dominikg
Goto Top

MX-Record Sicherheit

Guten Tag,

ich habe die IT-Betreuung für eine Firma übernommen und diese nutzen Exchange 2003 mit Direktempfang und Versand über SMTP mit weitergeleiteten MX-Record.

Jetzt ist es so, dass ständig andere Exchange-Server die im internet tätig sind, über diesen Server Mails versenden wollen.
Die öffnen eine Sitzung mit dem Server und wollen Mails versenden, das funktioniert aber nicht und verstopfen die Exchange-Queue und legen den Server lahm.

Jetzt habe ich schon im Internet geschaut nach MX-Record etc. und habe nur mal einen älteren Beitrag in einem Forum gelesen in dem jemand nur aussagt, dass man den Exchange nicht offen ins Internet stellt und die Mails über einen Smarthost dann direkt zu dem Server leitet und der Smarthost übernimmt dann mit die Funktion Spam-Versand zu blocken und bietet allgemein eine höhere Sicherheit.

Meine Frage ist, ob das so stimmt und was dafür von Nöten wäre um so etwas funktional umzustellen?
Wie hoch wäre der Aufwand, da ich nicht das Unternehmen stundenlang lahm legen möchte?


Vielen Dank!!!

MfG,

Dominik

Content-Key: 182653

Url: https://administrator.de/contentid/182653

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: d4shoerncheN
d4shoerncheN 27.03.2012 um 11:36:30 Uhr
Goto Top
Einen Smarthost zu konfigurieren geht innerhalb von ein paar Minuten.
Schau einmal in die Exchange-Verwaltungsconsole. Habe hier einen Link angefügt, dort ist alles soweit beschrieben:
http://www.msxfaq.de/howto/e2003smtp.htm

Achte bei dem Assistenten darauf, den Smarthost und nicht die DNS-Einstellung auszuwählen.

Ob es von Nöten ist, darüber kann man streiten. Generell aber eine gute Sache, da deine statische IP-Adresse den anderen Mailservern im seltensten Fall bekannt sein dürfte und so die Mails als SPAM markiert werden. Dies passiert nicht, wenn man die Mails über den Mailanbieter (z. B. 1und1) verschickt.
Mitglied: Luie86
Luie86 27.03.2012 um 11:45:40 Uhr
Goto Top
Hi

Zitat von @DominikG:
Jetzt habe ich schon im Internet geschaut nach MX-Record etc. und habe nur mal einen älteren Beitrag in einem Forum gelesen
in dem jemand nur aussagt, dass man den Exchange nicht offen ins Internet stellt und die Mails über einen Smarthost dann
direkt zu dem Server leitet und der Smarthost übernimmt dann mit die Funktion Spam-Versand zu blocken und bietet allgemein
eine höhere Sicherheit.

Das ist so korrekt und wird auch empfohlen. Back-Office Mailserver hängt man eigentlich nicht direkt ins Internet.

Meine Frage ist, ob das so stimmt und was dafür von Nöten wäre um so etwas funktional umzustellen?
Wie hoch wäre der Aufwand, da ich nicht das Unternehmen stundenlang lahm legen möchte?

Ich bin jetzt nicht so der Exchange-Spezi, meine aber das Microsoft für solche Fälle die "Edge-Transport-Role" vorgesehen hat.
Über die Sicherheit & Funktionalität, kann ich dazu aber keine Aussage treffen.


Edit: Ich nehm das mal zurück, dass gibt es bei Ex2k3 glaub ich garnicht *g*


Alternativ kann man sowas mit Mail-Gateways (extra Appliance, wenns was kosten darf) oder auch z.B. mit ner Linux Box
und Postfix / Exim (MTA-Software) einrichten.


Gruß Daniel
Mitglied: DominikG
DominikG 27.03.2012 um 11:59:33 Uhr
Goto Top
Vielen Dank für deine schnelle Antwort.

Also die feste IP von meinem Kunden scheint bekannt zu sein, da werden ständig mails von anderen Servern darüber gesendet und verstopfen die Warteschlange, das ist zum verrückt werden.

Ich habe mir Anleitung jetzt angeschaut und diesen Smarthost-Eintrag den du ansprichst, das ist die Stelle über die ich den Server hinter dem Smarthost verstecke und der Server nicht direkt im internet freigebe oder ist das nur die Stelle an der ich sagen kann, dass die Mails über 1und 1 oder einen anderen provider geschickt werden?
Mitglied: d4shoerncheN
d4shoerncheN 27.03.2012 um 12:05:18 Uhr
Goto Top
Über den Smarthost werden dann die E-Mails gesendet und nicht mehr direkt über den Exchange.

Mit "direkter Freigabe" im Internet, weiß ich nicht was genau du meinst.
Mitglied: DominikG
DominikG 27.03.2012 um 12:16:09 Uhr
Goto Top
Okay danke.

Das bedeutet dann, wenn eine Mail empfangen wird, geht sie erst durch den smarthost und der leitet sie an den mx-record (der server bzw. die feste IP) weiter und der versand genauso nur anderst rum?
Mitglied: d4shoerncheN
d4shoerncheN 27.03.2012 um 12:22:49 Uhr
Goto Top
Denke hier ist eine gute Erklärung über den Smarthost

http://technet.microsoft.com/de-de/library/cc626187%28v=ws.10%29.aspx
Mitglied: Pjordorf
Pjordorf 27.03.2012 um 14:08:56 Uhr
Goto Top
Hallo,

Zitat von @DominikG:
mit weitergeleiteten MX-Record.
Was willst du uns hiermit sagen? Den MX Eintrag weitergeleitet? ?!?

Jetzt ist es so, dass ständig andere Exchange-Server die im internet tätig sind, über diesen Server Mails versenden wollen.
?!? Bitte was? Andere Mailserver im Internet wollen über euren Exchangesrver Mails versenden? Warum? Ist das ein Relay / Offenes Relay?

Die öffnen eine Sitzung mit dem Server und wollen Mails versenden, das funktioniert aber nicht und verstopfen die Exchange-Queue und legen den Server lahm.
Bitte erkläre was du genau meinst. Wie können andere Mailserver über euren Mailserver versenden? Von welcher mailqueue sprcihst du? Und was bedeutet "legen den Server lahm"?

dass man den Exchange nicht offen ins Internet stellt
Korrekt.

und die Mails über einen Smarthost dann direkt zu dem Server leitet
Ein Smarthost dient einzig dem Postausgang damit du nicht direkt per DNS an allen Empfängern senden musst. Siehe auch den Link von DarkfoX http://technet.microsoft.com/de-de/library/cc626187%28v=ws.10%29.aspx

Meine Frage ist, ob das so stimmt und was dafür von Nöten wäre um so etwas funktional umzustellen?
Bietet dein Provider keinen Smarthost für Firmen an?

Wie hoch wäre der Aufwand, da ich nicht das Unternehmen stundenlang lahm legen möchte?
Umstellen von Mailversand per DNS auf Mailversand per Smarthost. (2 Minuten).

Gruß,
Peter
Mitglied: Pjordorf
Pjordorf 27.03.2012 um 14:15:22 Uhr
Goto Top
Hallo,

Zitat von @DominikG:
Also die feste IP von meinem Kunden scheint bekannt zu sein,
Oh Wunder! Für was denkst du ist der MX Eintrag denn eigentlich da?

da werden ständig mails von anderen Servern darüber gesendet und verstopfen die Warteschlange
Bitte dieses genau erklären. Wr können mit deinen ungenauen Aussagen nur Vermuten, aber es muss nicht zutreffen was wir Vermuten.

das ist zum verrückt werden.
Was? Das genaue Erklärenface-smile?

das ist die Stelle über die ich den Server hinter dem Smarthost verstecke
Wieso verstecken? Da wird nichts versteckt. Welchen sinn soll das haben? Es ist nur ein kleiner Unterschied ob du direkt an jeden Mailserver sendest oder ob es ein anderer (dein Smarthost) für dich übernimmt. Mach dir mal klar wie Mail per SMTP funktioniert.

und der Server nicht direkt im internet freigebe
Ein Server sollte nie direkt im Internet hängen. Ein Schutz muss immer davor.

oder ist das nur die Stelle an der ich sagen kann, dass die Mails über 1und 1 oder einen anderen provider geschickt werden?
Ja.

Gruß,
Peter
Mitglied: Pjordorf
Pjordorf 27.03.2012 um 14:25:28 Uhr
Goto Top
Hallo,

Zitat von @DominikG:
Das bedeutet dann, wenn eine Mail empfangen wird,
Ein mail wird nicht empfangen! Eine Mail wird nur per SMTP zugestellt. Dein Exchangeserver kann keine Mails (aktiv) empfangen. Er lauscht auf eine Port (TCP 25) ob jemand eine Mail für ihn hat. Eine Mail wird immer zugestellt.

geht sie erst durch den smarthost und der leitet sie an den mx-record (der server bzw. die feste IP) weiter und der versand genauso nur anderst rum?
Was soll durch eine IP gehen? Eine IP ist nur eine Adresse und kein Gerät oder Funktion. Mails können per SMTP nur versendet werden. Also gibt es nur eine Richtung, ausgehend. Ein smarthost dient nur einem Zweck. Mails über diesen zu Versenden .Du bürdest also jemand anders die Aufgabe auf, deine Mails zuzustellen mit all seinen fallstricken. Beispiel: Du hast eine wechselnde Öffentliche IP. dann wird kaum ein mailserver dieser Welt deine Mails (Versand per DNS) annehmen. Warum? Weil ein Spammer keine Feste nachvollziehabre IP hat. Der sucht sich also Offene Mailserver (Open Relay) und versendet stattdessen darüber. Das ist dann der Smarthost für den Spammer.

Gruß,
Peter
Mitglied: wiesi200
wiesi200 27.03.2012 um 18:34:51 Uhr
Goto Top
Zitat von @DominikG:
Vielen Dank für deine schnelle Antwort.

Also die feste IP von meinem Kunden scheint bekannt zu sein, da werden ständig mails von anderen Servern darüber
gesendet und verstopfen die Warteschlange, das ist zum verrückt werden.

Hallo,

Kurz und knapp dann ist dein Exchange als Open Relay konfiguriert was grundsätzlich nicht gut ist.

Wenn das ein "Kunde" von dir ist und du dich mit diesem Thema nicht so auskennst solltest du dann nicht so ehrlich zum Kunden sein und ihm das mitteilen damit sich jemand darum kümmern kann einen Exchange konfigurieren kann?