22
SMTP over TLS mit Exchange 2010 und 1und1 realisieren
Hallo,
ein großer Kunde, nennen wir ihn AUTOBAUER, fordert von uns, dass wir die eMail Kommunikation mit ihm zwischen den Mail-Servern mit SMTP over TLS verschlüsseln. (so ein Fall wurde im Forum schon mal beschrieben, was mir allerdings nicht weitergeholfen hat.)
Unsere aktuelle Konfiguration sieht momentan wir folgt aus:
- wir haben einen Exchange 2010 Server
- dieser holt per POPBEAMER die eMails bei 1&1 ab
- versenden von eMail erfolgt per Sendeconnector direkt "ins Internet" also nicht über 1&1
- als HELO / EHLO wird mail.FIRMENNAME.de mit geschickt
- mail.FIRMENNAME.de ist eine SUB-Domain bei 1&1, die per A/AAAA Eintrag auf unsere statische IP verweist und an den Exchange weitergeleitet wird
- so werden wir nicht als Spammer identifiziert und OWA funktioniert auch
Folgende DNS Informationen sind hinterlegt:
Haupt-Domain
Domain-Namen: FIRMENNAME.de
IP-Adresse (A-Record):xxxxxxxxxxx
Nameserver1: ns20.schlund.de
Nameserver2: ns19.schlund.de
Mailserver1: mx01.schlund.de, 10
Mailserver2: mx00.schlund.de, 10
Sub-Domain
Domain-Namen: mail.FIRMENNAME.de
IP-Adresse (A-Record):xxxxxxxxx (unsere IP-Adresse)
Mailserver1: mx00.kundenserver.de, 10
Mailserver2: mx01.kundenserver.de, 10
Bei 1&1 haben wir ein SSL Zertifikat, welches auf www.FIRMENNAME.de lautet. Ein Umschreiben auf mail.FIRMENNAME.de soll laut 1&1 momentan nicht möglich sein. (Grund 1: Kündigung erst in 2 Monaten und dann mögliche Neuausstellung, Grund 2: Aussage der Hotline: *.FIRMENNAME.de soll von der Technik möglich sein, funktioniert aber nicht)
Ein TLS Check über http://www.checktls.com/ liefert dieses Ergebnis:
MX Server Pref Connect Allowed CanUse TLSAdv Cert OK TLS Neg Sndr OK Rcvr OK
mx01.schlund.de
[217.72.192.67] 10 OK OK OK OK FAIL OK FAIL FAIL
mx00.schlund.de
[212.227.15.41] 10 OK OK OK OK FAIL OK FAIL FAIL
Und nun wird es Zeit, dass jemand ein paar Bäume aus dem Weg schiebt, damit ich den Wald wieder sehe....
Wie muss ich das Ganze jetzt machen?
Wo (lokal oder bei 1&1) muss ich was für ein Zertifikat haben?
Ich hoffe mir kann jemand helfen.
Gruß Mäxx77
ein großer Kunde, nennen wir ihn AUTOBAUER, fordert von uns, dass wir die eMail Kommunikation mit ihm zwischen den Mail-Servern mit SMTP over TLS verschlüsseln. (so ein Fall wurde im Forum schon mal beschrieben, was mir allerdings nicht weitergeholfen hat.)
Unsere aktuelle Konfiguration sieht momentan wir folgt aus:
- wir haben einen Exchange 2010 Server
- dieser holt per POPBEAMER die eMails bei 1&1 ab
- versenden von eMail erfolgt per Sendeconnector direkt "ins Internet" also nicht über 1&1
- als HELO / EHLO wird mail.FIRMENNAME.de mit geschickt
- mail.FIRMENNAME.de ist eine SUB-Domain bei 1&1, die per A/AAAA Eintrag auf unsere statische IP verweist und an den Exchange weitergeleitet wird
- so werden wir nicht als Spammer identifiziert und OWA funktioniert auch
Folgende DNS Informationen sind hinterlegt:
Haupt-Domain
Domain-Namen: FIRMENNAME.de
IP-Adresse (A-Record):xxxxxxxxxxx
Nameserver1: ns20.schlund.de
Nameserver2: ns19.schlund.de
Mailserver1: mx01.schlund.de, 10
Mailserver2: mx00.schlund.de, 10
Sub-Domain
Domain-Namen: mail.FIRMENNAME.de
IP-Adresse (A-Record):xxxxxxxxx (unsere IP-Adresse)
Mailserver1: mx00.kundenserver.de, 10
Mailserver2: mx01.kundenserver.de, 10
Bei 1&1 haben wir ein SSL Zertifikat, welches auf www.FIRMENNAME.de lautet. Ein Umschreiben auf mail.FIRMENNAME.de soll laut 1&1 momentan nicht möglich sein. (Grund 1: Kündigung erst in 2 Monaten und dann mögliche Neuausstellung, Grund 2: Aussage der Hotline: *.FIRMENNAME.de soll von der Technik möglich sein, funktioniert aber nicht)
Ein TLS Check über http://www.checktls.com/ liefert dieses Ergebnis:
MX Server Pref Connect Allowed CanUse TLSAdv Cert OK TLS Neg Sndr OK Rcvr OK
mx01.schlund.de
[217.72.192.67] 10 OK OK OK OK FAIL OK FAIL FAIL
mx00.schlund.de
[212.227.15.41] 10 OK OK OK OK FAIL OK FAIL FAIL
Und nun wird es Zeit, dass jemand ein paar Bäume aus dem Weg schiebt, damit ich den Wald wieder sehe....
Wie muss ich das Ganze jetzt machen?
Wo (lokal oder bei 1&1) muss ich was für ein Zertifikat haben?
Ich hoffe mir kann jemand helfen.
Gruß Mäxx77
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 276853
Url: https://administrator.de/contentid/276853
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
22 Kommentare
Neuester Kommentar
Moin,
ein kleiner Kunde, nennen wir ihn KARTOFFELBAUER, würde Dir als seinem Dienstleister ans Herz legen, den Exchange als Exchange zu nutzen und dann das oder die Zertifikate inhouse zu nutzen ... ohne MX-record wirst Du das sonst nicht gebastelt bekommen, wenn Du den pop-Krams nutzt und Dein Hoster kein entsprechendes Zertifikat für Deine mail-domain installieren kann.
LG, Thomas
ein kleiner Kunde, nennen wir ihn KARTOFFELBAUER, würde Dir als seinem Dienstleister ans Herz legen, den Exchange als Exchange zu nutzen und dann das oder die Zertifikate inhouse zu nutzen ... ohne MX-record wirst Du das sonst nicht gebastelt bekommen, wenn Du den pop-Krams nutzt und Dein Hoster kein entsprechendes Zertifikat für Deine mail-domain installieren kann.
LG, Thomas
Hallo,
ich bin mir jetzt nicht ganz sicher, hatte mal von den Diversen Autobauern ala VW/Audi, BMW sogar ausführliche Beschreibungen auf den Tisch was die wie genau haben wollten.
Du musst das Zertifikat lokal haben, wobei jetzt alleine für TLS reicht ein SelfSign Zertifikat was ja der Exchange schon von Grund auf richtig eingerichtet hätte.
Die Kombination mit POPBEAMER halte ich für dein Vorhaben eher bedenklich und normal nicht funktionieren.
Auch viele Spamfilter verhindern TLS.
ich bin mir jetzt nicht ganz sicher, hatte mal von den Diversen Autobauern ala VW/Audi, BMW sogar ausführliche Beschreibungen auf den Tisch was die wie genau haben wollten.
Du musst das Zertifikat lokal haben, wobei jetzt alleine für TLS reicht ein SelfSign Zertifikat was ja der Exchange schon von Grund auf richtig eingerichtet hätte.
Die Kombination mit POPBEAMER halte ich für dein Vorhaben eher bedenklich und normal nicht funktionieren.
Auch viele Spamfilter verhindern TLS.
Ok, aber selbst wenn ich ein Zertifikat hätte, was muss ich machen? Wo muss das Zertifikat hin? Muss ich dann für den AUTOBAUER und seinen Domains einen eigenen Sendeconnector mit TLS Authentifizierung?
Ich stehe echt auf dem Schlauch.
Ich stehe echt auf dem Schlauch.
Hallo,
warum ist der POPBeamer nicht gut? Der ist doch nötig, um die eMails abzuholen, oder nicht?
warum ist der POPBeamer nicht gut? Der ist doch nötig, um die eMails abzuholen, oder nicht?
Und wie bekomme ich ein sauberes Ergebnis bei http://www.checktls.com/ hin?
Zitat von @Maexx77:
Hallo,
warum ist der POPBeamer nicht gut? Der ist doch nötig, um die eMails abzuholen, oder nicht?
Hallo,
warum ist der POPBeamer nicht gut? Der ist doch nötig, um die eMails abzuholen, oder nicht?
NaJa eher ne Notlösung wenn man nicht die geeignete Umgebung hat einen Exchange selber sauber zu betreiben.
Aber grundsätzlich ist so eine Lösung absoluter Schrott.
Also meinst du eher, die Nachrichten direkt entgegen zu nehmen? Also die MX Datensätze bei 1&1 auf unsere IP umleiten? Was muss ich dann noch alles bedenken?
Hallo Maexx77,
durchgehende TLS Connections mit allen Mailservern ist momentan noch Wunschdenken, im Moment ist also TLS noch Opportunistic TLS (also wahlweises TLS) die Realität.
Zur praktischen Umsetzung siehe folgenden Beitrag:
Exchange 2007: TLS aktivieren
Grüße Uwe
durchgehende TLS Connections mit allen Mailservern ist momentan noch Wunschdenken, im Moment ist also TLS noch Opportunistic TLS (also wahlweises TLS) die Realität.
Zitat von @Maexx77:
Ok, aber selbst wenn ich ein Zertifikat hätte, was muss ich machen? Wo muss das Zertifikat hin?
Das Zertifikat wird im Zertifikate Abschnitt Serverkonfiguration > Zertifikate des Exchange angegeben (für den Dienst SMTP) und im Sendeconnector wird TLS aktiviert.Ok, aber selbst wenn ich ein Zertifikat hätte, was muss ich machen? Wo muss das Zertifikat hin?
Zur praktischen Umsetzung siehe folgenden Beitrag:
Exchange 2007: TLS aktivieren
Grüße Uwe
Wenn mir jetzt noch jemand sagen könnte, was für ein Zertifikat ich brauche und wo ich es bekomme, wäre mir glaube ich echt geholfen.
Zitat von @Maexx77:
Wenn mir jetzt noch jemand sagen könnte, was für ein Zertifikat ich brauche und wo ich es bekomme, wäre mir glaube
ich echt geholfen.
Eine passende Zertifikatsanfrage (CSR) für ein SMTP-Zertifikat kannst du mit dem Exchange im o.g. Abschnitt (Serverkonfiguration > Zertifikate > Neues Exchange Zertifikat) mit einem Wizard erstellen. Diese Anfrage reichst du dann bei der Zertifizierungsstelle deiner Wahl ein, feddich.Wenn mir jetzt noch jemand sagen könnte, was für ein Zertifikat ich brauche und wo ich es bekomme, wäre mir glaube
ich echt geholfen.
Was für eine Zertifizierungsstelle empfiehlst du?
Wie funktioniert das eigentlich, wenn wir die eMails nicht über 1&1, sondern direkt empfangen. Wenn unser Server dann mal nicht zur Verfügung steht (Neustart, Ausfall, Ausfall der Internetverbindung), dann sind ja auch die eMails weg. (Redundanz und Ausfallsicherheit ist klar, will ich aber jetzt hie rnicht diskutiren
).
Oder wie ist hier der Königsweg?
Wie funktioniert das eigentlich, wenn wir die eMails nicht über 1&1, sondern direkt empfangen. Wenn unser Server dann mal nicht zur Verfügung steht (Neustart, Ausfall, Ausfall der Internetverbindung), dann sind ja auch die eMails weg. (Redundanz und Ausfallsicherheit ist klar, will ich aber jetzt hie rnicht diskutiren
).Oder wie ist hier der Königsweg?
Eine Liste der gängigsten findest du hier, preiswert ist hier z.B. GoDaddy
Übersicht von SSL-Zertifikaten mit grüner Adressleiste?
Übersicht von SSL-Zertifikaten mit grüner Adressleiste?
Wie funktioniert das eigentlich, wenn wir die eMails nicht über 1&1, sondern direkt empfangen. Wenn unser Server dann mal
nicht zur Verfügung steht (Neustart, Ausfall, Ausfall der Internetverbindung), dann sind ja auch die eMails weg. (Redundanz
und Ausfallsicherheit ist klar, will ich aber jetzt hie rnicht diskutiren).
Wenn der Server aus ist dann laufen die Mails ins leere weil die Gegenstelle den Server nicht erreichen kann (der Absender erhält nach einer bestimmten Zeit eine Unzustellbarkeitsnachricht)), außer du richtest einen Backup MX im DNS ein.nicht zur Verfügung steht (Neustart, Ausfall, Ausfall der Internetverbindung), dann sind ja auch die eMails weg. (Redundanz
und Ausfallsicherheit ist klar, will ich aber jetzt hie rnicht diskutiren
).Oder wie ist hier der Königsweg?
Einen Backup MX-Eintrag im DNS für einen zweiten Mailserver hinterlegen. Dann nimmt der sendende Mailserver den nächsten Eintrag wenn der erste nicht erreichhbar ist. Die MX Einträge werden dazu mit Prio's versehen.Zitat von @Maexx77:
Was für eine Zertifizierungsstelle empfiehlst du?
Wie funktioniert das eigentlich, wenn wir die eMails nicht über 1&1, sondern direkt empfangen. Wenn unser Server dann mal
nicht zur Verfügung steht (Neustart, Ausfall, Ausfall der Internetverbindung), dann sind ja auch die eMails weg.
Was für eine Zertifizierungsstelle empfiehlst du?
Wie funktioniert das eigentlich, wenn wir die eMails nicht über 1&1, sondern direkt empfangen. Wenn unser Server dann mal
nicht zur Verfügung steht (Neustart, Ausfall, Ausfall der Internetverbindung), dann sind ja auch die eMails weg.
Nö wie kommst du auf sowas?
Normal versucht ein Mailserver eine Zustellung über einen Zeitraum von mehreren Stunden bis hin zu Tagen. Je nach Konfig.
Danach bekommt der Absender eine Unzustellbarkeitsbenachrichtigung.
Und Outlook benutzt "normal" auch einen Cache.
Somit keine Sorge.
Und dieser Backup könnte dann wieder 1&1 sein?
Ich muss mich korrigieren, geht inzwischen doch:
Entsprechende Mailkonten müssen dort natürllich vorhanden sein.
Entsprechende Mailkonten müssen dort natürllich vorhanden sein.
OK, genau das wollte ich gerade schreiben. Also würde das funktionieren.
Diese müsste ich dann aber wieder per POPBeamer abholen, wenn mein Server wieder da ist?!?
Diese müsste ich dann aber wieder per POPBeamer abholen, wenn mein Server wieder da ist?!?
Zitat von @Maexx77:
Diese müsste ich dann aber wieder per POPBeamer abholen, wenn mein Server wieder da ist?!?
Na dann viel Spaß beim POPen ...Diese müsste ich dann aber wieder per POPBeamer abholen, wenn mein Server wieder da ist?!?
Normalerweise macht man das vernünftig mit einem redundanten Mailrelay in einer DMZ das über zwei Internet-Anschlüsse redundant angebunden ist.
Dieses POP gedöns ist krank, sorry.
Ok, verstanden! Du magst POP nicht.
Aber im beschriebenen Fall muss ich das ja so machen, oder?
Aber im beschriebenen Fall muss ich das ja so machen, oder?
Kann man so machen muss man aber nicht. Warum solch krumme Geschichte machen ? Wenn man es gleich wie oben vernünftig aufsetzt ist das gegessen und bei einem Ausfall kann man ruhig einen Kaffee trinken.
Wenn dir das Wissen dazu noch fehlt, solltest du besser noch jemanden kompetentes hinzuziehen.
Wenn dir das Wissen dazu noch fehlt, solltest du besser noch jemanden kompetentes hinzuziehen.
Es ist nicht immer das Wissen was fehlt. Es liegt vielleicht auch am Geld. Ist aber eine andere Geschichte.
Vielen Dank für deine Hilfe.
Vielen Dank für deine Hilfe.
Zitat von @Maexx77:
Es ist nicht immer das Wissen was fehlt. Es liegt vielleicht auch am Geld. Ist aber eine andere Geschichte.
Am Geld ? Nö, selbst ein kleiner Raspi für 30€ wäre dazu bei einer kleinen Firma in der Lage, und per Virtualisierung wäre auch das kostenlos machbar. Der einizge größere Faktor wäre eine zweite Internetverbindung. Aber das sollte selbst ein kleines Unternehmen stemmen können.Es ist nicht immer das Wissen was fehlt. Es liegt vielleicht auch am Geld. Ist aber eine andere Geschichte.
Alternativ das ganze mit einem Server in der Cloud abfackeln. Alles andere ist KnowHow, mehr nicht.
Aber jeder wie er will.
Hallo,
das mit der zweiten Internetanbindung...
Sebslt wenn Du 2x VDSL oder ADSL oder VDSL und ADSL hast ist nicht gesagt, das bei einer Störung nicht generell beides weg ist, selbst wenn man bei unterschiedlichen Anbietern ist.
Und eine Standleitung ist nun doch ein Kostenfaktor.
Wenn das Internet weg ist und der Serve rnicht erreichbar ist werdne die Mails nicht zugeestellt und jeh nach Einstellung des sendenden Mailservers eine Zeit X versucht zuzustellen.
Wichtig ist dabei das der Absender auch die Meldung bekommt Mailzustellung nicht möglich.
Mit POP könnte man sich behelfen als NOTLÖSUNG aber man muss dann auch immer abrufen denn ein MX irgendwas kann auch Mails bekommen wenn der MX10 noch da ist und wenn die Mails nicht abgeholt werden ....
Besser wäre eine vorgelagerte Lösung wo die Mails bei nicht erreichbarkeit des Servers zwishen gespeichert werden und nach ZeitX als unzustellbar zurück zum Absender
Gruß
Chonta
das mit der zweiten Internetanbindung...
Sebslt wenn Du 2x VDSL oder ADSL oder VDSL und ADSL hast ist nicht gesagt, das bei einer Störung nicht generell beides weg ist, selbst wenn man bei unterschiedlichen Anbietern ist.
Und eine Standleitung ist nun doch ein Kostenfaktor.
Wenn das Internet weg ist und der Serve rnicht erreichbar ist werdne die Mails nicht zugeestellt und jeh nach Einstellung des sendenden Mailservers eine Zeit X versucht zuzustellen.
Wichtig ist dabei das der Absender auch die Meldung bekommt Mailzustellung nicht möglich.
Mit POP könnte man sich behelfen als NOTLÖSUNG aber man muss dann auch immer abrufen denn ein MX irgendwas kann auch Mails bekommen wenn der MX10 noch da ist und wenn die Mails nicht abgeholt werden ....
Besser wäre eine vorgelagerte Lösung wo die Mails bei nicht erreichbarkeit des Servers zwishen gespeichert werden und nach ZeitX als unzustellbar zurück zum Absender
Gruß
Chonta
