kaalax
Goto Top

Fragen zu: Windows DNS - MX Records - AD (domänenname.local) - E-Mail (firma.de)

Hallo Adminz,

nun bin ich den zweiten Tag (Abend) in Folge auf der Suche nach einer Erklärung für eine "vermutlich einfache" Konfiguration. Habe neben vielen Einträgen dieses und jenes Forums auch gg durchsucht, leider nur mit teilweisem Erfolg. Es ist möglich, dass die Lösung(en) schon vor meinen Augen war, ich sie aber nicht erkannt bzw. verstanden habe. Deswegen nun dieser Eintrag mit der Bitte um leicht verständliche Lösung(en) und/oder Hinweise zu meinem Grundsatzproblem. Es ist wichtig für mich das zu verstehen, einen Dritten kann ich nicht beauftragen. Danke!

Ausgangssituation:
- Postfächer liegen auf einem Smarthost bei Provider1
- Maildomain = firma.de bei Provider2
- MX-Record bei Provider2 zeigt auf Mailserver bei Provider1

schlecht daran ist:
- Nachrichten können Mailclients ausschließlich per POP3 zugestellt werden (Beschränkung von Provider1)
- keine Groupware Funktionen
- umständliches Backup der lokalen Postfächer (Outlook)
- hohe jährliche Kosten für Provider1

SOLL-Zustand:
- eigener Mailserver mit Direktzustellung und Groupware Funktionen

bereits vorhanden:
- feste IP-Adresse (vom rosaroten Riesen)
- Hardware Firewall
- AD, DNS Server 2012R2 (domänenname.local)
- Server 2012R2 für Kerio Connect
- Kerio Connect Lizenz

wird erledigt sobald meine Fragen beantwortet sind:
- DNS Eintrag mail.firma.de beim rosaroten Riesen (Hostname des Mailservers zur festen IP)
- MX-Record bei Provider2 zeigt jetzt auf eigenen Mailserver
- öffentliches Webserverzertifikat für den Client-Zugriff von Außen


Meine große Frage ist: Wie muss der interne DNS-Server konfiguriert werden?
- Es soll möglich sein den Mailserver von extern anzusprechen (Clientzugriff, Webportal).
- Intern soll der Mailserver auch über mail.meinefirma.de ansprechbar sein.
- Wie viele MX-Records muss ich erstellen, und wo genau?
- Ist es notwendig eine neue Zone im DNS zu erstellen?
- Wie viele Host A Einträge sind notwendig, und an welcher Stelle?


Danke für jede hilfreiche Antwort!
Gruß, panax-4.3

Content-ID: 300347

Url: https://administrator.de/contentid/300347

Ausgedruckt am: 18.11.2024 um 06:11 Uhr

Sheogorath
Lösung Sheogorath 30.03.2016 um 02:59:34 Uhr
Goto Top
Moin,

Und wow, das klingt nach einem starken Quereinstieg in die Welt der Mailserver. Du solltest dir dringend bevor du anfängst diverse Tutorials und Dokumentationen zu dem Thema durchlesen.

Privat darf man beim Mailserver auch mal was kaputt machen. In einer Firma geht sowas gar nicht. Blacklisting wegen Spams ist z.B. kein Spielplatz. Je nach Blacklist kann das entfernen von 1 Tag bis hin zu mehreren Monaten dauern. Und solange man da irgendwo rumspukt wird man einige Mails nicht zugestellt bekommen.

Aber wie auch immer, kommen wir mal zu deinen Fragen:

- Es soll möglich sein den Mailserver von extern anzusprechen (Clientzugriff, Webportal).

Geht. Setze ein Webinterface für deine Groupware-Lösung auf, schleife den Port 443 mit gültigem Zertifikat für eine entsprechende Domain durch oder setze einen Reverse Proxy dafür auf. Wichtig ist nur, dass deine HTTP-Requests einfach bei deinem Interface landen.

- Intern soll der Mailserver auch über mail.meinefirma.de ansprechbar sein.

DNS wird dir hier gute Dienste Leisten. Einfach die IP für die Domain als A Record im internen DNS Server passend hinterlegen. Fertig.

- Wie viele MX-Records muss ich erstellen, und wo genau?

Genau genommen nur 1. Schließlich hast du nur einen Server. (Was übrigens sehr bescheiden ist bei Firmenmails.) Diesen setzt du im für deine externe Domain authorativen DNS Server.

- Ist es notwendig eine neue Zone im DNS zu erstellen?

Das kommt drauf an, ob du die Domain schon intern verwendest oder nicht. Geisterst du irgendwo auf domainname.local rum, wie du im Titel schreibst so musst du eine neue Zone erstellen und den entsprechenden DNS Namen eintragen. Außerdem vielleicht auch noch alle anderen DNS Namen für die externe Domain, falls du diese innerhalb des Unternehmens aufrufen willst. Das ist zumindest die Split Horizon Lite Variante.

- Wie viele Host A Einträge sind notwendig, und an welcher Stelle?

Primär brauchst du halt deinen mail.firma.de.-Eintrag um deine Mails zustellen zu können. Alle anderen sind optional, wenn du auf keine anderen Inhalte zugreifen möchtest. Und den Natürlich dann einmal für Intern auf deinem Windows DNS und einmal bei deinem externen DNS Anbieter mit der externen IP deines Mailservers.

Aber wie schon oben erwähnt. Mailserver sind kein Spielplatz wenn es um Firmen geht. Neben den technischen Hürden gibt es auch Auflagen wie lange man Mails vorhalten muss (Ja, alle, auch die die man eigentlich nur gen Spam verschiebt) etc.

Es ist halt schon ein Unterschied interne Groupware-Server wie Exchange zu betreiben oder den weiteren Schritt zu gehen und auch noch alle Mails selbst anzunehmen. Das eine setzt das andere nämlich nicht voraus.

Ich würde dir jedenfalls empfehlen das Ganze zu überdenken. Lieber erstmal die Mails per Pop3 vom externen Provider abrufen und auf dem internen Groupware-Server bunkern, wie es die meisten tun, statt direkt mit der Tür ins Haus zu fallen und gleich alles selbst machen zu wollen.

In diesem Sinne eine ruhige Nacht

Gruß
Chris
Lochkartenstanzer
Lösung Lochkartenstanzer 30.03.2016 um 09:09:24 Uhr
Goto Top
Moin,

Du solltest Dir bewußt sein, daß Du da als "Quereinsteiger" seh viele fehler machen kannst. Von daher solltest Du schauen, ob Du wirklich keine Unterstützugn in Anspruch nehmen willst.

Die frage ist, wo Du meine "firma.de" registiriert hast. Beim Provider1 oder beim neuen Provider2?

Im ersteren Fall müßtest Du erstmal einjen KK-Antrag machen, sofern der Provider1 das setzen von DNS-Einträgen nicht ermöglicht.

Weiterhin ist die frage, wiviele statische IP-Adressen Du bekommen hast und ob der mail-server direkt mit eine roffiziellen IP-Adresse bestückt werden kann oder nicht.

Fall1: Du hast Die Möglichkeit, deinem Mailserver eine öffentliche IP-Adresse zu verpassen:

Setze einen A-record für mail.meinefirma.tld auf die statische IP-Adresse des Servers und dazu noch einen MX für meinefirma.tld auf diese Adresse.


Fall2: Dein Mailserver muß mit einer RFC1918-Adresse arbeiten:

Sofern Dein Router kein Hairpin-NAT kann, mußt Du mit einer Split-Brain-kkonfiguration Deines DNS arbeiten. Der interne mailserver muß mail.meinefirma.tld auf die RFC1918-Adresse auflösen und der externe beim provider auf die statische IP-Adresse Deines Routers. Bei Deinem Router mußt Du dann nur dafür sorgen, das smtp, auf Deinen Mailserver weitergeleitet wird.

lks
kaalax
kaalax 31.03.2016 um 18:56:04 Uhr
Goto Top
Hallo Sheogorath, hallo Lochkartenstanzer,

habt vielen Dank für Eure Beiträge! Ihr habt mich davon überzeugt, das Projekt nicht zu überstürzen. Vorerst wird der interne Mailserver alle Nachrichten per POP3 zugestellt bekommen. Sobald ich im Thema richtig fit bin kann immer noch auf Direktempfang umgestellt werden.
Damit habe ich vorerst einen Meilenstein erreicht, den internen Mailserver mit Groupware Funktion.

Viele Grüße, panax-4.3
laster
Lösung laster 07.04.2016 um 12:58:01 Uhr
Goto Top
Hallo panax,

wenn Dein Kerio intern läuft, ist die Umstellung von POP3-Abholung auf Direktzustellung nicht kompliziert.
Das läuft in etwa so (mindestens):
1. Firewall konfigurieren (SMTP von extern nach Kerio/intern erlauben, andersrum auch nur den Kerio erlauben nach extern zu SMTPen)
2. Den Kerio konfigurieren (Internet-Hostname auf den externen Name ändern - z.B. mail.firma.de. SMTP-Zustellung auf per MX ändern)
3. beim Web/Mail-Provider den MX-Record umstellen
4. Beim Internetanbieter einen Reverse-Lookup Eintrag erstellen lassen (IP-Adresse zu Name)
5. optional: im Kerio DKIM erstellen und beim Provider den DNS Eintrag (TXT für DKIM) eintragen
6. ein SSL-Zertifikat für den Kerio bei einem Anbieter ausstellen lassen (z.B. https://www.psw-group.de/ssl-zertifikate/detail/c40-geotrust-rapidssl/)

das nur als grober Fahrplan.
Ist nicht kompliziert...

vG
LS
kaalax
kaalax 12.04.2016 um 22:26:47 Uhr
Goto Top
Hallo laster,

DANKE! face-smile Über Deine Antwort habe ich mich sehr gefreut. In der Zwischenzeit habe ich einige Punkte abhaken können:

0. DNS Eintrag setzen - erledigt

1. Firewall konfigurieren (SMTP von extern nach Kerio/intern erlauben, andersrum auch nur den Kerio erlauben nach extern zu SMTPen)

erledigt

2. Den Kerio konfigurieren (Internet-Hostname auf den externen Name ändern - z.B. mail.firma.de. SMTP-Zustellung auf per MX ändern)

erledigt

3. beim Web/Mail-Provider den MX-Record umstellen

Habe als Zwischenlösung für die Postfächer auf dem Smarthost eine Weiterleitung zu vorname.nachname@mail.meinefirma.de eingerichtet. Damit habe ich den Direktempfang erfolgreich getestet. Das Versenden der Mails funktioniert auch (SMTPen). Das verschafft mir genug Zeit alle lokalen Postfächer zum Kerio Connect zu migrieren. Wenn alle Clients angebunden sind und alles zufriedenstellend funktioniert, stelle ich den MX-Record um.

4. Beim Internetanbieter einen Reverse-Lookup Eintrag erstellen lassen (IP-Adresse zu Name)

muss ich noch tun

5. optional: im Kerio DKIM erstellen und beim Provider den DNS Eintrag (TXT für DKIM) eintragen

damit setze ich mich in den nächsten Tagen auseinander

//6. ein SSL-Zertifikat für den Kerio bei einem Anbieter ausstellen lassen (z.B. https://www.psw-group.de/ssl-zertifikate/detail/c40-geotrust-rapidssl/)/ ..)

fehlt noch, kommt aber 100%ig


Sobald ich durch bin, oder hängen bleibe, poste ich meine Erfahrungen.

bis bald, panax-4.3
laster
laster 14.04.2016 um 12:34:44 Uhr
Goto Top
Sobald ich durch bin, oder hängen bleibe, poste ich meine Erfahrungen.

Gutes Gelingen!
(KerioConnect seit heute in Version 9.0.3 verfügbar. Neue Antispam-Engine, von Bitdefender, muss aber extra lizenziert werden...)

vG
LS