Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange Mailinfrastruktur für 100 Mailboxen

Mitglied: staybb

staybb (Level 2) - Jetzt verbinden

23.04.2017 um 21:25 Uhr, 1257 Aufrufe, 13 Kommentare

Hallo zusammen,

momenten haben wir folgende Mailkonstellation im Einsatz für ca. 100 Mailbenutzer mit einem Mailaufkommen von ca. 500 am Tag:

Im lokalen LAN Exchange 2010 Server auf einer Windows Server 2008R2 Umgebung. Dort sind alle Mailboxen für die User angelegt und es wird auch viel mit öffentlichen Ordnern/Mailversand gearbeitet.

Der Exchange empfängt eMails aus dem Internet via einem POPCon Connector. Er holt eMails von einem Postfix Server ab, welcher ein Sammelpostfach für alle Mailadressen hat.
Alle 5min werden die Mails von dem Sammelpostfach aus dem Internet abgerufen und an die Exchange Mailboxen verteilt.

Zum Versenden wird ein Sendeconnector benutzt, welcher über einen Smarthost die Mails vom Exchange versendet. Dies ist auch wieder ein Postfix server, welcher auch im Internet steht. (Nicht der selbe wie incoming mails).

Da die Postfix Server auf zwei verschiedenen Hostern momentan laufen und sehr teuer sind, soll ein Umzug erfolgen bzw. ein komplett neues Mailinfrastrukturkonzept. Der Exchange bleibt wie bisher im Einsatz.

Nun zu meinen Fragen:

Wie würdet ihr die Umgebung gestalten was das Empfangen und Versenden der Mails betrifft. Leider steht kein Budget für eine kostenbasierten Lösung zur Verfügung.

Meine Vorschläge für die neue Infrastruktur:

Plan A: Der Exchange soll Mails direkt empfangen und auch direkt versenden ohne externen Smarthost. Dazwischen steht lediglich ein SMTP-Proxy für Spam und Virenprüfung (z.B. die OpenSource Lösung: Scrollout F1).
Macht diese Lösung Sinn? Kann der SMTP-Proxy auch im eigenen LAN stehen, oder sollte dieser im Internet gehostet sein?
Ich habe gelesen das man von so einer Lösung dass der Exchange direkt versendet und empfängt eher abrät, da man schnell in die Gefahr läuft geblacklistet zu werden und es nicht so einfach zu konfigurieren wäre.

Plan B: Wieder einen eigenen Postfix Server betreiben im WWW der für den Empfang- und Versand der Mails dienen soll. Da wir leider nicht soviel Postfix Knowhow haben und der Vorgänger diesen betreut hatte, würden wir gerne von dieser Lösung weg. Gäbe es eine Alternative?

Plan C: Besteht die Möglichkeit bei einem großen Hoster im Internet einen Mailserver für den Empfang und Versand oder evtl. nur Versand als Smarthost zu mieten für 100 User?
Ich habe zb. bei Strato geschaut. Muss ich dort 100 Mailboxen für den Mailserver angeben, die dort betreut werden sollen oder was benötige ich wenn ich den Server von Strato nur als Mailversandserver nutzen möchte?

Was würdet ihr empfehlen für die oben genannte Infrastruktur um möglichst geringen Administrationsaufwand zu haben und keiner Gefahr einzugehen geblacklistet zu werden oder virenversuchte Inhalte in das LAN zu bekommen?

Danke und Grüsse
staybb
Mitglied: transocean
23.04.2017 um 21:33 Uhr
Moin,

Plan A wäre mit einer statischen öffentlichen IP die bessere Wahl.

Gruß

Uwe
Bitte warten ..
Mitglied: wiesi200
23.04.2017 um 21:42 Uhr
Hallo,

hab ihr eine Feste IP? Dann nen MX eintrag setzten und den POPConnector in Rente schicken.
Wenn man es richtig macht gibt's auch keine Probleme mit Blacklists.
Bitte warten ..
Mitglied: staybb
23.04.2017 um 22:07 Uhr
ja wir haben eine statische IP. Insgesamt 3 WAN Standleitungen. Eine davon hat eine statische IP.

Also dann würde ich den SMTP-Proxy auch intern betreiben und dorthin den MX Eintrag setzen, richtig?

Anschliessend leitet der SMTP-Proxy nach Prüfung der Mails alle weiter an den Exchange.


Zitat von wiesi200:

Hallo,

hab ihr eine Feste IP? Dann nen MX eintrag setzten und den POPConnector in Rente schicken.
Wenn man es richtig macht gibt's auch keine Probleme mit Blacklists.

Was sollte man den beachten das man nicht auf Blacklists landet? Reverse DNS und SPF Einträge, sonst noch etwas? Und wie genau erstelle ich diese, bzw. an was orientiere ich mich da speziell bei den SPF Einträgen
Bitte warten ..
Mitglied: Dani
23.04.2017 um 23:07 Uhr
Moin,
Plan A wäre mit einer statischen öffentlichen IP die bessere Wahl.
Sehe ich auch so. Allerdings kann ich nicht beurteilen, ob die genannte Anwendung etwas taugt.

Was würdet ihr empfehlen für die oben genannte Infrastruktur um möglichst geringen Administrationsaufwand zu haben und keiner Gefahr einzugehen geblacklistet zu werden oder virenversuchte Inhalte in das LAN zu bekommen?
Das ist ein Widerspruch in sich. Wer eine eigene E-Mailserver Infrastruktur betreiben möchte, hat auch den Pflegeaufwand (Logs prüfen, Aktualisierungen für OS und Anwendung regelmäßig einspielen, Monitoring ob das System fehlerfrei funktioniert, etc...).


Gruß,
Dani
Bitte warten ..
Mitglied: Gahmuret
24.04.2017 um 16:56 Uhr
Was würdet ihr empfehlen für die oben genannte Infrastruktur um möglichst geringen Administrationsaufwand zu haben und keiner Gefahr einzugehen geblacklistet zu werden oder virenversuchte Inhalte in das LAN zu bekommen?

In die Azure Cloud ziehen.
Bitte warten ..
Mitglied: Saftnase
24.04.2017 um 17:06 Uhr
Ich würde auch zu Plan A tendieren.
Hab es bei mir genauso umgesetzt. In der DMZ läuft der kostenlose Hmailserver und der Exchange pollt permanent mit PopCon und der Exchange steht im LAN.
Abgehend fungiert der Hmailserver als Relay für den Exchange.
Läuft seit Jahr und Tag ohne Probleme.
Bitte warten ..
Mitglied: staybb
24.04.2017 um 21:34 Uhr
Zitat von Saftnase:

Ich würde auch zu Plan A tendieren.
Hab es bei mir genauso umgesetzt. In der DMZ läuft der kostenlose Hmailserver und der Exchange pollt permanent mit PopCon und der Exchange steht im LAN.
Abgehend fungiert der Hmailserver als Relay für den Exchange.
Läuft seit Jahr und Tag ohne Probleme.

Für welche Zwecke nutzt du den Hmailserver genau? Bietet er eine Spam und Antivirscanfunktion oder welcher Zweck hat er genau? Irgendwas muss er ja mit den Mails prüfen wenn er in der DMZ steht bevor sie weiter in das LAN weitergeleitet werden dürfen oder?

Wie genau sieht die Routerkonfiguration bei dir noch aus? Ich habe auch vor alles intern zu hosten. Also SMTP Proxy und der Exchange.

Muss ich lediglich ein Portforwarding mit Port 25 auf den SMTP Proxy einrichten oder bedarf es noch mehr Konfigurationen, sodass der Mailincoming und outcoming einwandfrei funktioniert. Was hast du bei dir alles konfiguriert? Und wie hast du DNS Einträge eingetragen. Reverse DNS und SPF Einträge, wie werden die konfiguriert?

Sorry für die vielen Fragen auf einmal. Aber ich habe genau den gleichen Plan alles intern zu hosten, daher wäre es super wenn ich ein bisschen Tips von jemandem bekomme, der gleiche Konstellation bereits schon hat

Grüsse
Bitte warten ..
Mitglied: staybb
24.04.2017 um 22:21 Uhr
Noch eine generelle Frage zu dem Thema SSL Zertifikat.

Ist es möglich das bereits bestehende gekaufe und geprüfte SSL Zertifikat zu nutzen, welches auch für die Firmenwebseite benutzt wird?
Oder benötigt man dann für den Mailserver ein eigenständiges neues SSL Zertifikat?
Bitte warten ..
Mitglied: Saftnase
25.04.2017, aktualisiert um 09:24 Uhr
Spam und Virencheck kann zwar der HMailserver, aber ich hab ne gute Firewall (Checkpoint) und auf dem Exchange, sowie den Endpoints läuft McAfee. Bisher hat es da noch keiner durch geschafft.
Mit meiner alten Firewall (Cisco ASA) hatte ich noch das Greylisting auf dem HMailserver aktiviert. Das hilft gegen Spam mehr als die meisten Filter, aber verzögert halt die E-Mail zustellung. Ansonsten kann der HMailserver auch alles was ein aktueller Spamfilter können muss.

Ich nutze den HMailserver aus 2 Gründen.
1. Als Relay und Puffer für ein und ausgehende E-Mails um den Exchange auch mal während der Arbeitszeit neu starten, bzw. warten zu können.
2. Für alle Serviceaccounts, die E-Mail verwenden. Das spart Lizenzen auf dem Exchange.

Nach Aussen brauchst du nur den MX Eintrag auf deine öffentliche IP im öffentlichen DNS. Im internen DNS arbeite ich mit Aliasen.
mail-intern.domain.local für den Exchange im LAN und mail-extern.domain.local für den HMailserver in der DMZ.
Bei deinem SSL Zertifikat kommt es adrauf an, was für eines es ist. Hast du n Wildcardzertifikat mit *.mymaildomain.de und die öffentliche Ip ist die gleiche wie dein Webserver dann funktioniert es. Sonst brauchst du n zusätzliches Zertifikat.

An deinem Router/Firewall musst du natürlich den Port 25 auf den HMailserver forwarden und dem Exchange im LAN das SMTP bzw. POP3 in die DMZ erlauben.

Ich hoffe es hilft dir etwas weiter.
Bitte warten ..
Mitglied: wiesi200
25.04.2017, aktualisiert um 09:47 Uhr
Zitat von Saftnase:
Ich nutze den HMailserver aus 2 Gründen.
1. Als Relay und Puffer für ein und ausgehende E-Mails um den Exchange auch mal während der Arbeitszeit neu starten, bzw. warten zu können.

Ist eigentlich nicht notwendig. Wenn dein Exchange nicht verfügbar ist. dann wird einfach später eine erneute Zustellung versucht.

Das ist auch das Grundprinzip von Graylisting.
Mich würd das Konstrukt mit PopCon einfach stören. Einfach eine Schnittstelle die nicht sein muss und Probleme verursachen könnte.
Bitte warten ..
Mitglied: Herbrich19
02.05.2017 um 14:04 Uhr
Hallo,

Wen keine statische IP da ist einfach ein guten DDNS-Dienst (np-ip ist die schlechteste Wahl -.-) nutzen und den DDNS-Hostnamen als mx eintragen und gut ist.

Zum senden bräuchtest du dann alerdings immer noch ein smathost weil du sonst nur SPAM versendest (nun ja die anderen denken es währe SPAM weil im HELO des SMTP Servers ein Reverse-DNS tauglicher dns-name sein muss. Soll heißen das was beim reverse dns raus kommt muss mit den Helo im SMTP stimmen. Und das ändert sich bei jeden wechsel der IP) also ein Server (vserver sollten auch gehen) mieten der dann ein SMTP Dienst mit Relay offen hat.

So, nun kommts: Die SPAM Falle. Der SMTP darf NICHT OFFEN sein. Also Autentifizierung einschalten so dass jeder der mailen will (in deinen Fall nur der Exchange Server) benutzer und passwort eingeben muss.

Also auf deinem Exchange Server ein Send Connector erstellen / den bestehenden bearbeiten so dass die zuvor gewählten Credentials (Username und Passwort) mit dem auf den SMTP Server der als Smathost dienen soll übereinstimmen.

Und fertig ist der Exchange der es richtig macht und die mails selber bekommt.

Gruß an die IT-Welt,
J Herbrich
Bitte warten ..
Mitglied: staybb
02.05.2017 um 15:51 Uhr
Zitat von Herbrich19:

Hallo,

Wen keine statische IP da ist einfach ein guten DDNS-Dienst (np-ip ist die schlechteste Wahl -.-) nutzen und den DDNS-Hostnamen als mx eintragen und gut ist.

Zum senden bräuchtest du dann alerdings immer noch ein smathost weil du sonst nur SPAM versendest (nun ja die anderen denken es währe SPAM weil im HELO des SMTP Servers ein Reverse-DNS tauglicher dns-name sein muss. Soll heißen das was beim reverse dns raus kommt muss mit den Helo im SMTP stimmen. Und das ändert sich bei jeden wechsel der IP) also ein Server (vserver sollten auch gehen) mieten der dann ein SMTP Dienst mit Relay offen hat.

So, nun kommts: Die SPAM Falle. Der SMTP darf NICHT OFFEN sein. Also Autentifizierung einschalten so dass jeder der mailen will (in deinen Fall nur der Exchange Server) benutzer und passwort eingeben muss.

Also auf deinem Exchange Server ein Send Connector erstellen / den bestehenden bearbeiten so dass die zuvor gewählten Credentials (Username und Passwort) mit dem auf den SMTP Server der als Smathost dienen soll übereinstimmen.

Und fertig ist der Exchange der es richtig macht und die mails selber bekommt.

Gruß an die IT-Welt,
J Herbrich

Hallo,

danke für die Info., statisch IP ist vorhanden.

Also ich habe vor einen SMTP-Proxy vor den Exchange zu stellen. Dieser kann auch als Smarthost agieren laut Hersteller.

Dann sollte es ja kein Problem sein wenn ich bei meinem DNS Hoster einen DNS und Reverse DNS für den SMTP-Proxy einstelle oder?

Der SMTP Proxy ist von scrollout f1 und beeinhaltet soweit ich sehe eine Postfix Instanz. Eigentlich ist der Einsatzzweck dieser Software für reines SPAM und Virenscanning.

Gruss
Bitte warten ..
Mitglied: Herbrich19
03.05.2017 um 00:46 Uhr
Hallo.

Was du als SMTP Proxy einsetzt ist eig fast egal. Und ja eine Static-IP macht die Sache wesendlich leichter da du nichts weiter machen musst als DNS und den Reverse DNS PTR zu konfigurieren.

Gruß an die IT-Welt,
J Herbrich
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Exchange Mailbox Quarantäne
Frage von miichiii9Exchange Server4 Kommentare

Guten Morgen Ich habe das Problem, dass ein Postfach andauernd in Quarantäne gesetzt wird. Genauso wie in diesem Beitrag ...

Exchange Server
Exchange 2016 Mailbox Quarantäne
Frage von AndreasMetagExchange Server2 Kommentare

Hallo, ich habe zurzeit ein Problem das eine Mailbox ständig in Quarantäne geschoben wird Über den Befehl Disable-MailboxQuarantäne bekomme ...

Exchange Server
Mailbox Datenbank nicht vorhanden
Frage von BerglayExchange Server3 Kommentare

Hallo Community, ich stecke gerade mitten in der Migration von Exchange 2007 (SBS2008) zu Exchange 2013. Das ist das ...

Hardware
Toshiba U920T 100
Frage von cyberworm83Hardware20 Kommentare

Ich suche ein Treiber Paket für einen: Toshiba U920T 100 Hat das zufällig jemand? Auf der Toshiba HP gibts ...

Neue Wissensbeiträge
Viren und Trojaner
Emotet: IT-Totalschaden beim Kammergericht Berlin
Information von StefanKittel vor 4 StundenViren und Trojaner1 Kommentar

Interne Daten wurden geklaut und "ein kompletter Neuaufbau der IT-Infrastruktur wird angeraten", heißt es im forensischen Bericht zum ...

Viren und Trojaner
Avast verkauft anscheinend browserdaten
Tipp von magicteddy vor 8 StundenViren und Trojaner13 Kommentare

Moin, da es immer wieder Anfragen zu Virenscannern gibt denke ich das der Artikel von Heise Avast verkauft Bowserdaten ...

Router & Routing

Statische Route dauerhaft einrichten unter Ubuntu 18.04 LTS

Erfahrungsbericht von the-buccaneer vor 2 TagenRouter & Routing2 Kommentare

"Kann ja nicht so schwer sein, unter Ubuntu 18.04 LTS ne statische Route einzurichten", denkt der Windows-Admin und gelegentliche ...

Microsoft

Effect on customer websites and Microsoft services and products in Chrome version 80 or later

Information von Dani vor 3 TagenMicrosoft

Guten Abend zusammen, The Stable release of the Google Chrome web browser (build 80, scheduled for release on February ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Installation USG
Frage von jo23487LAN, WAN, Wireless26 Kommentare

Hallo zusammen, nach den beiden anderen Fragen habe ich mir den Cloud Key und auch ein USG gekauft - ...

Ausbildung
In den Beruf IT-Systemadministrator gerutscht
Frage von TorwolfAusbildung24 Kommentare

Hallo zusammen, kurz zu meiner Person, ich bin 25 Jahre alt, habe die Fachhochschulreife und eine abgeschlossene Ausbildung als ...

Outlook & Mail
Mehrere Domänen User, selber PC, großer IMAP Account, Vorgehen?
Frage von heifumaOutlook & Mail21 Kommentare

Moin, Szenario: - Windows Server 2019 AD - Ein und derselbe PC im Netzwerk soll im Laufe der Arbeitswoche ...

Windows Server
DFS Zurgriff über Domain Steuerung
Frage von opc123Windows Server19 Kommentare

Hallo, wenn ich Freigegebene Ordner über \\"Domaine.de"\Datei aufrufen möchte innerhalb des DFS Pfades, habe ich oft kurzer Zeit kein ...