Der Exchange verbietet in der Grundkonfiguration das Versenden von Mails durch anonyme Benutzer. Damit Exchange diese Funktion gewährt, muss ein Empfangsconnector (Receive Connector) entsprechend erstellt und konfiguriert werden. Doch warum sollte man anonymen Benutzern das Recht einräumen, einen Exchange Server als Relay zu verwenden?
An einem Beispiel wird es deutlich. Eine Applikation, bspw. eine Monitoring Tool, bietet die Funktion an, einem Benutzer oder einer Benutzergruppe Mails zu senden, wenn ein bestimmtes Ereignis eintritt. Aber dieses Programm unterstützt die Authentifizierung am Mailserver nicht. Dieses Szenario tritt meist bei einfachen Programmen auf. Es übermittelt dem Exchange Server die Mail, dieser muss entsprechend konfiguriert sein, dass er Mails von diesem System auch anonym entgegen nimmt. Andernfalls reagiert er sehr pragmatisch mit dem Fehler 550 5.7.1 Unable to relay.
Welcher Webmaster kennt das nicht? Für eine verschlüsselte Verbindung wird ein Zertifikat benötigt. Gerade im privaten Bereich sind diese horrend teuren Schlüssel (meist US$ 299,- aufwärts pro Jahr) jedoch kaum bezahlbar. Wirklich kostenlose Zertifikate können nur durch eine eigene PKI oder mittels selbsterstellten Versionen, sogenannte self-signed Certificates, realisiert werden. Nachteil dieser Zertifikate ist, dass sie eine Warnung im Browser verursachen. Bei Firefox kommt erst gar keine Verbindung zustande kommt, wenn man nicht umständlich die Seite freischaltet. Das sorgt für Verwirrung und Frust.
Um in einer Microsoft PKI-Umgebung die Gültigkeit des Zertifikats der untergeordneten Zertifizierungsstelle (Subordinate Certificate Authority, kurz Sub CA) zu ändern, unterstützt das Tool certutil. Es ist auf jedem Windows Server-Betriebssytem vorinstalliert. 