-Dienst funktioniert noch.
Noch ein Eintrag im Web
Der Leser fragte, ob ich etwas von diesem Problem mitbekommen habe, was ich verneinen musste. Der Leser verwies mich noch auf den Reddit-Beitrag SMTP Server & Windows Server 2022 = supported? or end of support? wo jemand folgendes gepostet hat.
Is SMTP Server still supported by Microsoft? I keep reading that it isn't, and yet it's a feature that can be installed on Windows Server 2022. If it's not supported, why would it be an installable feature in the latest OS version?
This is where I read it wasn't supported: Configure SMTP E-Mail in IIS 7 and higher | Microsoft Learn. It says "the IIS SMTP Virtual Server Component that is mentioned in this article is part of IIS 6.0, the support for which has ended with the support of Windows Server 2003. To relay emails to Exchange OnPrem and/or Office 365, use one of the supported versions of Exchange Server, as we no longer support doing so with IIS SMTP. "
Dort wird angemerkt, dass Microsoft irgendwie den Support eingestellt habe, was aber nur um drei Ecken herauszufinden ist. Im reddit.com-Thread findet sich mehrfach die Information, dass das Einrichten des SMTP-Dienst eine Menge Arbeit erfordere – die Ansätze sind auch beschrieben. Sieht so aus, als ob man den alten Code aus Windows Server 2019 noch unter Windows Server 2022 übernommen hat, das Zeugs aber nicht wirklich pflegt. Der reddit.com Thread endet mit folgendem Post, der einen Monat alt ist:
Just a heads up, the latest security update for Windows Server 2022 automatically removes the "SMTP Server" feature from your system, if you had it enabled/installed.
At least the Simple Mail Transport Protocol service is left behind, so the server will still send emails. But the IIS6 GUI and management tools are gone.
Es wird also die Beobachtung des Blog-Lesers bestätigt, das Update entfernt die Rolle, belässt aber den Dienst. Wenn ich mir aber den reddit.com-Thread so durchlese, bin ich nicht sehr optimistisch, dass das Ganze noch stabil zu bekommen ist. Möglicherweise läuft es darauf hinaus, die Rolle nach jedem Patchday erneut zu installieren, wenn man die IIS6 GUI und die Management-Tools noch nutzen muss. Im reddit.com-Thread ist noch ein zweiter Beitrag Running a local SMTP server on Windows 2022 verlinkt, der die Einrichtung beschreibt.
In Windows Server 2025 abgekündigt
Der Leser schrieb: "Ansonsten finde ich keinen Eintrag, dass Microsoft das Feature beim Server 2022 abgekündigt hat. Beim neuen Server 2025 (Preview) steht das Feature als "removed": Das lässt sich im Microsoft-Beitrag Features removed or no longer developed starting with Windows Server 2025 (preview) nachlesen." Diesem Microsoft Learn-Beitrag nach soll das Feature aber erst ab dieser Server-Version aus dem Support fallen.
Abschließend fragte der Leser, ob ich Informationen hätte, wie er den SMTP-Dienst wieder "stabil bekommt"? Auch da musste ich passen, gebe die Frage und die obige Beschreibung mal an die Leserschaft weiter. Vielleicht kennt jemand eine Lösung oder eine Fundstelle aus dem Microsoft-Kosmos, die Licht ins Dunkel bringt.
Anzeige
Kein Wunder, das der Leser keinen Hinweis bei Server 2022 gefunden hat, das das Feature bei Server 2022 abgekündigt ist, denn es wurde schon vor Urzeiten bei Server 2012 abgekündigt!
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831568(v=ws.11)#smtp
Microsoft hat es seit dem nicht mehr weiterentwickelt und bei den späteren Serverversionen bis Server 2022 nur noch mitgeschleppt.
Bei Windows 2025 zieht Microsoft dann endgültig den Stecker.
Man hätte sich also schon vor Jahren um eine alternative Lösung umsehen können, das Ende war ja seit Jahren vorhersehbar, auch wenn Microsoft sich damit sehr sehr viel Zeit gelassen hat.
und was ist die Alternative Lösung?
(Es wurde hier ja gerade darüber geklagt, das MS Produkte gebasht werden, aber niemand nennt Alternativen.)
(eine Linux VM mit Postfix ist natürlich keine Alternative, so ist die Frage nicht gemeint, sondern ernsthaft.)
z.B. Mailpit.
Ich kann nicht erkennen, dass man dieses Tool unter Windows als Dienst laufen lassen kann. Es gibt zwar eine Exe aber das wars auch schon. alles andere erfordert Klimmzüge wie Docker. Also nur was für Bastler und Tester und nicht für Produktiv-Systeme. Oder gibts in Sachen Windows Dienste irgendwo eine Anleitung, die ich übersehe?
das "Tool" kann mindestens seit Windows Server 2000 als Dienst verwendet werden. Eine "Anleitung" ist hier zu finden: https://theitbros.com/how-to-set-up-iis-smtp-server/
Alternative gibt's ne Menge, z.B. hmailserver
Offenbar, denn das Tool "sc.exe" ist dein Freund.
https://learn.microsoft.com/de-de/windows-server/administration/windows-commands/sc-create
…gibt's auch mit GUI als Freeware: NSSM – The Nonsucking Service Manager.
URL:
nssm. cc
Alternative: https://www.lanmailserver.de/
Oder https://www.hmailserver.com/
Wobei die Gründe, einen einfachen SMTP-Server (falls ein komplexer gewünscht wird, kann man auch zu Exchange greifen) eher dünn gesät sein dürften.
Eine unsichere Software, die heute noch SHA1 etc. verwendet, kann man nicht wirklich mit gutem Gewissen empfehlen.
So etwas sollte schon aktuellen Sicherheitsanforderungen entsprechen.
Also kein SHA1, sondern mindestens SHA256, etc.
Die Entwicklung des hMailServer wurde schon im Januar 2022 eingestellt, sh. https://www.hmailserver.com/state. Die Software benutze ich aber auch noch ganz gerne als POP3-Abruf für Exchange.
Das scheint mir ein kostenpflichtiger (Lizenz) Mailserver und für den Zweck etwas überdimensioniert zu sein. Der Windows SMTP Dienst ist klein und handlich und ich habe den schon öfters gebraucht um z.b. HP iLOs oder IPMIs dazu zu bringen ihre Mails auch loszuwerden wenn sie mal wieder keine vernünftige Authentifizierung beherrschen (ältere Server von HP oder Supermicro). Die Dinger können oft nur Port 25 Plain ohne alles und damit kommt man aktuell an keinen Provider ran. Der Dienst als Relay löst diese Probleme recht einfach (nein, er ist nicht von außen erreichbar)
Aber das kann doch in jedem Mailserver für bestimmte IP-Adressen zugelassen werden. Dann hat man ja auch noch eine recht gute Protokollierung.
In Exchange OnPremises kann man einen Empfangsconnector dafür einrichten. Exchange Online genauso.
Ansonsten kann ich das Proxmox Mailgateway empfehlen. Ist zwar keine Popel-Serverdienst, aber braucht auch nicht viel Ressourcen und die VM ist ruckzuck online.
Einfach den hMailserver installieren, und glücklich sein.
Verwenden wir bei vielen Kunden als Office 365 Relay.
Schönes Wochenende,
Bastian
Von der hMailServer Webseite:
hMailServer is no longer being actively developed.
The latest major version was released several years ago and since then only critical updates have been released. hMailServer relies on algorithms which are considered insecure by modern standards, such as SHA1. For that reason, it's recommended that you migrate to an alternative software or service.
Hier Windows Server 2022 Datacenter fully patched, lässt sich weiterhin Problemlos mit dem IIS-6.0 Manager verwalten. Wir haben 7 Virtuelle SMTPs konfiguriert und relayen von internen Geräten mit IP-Einschränkungen in richtung O365..
https://www.itatbusiness.de/produkt/itb-smtp-via-graphapi/
Läuft bei uns sehr gut :)
Wir haben auch noch Windows-SMTP unter 2019 laufen. Unter 2022 hat das schon nicht mehr richtig funktioniert. Alternative Lösungen sind hier zu finden https://administrator.de/forum/alternative-zu-iis-smtp-relay-1118473719.html
Wir werden dann wohl auch in der nächsten Zeit umstellen müssen.
Danke für den Tip.
Den zweiten Link aus der Liste (http://emailrelay.sourceforge.net/) habe ich mir mal notiert – falls man es mal braucht!
Das Problem beim hMailServer: "hMailServer is no longer being actively developed." und die Letze Fassung ist 3 Jahre alt. Was jetzt nicht unbedingt als Auschlußkriterium gilt, man aber beachten sollte.
hMail ist hier eine zuverlässige Alternative
https://www.hmailserver.com
Den nutze ich als Frontend vor Exchange. Funktioniert unauffällig und macht seinen Job.
Danke.
Also kein KISS seitens Microsoft, sondern der Exchange Moloch oder third party und evtl. weitere Lizenzen und Wartung.
Man muss jetzt ja auch für das Produkt die Updates beachten und einspielen.
Das ist "Security made by Microsoft"?
Wenn ich dem Link -learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/hh831568(v=ws.11)- folge finde ich einen Artikel ohne Datum der was von Features deprecated oder removed erzählt.
Verstehe ich das richtig das MS Features nachträglich entfernt(sofern ich Calls zu MS zulasse) bei einer Software die ich mit Perpetual Lizenz betreibe?
Nein.
Lt. dem Link werden Sachen nur bei einer neuen Version entfernt, also z.B. Features aus Serv er 2008R2 wurden in Server 2012 entfernt.
etc.
Und deprecated heißt, das das Feature abgekündigt ist, und in einer zukünftigen Windows-Version entfernt werden kann.
Der SMTP-Server hätte also theoretisch schon bei Windows Server 2012R2 oder 2016 entfernt werden können.
Microsoft hat den aber bis Server 2022 mitgeschleppt.
Als nicht ganz so bekannte Alternative: https://www.inveigle.net/cmail
ist zwar ein CMD Mailer, man kann aber via Scheduled Task oder einen eigenen Service damit bauen. Der Funktionsumfang ist enorm und erfüllt seinen Zweck.
Ich nutze seit langem: https://emailrelay.sourceforge.net/
Keine Raketen-Wissenschaft.
Schickt auch Ereignisse ans Eventlog in Windows.
Ich kann auch den bereits erwähnten https://emailrelay.sourceforge.net/ empfehlen. Wir setze den seit mehreren Jahren (8+) als SMTP Realy ein (Windows/Linux) und das Programm wird stetig weiterentwickelt. Zudem arbeitet es absolut zuverlässig, auch wenn mal ein paar Tausend Mails in der Queue stehen.
Per Scripte lässt sich die Verarbeitung sehr umfangreich beeinflussen und die Mails recht einfach manipulieren, falls gewünscht.
Hallo zusammen
Ich kann bestätigen, dass nach der Installation von Windows Updates auf dem betreffenden Windows 2022 Server die Verwaltung des SMTP Dienstes (IIS6 GUI) jeweils nicht mehr vorhanden ist. Die Mails werden dennoch weiterhin korrekt verarbeitet, aber Konfigurationsanpassungen sind erst wieder möglich, wenn das "SMTP" Feature erneut installiert wird. Das Ganze läuft dann solange, bis das nächste Cumulative Windows Update das SMTP-Feature erneut deinstalliert.
Das Microsoft den "SMTP" Dienst nicht mehr pflegt und seit 2003 nicht weiter entwickelt ist kein Geheimnis und kann auch daran erkannt werden, dass immer noch die "IIS 6 Verwaltung" für die Einstellungen dieses Dienstes notwendig sind. Ein weiterer Indikator ist sicher auch, dass der SMTP Dienst kein "Opportunistic TLS" unterstützt. Da diese Funktion heute eigentlich alle Mailserver unterstützen, kann man sich mit dem kostenpflichtigen Tool (https://www.emailarchitect.net/eatls/kb/iis_smtp_opportunistic_tls.aspx) behelfen um dennoch einigermassen auf dem technischen Stand der Dinge zu sein.
Der alternative hMailserver ist um einiges moderner und ich habe damit als "SMTP Gateway" (z.B. in Verbindung mit der Open Source Lösung ASSP) nur gute Erfahrungen gemacht. Ein Grund, weshalb z.B. dennoch der Microsoft SMTP Dienst noch Verwendung findet liegt daran, dass z.B. "GFI Mailessentials" diesen Dienst in einem "SMTP Gateway" Scenario voraussetzt. Wir schätzen, dass mittels dem GFI Mailsecurity Produkt OnPrem mehrere AV Scanner jedes Mail prüfen. Auf jeden Fall wäre es wünschenswert, wenn GFI eine freie Wahl des SMTP Dienstes im Produkt "GFI Mailessentials" implementieren würde. Allerdings scheint eine solche Anpassung bei GFI nicht geplant zu sein. Schade, da dies meiner Meinung nach ansonsten ein tolles Produkt ist.
Sicher gibt es auch noch zahlreiche andere Lösungsansätze :-)
Lieber Gruss an alle
Marco
hMailserver.
Laut https://www.hmailserver.com/forum/viewtopic.php?t=40568 wird Sha1 für nix mehr als default eingesetzt, als Relay sehe ich hier jetzt auch keine Probleme. Werden den für Server 2025 wohl einsetzen, rennt in der Versuchsumgebung einwandfrei.
Anstatt das Feature abzukündigen und Usern "nahezulegen" sie mögen doch bitte einen Dienst mit Modern-Auth zu nutzen, könnten sie ja so einen verfluchten Dienst mit Server 2025 mitliefern? Nicht, Microsoft?