unwissender1
Goto Top

E-Mails per IMAP abrufen hinter KEN-Proxy

Hallo zusammen!

Ausgangssituation:
Die ca. 15 User (Win XP mit Outlook 2007 / Outlook Express) bekommen ihre E-Mails per POP3 von einem lokalen Server in der Firma (Win XP Prof.) auf dem KEN! 4 läuft. Dieser Server holt die E-Mails beim Provider.
Dies hat in den vergangen Jahren nahezu problemlos geklappt und wir waren sehr zufrieden mit der Lösung – auch wenn es seit 2010 kein Support mehr seitens AVM gibt.

Ziel:
1-2 User möchten nun Zugriff auf ihre E-Mails von unterwegs aus haben (senden und empfangen). Die E-Mails sollen möglichst synchron sein. --> Umstellung auf IMAP wird angesagt sein.

Umsetzung:
KEN dürfte für die entsprechenden User die E-Mails nicht mehr abholen. Die Nachteile wenn man nicht über KEN geht lassen wir mal außen vor (Spamschutz, Virenschutz, Black- und Whitelist, E-Mail Größenbegrenzung beim Empfangen, …)

Stattdessen muss der User mit seinem Rechner am KEN-Proxy vorbei und die E-Mails nun per IMAP beim Provider abholen. Und genau da hapert es. Ich komme einfach nicht am KEN-Proxy vorbei.

Ein weiteres Endgerät (Laptop) kann von außerhalb des KEN-Netzwerks problemlos per IMAP auf die E-Mails zugreifen. Nur eben nicht innerhalb des KEN-Netzwerks.

Muss hier der Port 143 im KEN freigegeben werden?
Eine Router wird nicht eingesetzt.

Wie muss ich hier vorgehen, könnt ihr mir weiterhelfen?
Vielen Dank vorab.

Grüße
Thomas

Content-ID: 185848

Url: https://administrator.de/forum/e-mails-per-imap-abrufen-hinter-ken-proxy-185848.html

Ausgedruckt am: 23.12.2024 um 19:12 Uhr

aqui
aqui 03.06.2012 um 18:40:52 Uhr
Goto Top
Die Frage die sich stellt ist warum du nun eine Frickellösung angehst ? Warum installierst du dir nicht den kostenfreien hmail Server
http://www.hmailserver.com/
auf der Windows Maschine, holst damit deine Mails ab und stellst sie den Usern dann per POP oder IMAP nach Wahl zur Verfügung. Der hmail supportet beide Protokolle.
Das wäre dann wieder eine saubere zentrale Lösung als diesen Murks den du da jetzt verschlimmbessern willst.
Unwissender1
Unwissender1 03.06.2012 um 19:46:24 Uhr
Goto Top
Hallo aqui,

danke für die Info.

Es ist nicht so, dass KEN die E-Mail nur per POP3 verteilen kann. Auch per IMAP ist problemlos möglich. Aber eben nur innerhalb des KEN-Netzwerks. Es ist zu unterscheiden, ob ich mich im KEN-Netzwerk oder außerhalb befinde. Das ist das Problem!

Befinde ich mich innerhalb vom KEN-Netzwerk ist der Austausch der Mails per IMAP auch kein Problem.
Sobald ich jedoch außerhalb des KEN-Netzwerks bin (also unterwegs vom Laptop), kann ich nur mit dem Provider kommunizieren, nicht über KEN. Oder muss ich dann (per VPN?) eine Verbindung zum KEN aufbauen?
Daher wollte ich die 1-2 User vom KEN-Netzwerk ausschließen und die eben direkt mit dem Mailprovider kommunizieren lassen. Aber da blockt der KEN - aber warum??? Hat es was mit dem Port 143 (IMAP) zu tun?


Man sagte mir, dass es mit einem Exchange-Server (ca. 1.300 EUR für 15 User) funktionieren würde. Dazu benötigt man aber ein Server-Betriebssystem (ca. 800 EUR) und die benötigte Hardware (nochmal ca. 1.500 EUR). Alles in allem sicher die eleganteste und Beste Lösung. Aber für 1-2 User unseres Erachtens sehr kostspielig.

Gruß
Thomas
laster
laster 03.06.2012 aktualisiert um 20:07:15 Uhr
Goto Top
Hallo Thomas,

Eine Router wird nicht eingesetzt.
das ist wohl Dein Problem, dass des KEN-Server als Router fungiert.
Die Clients, die vom internen Netz per IMAP auf den Provider zugreifen sollen, müssen vom Proxy im KEN ignoriert werden.
Ein Exchange löst Dein Problem nicht, wohl aber ein Router vor dem KEN-Server.

Gruß
LS
Unwissender1
Unwissender1 03.06.2012 um 20:14:15 Uhr
Goto Top
Zitat von @laster:
Die Clients, die vom internen Netz per IMAP auf den Provider zugreifen sollen, müssen vom Proxy im KEN ignoriert werden.


Wenn ich es richtig verstanden habe, ist also KEN das Problem. Er blockt den Port 143. Dieser ist für den Empfang von E-Mails verantwortlich. Das Versenden geht wie bei POP3 per SMTP über den Port 25, wie bei POP3 - das sollte dann funktionieren.

Gut, aber warum dann ein Router? Könnte man nicht einfach den Port 143 im KEN freigeben?
Ob ein Router hierfür besser geeignet wäre stelle ich zunächst mal hinten an.
laster
laster 03.06.2012 um 20:28:35 Uhr
Goto Top
Hallo,

Du kannst auf dem KEN auch IMAP deaktivieren, dann 'fängt' er die Anfragen nicht selbst ab (denke ich, da ich den KEN nicht so gut kenne).
Gut, aber warum dann ein Router?
Damit ist das Standardgateway nicht mit dem KEN identisch und er bleibt unbehelligt, wenn ein Client per IMAP ins Internet geht...

Gruß
LS
Looser27
Looser27 04.06.2012 um 08:34:31 Uhr
Goto Top
...und dann noch per VPN mit dem hmailserver verbinden und Du hast von überall Zugriff auf die gesamten Mails.
aqui
aqui 04.06.2012 aktualisiert um 11:53:10 Uhr
Goto Top
Der KEN arbeitet als Proxy, das ist das Problem. Er lässt von aussen keinen IMAP Zugriff zu.
Du musst in der Tat nur schlicht und einfach IMAP per Port Weiterleitung zulassen für den Zugriff von außen.
Allerdings ist das dann wie immer bei simplem Port Forwarding ein erhebliches Sicherheitsrisiko, da Emails damit unverschlüsselt übertragen werden !
Wenn du das willst oder das kein Thema für dich ist ist das die einfachste Lösung ohne großen Aufwand sofern die KEN Konfig ein Port Forwarding überhaupt zulässt ?!

Besser ist es in jedem Falle einen VPN Router oder kleine_Firewall in das Netzwerk zu integrieren wie z.B. einen Draytek, dort ein VPN Dialin auf PPTP Basis zu installieren und die Clients sich via VPN einwählen zu lassen.
Der Draytek supportet PPTP was alle gängigen betriebssysteme und Smartphones per Default an Bord haben.
Den KEN kannst du dann auch zentral über den Router nach draussen kommunizieren lassen.
Das ist letztlich das sinnvollste Szenario.
Langfristig ist es dann auch so einfacher den KEN z.B. durch den hmail Server zu ersetzen.
Für die Zukunft ist das dann das allerbeste.
goscho
goscho 05.06.2012 aktualisiert um 14:16:28 Uhr
Goto Top
Mahlzeit,

@aqui,
ich habe den TO (Thomas) anders verstanden:

Er möchte für diese beiden User im Mailprogramm einstellen, dass diese die Mails direkt beim E-Mail-Provider per IMAP abholen und nicht mehr vom lokalen KEN.
Zusätzliche sollen diese auch außerhalb des Netzwerkes (bestimmt von mobilen Geräten) die Mails abholen.
Damit soll quasi KEN diese beiden Benutzer und deren Mails ignorieren.

Eigentlich ist es überhaupt kein Problem, das zu konfigurieren.
Dafür ist auch keine Portweiterleitung im KEN nötig, denn der Zugriff erfolgt nicht von außen, sondern von innen.
Dafür müsste allenfalls im Proxy erlaubt werden, dass Dienste (IMAP mit passendem Port) zum betreffenden Server (bspw. imap.provider.com) erlaubt ist.

Ich hätte als vorübergehende Lösung einen besseren Vorschlag:
Lass die Einstellungen in KEN auch bei diesen beiden Benutzern (Mails werden von KEN abgeholt) und stelle dort ein, dass die Kopien dieses Mails im Internet belassen werden (KEN-Benutzer -> Weiterleitung). Dann aber nicht vergessen, ein Datum zum Löschen älterer Mails einzutragen, sonst platzt das Postfach der User irgendwann.

BTW: Es wäre zumeist von enormen Vorteil, die Mails vom internen KEN per IMAP abzuholen.

Für die Zukunft sollte sich der TO tatsächlich mit einer Alternative beschäftigen.
Vor allem auch, weil der günstige und sehr praktische Viren- und Spamschutz von KEN (Antivir für KEN) ab sofort nicht mehr verlängert werden kann.
Unwissender1
Unwissender1 05.06.2012 um 18:46:35 Uhr
Goto Top
Zitat von @goscho:
@aqui,
ich habe den TO (Thomas) anders verstanden:

Er möchte für diese beiden User im Mailprogramm einstellen, dass diese die Mails direkt beim E-Mail-Provider per IMAP abholen und nicht mehr vom lokalen KEN.

Das war die Idee, ist jedoch eine Frickellösung. Da gebe ich aqui absolut recht!


@goscho:
Den entsprechenden IMAP-Port 143 im KEN nach außen freizugeben wäre zunächst ein 1. Schritt und bereits sehr hilfreich! Das hatte ich auch versucht, aber KEN sagte mir so ungefähr:
"Der Port 143 wird bereits von einem anderen Dienst verwendet. Ich kann daher den Port nicht für imap.provider.com freigeben/verwenden."

Außerdem frage ich mich, was ich dann im Outlook eintrage. Denn wenn ich mich innerhalb den Firmennetzes befinde, steht als Postein- und Ausgangsserver die IP des Kommunikations-/KEN-Servers drin. Wäre ich außerhalb, dann müsste ich die externe feste IP vom Provider eintragen (die wir nicht haben, müssten wir beantragen oder DynDNS).
Wie geht das?


Aber wenn ich nur ein paar Wochen weiterdenke, dann will der 1 User bestimmt auch Zugriff auf Freigaben unseres Netzlaufwerks und außerdem Zugriff auf die Warenwirtschaft. Das hat er bereits angedeutet.
So wie ich euch verstanden habe, muss ich dazu ein VPN aufbauen. Hätte ich dies geschafft mittels eines Routers der VPN kann, könnte man sich auch die E-Mails vom KEN abholen und nicht aus dem Internet - natürlich dann mit den Vorteilen wie Virenschutz und Spamschutz durch KEN.

Alles in allem doch die Beste Lösung, oder? Und kostet nicht mehrere tausend Euro für Exchange, sondern eben einen Router und die Einrichtung. Sehe ich das richtig?

Stellt sich nur die Frage, ob das tatsächlich so zuverlässig funktioniert, wie ich mir das vorstelle. Habe leider keinerlei Erfahrung mit VPN. Und geht es von jedem Land aus (z.B. China)?

Vielen Dank für Eure Hilfe!

Gruß
Thomas
aqui
aqui 05.06.2012 um 22:42:54 Uhr
Goto Top
Ja, das hast du richtig verstanden und funktioniert so problemlos. Mit einem Mikrotik Router 750 kannst du einen PPTP VPN Router für 40 Euro realisieren. Draytek Router bieten auch PPTP VPN Zugriff der übers Setup mit ein paar Mausklicks eingerichtet ist.
VPNs einrichten mit PPTP
Unwissender1
Unwissender1 22.06.2012 um 21:22:49 Uhr
Goto Top
Hallo,

dass ich mich erst jetzt melde hat den Hintergrund, dass ich mir ein Angebot unserer externen IT-Betreuung eingeholt habe. Es wäre nett, wenn ihr dazu mal Eure Meinung abgebt. Es wird folgendes angeboten:


1. Securepoint UTM-Gateway RC100 mit 160 GB - 800 EUR
1.1 Spam- und Virenschutz für 20 User (1 Jahr) - 600 EUR

positiv: Spam- und Virenschutz ingegriert, da bei KEN nicht mehr verlängerbar
positiv: Alle E-Mail-Konten müssen neu eingerichtet werden, da der Router ein Ersatz für KEN ist
negativ: E-Mails liegen auf dem Router, was eine Datensicherung auf einen anderen Server sicher schwierig macht
sehr neg.: KEN-Kalender kann nicht mehr verwendet werden


2. Lancom VPN-Router aus der Serie 17xx - 450 EUR
2.1 2 VPN-User-Lizenzen - 160 EUR

positiv: Da der KEN bleibt, kann der öffentliche Kalender weiterverwendet werden
positiv: Dasi würde weiterhin per Batchjob nachts mit Acronis auf einen 2. Server durchgeführt werden können
positiv: ca. 300 EUR günstiger als 1.
egal: Spam- und Virenschutz muss bis Ende des Jahres extern separat gelöst werden. Externe Lösung möglich.


Die Einrichtung schlägt inkl. Anfahrt (30 km hin + 30 km zurück) und Arbeitszeit (2 Std.) mit rund 400 EUR zu Buche. Ggf. lassen sich die Router vorkonfigurieren und man kann den Rest per Fernwartung umsetzen.


Was haltet ihr von den vorgeschlagenen Varianten?
Ich tendiere zu Variante 2.

Vielen Dank für Eure Unterstützung in der für mich doch schwierigen Situation.

Grüße
Thomas
aqui
aqui 23.06.2012 aktualisiert um 10:15:30 Uhr
Goto Top
Variante 3:
Wie Variante 2 aber statt Lancom einen Draytek oder Mikrotik 750 Router mit PPTP VPN Server ca. 45 Euro oder Monowall / pfSense Firewall mit PPTP oder IPsec VPN ca. 150 Euro.
Kosten für VPN Clients oder Lizenzen fallen nicht an, da diese in jedem aktuellen Betriebssystem und allen Smartphones schon mit an Bord sind !
Das hat alle Vorteile der Lösung 2 die auch du ja zu Recht favorisierst.
Warum man sich für so eine lächerliche Anforderung ein so aufwendiges Angebot und Eierei machen muss bleibt schleierhaft.
Das ist eine lächerliche Standard Anforderung die mit den o.a. Komponenten schnell, performant und ohne große Kosten in 20 Minuten umzusetzen ist !
So sieht doch die Realität aus.
Mikrotik RB750 - Quick Review
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Unwissender1
Unwissender1 08.07.2012 um 11:33:29 Uhr
Goto Top
Hallo,

auf Grund des fehlenden Fachwissens haben wir uns nun für die Variante 2 entschieden. Die Umsetzung erfolgt in den nächsten Tagen. Bin gespannt, ob alles wie gewünscht funktioniert - ist auch für mich Neuland.

Vielen Dank Euch für die Hilfe und Beratung!

Grüße
Thomas