kaiser-css
Goto Top

Exchange Server und DynDNS

Guten Tag!

ich habe eine Frage bezüglich unseren Exchange Servers.

Wir haben ein Multidomain Zertifikat eingebunden mit folgenden Domains:
DOMAIN.de
mail.DOMAIN.de
autodiscover.DOMAIN.de


Und wir haben eine DynDNS Adresse:
DOMAIN.dyndns.org

Lokal hört der Server auf mail.DOMAIN.de, das funktioniert wunderbar, es erscheint auch keine Zertifikatsfehlermeldung. Das Zertifikat ist also richtig eingebunden.

Wenn wir von extern drauf zugreifen wollen, haben wir bis dato immer unsere DynDNS Adresse als Servernamen genutzt. Das hat auch gut funktioniert, wenn auch mit Zertifikatsfehlermeldungen.
Nun bekommen wir unsere Accounts auf unseren iPhones aber nicht mehr eingerichtet, da der Servername DOMAIN.dyndns.org nicht mit dem Namen im Zertifikat mail.DOMAIN.de übereinstimmt.

Wir müssen also bei der Account Einrichtung auf unseren iPhones unter "Server" mail.DOMAIN.de eintragen.
Jetzt dachte ich mir, dass ich im DNS unseres Domain-Hosters einfach alle Anfragen, die an mail.DOMAIN.de gehen, an DOMAIN.dyndns.org weiterleite. Allerdings funktioniert das nicht so, wie ich es mir dachte.

Es soll also so aussehen:

iPhone -> mail.DOMAIN.de -> DOMAIN.dyndns.org -> unsere öffentliche IP Adresse - > Port 443 - > unser Exchange Server
Die Portweiterleitung funktioniert.

Habt ihr einen Tipp für mich?

LG
kaiser-css

Content-ID: 454933

Url: https://administrator.de/contentid/454933

Printed on: October 4, 2024 at 02:10 o'clock

StefanKittel
StefanKittel May 23, 2019 at 11:45:53 (UTC)
Goto Top
Hallo,

Richtig:
Feste IP-Adresse für Internet verwenden.
Ggf. den Vertrag oder Anbieter wechseln.
DNS-Einstellung für mail.domain.de auf diese IP ändern und fertig.

Fummel:
Man kann z.B. durch ein ausgehendes VPN mit Mini-Server im Rechenzentrum mit fester IP eine feste IP simulieren.
Quasi eine Port-Weiterleitung auf DynDNS.

Stefan
jooohannesk
jooohannesk May 23, 2019 at 12:12:14 (UTC)
Goto Top
Hallo kaiser-css,

ich kann hier StefanKittel nur zustimmen, du wirst mit dieser Konfiguration langfristig keine Freude haben.

Da die Zertifikate (PKI) letztlich nicht nur zur Verschlüsselung sondern auch zur Authentifizierung des Servers genutzt werden, bringt dir hier eine "Weiterleitung" (wie auch immer die technisch aussehen würde, gibt ja mehrere Möglichkeiten) nicht viel.
Clients lehnen Zertifikate generell ab, wenn der CN im Zertifikate nicht mit der Serveradresse übereinstimmt. Das ist aktuell der Fall bei Dir.

Hinzu kommt, dass es nicht ratsam ist einen Mailserver mit dynamischen IP-Adressen zu betreiben, da empfangende Mailserver oft einen Reverse-DNS-Lookup machen und dann den passenden DNS-Eintrag für die dynamische, nur temporäre zugewiesene IP-Adresse nicht finden.

Einen Server mit "simulierter fester IP" über VPN o.ä. zu betreiben würde ich generell nicht empfehlen, das ist wirklich nur gefummel, wie StefanKittel schon beschrieben hat.

Eine feste IP v4 kostet heute wirklich nicht mehr die Welt und kann selbst auf einer FritzBox recht einfach eingerichtet werden (wobei ich generell nicht empfehlen würde einen Mailserver direkt hinter die Fritzbox zu klemmen, eigentlich sollte da mindestens ne Firewall dazwischen am besten jedoch ne komplette UTM)
kaiser-css
kaiser-css May 23, 2019 at 12:54:52 (UTC)
Goto Top
Hat sich erledigt. Ein Anruf beim Hoster hat das Problem gelöst.
Ravers
Ravers May 23, 2019 at 13:01:17 (UTC)
Goto Top
Moin,

auch wenn`s grad wieder geht verspreche ich dir du wirst weitere Probleme bekommen bei der Konstellation.
Div. Anbieter werden immer restriktiver in Sachen Sicherheit.Besorge dir zumindest eine feste IPv4, wie meine Vorredner schon empfohlen haben.

greetz
ravers
Spirit-of-Eli
Spirit-of-Eli May 23, 2019 at 20:27:25 (UTC)
Goto Top
Moin,

ich weiß nicht wo euere Domäne liegt, aber ich würde schauen ob dort auch dyn DNS angeboten wird.
Dann kannst du die Domäne direkt koppeln.

Gruß
Spirit