12
Mail-Relay für interne Anwendungen
Hallo,
wir verwenden einen Exchange 2016 mit einer Sophos UTM als Smarthost. Der Exchange wird u.a. als SMTP-Relay von internen Anwendungen benutzt, für den anonymen Versand nach Extern gibt es entsprechend einen Empfangsconnector mit der Einschränkung auf IP-Adressen.
Frage:
- Was spricht dafür, dass die internen Anwendungen den Exchange als SMTP-Relay verwenden? Was spricht gegen die UTM als SMTP-Relay?
Der Hintergrund ist, dass die UTM (HA-Cluster) eine höhere Verfügbarkeit hat als der einzelne Exchange (Updates, etc.) und die Anwendungen in der Regel nur einen Versuch unternehmen.
Danke für eure Einschätzung.
wir verwenden einen Exchange 2016 mit einer Sophos UTM als Smarthost. Der Exchange wird u.a. als SMTP-Relay von internen Anwendungen benutzt, für den anonymen Versand nach Extern gibt es entsprechend einen Empfangsconnector mit der Einschränkung auf IP-Adressen.
Frage:
- Was spricht dafür, dass die internen Anwendungen den Exchange als SMTP-Relay verwenden? Was spricht gegen die UTM als SMTP-Relay?
Der Hintergrund ist, dass die UTM (HA-Cluster) eine höhere Verfügbarkeit hat als der einzelne Exchange (Updates, etc.) und die Anwendungen in der Regel nur einen Versuch unternehmen.
Danke für eure Einschätzung.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1428630780
Url: https://administrator.de/contentid/1428630780
Ausgedruckt am: 24.11.2024 um 04:11 Uhr
12 Kommentare
Neuester Kommentar
Moin,
Kleinen Raspi mit Postfix in die Ecke stellen als hochverfügbares Relay. Ist einfacher zu warten und hat höhere Verfügbarkeit sowohl als der Exchange als auch die Sophos.
lks
Kleinen Raspi mit Postfix in die Ecke stellen als hochverfügbares Relay. Ist einfacher zu warten und hat höhere Verfügbarkeit sowohl als der Exchange als auch die Sophos.
lks
Zitat von @redhorse:
Kleinen Raspi mit Postfix in die Ecke stellen als hochverfügbares Relay. Ist einfacher zu warten und hat höhere Verfügbarkeit sowohl als der Exchange als auch die Sophos.
Kleinen Raspi mit Postfix in die Ecke stellen als hochverfügbares Relay. Ist einfacher zu warten und hat höhere Verfügbarkeit sowohl als der Exchange als auch die Sophos.
Ich hätte es vielleicht hinzufügen sollen, bei der Frage soll es nicht um Alternativen zu den bestehenden Komponenten gehen. Sohpos UTM und Exchange sind gegeben, es geht nur darum, welches SMTP-Relay angesprochen wird.
Zitat von @redhorse:
Ich hätte es vielleicht hinzufügen sollen, bei der Frage soll es nicht um Alternativen zu den bestehenden Komponenten gehen. Sohpos UTM und Exchange sind gegeben, es geht nur darum, welches SMTP-Relay angesprochen wird.
Ich hätte es vielleicht hinzufügen sollen, bei der Frage soll es nicht um Alternativen zu den bestehenden Komponenten gehen. Sohpos UTM und Exchange sind gegeben, es geht nur darum, welches SMTP-Relay angesprochen wird.
Dann nimm die Sophos, wenn Du höhere Verfügbarkeit als die des Exchange benötigst. Da beantwortet die Frage sich doch von selbst, wenn Du nicht eine stabilere und einfacher zu wartende Alternative willst.
lks
Moin redhorse,
Wenn der Grossteil der Nachrichten die durch dieses Relay laufen, für die internen Postfächer bestimmt ist, dann ist es ressourcenschonender, wenn du direkt den Exchange als Relay benutzt.
Wenn über das Relay der Grossteil der Nachrichten nach extern verschickt werden, dann ist es was den Ressourcenverbrauch angeht, sinnvoller direkt über die Sophos zu gehen.
Wenn bei dir das Netz Segmentiert ist und die Sophos als Gateway zwischen den Segmenten fungiert, dann würde ich auch eher die Sophos als Relay bevorzugen.
Wenn man die Sache rein aus Sicherheitssicht betrachtet, dann ist die Sophos immer vorzuziehen. 😉
Beste Grüsse aus BaWü
Alex
- Was spricht dafür, dass die internen Anwendungen den Exchange als SMTP-Relay verwenden?
Wenn der Grossteil der Nachrichten die durch dieses Relay laufen, für die internen Postfächer bestimmt ist, dann ist es ressourcenschonender, wenn du direkt den Exchange als Relay benutzt.
- Was spricht gegen die UTM als SMTP-Relay?
Wenn über das Relay der Grossteil der Nachrichten nach extern verschickt werden, dann ist es was den Ressourcenverbrauch angeht, sinnvoller direkt über die Sophos zu gehen.
Wenn bei dir das Netz Segmentiert ist und die Sophos als Gateway zwischen den Segmenten fungiert, dann würde ich auch eher die Sophos als Relay bevorzugen.
Wenn man die Sache rein aus Sicherheitssicht betrachtet, dann ist die Sophos immer vorzuziehen. 😉
Beste Grüsse aus BaWü
Alex
Hallo Alex,
Es gehen 99 Prozent der Nachrichten an interne Empfänger, jedoch ist die Sophos über eine performante und hochverfügbare WAN-Strecke angebunden. Das macht mir die Entscheidung auch so schwierig, der Exchange ist im internen LAN erreichbar aber nicht so verfügbar wie die UTM. Der Exchange wird monatlich nach den WIndows-Updates neu gestartet, sowie außerdem nach den CU- und Sicherheitsupdates mit jeweils längerer Ausfallzeit. Die UTM im A/P-Cluster sowie die redundante WAN-Anbindung sind in der Rückbetrachtung nahezu durchgehend erreichbar.
Die Einrichtung eines zweiten Exchange-Servers wurde diskutiert, jedoch auf Grund der Mehrkosten durch einen Load Balancer und der auch dafür nötigen Redundanz vorerst verschoben.
Viele Grüße
Zitat von @MysticFoxDE:
Wenn der Grossteil der Nachrichten die durch dieses Relay laufen, für die internen Postfächer bestimmt ist, dann ist es ressourcenschonender, wenn du direkt den Exchange als Relay benutzt.
Wenn der Grossteil der Nachrichten die durch dieses Relay laufen, für die internen Postfächer bestimmt ist, dann ist es ressourcenschonender, wenn du direkt den Exchange als Relay benutzt.
Wenn über das Relay der Grossteil der Nachrichten nach extern verschickt werden, dann ist es was den Ressourcenverbrauch angeht, sinnvoller direkt über die Sophos zu gehen.
Wenn bei dir das Netz Segmentiert ist und die Sophos als Gateway zwischen den Segmenten fungiert, dann würde ich auch eher die Sophos als Relay bevorzugen.
Es gehen 99 Prozent der Nachrichten an interne Empfänger, jedoch ist die Sophos über eine performante und hochverfügbare WAN-Strecke angebunden. Das macht mir die Entscheidung auch so schwierig, der Exchange ist im internen LAN erreichbar aber nicht so verfügbar wie die UTM. Der Exchange wird monatlich nach den WIndows-Updates neu gestartet, sowie außerdem nach den CU- und Sicherheitsupdates mit jeweils längerer Ausfallzeit. Die UTM im A/P-Cluster sowie die redundante WAN-Anbindung sind in der Rückbetrachtung nahezu durchgehend erreichbar.
Die Einrichtung eines zweiten Exchange-Servers wurde diskutiert, jedoch auf Grund der Mehrkosten durch einen Load Balancer und der auch dafür nötigen Redundanz vorerst verschoben.
Viele Grüße
Moin redhorse,
die Aussage verstehe ich noch nicht so ganz.
Mit was ist die Sophos performant übers WAN angebunden, mit dem Exchange?
Sprechen wir hier eventuell über eine Umgebung mit mehreren Standorten?
Sophos und Exchange in der Zentralle und RED's an den Aussenstandorten?
Gruss Alex
jedoch ist die Sophos über eine performante und hochverfügbare WAN-Strecke angebunden.
die Aussage verstehe ich noch nicht so ganz.
Mit was ist die Sophos performant übers WAN angebunden, mit dem Exchange?
Sprechen wir hier eventuell über eine Umgebung mit mehreren Standorten?
Sophos und Exchange in der Zentralle und RED's an den Aussenstandorten?
Gruss Alex
Hi Alex,
die UTM steht in einem externen RZ und ist per WAN (bzw. MPLS) an den Hauptstandort angebunden, dort steht der Exchange. An die UTM sind weitere kleinere Standorte per IPSec-VPN oder RED angebunden, die darüber auch den Hauptstandort erreichen.
Viele Grüße
Zitat von @MysticFoxDE:
Mit was ist die Sophos performant übers WAN angebunden, mit dem Exchange?
Sprechen wir hier eventuell über eine Umgebung mit mehreren Standorten?
Sophos und Exchange in der Zentralle und RED's an den Aussenstandorten?
Mit was ist die Sophos performant übers WAN angebunden, mit dem Exchange?
Sprechen wir hier eventuell über eine Umgebung mit mehreren Standorten?
Sophos und Exchange in der Zentralle und RED's an den Aussenstandorten?
die UTM steht in einem externen RZ und ist per WAN (bzw. MPLS) an den Hauptstandort angebunden, dort steht der Exchange. An die UTM sind weitere kleinere Standorte per IPSec-VPN oder RED angebunden, die darüber auch den Hauptstandort erreichen.
Viele Grüße
Zitat von @redhorse:
Es gehen 99 Prozent der Nachrichten an interne Empfänger, ...
...
... der Exchange ist im internen LAN erreichbar aber nicht so verfügbar wie die UTM. >...
Die Einrichtung eines zweiten Exchange-Servers wurde diskutiert, jedoch auf Grund der Mehrkosten durch einen Load Balancer und der auch dafür nötigen Redundanz vorerst verschoben.
...
die UTM steht in einem externen RZ und ist per WAN (bzw. MPLS) an den Hauptstandort angebunden, dort steht der Exchange. An die UTM sind weitere kleinere Standorte per IPSec-VPN oder RED angebunden, die darüber auch den Hauptstandort erreichen.
Es gehen 99 Prozent der Nachrichten an interne Empfänger, ...
...
... der Exchange ist im internen LAN erreichbar aber nicht so verfügbar wie die UTM. >...
Die Einrichtung eines zweiten Exchange-Servers wurde diskutiert, jedoch auf Grund der Mehrkosten durch einen Load Balancer und der auch dafür nötigen Redundanz vorerst verschoben.
...
die UTM steht in einem externen RZ und ist per WAN (bzw. MPLS) an den Hauptstandort angebunden, dort steht der Exchange. An die UTM sind weitere kleinere Standorte per IPSec-VPN oder RED angebunden, die darüber auch den Hauptstandort erreichen.
Moin,
dann sollte man doch über eine Alternative nachdenken. Wenn Ihr schon über einen zweiten Exchange nachgedacht habt, das aber wegen der Kosten für HA verworfen habt, wäre es doch das einfachste einen "HA-Pi-Cluster" mit zwei oder drei PIs zu machen, deren einzige Aufgabe es wäre die Mails anzunehmen, und an den existierenden Exchange weiterzuleiten. Alternativ kann man natürlich statt der Pis auch NUCs oder kleine Server nehmen. Aber die PIs haben genug "Rumms", um das abzuwickeln.
Kostenpunkt: Mit den PIs deutlich unter 1000€, mit NUCs unter 2000€ und mit drei einfachen Servern immer noch unter 5000€.
lks
Moin redhorse,
in dem Fall kannst du getrost über die UTM (das ist aber hoffentlich keine SG mehr) relayen, ist einfacher und auch sicherer.
Gruss Alex
die UTM steht in einem externen RZ und ist per WAN (bzw. MPLS) an den Hauptstandort angebunden, dort steht der Exchange. An die UTM sind weitere kleinere Standorte per IPSec-VPN oder RED angebunden, die darüber auch den Hauptstandort erreichen.
in dem Fall kannst du getrost über die UTM (das ist aber hoffentlich keine SG mehr) relayen, ist einfacher und auch sicherer.
Gruss Alex
Danke für eure Hinweise und Vorschläge, ich werde das Relay wohl über die UTM realisieren.
Zitat von @redhorse:
Danke für eure Hinweise und Vorschläge, ich werde das Relay wohl über die UTM realisieren.
Danke für eure Hinweise und Vorschläge, ich werde das Relay wohl über die UTM realisieren.
Moin,
Gern gesehen. Aber bei den Vorbedingungen die Du uns nachträglich genannt hast (ein Exchange zu "unzuverlässig, HA-Exchange zu teuer, keine anderen Geräte), hattest Du eigentlich gar keine andere Option. Daher frage ich mich, warum Du überhaupt gefragt hast.
lks
Hi lks,
abgesehen von der Verfügbarkeit sind mir keine anderen objektiven Parameter eingefallen, die für das eine oder andere sprechen. Daher wollte ich dazu mal die Allgemeinheit fragen, möglicherweise gibt es gute Gründe die für UTM oder Exchange sprechen, die ich selbst nicht auf dem Schirm habe.
Viele Grüße
Zitat von @Lochkartenstanzer:
Gern gesehen. Aber bei den Vorbedingungen die Du uns nachträglich genannt hast (ein Exchange zu "unzuverlässig, HA-Exchange zu teuer, keine anderen Geräte), hattest Du eigentlich gar keine andere Option. Daher frage ich mich, warum Du überhaupt gefragt hast.
Gern gesehen. Aber bei den Vorbedingungen die Du uns nachträglich genannt hast (ein Exchange zu "unzuverlässig, HA-Exchange zu teuer, keine anderen Geräte), hattest Du eigentlich gar keine andere Option. Daher frage ich mich, warum Du überhaupt gefragt hast.
abgesehen von der Verfügbarkeit sind mir keine anderen objektiven Parameter eingefallen, die für das eine oder andere sprechen. Daher wollte ich dazu mal die Allgemeinheit fragen, möglicherweise gibt es gute Gründe die für UTM oder Exchange sprechen, die ich selbst nicht auf dem Schirm habe.
Viele Grüße
