Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst SMTP over TLS mit Exchange 2010 und 1und1 realisieren

Mitglied: Maexx77

Maexx77 (Level 1) - Jetzt verbinden

09.07.2015, aktualisiert 10:34 Uhr, 1756 Aufrufe, 22 Kommentare

Hallo,

ein großer Kunde, nennen wir ihn AUTOBAUER, fordert von uns, dass wir die eMail Kommunikation mit ihm zwischen den Mail-Servern mit SMTP over TLS verschlüsseln. (so ein Fall wurde im Forum schon mal beschrieben, was mir allerdings nicht weitergeholfen hat.)

Unsere aktuelle Konfiguration sieht momentan wir folgt aus:

- wir haben einen Exchange 2010 Server
- dieser holt per POPBEAMER die eMails bei 1&1 ab
- versenden von eMail erfolgt per Sendeconnector direkt "ins Internet" also nicht über 1&1
- als HELO / EHLO wird mail.FIRMENNAME.de mit geschickt
- mail.FIRMENNAME.de ist eine SUB-Domain bei 1&1, die per A/AAAA Eintrag auf unsere statische IP verweist und an den Exchange weitergeleitet wird
- so werden wir nicht als Spammer identifiziert und OWA funktioniert auch

Folgende DNS Informationen sind hinterlegt:
Haupt-Domain
Domain-Namen: FIRMENNAME.de
IP-Adresse (A-Record):xxxxxxxxxxx
Nameserver1: ns20.schlund.de
Nameserver2: ns19.schlund.de
Mailserver1: mx01.schlund.de, 10
Mailserver2: mx00.schlund.de, 10


Sub-Domain
Domain-Namen: mail.FIRMENNAME.de
IP-Adresse (A-Record):xxxxxxxxx (unsere IP-Adresse)
Mailserver1: mx00.kundenserver.de, 10
Mailserver2: mx01.kundenserver.de, 10


Bei 1&1 haben wir ein SSL Zertifikat, welches auf www.FIRMENNAME.de lautet. Ein Umschreiben auf mail.FIRMENNAME.de soll laut 1&1 momentan nicht möglich sein. (Grund 1: Kündigung erst in 2 Monaten und dann mögliche Neuausstellung, Grund 2: Aussage der Hotline: *.FIRMENNAME.de soll von der Technik möglich sein, funktioniert aber nicht)

Ein TLS Check über http://www.checktls.com/ liefert dieses Ergebnis:
MX Server Pref Connect Allowed CanUse TLSAdv Cert OK TLS Neg Sndr OK Rcvr OK
mx01.schlund.de
[217.72.192.67] 10 OK OK OK OK FAIL OK FAIL FAIL
mx00.schlund.de
[212.227.15.41] 10 OK OK OK OK FAIL OK FAIL FAIL

Und nun wird es Zeit, dass jemand ein paar Bäume aus dem Weg schiebt, damit ich den Wald wieder sehe....

Wie muss ich das Ganze jetzt machen?
Wo (lokal oder bei 1&1) muss ich was für ein Zertifikat haben?

Ich hoffe mir kann jemand helfen.

Gruß Mäxx77


Mitglied: keine-ahnung
09.07.2015 um 10:41 Uhr
Moin,
ein kleiner Kunde, nennen wir ihn KARTOFFELBAUER, würde Dir als seinem Dienstleister ans Herz legen, den Exchange als Exchange zu nutzen und dann das oder die Zertifikate inhouse zu nutzen ... ohne MX-record wirst Du das sonst nicht gebastelt bekommen, wenn Du den pop-Krams nutzt und Dein Hoster kein entsprechendes Zertifikat für Deine mail-domain installieren kann.

LG, Thomas
Bitte warten ..
Mitglied: wiesi200
09.07.2015, aktualisiert um 10:56 Uhr
Hallo,

ich bin mir jetzt nicht ganz sicher, hatte mal von den Diversen Autobauern ala VW/Audi, BMW sogar ausführliche Beschreibungen auf den Tisch was die wie genau haben wollten.

Du musst das Zertifikat lokal haben, wobei jetzt alleine für TLS reicht ein SelfSign Zertifikat was ja der Exchange schon von Grund auf richtig eingerichtet hätte.
Die Kombination mit POPBEAMER halte ich für dein Vorhaben eher bedenklich und normal nicht funktionieren.

Auch viele Spamfilter verhindern TLS.
Bitte warten ..
Mitglied: Maexx77
09.07.2015 um 10:59 Uhr
Ok, aber selbst wenn ich ein Zertifikat hätte, was muss ich machen? Wo muss das Zertifikat hin? Muss ich dann für den AUTOBAUER und seinen Domains einen eigenen Sendeconnector mit TLS Authentifizierung?
Ich stehe echt auf dem Schlauch.
Bitte warten ..
Mitglied: Maexx77
09.07.2015 um 11:01 Uhr
Hallo,
warum ist der POPBeamer nicht gut? Der ist doch nötig, um die eMails abzuholen, oder nicht?
Bitte warten ..
Mitglied: Maexx77
09.07.2015 um 11:02 Uhr
Und wie bekomme ich ein sauberes Ergebnis bei http://www.checktls.com/ hin?
Bitte warten ..
Mitglied: wiesi200
09.07.2015 um 11:04 Uhr
Zitat von Maexx77:

Hallo,
warum ist der POPBeamer nicht gut? Der ist doch nötig, um die eMails abzuholen, oder nicht?

NaJa eher ne Notlösung wenn man nicht die geeignete Umgebung hat einen Exchange selber sauber zu betreiben.
Aber grundsätzlich ist so eine Lösung absoluter Schrott.
Bitte warten ..
Mitglied: Maexx77
09.07.2015 um 11:08 Uhr
Also meinst du eher, die Nachrichten direkt entgegen zu nehmen? Also die MX Datensätze bei 1&1 auf unsere IP umleiten? Was muss ich dann noch alles bedenken?
Bitte warten ..
Mitglied: colinardo
09.07.2015, aktualisiert um 11:16 Uhr
Hallo Maexx77,
durchgehende TLS Connections mit allen Mailservern ist momentan noch Wunschdenken, im Moment ist also TLS noch Opportunistic TLS (also wahlweises TLS) die Realität.
Zitat von Maexx77:
Ok, aber selbst wenn ich ein Zertifikat hätte, was muss ich machen? Wo muss das Zertifikat hin?
Das Zertifikat wird im Zertifikate Abschnitt Serverkonfiguration > Zertifikate des Exchange angegeben (für den Dienst SMTP) und im Sendeconnector wird TLS aktiviert.

Zur praktischen Umsetzung siehe folgenden Beitrag:
https://www.administrator.de/forum/exchange-2007-tls-aktivieren-225215.h ...

Grüße Uwe
Bitte warten ..
Mitglied: Maexx77
09.07.2015 um 11:18 Uhr
Wenn mir jetzt noch jemand sagen könnte, was für ein Zertifikat ich brauche und wo ich es bekomme, wäre mir glaube ich echt geholfen.
Bitte warten ..
Mitglied: colinardo
09.07.2015, aktualisiert um 11:26 Uhr
Zitat von Maexx77:

Wenn mir jetzt noch jemand sagen könnte, was für ein Zertifikat ich brauche und wo ich es bekomme, wäre mir glaube
ich echt geholfen.
Eine passende Zertifikatsanfrage (CSR) für ein SMTP-Zertifikat kannst du mit dem Exchange im o.g. Abschnitt (Serverkonfiguration > Zertifikate > Neues Exchange Zertifikat) mit einem Wizard erstellen. Diese Anfrage reichst du dann bei der Zertifizierungsstelle deiner Wahl ein, feddich.
Bitte warten ..
Mitglied: Maexx77
09.07.2015 um 11:37 Uhr
Was für eine Zertifizierungsstelle empfiehlst du?

Wie funktioniert das eigentlich, wenn wir die eMails nicht über 1&1, sondern direkt empfangen. Wenn unser Server dann mal nicht zur Verfügung steht (Neustart, Ausfall, Ausfall der Internetverbindung), dann sind ja auch die eMails weg. (Redundanz und Ausfallsicherheit ist klar, will ich aber jetzt hie rnicht diskutiren ).
Oder wie ist hier der Königsweg?
Bitte warten ..
Mitglied: colinardo
LÖSUNG 09.07.2015, aktualisiert um 12:30 Uhr
Zitat von Maexx77:
Was für eine Zertifizierungsstelle empfiehlst du?
Eine Liste der gängigsten findest du hier, preiswert ist hier z.B. GoDaddy
https://www.administrator.de/forum/%C3%9Cbersicht-ssl-zertifikaten-gr%C3 ...

Wie funktioniert das eigentlich, wenn wir die eMails nicht über 1&1, sondern direkt empfangen. Wenn unser Server dann mal
nicht zur Verfügung steht (Neustart, Ausfall, Ausfall der Internetverbindung), dann sind ja auch die eMails weg. (Redundanz
und Ausfallsicherheit ist klar, will ich aber jetzt hie rnicht diskutiren ).
Wenn der Server aus ist dann laufen die Mails ins leere weil die Gegenstelle den Server nicht erreichen kann (der Absender erhält nach einer bestimmten Zeit eine Unzustellbarkeitsnachricht)), außer du richtest einen Backup MX im DNS ein.
Oder wie ist hier der Königsweg?
Einen Backup MX-Eintrag im DNS für einen zweiten Mailserver hinterlegen. Dann nimmt der sendende Mailserver den nächsten Eintrag wenn der erste nicht erreichhbar ist. Die MX Einträge werden dazu mit Prio's versehen.
Bitte warten ..
Mitglied: wiesi200
09.07.2015 um 11:41 Uhr
Zitat von Maexx77:

Was für eine Zertifizierungsstelle empfiehlst du?

Wie funktioniert das eigentlich, wenn wir die eMails nicht über 1&1, sondern direkt empfangen. Wenn unser Server dann mal
nicht zur Verfügung steht (Neustart, Ausfall, Ausfall der Internetverbindung), dann sind ja auch die eMails weg.

Nö wie kommst du auf sowas?
Normal versucht ein Mailserver eine Zustellung über einen Zeitraum von mehreren Stunden bis hin zu Tagen. Je nach Konfig.
Danach bekommt der Absender eine Unzustellbarkeitsbenachrichtigung.

Und Outlook benutzt "normal" auch einen Cache.

Somit keine Sorge.
Bitte warten ..
Mitglied: Maexx77
09.07.2015 um 11:42 Uhr
Und dieser Backup könnte dann wieder 1&1 sein?
Bitte warten ..
Mitglied: colinardo
09.07.2015, aktualisiert um 11:52 Uhr
Zitat von Maexx77:

Und dieser Backup könnte dann wieder 1&1 sein?
Ich muss mich korrigieren, geht inzwischen doch:

99c31258f128465fce739e25cf8ee041 - Klicke auf das Bild, um es zu vergrößern

Entsprechende Mailkonten müssen dort natürllich vorhanden sein.
Bitte warten ..
Mitglied: Maexx77
09.07.2015 um 11:54 Uhr
OK, genau das wollte ich gerade schreiben. Also würde das funktionieren.

Diese müsste ich dann aber wieder per POPBeamer abholen, wenn mein Server wieder da ist?!?
Bitte warten ..
Mitglied: colinardo
09.07.2015, aktualisiert um 12:03 Uhr
Zitat von Maexx77:
Diese müsste ich dann aber wieder per POPBeamer abholen, wenn mein Server wieder da ist?!?
Na dann viel Spaß beim POPen ...

Normalerweise macht man das vernünftig mit einem redundanten Mailrelay in einer DMZ das über zwei Internet-Anschlüsse redundant angebunden ist.

Dieses POP gedöns ist krank, sorry.
Bitte warten ..
Mitglied: Maexx77
09.07.2015 um 12:20 Uhr
Ok, verstanden! Du magst POP nicht.
Aber im beschriebenen Fall muss ich das ja so machen, oder?
Bitte warten ..
Mitglied: colinardo
09.07.2015, aktualisiert um 12:28 Uhr
Zitat von Maexx77:
Aber im beschriebenen Fall muss ich das ja so machen, oder?
Kann man so machen muss man aber nicht. Warum solch krumme Geschichte machen ? Wenn man es gleich wie oben vernünftig aufsetzt ist das gegessen und bei einem Ausfall kann man ruhig einen Kaffee trinken.

Wenn dir das Wissen dazu noch fehlt, solltest du besser noch jemanden kompetentes hinzuziehen.
Bitte warten ..
Mitglied: Maexx77
09.07.2015 um 12:29 Uhr
Es ist nicht immer das Wissen was fehlt. Es liegt vielleicht auch am Geld. Ist aber eine andere Geschichte.

Vielen Dank für deine Hilfe.
Bitte warten ..
Mitglied: colinardo
09.07.2015, aktualisiert um 20:28 Uhr
Zitat von Maexx77:

Es ist nicht immer das Wissen was fehlt. Es liegt vielleicht auch am Geld. Ist aber eine andere Geschichte.
Am Geld ? Nö, selbst ein kleiner Raspi für 30€ wäre dazu bei einer kleinen Firma in der Lage, und per Virtualisierung wäre auch das kostenlos machbar. Der einizge größere Faktor wäre eine zweite Internetverbindung. Aber das sollte selbst ein kleines Unternehmen stemmen können.
Alternativ das ganze mit einem Server in der Cloud abfackeln. Alles andere ist KnowHow, mehr nicht.

Aber jeder wie er will.
Bitte warten ..
Mitglied: Chonta
09.07.2015 um 18:07 Uhr
Hallo,

das mit der zweiten Internetanbindung...
Sebslt wenn Du 2x VDSL oder ADSL oder VDSL und ADSL hast ist nicht gesagt, das bei einer Störung nicht generell beides weg ist, selbst wenn man bei unterschiedlichen Anbietern ist.
Und eine Standleitung ist nun doch ein Kostenfaktor.

Wenn das Internet weg ist und der Serve rnicht erreichbar ist werdne die Mails nicht zugeestellt und jeh nach Einstellung des sendenden Mailservers eine Zeit X versucht zuzustellen.
Wichtig ist dabei das der Absender auch die Meldung bekommt Mailzustellung nicht möglich.

Mit POP könnte man sich behelfen als NOTLÖSUNG aber man muss dann auch immer abrufen denn ein MX irgendwas kann auch Mails bekommen wenn der MX10 noch da ist und wenn die Mails nicht abgeholt werden ....

Besser wäre eine vorgelagerte Lösung wo die Mails bei nicht erreichbarkeit des Servers zwishen gespeichert werden und nach ZeitX als unzustellbar zurück zum Absender

Gruß

Chonta
Bitte warten ..
Ähnliche Inhalte
Exchange Server

Exchange 2010: User können teilweise nicht per SMTP (TLS) senden (Outlook, Thunderbird, AppleMail)

Frage von JimPietExchange Server

Moin, wir haben seit gestern ein neues Exchange Cluster im Einsatz und einige User melden nun, dass sie keine ...

E-Mail

Eigenes SMTP Relay oder E-Mail Anbieter ohne SSL TLS?

gelöst Frage von themastE-Mail12 Kommentare

Hallo, ich habe ein kleines Problem. Früher hatte ich bei meinem Website-Hoster standardmäßig nur unverschlüsselten Email Zugriff. (War auch ...

Netzwerke

OpenVPN TLS

Frage von 121851Netzwerke4 Kommentare

Hallo zusammen, habe mir mir einen OpenVPN Server aufgesetzt und der funktioniert. Habe jetzt mal in die Logdatei gesehen ...

Exchange Server

Exchange 2010 ERP und SMTP Benutzer

gelöst Frage von SepposExchange Server5 Kommentare

Hallo Forum, ich versuche zur Zeit eine kleine ERP Lösung an einen Exchange 2010 anzubinden. Ich habe einen Exchange ...

Neue Wissensbeiträge
Google Android

Heise: Google sperrt Android-Updates und den Play Store für Huawei

Information von Deepsys vor 6 StundenGoogle Android4 Kommentare

Das finde ich schon ein starkes Stück, Trump der Welt Diktator. So kann man mit einem Dekret mal eben ...

Windows 7

Südkoreas Regierung setzt auf Linux, um Windows 7 Clients abzulösen

Information von kgborn vor 17 StundenWindows 74 Kommentare

Kleiner Infosplitter zum Wochenanfang: Während München (LiMux) und die niedersächsische Finanzverwaltung von Linux auf einen Windows 10-Client (und Office) ...

Internet
Big Brother is Watching You
Information von transocean vor 1 TagInternet1 Kommentar

Moin, die Datenkrake Google fischt Informationen über Einkäufe ab, die GMail Nutzer im Netz tätigen. Gruß Uwe

Datenschutz
TeamViewer gehackt !
Information von aqui vor 1 TagDatenschutz7 Kommentare

Hat schon einen Grund warum verantwortungsvolle Admins diese Software nicht einsetzen und sie in den meisten größeren Firmen aus ...

Heiß diskutierte Inhalte
Linux Userverwaltung
Ist sudo auf Servern Pflicht?
gelöst Frage von lcer00Linux Userverwaltung12 Kommentare

Hallo zusammen, wir haben für einige Netzwerkdienste einige Debian Server. Auf diesen Servern arbeiten keine Benutzer im eigentlichen sinne. ...

Batch & Shell
Powershell Datum der zuletzt eingespielten Patche bei remote Servern ermitteln
Frage von bensonhedgesBatch & Shell12 Kommentare

Hallo, ich möchte gerne anhand einer Serverliste (bsp. computers.txt) via PS ermitteln, wann derjeweilige Server zuletzt gepatcht wurde (Liste ...

Humor (lol)
Mitarbeiter meldet: VPN funktioniert nicht
Frage von Epixc0reHumor (lol)11 Kommentare

Servus, einer unserer Mitarbeiter meldete heute, sein VPN funktioniert Zuhause nicht, im LTE Netz aber schon. Per Teamviewer hin ...

Netzwerkgrundlagen
Netzwerk IP Kamera nur an einem Rechner sichtbar
Frage von Lutz-ReNetzwerkgrundlagen9 Kommentare

Guten Abend Ich hab in einem IP 4 Netzwerk mit gleichen Subnetz zwei Kameras mit festen IP Adresse und ...