torsten73
Goto Top

SBS2003 Exchange und SMTP Connector konfigurieren mit Dyndns.org,hohes Sicherheitsrisiko ?

Hallo,
ich benutze bisher den Pop3 Connector von Exchange. Da muß ich nun aber ändern, da wir unsere EMail Domäne nutzen möchten, also nicht mehr irgendwas@online.de sondern Mustermann@Mustermann.de.
Die Mustermann.de existiert bereits und wird nicht von mir verwaltet. Ich kann diese aber auf unseren Mailserver verweisen lassen.Dazu benötigt der DomänenAdmin aber Infos von mir. Welche für die Domäne bei der Telekom benötigt sind weiss ich nicht genau. Ich vermute mal die MX Einträge und IP Adresse.
Da wir z.Zt. keine feste IP haben und da noch zu lange dauert, bis wir die haben, wollte ich den bereits bestehenden Dyndns Account dazu verwenden.
Auf MSXFAQ.de gibt es eine Anleitung, die sich leider nicht auf den SBS bezieht.

Wer kann mir also helfen, die benötigten Infos zu sammeln, bzw sagen, wie ich den Assistenten für EMail und Internetzugang richtig konfiguriere? Was wird bei der Telekom dann eingetragen?
Im Gegensatz zum Pop Connector, der EMailadressen beim Provider eingetragen hat, wie mache ich das beim SMTP Connector? Werden da die bestehenden Adressen des lokalen Servers automatisch als EMailadressen genutzt?

Danke für Eure Hilfe

Torsten

Content-ID: 102638

Url: https://administrator.de/forum/sbs2003-exchange-und-smtp-connector-konfigurieren-mit-dyndns-org-hohes-sicherheitsrisiko-102638.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

cykes
cykes 25.11.2008, aktualisiert am 18.10.2012 um 18:36:35 Uhr
Goto Top
Hallo,

wir haben hier: Internet Mail mit lokaler IP?
gerade eine ähnlich gelagerte Diskussion.

Die Anleitung bei MSXFAQ kannst Du verwenden, allerdings ist es absolut nicht zu empfehlen mit einer dynamischen IP (auch mit einer "pseudo" festen IP aus dem Pool der dyn. IPs des DSL Providers) einen Exchange direkt ans Netz zu hängen und die MX Einträge auf die IP des Exchange umzubiegen. Zum einen hat man mit einem DSL Anschluss i.d.R. eine 24h Zwangstrennung zum anderen muss der Exchange absolut sauber konfiguriert sein, damit keine Spammer Zugriff auf das System bekommen.

Bleib lieber bei der Kombination aus POP Connector (oder den in obenstehendem Thread erwähnten alternativen Tools) und dem Smarthost Deines Providers. Dann kannst Du erheblich ruhiger schlafen.

Gruß

cykes
BernhardMeierrose
BernhardMeierrose 25.11.2008 um 16:45:24 Uhr
Goto Top
Hi,

wenn Ihr nicht zwingend auf sekundengenaues Eintreffen von Mails angewiesen seit, dann lass vom Provider ein Catchall-Postfach einrichten was Du ganz normal mit einem POP-Connector abholst.
Offene Ports nach außen sind immer ein Sicherheitsrisiko und potentielle Stressfaktoren.
Mit dynamischen IPs würde ich erst gar nicht anfangen, das gibt nur Hampeleien und vor allen Dingen müsstest Du bei einer Direktzustellung auch zusehen, dass Dein Server 24*7 verfügbar ist.

Gruß
Bernhard
Torsten73
Torsten73 25.11.2008 um 19:27:14 Uhr
Goto Top
Hallo,
Danke für Eure Antworten.
1. wir setzten den Gdata AV Enterprise ein. Dieser bietet auch einen Schutz für Mailgateways und somit sollte ein guter Schutz vor Spamerataken vorhanden sein. Oder nicht?
2. die Domäne wird nicht von mir verwaltet, sondern von unserer Cooperation. Un daher ist unser Firmenname nicht mehr als Domaine verfügbar, und daher kann ich auch keine Pop3 Connectoren konfigurieren. Die Cooperationsverwaltung würde zwar die Domaine an uns abtreten, dann bin ich aber auch für die Pflege verantwortlich, und das kann ich nicht und habe vor allem keine Zeit dafür.
3. die 15min Zeitspanne der Pop3 Connectoren ist eigentlich zu kurz. Bei Freischaltungen von Verträgen ist die Wartezeit für Kunden immer ein Ärgerniss.
4. Wenn der Server mal zwischendurch nicht erreichbar ist, bricht nicht die Welt zusammen. So viele Mails bekommen wir nun bei weitem nicht. Und die werden schließlich wiederholt zugestellt. Länger als 12h wird der Server kaum jemals offline sein.

Torsten
Torsten73
Torsten73 28.11.2008 um 14:52:10 Uhr
Goto Top
Ich möchte nochmals auf die Sicherheitsfrage eingehen.
Inwieweit habe ich ein Sicherheitsrisiko, wenn ich die Mail Security von Gdata verwende? Der Port 25 wird dort umgeleitet über die Mail Security und geschützt. Reicht die aber bei SMTP aus, das ja so gefährlich "offen" sein soll? Der Server verwendet übrigens eine eigene Netzwerkkarte für den INetzugang.

Wie machen es andere Firmen, die mit großen Mails arbeiten müssen? Lt. Gdata Support wird das eigentlich immer so gemacht und viele (größere) Firmen die einen eigenen Mailserver benötigen machen dies genauso. (Stichwort Mailgröße, Anzahl Postfächer, Verwaltungsaufwand, direkter Abruf vom SBS, etc). Der SMTP Empfang hat eigentlich doch überwiegend nur Vorteile.

Da ich dieser Information von GData vertraue, denke ich werde ich dies nun so umsetzten. Außer Euch fällt noch etwas auf, was ich übersehen habe... Wir sind ja keine Bank oder irgendwie besonders interessant :;)

Cu
Torsten
cykes
cykes 28.11.2008 um 16:51:42 Uhr
Goto Top
Zitat von @Torsten73:
Ich möchte nochmals auf die Sicherheitsfrage eingehen.
Inwieweit habe ich ein Sicherheitsrisiko, wenn ich die Mail Security
von Gdata verwende? Der Port 25 wird dort umgeleitet über die
Mail Security und geschützt. Reicht die aber bei SMTP aus, das ja
so gefährlich "offen" sein soll? Der Server verwendet
übrigens eine eigene Netzwerkkarte für den INetzugang.

Wie oben bereits erwähnt, hat das nichts mit der Netzwerkkarte zu tun, sondern mit dem DSL Zugang und dessen Eigenschaft der 24h Zwangstrennung. Außerdem hat man mit einer dynamischen IP die entsprechenden Probleme beim Versenden.

Wie machen es andere Firmen, die mit großen Mails arbeiten
müssen? Lt. Gdata Support wird das eigentlich immer so gemacht
und viele (größere) Firmen die einen eigenen Mailserver
benötigen machen dies genauso. (Stichwort Mailgröße,
Anzahl Postfächer, Verwaltungsaufwand, direkter Abruf vom SBS,
etc). Der SMTP Empfang hat eigentlich doch überwiegend nur
Vorteile.

Mit der Größe der Mails hat das nichts zu tun. In entsprechenden Umgebungen ist dann meist ein reines Mailgateway vorhanden, das in der DMZ der Firewall steht. Dieses Mailgateway reicht die Mails nur durch und läuft auf einem entsprechend gesicherten Betriebssystem. Das ganze hängt dann an irgendeiner Art Festverbindung/Standleitung (SDSL o.ä.). Der interne Exchange (MDA), der die Postfächer hält, ist dann meist so eingestellt, dass er nur Mails von dem Mailgateway annimmt.

Da ich dieser Information von GData vertraue, denke ich werde ich
dies nun so umsetzten. Außer Euch fällt noch etwas auf, was
ich übersehen habe... Wir sind ja keine Bank oder irgendwie
besonders interessant :;)

Das ist ein leider weit verbreiteter Irrglaube ("nicht...besonders interessant"), und Spammern ist es meist egal, was eigentlich auf dem Mailserver passiert, Hackern vielleicht nicht, insbesondere da Du oben schreibst, dass ihr Verträge per Mail versendet.
Torsten73
Torsten73 28.11.2008 um 17:56:02 Uhr
Goto Top
@cykes:
Danke für Deine Antwort.
Ich sehe noch immer nicht worin die Probleme der Zwangstrennung bestehen. Der Provider bekommt doch gar nichts von der dynamischen IP mit. Der "sieht" ja nur die von Dyndns, und die leiten die Anfragen einfach an unsere IP:Port weiter. Oder?

Kennst Du die Gdata Business Enterprise Version ? Dort ist ein MailGateway Modul integriert. Das dies vielleicht nicht den gleichen Sicherheitsmastäben standhält wie ein dedizierter Exchange Server ist klar, hier wird aber auch nur ein SBS für 5 User benutzt. Da kann man nicht die Sicherheitsmaßstäbe wie bei eimem normalen Server 2003 mit vielleicht 50 Usern ansetzten. Das wäre schlicht unbezahlbar.

Ich möchte aber trotzdem die bestmögliche Sicherheit die mit einem SBS zu realisieren und hier bezahlbar ist umsetzten. Sonst hätte ich keine Gdata Business Enterprise im Einsatz.

Verträge werden übrigens nicht gesendet per Mail. Das macht kein Anbieter bei uns. Wir empfangen aber die Freischaltungen für die Verträge per Mail.

Die E-Mailgröße ist nur ein Nutzeffekt umd die Größenbeschränkungen der Provider zu umgehen.

In rund einem 3/4 Jahr wechseln wir eh zur Telekom zurück. Dann haben wir auch eine Feste IP. Obwohl man damit für Hacker das Leben im Grunde noch einfacher macht. So lange kann ich aber mit den EMailadressen nicht mehr warten. Sonst sind unsere Adressen weg, bevor wir die neuen genügend verbreitet haben. So kann ich noch übergangsweise den Empfang der alten Adressen ja sicherstellen.

Die seperate Netzwerkkarte habe ich erwähnt, da ich so sicherstellen kann dass der Port 25 wirklich nur am Server landet und dort von der Firewall vor den restlichen Arbeitsplätzen verborgen bleibt. Somit haben die Arbeitsplätze keine Ports geöffnet und der Server nur die zwingend erforderlichen.
So habe ich es als sichere Konfiguration des SBS gelernt.

Cu
Torsten
cykes
cykes 29.11.2008 um 06:53:45 Uhr
Goto Top
Zitat von @Torsten73:
@cykes:
Danke für Deine Antwort.

Bittesehr face-wink

Ich sehe noch immer nicht worin die Probleme der Zwangstrennung
bestehen. Der Provider bekommt doch gar nichts von der dynamischen IP
mit. Der "sieht" ja nur die von Dyndns, und die leiten die
Anfragen einfach an unsere IP:Port weiter. Oder?

Zunächst einmal wäre zu klären, ob Du im DNS Deiner Emaildomäne @meinefirma.de überhaupt die DynDNS Domäne (bspw. meinefirma.dyndns.org) als MX eintragen kannst (häufig geht hier nur eine IP), da Du ja nicht mit Email-Adressen @meinefirma.dyndns.org arbeiten willst. Geht das nicht, kannst Du Dir den Aufwand sowieso sparen. Zum Thema Zwangstrennung, das kann (muß aber nicht) ganz merkwürdige Nebeneffekte haben, insbesondere, wenn gerade Mails per SMTP "reinkommen" und die Zwangstrennung stattfindet. Dun solltest in jedem Fall einen immer erreichbaren Backup MX eintragen, wenn Du diesen Weg einschlägst.

Kennst Du die Gdata Business Enterprise Version ? Dort ist ein
MailGateway Modul integriert. Das dies vielleicht nicht den gleichen
Sicherheitsmastäben standhält wie ein dedizierter Exchange
Server ist klar, hier wird aber auch nur ein SBS für 5 User
benutzt. Da kann man nicht die Sicherheitsmaßstäbe wie bei
eimem normalen Server 2003 mit vielleicht 50 Usern ansetzten. Das
wäre schlicht unbezahlbar.

Ich kenne die GData Lösung nicht, wenn das Mailgateway auf einer extra Maschine läuft, ist das so schon deutlich sicherer.

Ich möchte aber trotzdem die bestmögliche Sicherheit die
mit einem SBS zu realisieren und hier bezahlbar ist umsetzten. Sonst
hätte ich keine Gdata Business Enterprise im Einsatz.

Verträge werden übrigens nicht gesendet per Mail. Das macht
kein Anbieter bei uns. Wir empfangen aber die Freischaltungen für
die Verträge per Mail.

Die E-Mailgröße ist nur ein Nutzeffekt umd die
Größenbeschränkungen der Provider zu umgehen.

Auch hier sei noch mal erwähnt, dass der (direkte) Versand von Mails per DNS vom Exchange aus (nicht über Smarthost des Providers) diverse Probleme verursachen kann, da dynamische IPs (oder pseudo feste IPs aus dem dynamischen Pool eines Providers) meist bei Empfängern auf der schwarzen Liste stehen und nicht angenommen werden.

In rund einem 3/4 Jahr wechseln wir eh zur Telekom zurück. Dann
haben wir auch eine Feste IP.

Wenn das dann auch ein DSL Anschluss (Business Variante von T-Home bspw.) ist, dann bringt Dich das nur einen kleinen Schritt weiter (s.o.).

Obwohl man damit für Hacker das
Leben im Grunde noch einfacher macht. So lange kann ich aber mit den
EMailadressen nicht mehr warten. Sonst sind unsere Adressen weg, bevor
wir die neuen genügend verbreitet haben. So kann ich noch
übergangsweise den Empfang der alten Adressen ja sicherstellen.

Die seperate Netzwerkkarte habe ich erwähnt, da ich so
sicherstellen kann dass der Port 25 wirklich nur am Server landet und
dort von der Firewall vor den restlichen Arbeitsplätzen verborgen
bleibt. Somit haben die Arbeitsplätze keine Ports geöffnet
und der Server nur die zwingend erforderlichen.
So habe ich es als sichere Konfiguration des SBS gelernt.

Das ist sicher schon mal ein vernünftiger Ansatz. Ich will Dir ja nur die möglichen Probleme mit dieser Konfiguration aufzeigen, wenn ihr ein mal - aus welchem Grund auch immer - auf irgendwelchen Blacklists landet, ist es ohne erheblichen Aufwand meist nicht möglich, davon wieder runterzukommen.

Gruß

cykes
Torsten73
Torsten73 29.11.2008 um 12:42:28 Uhr
Goto Top
Zunächst einmal wäre zu klären, ob Du im DNS Deiner
Emaildomäne @meinefirma.de überhaupt die DynDNS Domäne
(bspw. meinefirma.dyndns.org) als MX eintragen kannst (häufig
geht hier nur eine IP), da Du ja nicht mit Email-Adressen
@meinefirma.dyndns.org arbeiten willst.

Die Domäne liegt bei der T-Com. Was für ein Vertrag usw. weiss ich nicht. Ich habe dem Support Admin der Domäne unsere Dyndns Adresse geschickt. Also bei Domain Factory geht es, bei 1und1 auch, und da gehe ich doch schwer davon aus, das die Telekom das auch kann. Wäre sonst ein Armutszeugniss, oder nicht?

Dun solltest in jedem Fall einen immer
erreichbaren Backup MX eintragen, wenn Du diesen Weg
einschlägst.

Das wäre dann der MX der T-Com selber. So habe ich es aus der MSFAQ.de raus verstanden.

Ich kenne die GData Lösung nicht, wenn das Mailgateway auf einer
extra Maschine läuft, ist das so schon deutlich sicherer.

Nein dies ist eine One Machine Lösung. Ist halt ein SBS und die Gdata Softwaremodule sind also auch beide auf dem selben System.

Auch hier sei noch mal erwähnt, dass der (direkte) Versand von
Mails per DNS vom Exchange aus (nicht über Smarthost des
Providers) diverse Probleme verursachen kann, da dynamische IPs (oder
pseudo feste IPs aus dem dynamischen Pool eines Providers) meist bei
Empfängern auf der schwarzen Liste stehen und nicht angenommen
werden.

Damit meinst Du aber nicht Dyndns.org, oder? Es ist ja nicht meine lokale ISP Adresse die bei der TCom eingetragen wird, sondern die IP (DNS) von Dyndns.org. Meine lokale Adresse einzutragen würde schließlich auch keinen Sinn bringen, da ich die täglich ändern müsste. Und die von Dyndns.org ist ja eine (pseudo) feste IP, so dass die nicht belockt wird. Genau das ist ja der Trick der hier beschrieben wird:
http://www.msxfaq.de/internet/ddns.htm

Durchaus allerdings, das ich hier noch was durcheinander schmeiße, dies ist alles noch Neuland für mich.

Wenn das dann auch ein DSL Anschluss (Business Variante von T-Home
bspw.) ist, dann bringt Dich das nur einen kleinen Schritt weiter
(s.o.).

Yepp, so isses.

... Ich will Dir
ja nur die möglichen Probleme mit dieser Konfiguration aufzeigen,
wenn ihr ein mal - aus welchem Grund auch immer - auf irgendwelchen
Balcklists landet, ist es ohne erheblichen Aufwand meist nicht
möglich, davon wieder runterzukommen.

Das wäre allerdings fatal. Deshalb frage ich solange bis alle Klarheiten beseitigt sind :;) Deshalb danke für Deine Geduld und Antworten!

Cu
Torsten
cykes
cykes 30.11.2008 um 10:07:12 Uhr
Goto Top
Hallo,

ich lösche mal meine alten Kommentare, damit die Diskussion etwas übersichtlicher bleibt:

Zitat von @Torsten73:
[...]
Die Domäne liegt bei der T-Com. Was für ein Vertrag usw.
weiss ich nicht. Ich habe dem Support Admin der Domäne unsere
Dyndns Adresse geschickt. Also bei Domain Factory geht es, bei 1und1
auch, und da gehe ich doch schwer davon aus, das die Telekom das auch
kann. Wäre sonst ein Armutszeugniss, oder nicht?

Wie gesagt, das solltest Du zunächst prüfen, ob man dort den DynDNS Hostnamen eintragen kann.

[...]
Das wäre dann der MX der T-Com selber. So habe ich es aus der
MSFAQ.de raus verstanden.

Zum Beispiel.

> [...]
Damit meinst Du aber nicht Dyndns.org, oder? Es ist ja nicht meine
lokale ISP Adresse die bei der TCom eingetragen wird, sondern die IP
(DNS) von Dyndns.org. Meine lokale Adresse einzutragen würde
schließlich auch keinen Sinn bringen, da ich die täglich
ändern müsste. Und die von Dyndns.org ist ja eine (pseudo)
feste IP, so dass die nicht belockt wird. Genau das ist ja der Trick
der hier beschrieben wird:
http://www.msxfaq.de/internet/ddns.htm

Ich habe hier vom Versand der Mails gesprochen, der hat mit DynDNS nichts zu tun. Es gibt bei Mailservern grundsätzlich zwei Möglichkeiten des Mailversands (ausgehende Mails). Entweder per DNS-Auflösung lokal - auch Direktversand genannt, hier wird bei einer Mail an empfänger@zieldomain.de von Deinem Exchange der MX von zieldomain.de aufgelöst udnd er Exchange verbindet sich dann direkt mit dem gefundenen MX. Hast Du eine dynamische IP, kommt es bei dieser Methode häufig zu den genannten Problemen (Blacklists etc.) und die Mails werden vom Ziel-MX nicht angenommen.
Die zweite Möglichkeit ist, die Mails über den Smarthost des Providers zu versenden, der erfordert meist SMTP-Auth oder eine andere Authentifizierungs- und/oder Verschlüsselungsmethode und nimmt dann die ausgehenden Mails an und versendet sie seinerseits dann an den Empfänger.


Durchaus allerdings, das ich hier noch was durcheinander
schmeiße, dies ist alles noch Neuland für mich.

> Wenn das dann auch ein DSL Anschluss (Business Variante von
T-Home
> bspw.) ist, dann bringt Dich das nur einen kleinen Schritt
weiter
> (s.o.).

Yepp, so isses.

> ... Ich will Dir
> ja nur die möglichen Probleme mit dieser Konfiguration
aufzeigen,
> wenn ihr ein mal - aus welchem Grund auch immer - auf
irgendwelchen
> Balcklists landet, ist es ohne erheblichen Aufwand meist nicht
> möglich, davon wieder runterzukommen.

Das wäre allerdings fatal. Deshalb frage ich solange bis alle
Klarheiten beseitigt sind :;) Deshalb danke für Deine Geduld und
Antworten!

Bittesehr, kein Problem. Wir hatten hier schon sehr viele Anfragen bezüglich Exchange und direkter Versand bzw. Empfang von Mails an einer dynamischen IP Adresse.

Gruß

cykes