6
SBS2003, Mail-Relay und sonstige Späße
Hallo zusammen,
ich werkle gerade an einem Problem, das ich gerne mal schildern würde. Ggf weiß ja jemand Rat und könnte in der Hinsicht Licht ins dunkle bringen.
Wir haben einen SBS2003 mit Exchange laufen. Dazu haben wir eine Linux-Firewall und einen externen Webserver, der als Mail-Relay fungiert (Smarthost). Webserver und Firewall sind über einen VPN-Tunnel (OpenVPN) verbunden. Hier kommt dann Postfix bzw. fetchmail zum Zug um die Mails rauszuhauen bzw. reinzuholen.
Das Ganze Konstrukt wurde uns vor einigen Jahren von einem Dienstleister eingerichtet und lief bislang auch meist ohne Komplikationen.
Doch nun wollen wir die Linux-FW durch eine Appliance ablösen. Eins der Probleme ist hier, dass die Appliance nur IPSEC VPN kann und somit unser OpenVPN zwangsläufig rausfliegen muss.
Aber auf der anderen Seite... in wie fern ist es denn heutzutage noch üblich ein solches Konstrukt am Laufen zu halten? Wäre es nicht möglich sich bei der Telekom o.ä. eine feste IP zu besorgen und das Mail-Relay auf den internen Exchange-Server zu verlagern? Sodass halt alles direkt von hier intern rein und rausgeht und nicht erst den Umweg über den Webserver nimmt?
Wenn ja... was müsste man dazu beachten bzw machen? Feste IP besorgen, ist klar. Aber was noch? Und... was passiert, wenn mal das Internet kurzzeitig ausfällt? Werden eingehende Mails direkt abgelehnt oder erst irgendwo gebuffert? ich denke mal, die gehen zurück an den absendenden Server und verweilen dort für X Tage in der Warteschlange, von daher wäre ein kurzzeitiger DSL-Ausfall kein Beinbruch? Oder befinde ich mich hier vollkommen auf dem Holzweg?
Bei zu wenig Input werde ich gerne weitere Angaben machen.
Ich danke im Voraus für eure Kommentare!
Gruß, Luk
ich werkle gerade an einem Problem, das ich gerne mal schildern würde. Ggf weiß ja jemand Rat und könnte in der Hinsicht Licht ins dunkle bringen.
Wir haben einen SBS2003 mit Exchange laufen. Dazu haben wir eine Linux-Firewall und einen externen Webserver, der als Mail-Relay fungiert (Smarthost). Webserver und Firewall sind über einen VPN-Tunnel (OpenVPN) verbunden. Hier kommt dann Postfix bzw. fetchmail zum Zug um die Mails rauszuhauen bzw. reinzuholen.
Das Ganze Konstrukt wurde uns vor einigen Jahren von einem Dienstleister eingerichtet und lief bislang auch meist ohne Komplikationen.
Doch nun wollen wir die Linux-FW durch eine Appliance ablösen. Eins der Probleme ist hier, dass die Appliance nur IPSEC VPN kann und somit unser OpenVPN zwangsläufig rausfliegen muss.
Aber auf der anderen Seite... in wie fern ist es denn heutzutage noch üblich ein solches Konstrukt am Laufen zu halten? Wäre es nicht möglich sich bei der Telekom o.ä. eine feste IP zu besorgen und das Mail-Relay auf den internen Exchange-Server zu verlagern? Sodass halt alles direkt von hier intern rein und rausgeht und nicht erst den Umweg über den Webserver nimmt?
Wenn ja... was müsste man dazu beachten bzw machen? Feste IP besorgen, ist klar. Aber was noch? Und... was passiert, wenn mal das Internet kurzzeitig ausfällt? Werden eingehende Mails direkt abgelehnt oder erst irgendwo gebuffert? ich denke mal, die gehen zurück an den absendenden Server und verweilen dort für X Tage in der Warteschlange, von daher wäre ein kurzzeitiger DSL-Ausfall kein Beinbruch? Oder befinde ich mich hier vollkommen auf dem Holzweg?
Bei zu wenig Input werde ich gerne weitere Angaben machen.
Ich danke im Voraus für eure Kommentare!
Gruß, Luk
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 133132
Url: https://administrator.de/contentid/133132
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
ob etwas üblich ist oder nicht hängt zum einen von der Firmengröße ab. Dann von den Fähigkeiten des Admins (es bringt dir ja wenig wenn du eine übliche Lösung hast die du aber nicht realisieren kannst). Und zum Schluss auch davon wie die genauen Umstände sind...
Aber: Ganz unüblich ist euer Aufbau durchaus nicht. Denn so kann man auf dem Linux bereits einen Spam- und Virenschutz realisieren. Natürlich kann der Exchange das auch - aber: Ein Virus der gar nicht erst bis zum Windows-System kommt kann dort auch keinen Schaden anrichten!
Zum thema eigene Mails: Wenn deine Internetleitung ausfällt gibt es 2 Optionen: Die eine ist ein Backup-Mailserver der die Mails dann für dich annimmt und dir dann später zustellt. Die andere ist das SMTP-Protokoll selbst: Hier ist klar vereinbart das eine Email auch mal nicht zugestellt werden kann und der absende-Server dies somit nach einer Retry-Time nochmal ausprobiert (idR. 4h). Nach 3 Tagen (default) wird die Mail dann als nicht zustellbar an den Absender zurückgeschickt.
Wichtig ist aber auch das du genau weisst wie du deinen Exchange absichern kannst damit du nicht plötzlich nen öffentliches Relay damit machst und selbst zur Spamschleuder wirst. Denn dann hast du richtig spass - vom Ärger mit dem Provider bis zum löschen von irgendwelchen Blacklist-Einträgen darfst du dann ne ganze Menge machen...
ob etwas üblich ist oder nicht hängt zum einen von der Firmengröße ab. Dann von den Fähigkeiten des Admins (es bringt dir ja wenig wenn du eine übliche Lösung hast die du aber nicht realisieren kannst). Und zum Schluss auch davon wie die genauen Umstände sind...
Aber: Ganz unüblich ist euer Aufbau durchaus nicht. Denn so kann man auf dem Linux bereits einen Spam- und Virenschutz realisieren. Natürlich kann der Exchange das auch - aber: Ein Virus der gar nicht erst bis zum Windows-System kommt kann dort auch keinen Schaden anrichten!
Zum thema eigene Mails: Wenn deine Internetleitung ausfällt gibt es 2 Optionen: Die eine ist ein Backup-Mailserver der die Mails dann für dich annimmt und dir dann später zustellt. Die andere ist das SMTP-Protokoll selbst: Hier ist klar vereinbart das eine Email auch mal nicht zugestellt werden kann und der absende-Server dies somit nach einer Retry-Time nochmal ausprobiert (idR. 4h). Nach 3 Tagen (default) wird die Mail dann als nicht zustellbar an den Absender zurückgeschickt.
Wichtig ist aber auch das du genau weisst wie du deinen Exchange absichern kannst damit du nicht plötzlich nen öffentliches Relay damit machst und selbst zur Spamschleuder wirst. Denn dann hast du richtig spass - vom Ärger mit dem Provider bis zum löschen von irgendwelchen Blacklist-Einträgen darfst du dann ne ganze Menge machen...
Hallo maretz, vielen Dank für deine Antwort.
Wenn man seine Firewall-Appliance entsprechend konfiguriert, sollte die als SPAM- und Virenfilter doch eigentlich auch den gewünschten Erfolg erzielen, oder sehe ich das falsch? Sicherlich nicht so gut, wie zwei Linux-Server, die eine Mail nacheinander durchreichen aber sicher ist das Ganze dann denke ich doch schon.
Welche Schritte wären denn in etwa von Nöten um das System von Smarthost inkl VPN und Webserver in Richtung lokaler Webserver umzumünzen? Man muss den host netürlich über entsprechende EInträge auf die feste DSL-IP leiten aber sonst noch....?
Gruß, Luk
Wenn man seine Firewall-Appliance entsprechend konfiguriert, sollte die als SPAM- und Virenfilter doch eigentlich auch den gewünschten Erfolg erzielen, oder sehe ich das falsch? Sicherlich nicht so gut, wie zwei Linux-Server, die eine Mail nacheinander durchreichen aber sicher ist das Ganze dann denke ich doch schon.
Welche Schritte wären denn in etwa von Nöten um das System von Smarthost inkl VPN und Webserver in Richtung lokaler Webserver umzumünzen? Man muss den host netürlich über entsprechende EInträge auf die feste DSL-IP leiten aber sonst noch....?
Gruß, Luk
Hallo,
deine Appliance ist zu sehr hoher wahrscheinlichkeit ein linux (oder bsd) server mit einem oder mehreren virenscannern ;)
deine Appliance ist zu sehr hoher wahrscheinlichkeit ein linux (oder bsd) server mit einem oder mehreren virenscannern ;)
Hi chewbakka,
ja, das ist richtig. Genauer ist eine Juniper SSG-Firewall. Ich nehme mal an, dass so eine Appliance für die man ja natürlich auch seine jährlichen Gebühren zahlen muss in der Lage ist den Mailverkehr an den Exchange zu schicken und gleichzeitig auch auf Viren und anderen Humbug zu scannen.
ja, das ist richtig. Genauer ist eine Juniper SSG-Firewall. Ich nehme mal an, dass so eine Appliance für die man ja natürlich auch seine jährlichen Gebühren zahlen muss in der Lage ist den Mailverkehr an den Exchange zu schicken und gleichzeitig auch auf Viren und anderen Humbug zu scannen.
Hallo,
klar, die Appliance ist ein Mailrelay, dass eben nach Spam und Viren scannen kann.
klar, die Appliance ist ein Mailrelay, dass eben nach Spam und Viren scannen kann.
So, das mit der festen IP bei der Telekom hat nun auch geklappt. Ist geändert und funktioniert auch so, wie sie soll.
Was nun noch wohl folgt ist:
Reverse Mapping
Hier haben Sie die Möglichkeit, ein Reverse Mapping (Rückwärtsauflösung) Ihrer festen IP-Adresse auf einen oder mehrere Hostnamen zu beauftragen. Reverse Mapping ist z.B. für den erfolgreichen Betrieb eines eigenen E-Mail-Servers erforderlich. Voraussetzung für die Beauftragung ist, dass diese Hostnamen bereits auf Ihre feste IP-Adresse (vorwärts) aufgelöst werden können.
Was heisst das nun genau für mich. Bislang gingen die Mails an hanswurst@domain.de und unter www.domain.de war der webserver zu erriechne mit einer Webseite drauf. Aber so wie ich das nun verstehe, wollen die, dass ich die domain.de auf meine feste IP ummünze?! Oder habe ich gerade ein Verständnissproblem?
Danke und gruß!
Was nun noch wohl folgt ist:
Reverse Mapping
Hier haben Sie die Möglichkeit, ein Reverse Mapping (Rückwärtsauflösung) Ihrer festen IP-Adresse auf einen oder mehrere Hostnamen zu beauftragen. Reverse Mapping ist z.B. für den erfolgreichen Betrieb eines eigenen E-Mail-Servers erforderlich. Voraussetzung für die Beauftragung ist, dass diese Hostnamen bereits auf Ihre feste IP-Adresse (vorwärts) aufgelöst werden können.
Was heisst das nun genau für mich. Bislang gingen die Mails an hanswurst@domain.de und unter www.domain.de war der webserver zu erriechne mit einer Webseite drauf. Aber so wie ich das nun verstehe, wollen die, dass ich die domain.de auf meine feste IP ummünze?! Oder habe ich gerade ein Verständnissproblem?
Danke und gruß!
