Mail-Relay für interne Anwendungen
Hallo,
wir verwenden einen Exchange 2016 mit einer Sophos UTM als Smarthost. Der Exchange wird u.a. als SMTP-Relay von internen Anwendungen benutzt, für den anonymen Versand nach Extern gibt es entsprechend einen Empfangsconnector mit der Einschränkung auf IP-Adressen.
Frage:
- Was spricht dafür, dass die internen Anwendungen den Exchange als SMTP-Relay verwenden? Was spricht gegen die UTM als SMTP-Relay?
Der Hintergrund ist, dass die UTM (HA-Cluster) eine höhere Verfügbarkeit hat als der einzelne Exchange (Updates, etc.) und die Anwendungen in der Regel nur einen Versuch unternehmen.
Danke für eure Einschätzung.
wir verwenden einen Exchange 2016 mit einer Sophos UTM als Smarthost. Der Exchange wird u.a. als SMTP-Relay von internen Anwendungen benutzt, für den anonymen Versand nach Extern gibt es entsprechend einen Empfangsconnector mit der Einschränkung auf IP-Adressen.
Frage:
- Was spricht dafür, dass die internen Anwendungen den Exchange als SMTP-Relay verwenden? Was spricht gegen die UTM als SMTP-Relay?
Der Hintergrund ist, dass die UTM (HA-Cluster) eine höhere Verfügbarkeit hat als der einzelne Exchange (Updates, etc.) und die Anwendungen in der Regel nur einen Versuch unternehmen.
Danke für eure Einschätzung.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1428630780
Url: https://administrator.de/forum/mail-relay-fuer-interne-anwendungen-1428630780.html
Ausgedruckt am: 25.12.2024 um 17:12 Uhr
12 Kommentare
Neuester Kommentar
Zitat von @redhorse:
Ich hätte es vielleicht hinzufügen sollen, bei der Frage soll es nicht um Alternativen zu den bestehenden Komponenten gehen. Sohpos UTM und Exchange sind gegeben, es geht nur darum, welches SMTP-Relay angesprochen wird.
Ich hätte es vielleicht hinzufügen sollen, bei der Frage soll es nicht um Alternativen zu den bestehenden Komponenten gehen. Sohpos UTM und Exchange sind gegeben, es geht nur darum, welches SMTP-Relay angesprochen wird.
Dann nimm die Sophos, wenn Du höhere Verfügbarkeit als die des Exchange benötigst. Da beantwortet die Frage sich doch von selbst, wenn Du nicht eine stabilere und einfacher zu wartende Alternative willst.
lks
Moin redhorse,
Wenn der Grossteil der Nachrichten die durch dieses Relay laufen, für die internen Postfächer bestimmt ist, dann ist es ressourcenschonender, wenn du direkt den Exchange als Relay benutzt.
Wenn über das Relay der Grossteil der Nachrichten nach extern verschickt werden, dann ist es was den Ressourcenverbrauch angeht, sinnvoller direkt über die Sophos zu gehen.
Wenn bei dir das Netz Segmentiert ist und die Sophos als Gateway zwischen den Segmenten fungiert, dann würde ich auch eher die Sophos als Relay bevorzugen.
Wenn man die Sache rein aus Sicherheitssicht betrachtet, dann ist die Sophos immer vorzuziehen. 😉
Beste Grüsse aus BaWü
Alex
- Was spricht dafür, dass die internen Anwendungen den Exchange als SMTP-Relay verwenden?
Wenn der Grossteil der Nachrichten die durch dieses Relay laufen, für die internen Postfächer bestimmt ist, dann ist es ressourcenschonender, wenn du direkt den Exchange als Relay benutzt.
- Was spricht gegen die UTM als SMTP-Relay?
Wenn über das Relay der Grossteil der Nachrichten nach extern verschickt werden, dann ist es was den Ressourcenverbrauch angeht, sinnvoller direkt über die Sophos zu gehen.
Wenn bei dir das Netz Segmentiert ist und die Sophos als Gateway zwischen den Segmenten fungiert, dann würde ich auch eher die Sophos als Relay bevorzugen.
Wenn man die Sache rein aus Sicherheitssicht betrachtet, dann ist die Sophos immer vorzuziehen. 😉
Beste Grüsse aus BaWü
Alex
Moin redhorse,
die Aussage verstehe ich noch nicht so ganz.
Mit was ist die Sophos performant übers WAN angebunden, mit dem Exchange?
Sprechen wir hier eventuell über eine Umgebung mit mehreren Standorten?
Sophos und Exchange in der Zentralle und RED's an den Aussenstandorten?
Gruss Alex
jedoch ist die Sophos über eine performante und hochverfügbare WAN-Strecke angebunden.
die Aussage verstehe ich noch nicht so ganz.
Mit was ist die Sophos performant übers WAN angebunden, mit dem Exchange?
Sprechen wir hier eventuell über eine Umgebung mit mehreren Standorten?
Sophos und Exchange in der Zentralle und RED's an den Aussenstandorten?
Gruss Alex
Zitat von @redhorse:
Es gehen 99 Prozent der Nachrichten an interne Empfänger, ...
...
... der Exchange ist im internen LAN erreichbar aber nicht so verfügbar wie die UTM. >...
Die Einrichtung eines zweiten Exchange-Servers wurde diskutiert, jedoch auf Grund der Mehrkosten durch einen Load Balancer und der auch dafür nötigen Redundanz vorerst verschoben.
...
die UTM steht in einem externen RZ und ist per WAN (bzw. MPLS) an den Hauptstandort angebunden, dort steht der Exchange. An die UTM sind weitere kleinere Standorte per IPSec-VPN oder RED angebunden, die darüber auch den Hauptstandort erreichen.
Es gehen 99 Prozent der Nachrichten an interne Empfänger, ...
...
... der Exchange ist im internen LAN erreichbar aber nicht so verfügbar wie die UTM. >...
Die Einrichtung eines zweiten Exchange-Servers wurde diskutiert, jedoch auf Grund der Mehrkosten durch einen Load Balancer und der auch dafür nötigen Redundanz vorerst verschoben.
...
die UTM steht in einem externen RZ und ist per WAN (bzw. MPLS) an den Hauptstandort angebunden, dort steht der Exchange. An die UTM sind weitere kleinere Standorte per IPSec-VPN oder RED angebunden, die darüber auch den Hauptstandort erreichen.
Moin,
dann sollte man doch über eine Alternative nachdenken. Wenn Ihr schon über einen zweiten Exchange nachgedacht habt, das aber wegen der Kosten für HA verworfen habt, wäre es doch das einfachste einen "HA-Pi-Cluster" mit zwei oder drei PIs zu machen, deren einzige Aufgabe es wäre die Mails anzunehmen, und an den existierenden Exchange weiterzuleiten. Alternativ kann man natürlich statt der Pis auch NUCs oder kleine Server nehmen. Aber die PIs haben genug "Rumms", um das abzuwickeln.
Kostenpunkt: Mit den PIs deutlich unter 1000€, mit NUCs unter 2000€ und mit drei einfachen Servern immer noch unter 5000€.
lks
Moin redhorse,
in dem Fall kannst du getrost über die UTM (das ist aber hoffentlich keine SG mehr) relayen, ist einfacher und auch sicherer.
Gruss Alex
die UTM steht in einem externen RZ und ist per WAN (bzw. MPLS) an den Hauptstandort angebunden, dort steht der Exchange. An die UTM sind weitere kleinere Standorte per IPSec-VPN oder RED angebunden, die darüber auch den Hauptstandort erreichen.
in dem Fall kannst du getrost über die UTM (das ist aber hoffentlich keine SG mehr) relayen, ist einfacher und auch sicherer.
Gruss Alex
Zitat von @redhorse:
Danke für eure Hinweise und Vorschläge, ich werde das Relay wohl über die UTM realisieren.
Danke für eure Hinweise und Vorschläge, ich werde das Relay wohl über die UTM realisieren.
Moin,
Gern gesehen. Aber bei den Vorbedingungen die Du uns nachträglich genannt hast (ein Exchange zu "unzuverlässig, HA-Exchange zu teuer, keine anderen Geräte), hattest Du eigentlich gar keine andere Option. Daher frage ich mich, warum Du überhaupt gefragt hast.
lks