toaoice
Goto Top

SMTP Zustellung - Exchange On-Prmis - Online

Guten Morgen,

ich habe folgende Dinge:
Ich habe in der Vergangenheit mehrere Exchange erfolreich eingerichtet. Allerdings waren von Kundenseite immer die klassische Briefträgerveriante (PopConnektor/Smarthost) favorisiert.
Jetzt habe ich den AG gewechselt und soll auch hier Exchange einführen allerdings, würde ich das hier gerne per SMTP Direktzustellung machen. Und dass wäre für mich estmal Neuland.

Also Exchange ist vorhanden:
Die urls sind auf mail.firma.de und autodiscover.firma.de eingerichtet. Alles mit Wildcard Zertifikat.

SMTP Zustellung heißt:
- MX eintrag beim Provider auf mail.firma.de (mail.firma.de verweist auf meine feste ext. IP)
- an meiner FW ein NAT und Port 25 - Weiterleitung auf den Exchange
- noch mehr?
- Wie muss der Connector im Exchange angepasst werden, dass er die Mails annimmt? Anonym? Ungern - Dann hätte ich theoretisch ein offenes Relay, oder?
Was steht als Beschränkung in den Remote IP´s des Connectors? Die FW oder eine Range des Providers?

- Wenn jetzt eine weitere Domäne.com hinzukommt. Kann ich diese auch auf den MX mail.firma.de leiten?


Habt ihr Erfahrung mit Exchange online?

- Brauche ich dabei zwingend einen internen Exchange? Oder ist Hybrid besser?
- Wie geh ich bei der Einrichtung vor? Erst interne Umgebung fehlerfrei umsetzen dann Hybrid Wizard anstoßen?
- Bei Hybrid ist mein interner Exchange der Dreh und Angelpunkt, richtig? Lediglich die Postfächer sind in der Cloud, oder?
- Ich habe gelesen dass der Empangsconnector den der Hybrid Wizard benötigt, später relativ "nackt" im Netz steht. D.h. dass MS einen Office365 Connector auf Port 25 auf dem Exchagne erwartet der
Anonymous Relay annimmt. Somit aber auch von jedem anderen Spambot.

Freue mich auf eure Rückmeldung und entschuldigt die ggf. amateurhaften Fragen.

Danke

Beste Grüße
TOAOICE

Content-Key: 364597

Url: https://administrator.de/contentid/364597

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: Voiper
Voiper 13.02.2018 um 09:01:12 Uhr
Goto Top
Mitglied: TOAOICE
TOAOICE 13.02.2018 aktualisiert um 09:30:37 Uhr
Goto Top
Hi,

sorry es ist natürlich Exchange 2016 und die Frank Zoechling Anleitung bzw. Frank Carius, sind da schon die ersten Infoadressen gewesen. Im groben ist soweit alles so wie Frank Zoechling das bechreibt aufgebaut. Aber Frank geht in seinen Anleitungen auch von einer PopCon Zustellung aus. Ich wollte das auf SMTP stellen.
Daher meine obigen Fragen.....

Danke
Mitglied: Kraemer
Kraemer 13.02.2018 um 09:31:50 Uhr
Goto Top
Moin,
Zitat von @TOAOICE:
- Wie muss der Connector im Exchange angepasst werden, dass er die Mails annimmt? Anonym? Ungern - Dann hätte ich theoretisch ein offenes Relay, oder?
tu dir selber doch einen gefallen, und denke über die Aussage noch einmal nach.

Gruß
Mitglied: Voiper
Voiper 13.02.2018 um 09:36:12 Uhr
Goto Top
Zitat von @Kraemer:

Moin,
Zitat von @TOAOICE:
- Wie muss der Connector im Exchange angepasst werden, dass er die Mails annimmt? Anonym? Ungern - Dann hätte ich theoretisch ein offenes Relay, oder?
tu dir selber doch einen gefallen, und denke über die Aussage noch einmal nach.

Gruß
Auch nicht schlecht...Hab ich überlesen ;)
Mitglied: TOAOICE
TOAOICE 13.02.2018 um 09:45:15 Uhr
Goto Top
Sorry, aber vielleicht steh ich auf dem Schlauch...

Der Default Connector der auf Port 25 lauscht ist im Standard "anonymus" nicht berechtigt diesen zu nutzten.
Im Standard stehen an diese Stelle "alle ipv4 und alle "ipv6" Adresse zulassen. Wenn ich hier ohne Einschränkung "Anonym" erlaube - hab ich ein offenes Relay - richtig?

Oder korrigier mich bitte....
Mitglied: SlainteMhath
SlainteMhath 13.02.2018 um 09:45:46 Uhr
Goto Top
Moin,

Was steht als Beschränkung in den Remote IP´s des Connectors? Die FW oder eine Range des Providers?
Wenn Du Mails von anderen Systemen empfangen willst: Nichts

lg,
Slainte
Mitglied: Voiper
Voiper 13.02.2018 um 09:48:13 Uhr
Goto Top
Ein offenes Relay ist es ja nur, wenn über deinen Server unkontrolliert Mails versendet werden können. Empfangen musst du logischerweise von allen ;)
Mitglied: Kraemer
Kraemer 13.02.2018 um 09:49:04 Uhr
Goto Top
Zitat von @TOAOICE:
Oder korrigier mich bitte....
du weißt doch gar nicht, wer dir Mails senden will - wie willst du das dann beschränken?
Ein Offenes Relay hast du erst dann, wenn dein Server Mails für annimmt, die an Mitglieder außerhalb deiner Domänen gesendet werden sollen.
Mitglied: TOAOICE
TOAOICE 13.02.2018 um 09:55:20 Uhr
Goto Top
Danke . Das heißt, ich muss den Default Connector nicht weiter anpassen.
Mitglied: SlainteMhath
SlainteMhath 13.02.2018 aktualisiert um 10:13:04 Uhr
Goto Top
Was in deiner Auflistung überhaupt nicht auftaucht ist die korrekte DNS-Konfiguration (PTR, SPF und ggfs DKIM/DMARC) - ist wichtig, wenn man Mails auch an externe Empfänger zustellen möchte face-smile
Mitglied: Voiper
Voiper 13.02.2018 um 10:19:47 Uhr
Goto Top
Zitat von @SlainteMhath:

Was in deiner Auflistung überhaupt nicht auftaucht ist die korrekte DNS-Konfiguration (PTR, SPF und ggfs DKIM/DMARC) - ist wichtig, wenn man Mails auch an externe Empfänger zustellen möchte face-smile
Beim PTR geh ich mit. Aber SPF und DKIM sind eigentlich "nur" wichtig, wenn der Empfänger auch sicherstellen will, dass die Mail auch vom richtigen Absender kommt ;)
Mitglied: TOAOICE
TOAOICE 13.02.2018 um 10:26:03 Uhr
Goto Top
@SlainteMhath - was meinst du genau?
Ich habe vorher in den Umgebungen, da keine feste IP, alles über Smarthost gesendet.
Daher wäre ich jetzt so vorgegangen, das ich einen Sendeconnector "internet" - an die MX Einträge der Empfängerdomäne einrichte.
Oder nicht?

Meinst du den internen DNS? Was muss ich denn für einen PTR setzen?
Mitglied: Voiper
Voiper 13.02.2018 aktualisiert um 10:30:32 Uhr
Goto Top
Du brauchst für die feste Ip einen PTR Eintrag auf dem DNS, der für die Domain zuständig ist, damit die Mails nicht im Spam landen. Genau das passiert nämlich, wenn der nicht gesetzt ist. Oder wenn beispielsweise die Telekom automatisch einen dynamischen PTR setzt.
Mitglied: TOAOICE
TOAOICE 13.02.2018 um 10:33:37 Uhr
Goto Top
@Voiper - dieser PTR Eintrag auf meine externe IP - setz ich den in der DNS Zone beim Provider oder in meimem internen DNS?
Mitglied: SlainteMhath
SlainteMhath 13.02.2018 aktualisiert um 10:34:21 Uhr
Goto Top
Daher wäre ich jetzt so vorgegangen, das ich einen Sendeconnector "internet" - an die MX Einträge der Empfängerdomäne einrichte.
Oder nicht?
Ja, das ist schon richtig so.

Alls zum Thema DNS und Mailzustellung findest du z.B. hier

@Voiper
über DKIM kann man streiten, aber SPF sollte man schon korrekt eingerichtet haben, wenn man als seriöse Firma darauf wert legt, das die Mails auch ankommen face-smile
Mitglied: SlainteMhath
SlainteMhath 13.02.2018 um 10:36:45 Uhr
Goto Top
Du brauchst für die feste Ip einen PTR Eintrag auf dem DNS, der für die Domain zuständig ist,
Falsch! Den PTR Eintrag muss der ISP konfigurieren! Der PTR zeigt von der öffentlichen IP auf den hostname (Reverse DNS)
Mitglied: TOAOICE
TOAOICE 13.02.2018 um 10:37:57 Uhr
Goto Top
Was muss ich denn jetzt wo eintragen?
Mitglied: Voiper
Voiper 13.02.2018 aktualisiert um 10:42:27 Uhr
Goto Top
Zitat von @SlainteMhath:

Du brauchst für die feste Ip einen PTR Eintrag auf dem DNS, der für die Domain zuständig ist,
Falsch! Den PTR Eintrag muss der ISP konfigurieren! Der PTR zeigt von der öffentlichen IP auf den hostname (Reverse DNS)
Das ist natürlich korrekt. Wieder zu schnell auf dem Telefon rumgehackt.


@TOAOICE
Du musst beim ISP einen Reverse DNS Eintrag (PTR) für die feste IP-Adresse hinterlegen.
Mitglied: TOAOICE
TOAOICE 13.02.2018 um 10:49:37 Uhr
Goto Top
Danke.

Also bin ich so richtig:

Meine Subdomain = mail.firma.com
A Record = feste IP meines Routers
MX Record = mail.firma.com
PTR Eintrag beim Provider "feste IP auf mail.firma.com"

Oder schmeiß ich grad alles durcheinander?
Mitglied: Voiper
Voiper 13.02.2018 um 11:06:09 Uhr
Goto Top
Sollte so passen. Was ist mit den genannten SPF und DKIM einträgen? Gibt es ein geplantes Autodiscover?
Mitglied: TOAOICE
TOAOICE 13.02.2018 um 11:16:25 Uhr
Goto Top
@Voiper

SPF Eintrag müsste ich jetzt beim ISP Anfragen ob die mich da unterstützen.

ja, autodicover ist eingeplant und wir dann "autodiscover.firma.de" per A Record auf die extern IP geleitet. Und dann auch dazu der PTR.
Mitglied: SlainteMhath
SlainteMhath 13.02.2018 um 11:23:39 Uhr
Goto Top
SPF Eintrag müsste ich jetzt beim ISP Anfragen ob die mich da unterstützen.
Ist der ISP auch der der den DNS für deine Domain hostet? Dann Ok, ansonsten muss du zum Hoster.

i.d.R. setzt man den SPF in etwa so:
example.com IN TXT "v=spf1 mx ~all"  
(=der als MX registrierte Server darf senden, ansonsten gibt es einen Hinweis, aber keinen block (softfail))
Einen Generator gibts hier: https://www.dynu.com/NetworkTools/SPFGenerator
Mitglied: TOAOICE
TOAOICE 13.02.2018 aktualisiert um 11:36:40 Uhr
Goto Top
Vielen Dank.
Jetzt hab ich den Fall mit einer DE Domain durchgespielt.

Bzw hier war oben noch ein Fehler:

Meine Domain = firma.de
MX Record der Domain =mail.firma.de

Meine Subdomain = mail.firma.de
A Record Subdomain = feste IP meines Routers

Welchen PTR bzw. SPF muss ich wo erzeugen? In der DNS Zone der Subdomain oder der Zone der Domain?

Wie verhält sich dass ganze wenn nun eine COM Domain dazukommt?

Kann ich für die COM Domain den gleichen MX Eintrag verwenden?
Mitglied: SlainteMhath
SlainteMhath 13.02.2018 um 11:43:25 Uhr
Goto Top
Welchen PTR bzw. SPF muss ich wo erzeugen? In der DNS Zone der Subdomain oder der Zone der Domain?
PTR (macht dein ISP, also der der dir IP verpasst)
<ip> PTR mail.firma.de

SPF (das machst du selbst)
mail.de IN TXT "v=spf1 mx ~all"

Kann ich für die COM Domain den gleichen MX Eintrag verwenden?
Ja klar. Einfach als MX mail.firma.de eintragen und gut.
Mitglied: TOAOICE
TOAOICE 13.02.2018 um 11:52:38 Uhr
Goto Top
Vielen Dank für Eure Hilfen

So langsam lichten sich meine Fragen....

Bleibt noch die Exchange - Online Geschichte
Wie sehen Eure Erfahrungen hier aus?
Mitglied: 7Gizmo7
7Gizmo7 13.02.2018 um 21:06:08 Uhr
Goto Top
Zitat von @Voiper:

Beim PTR geh ich mit. Aber SPF und DKIM sind eigentlich "nur" wichtig, wenn der Empfänger auch sicherstellen will, dass die Mail auch vom richtigen Absender kommt ;)

Bei mir, wenn kein SPF dann SCL Bewertung 9, das gehört zum guten Ton (-;

Mfg