maexx77
Goto Top

SMTP over TLS mit Exchange 2010 und 1und1 realisieren

Hallo,

ein großer Kunde, nennen wir ihn AUTOBAUER, fordert von uns, dass wir die eMail Kommunikation mit ihm zwischen den Mail-Servern mit SMTP over TLS verschlüsseln. (so ein Fall wurde im Forum schon mal beschrieben, was mir allerdings nicht weitergeholfen hat.)

Unsere aktuelle Konfiguration sieht momentan wir folgt aus:

- wir haben einen Exchange 2010 Server
- dieser holt per POPBEAMER die eMails bei 1&1 ab
- versenden von eMail erfolgt per Sendeconnector direkt "ins Internet" also nicht über 1&1
- als HELO / EHLO wird mail.FIRMENNAME.de mit geschickt
- mail.FIRMENNAME.de ist eine SUB-Domain bei 1&1, die per A/AAAA Eintrag auf unsere statische IP verweist und an den Exchange weitergeleitet wird
- so werden wir nicht als Spammer identifiziert und OWA funktioniert auch

Folgende DNS Informationen sind hinterlegt:
Haupt-Domain
Domain-Namen: FIRMENNAME.de
IP-Adresse (A-Record):xxxxxxxxxxx
Nameserver1: ns20.schlund.de
Nameserver2: ns19.schlund.de
Mailserver1: mx01.schlund.de, 10
Mailserver2: mx00.schlund.de, 10


Sub-Domain
Domain-Namen: mail.FIRMENNAME.de
IP-Adresse (A-Record):xxxxxxxxx (unsere IP-Adresse)
Mailserver1: mx00.kundenserver.de, 10
Mailserver2: mx01.kundenserver.de, 10


Bei 1&1 haben wir ein SSL Zertifikat, welches auf www.FIRMENNAME.de lautet. Ein Umschreiben auf mail.FIRMENNAME.de soll laut 1&1 momentan nicht möglich sein. (Grund 1: Kündigung erst in 2 Monaten und dann mögliche Neuausstellung, Grund 2: Aussage der Hotline: *.FIRMENNAME.de soll von der Technik möglich sein, funktioniert aber nicht)

Ein TLS Check über http://www.checktls.com/ liefert dieses Ergebnis:
MX Server Pref Connect Allowed CanUse TLSAdv Cert OK TLS Neg Sndr OK Rcvr OK
mx01.schlund.de
[217.72.192.67] 10 OK OK OK OK FAIL OK FAIL FAIL
mx00.schlund.de
[212.227.15.41] 10 OK OK OK OK FAIL OK FAIL FAIL

Und nun wird es Zeit, dass jemand ein paar Bäume aus dem Weg schiebt, damit ich den Wald wieder sehe....

Wie muss ich das Ganze jetzt machen?
Wo (lokal oder bei 1&1) muss ich was für ein Zertifikat haben?

Ich hoffe mir kann jemand helfen.

Gruß Mäxx77

Content-ID: 276853

Url: https://administrator.de/forum/smtp-over-tls-mit-exchange-2010-und-1und1-realisieren-276853.html

Ausgedruckt am: 25.12.2024 um 03:12 Uhr

keine-ahnung
keine-ahnung 09.07.2015 um 10:41:01 Uhr
Goto Top
Moin,
ein kleiner Kunde, nennen wir ihn KARTOFFELBAUER, würde Dir als seinem Dienstleister ans Herz legen, den Exchange als Exchange zu nutzen und dann das oder die Zertifikate inhouse zu nutzen ... ohne MX-record wirst Du das sonst nicht gebastelt bekommen, wenn Du den pop-Krams nutzt und Dein Hoster kein entsprechendes Zertifikat für Deine mail-domain installieren kann.

LG, Thomas
wiesi200
wiesi200 09.07.2015 aktualisiert um 10:56:09 Uhr
Goto Top
Hallo,

ich bin mir jetzt nicht ganz sicher, hatte mal von den Diversen Autobauern ala VW/Audi, BMW sogar ausführliche Beschreibungen auf den Tisch was die wie genau haben wollten.

Du musst das Zertifikat lokal haben, wobei jetzt alleine für TLS reicht ein SelfSign Zertifikat was ja der Exchange schon von Grund auf richtig eingerichtet hätte.
Die Kombination mit POPBEAMER halte ich für dein Vorhaben eher bedenklich und normal nicht funktionieren.

Auch viele Spamfilter verhindern TLS.
Maexx77
Maexx77 09.07.2015 um 10:59:02 Uhr
Goto Top
Ok, aber selbst wenn ich ein Zertifikat hätte, was muss ich machen? Wo muss das Zertifikat hin? Muss ich dann für den AUTOBAUER und seinen Domains einen eigenen Sendeconnector mit TLS Authentifizierung?
Ich stehe echt auf dem Schlauch.
Maexx77
Maexx77 09.07.2015 um 11:01:26 Uhr
Goto Top
Hallo,
warum ist der POPBeamer nicht gut? Der ist doch nötig, um die eMails abzuholen, oder nicht?
Maexx77
Maexx77 09.07.2015 um 11:02:26 Uhr
Goto Top
Und wie bekomme ich ein sauberes Ergebnis bei http://www.checktls.com/ hin?
wiesi200
wiesi200 09.07.2015 um 11:04:58 Uhr
Goto Top
Zitat von @Maexx77:

Hallo,
warum ist der POPBeamer nicht gut? Der ist doch nötig, um die eMails abzuholen, oder nicht?

NaJa eher ne Notlösung wenn man nicht die geeignete Umgebung hat einen Exchange selber sauber zu betreiben.
Aber grundsätzlich ist so eine Lösung absoluter Schrott.
Maexx77
Maexx77 09.07.2015 um 11:08:23 Uhr
Goto Top
Also meinst du eher, die Nachrichten direkt entgegen zu nehmen? Also die MX Datensätze bei 1&1 auf unsere IP umleiten? Was muss ich dann noch alles bedenken?
colinardo
colinardo 09.07.2015 aktualisiert um 11:16:01 Uhr
Goto Top
Hallo Maexx77,
durchgehende TLS Connections mit allen Mailservern ist momentan noch Wunschdenken, im Moment ist also TLS noch Opportunistic TLS (also wahlweises TLS) die Realität.
Zitat von @Maexx77:
Ok, aber selbst wenn ich ein Zertifikat hätte, was muss ich machen? Wo muss das Zertifikat hin?
Das Zertifikat wird im Zertifikate Abschnitt Serverkonfiguration > Zertifikate des Exchange angegeben (für den Dienst SMTP) und im Sendeconnector wird TLS aktiviert.

Zur praktischen Umsetzung siehe folgenden Beitrag:
Exchange 2007: TLS aktivieren

Grüße Uwe
Maexx77
Maexx77 09.07.2015 um 11:18:29 Uhr
Goto Top
Wenn mir jetzt noch jemand sagen könnte, was für ein Zertifikat ich brauche und wo ich es bekomme, wäre mir glaube ich echt geholfen.
colinardo
colinardo 09.07.2015 aktualisiert um 11:26:01 Uhr
Goto Top
Zitat von @Maexx77:

Wenn mir jetzt noch jemand sagen könnte, was für ein Zertifikat ich brauche und wo ich es bekomme, wäre mir glaube
ich echt geholfen.
Eine passende Zertifikatsanfrage (CSR) für ein SMTP-Zertifikat kannst du mit dem Exchange im o.g. Abschnitt (Serverkonfiguration > Zertifikate > Neues Exchange Zertifikat) mit einem Wizard erstellen. Diese Anfrage reichst du dann bei der Zertifizierungsstelle deiner Wahl ein, feddich.
Maexx77
Maexx77 09.07.2015 um 11:37:44 Uhr
Goto Top
Was für eine Zertifizierungsstelle empfiehlst du?

Wie funktioniert das eigentlich, wenn wir die eMails nicht über 1&1, sondern direkt empfangen. Wenn unser Server dann mal nicht zur Verfügung steht (Neustart, Ausfall, Ausfall der Internetverbindung), dann sind ja auch die eMails weg. (Redundanz und Ausfallsicherheit ist klar, will ich aber jetzt hie rnicht diskutiren face-wink).
Oder wie ist hier der Königsweg?
colinardo
Lösung colinardo 09.07.2015 aktualisiert um 12:30:09 Uhr
Goto Top
Zitat von @Maexx77:
Was für eine Zertifizierungsstelle empfiehlst du?
Eine Liste der gängigsten findest du hier, preiswert ist hier z.B. GoDaddy
Übersicht von SSL-Zertifikaten mit grüner Adressleiste?

Wie funktioniert das eigentlich, wenn wir die eMails nicht über 1&1, sondern direkt empfangen. Wenn unser Server dann mal
nicht zur Verfügung steht (Neustart, Ausfall, Ausfall der Internetverbindung), dann sind ja auch die eMails weg. (Redundanz
und Ausfallsicherheit ist klar, will ich aber jetzt hie rnicht diskutiren face-wink).
Wenn der Server aus ist dann laufen die Mails ins leere weil die Gegenstelle den Server nicht erreichen kann (der Absender erhält nach einer bestimmten Zeit eine Unzustellbarkeitsnachricht)), außer du richtest einen Backup MX im DNS ein.
Oder wie ist hier der Königsweg?
Einen Backup MX-Eintrag im DNS für einen zweiten Mailserver hinterlegen. Dann nimmt der sendende Mailserver den nächsten Eintrag wenn der erste nicht erreichhbar ist. Die MX Einträge werden dazu mit Prio's versehen.
wiesi200
wiesi200 09.07.2015 um 11:41:40 Uhr
Goto Top
Zitat von @Maexx77:

Was für eine Zertifizierungsstelle empfiehlst du?

Wie funktioniert das eigentlich, wenn wir die eMails nicht über 1&1, sondern direkt empfangen. Wenn unser Server dann mal
nicht zur Verfügung steht (Neustart, Ausfall, Ausfall der Internetverbindung), dann sind ja auch die eMails weg.

Nö wie kommst du auf sowas?
Normal versucht ein Mailserver eine Zustellung über einen Zeitraum von mehreren Stunden bis hin zu Tagen. Je nach Konfig.
Danach bekommt der Absender eine Unzustellbarkeitsbenachrichtigung.

Und Outlook benutzt "normal" auch einen Cache.

Somit keine Sorge.
Maexx77
Maexx77 09.07.2015 um 11:42:31 Uhr
Goto Top
Und dieser Backup könnte dann wieder 1&1 sein?
colinardo
colinardo 09.07.2015 aktualisiert um 11:52:34 Uhr
Goto Top
Zitat von @Maexx77:

Und dieser Backup könnte dann wieder 1&1 sein?
Ich muss mich korrigieren, geht inzwischen doch:

99c31258f128465fce739e25cf8ee041

Entsprechende Mailkonten müssen dort natürllich vorhanden sein.
Maexx77
Maexx77 09.07.2015 um 11:54:06 Uhr
Goto Top
OK, genau das wollte ich gerade schreiben. Also würde das funktionieren.

Diese müsste ich dann aber wieder per POPBeamer abholen, wenn mein Server wieder da ist?!?
colinardo
colinardo 09.07.2015 aktualisiert um 12:03:47 Uhr
Goto Top
Zitat von @Maexx77:
Diese müsste ich dann aber wieder per POPBeamer abholen, wenn mein Server wieder da ist?!?
Na dann viel Spaß beim POPen ...

Normalerweise macht man das vernünftig mit einem redundanten Mailrelay in einer DMZ das über zwei Internet-Anschlüsse redundant angebunden ist.

Dieses POP gedöns ist krank, sorry.
Maexx77
Maexx77 09.07.2015 um 12:20:35 Uhr
Goto Top
Ok, verstanden! Du magst POP nicht.
Aber im beschriebenen Fall muss ich das ja so machen, oder?
colinardo
colinardo 09.07.2015 aktualisiert um 12:28:02 Uhr
Goto Top
Zitat von @Maexx77:
Aber im beschriebenen Fall muss ich das ja so machen, oder?
Kann man so machen muss man aber nicht. Warum solch krumme Geschichte machen ? Wenn man es gleich wie oben vernünftig aufsetzt ist das gegessen und bei einem Ausfall kann man ruhig einen Kaffee trinken.

Wenn dir das Wissen dazu noch fehlt, solltest du besser noch jemanden kompetentes hinzuziehen.
Maexx77
Maexx77 09.07.2015 um 12:29:49 Uhr
Goto Top
Es ist nicht immer das Wissen was fehlt. Es liegt vielleicht auch am Geld. Ist aber eine andere Geschichte.

Vielen Dank für deine Hilfe.
colinardo
colinardo 09.07.2015 aktualisiert um 20:28:25 Uhr
Goto Top
Zitat von @Maexx77:

Es ist nicht immer das Wissen was fehlt. Es liegt vielleicht auch am Geld. Ist aber eine andere Geschichte.
Am Geld ? Nö, selbst ein kleiner Raspi für 30€ wäre dazu bei einer kleinen Firma in der Lage, und per Virtualisierung wäre auch das kostenlos machbar. Der einizge größere Faktor wäre eine zweite Internetverbindung. Aber das sollte selbst ein kleines Unternehmen stemmen können.
Alternativ das ganze mit einem Server in der Cloud abfackeln. Alles andere ist KnowHow, mehr nicht.

Aber jeder wie er will.
Chonta
Chonta 09.07.2015 um 18:07:07 Uhr
Goto Top
Hallo,

das mit der zweiten Internetanbindung...
Sebslt wenn Du 2x VDSL oder ADSL oder VDSL und ADSL hast ist nicht gesagt, das bei einer Störung nicht generell beides weg ist, selbst wenn man bei unterschiedlichen Anbietern ist.
Und eine Standleitung ist nun doch ein Kostenfaktor.

Wenn das Internet weg ist und der Serve rnicht erreichbar ist werdne die Mails nicht zugeestellt und jeh nach Einstellung des sendenden Mailservers eine Zeit X versucht zuzustellen.
Wichtig ist dabei das der Absender auch die Meldung bekommt Mailzustellung nicht möglich.

Mit POP könnte man sich behelfen als NOTLÖSUNG aber man muss dann auch immer abrufen denn ein MX irgendwas kann auch Mails bekommen wenn der MX10 noch da ist und wenn die Mails nicht abgeholt werden ....

Besser wäre eine vorgelagerte Lösung wo die Mails bei nicht erreichbarkeit des Servers zwishen gespeichert werden und nach ZeitX als unzustellbar zurück zum Absender

Gruß

Chonta