6
Fragen zu: Windows DNS - MX Records - AD (domänenname.local) - E-Mail (firma.de)
Hallo Adminz,
nun bin ich den zweiten Tag (Abend) in Folge auf der Suche nach einer Erklärung für eine "vermutlich einfache" Konfiguration. Habe neben vielen Einträgen dieses und jenes Forums auch gg durchsucht, leider nur mit teilweisem Erfolg. Es ist möglich, dass die Lösung(en) schon vor meinen Augen war, ich sie aber nicht erkannt bzw. verstanden habe. Deswegen nun dieser Eintrag mit der Bitte um leicht verständliche Lösung(en) und/oder Hinweise zu meinem Grundsatzproblem. Es ist wichtig für mich das zu verstehen, einen Dritten kann ich nicht beauftragen. Danke!
Ausgangssituation:
- Postfächer liegen auf einem Smarthost bei Provider1
- Maildomain = firma.de bei Provider2
- MX-Record bei Provider2 zeigt auf Mailserver bei Provider1
schlecht daran ist:
- Nachrichten können Mailclients ausschließlich per POP3 zugestellt werden (Beschränkung von Provider1)
- keine Groupware Funktionen
- umständliches Backup der lokalen Postfächer (Outlook)
- hohe jährliche Kosten für Provider1
SOLL-Zustand:
- eigener Mailserver mit Direktzustellung und Groupware Funktionen
bereits vorhanden:
- feste IP-Adresse (vom rosaroten Riesen)
- Hardware Firewall
- AD, DNS Server 2012R2 (domänenname.local)
- Server 2012R2 für Kerio Connect
- Kerio Connect Lizenz
wird erledigt sobald meine Fragen beantwortet sind:
- DNS Eintrag mail.firma.de beim rosaroten Riesen (Hostname des Mailservers zur festen IP)
- MX-Record bei Provider2 zeigt jetzt auf eigenen Mailserver
- öffentliches Webserverzertifikat für den Client-Zugriff von Außen
Meine große Frage ist: Wie muss der interne DNS-Server konfiguriert werden?
- Es soll möglich sein den Mailserver von extern anzusprechen (Clientzugriff, Webportal).
- Intern soll der Mailserver auch über mail.meinefirma.de ansprechbar sein.
- Wie viele MX-Records muss ich erstellen, und wo genau?
- Ist es notwendig eine neue Zone im DNS zu erstellen?
- Wie viele Host A Einträge sind notwendig, und an welcher Stelle?
Danke für jede hilfreiche Antwort!
Gruß, panax-4.3
nun bin ich den zweiten Tag (Abend) in Folge auf der Suche nach einer Erklärung für eine "vermutlich einfache" Konfiguration. Habe neben vielen Einträgen dieses und jenes Forums auch gg durchsucht, leider nur mit teilweisem Erfolg. Es ist möglich, dass die Lösung(en) schon vor meinen Augen war, ich sie aber nicht erkannt bzw. verstanden habe. Deswegen nun dieser Eintrag mit der Bitte um leicht verständliche Lösung(en) und/oder Hinweise zu meinem Grundsatzproblem. Es ist wichtig für mich das zu verstehen, einen Dritten kann ich nicht beauftragen. Danke!
Ausgangssituation:
- Postfächer liegen auf einem Smarthost bei Provider1
- Maildomain = firma.de bei Provider2
- MX-Record bei Provider2 zeigt auf Mailserver bei Provider1
schlecht daran ist:
- Nachrichten können Mailclients ausschließlich per POP3 zugestellt werden (Beschränkung von Provider1)
- keine Groupware Funktionen
- umständliches Backup der lokalen Postfächer (Outlook)
- hohe jährliche Kosten für Provider1
SOLL-Zustand:
- eigener Mailserver mit Direktzustellung und Groupware Funktionen
bereits vorhanden:
- feste IP-Adresse (vom rosaroten Riesen)
- Hardware Firewall
- AD, DNS Server 2012R2 (domänenname.local)
- Server 2012R2 für Kerio Connect
- Kerio Connect Lizenz
wird erledigt sobald meine Fragen beantwortet sind:
- DNS Eintrag mail.firma.de beim rosaroten Riesen (Hostname des Mailservers zur festen IP)
- MX-Record bei Provider2 zeigt jetzt auf eigenen Mailserver
- öffentliches Webserverzertifikat für den Client-Zugriff von Außen
Meine große Frage ist: Wie muss der interne DNS-Server konfiguriert werden?
- Es soll möglich sein den Mailserver von extern anzusprechen (Clientzugriff, Webportal).
- Intern soll der Mailserver auch über mail.meinefirma.de ansprechbar sein.
- Wie viele MX-Records muss ich erstellen, und wo genau?
- Ist es notwendig eine neue Zone im DNS zu erstellen?
- Wie viele Host A Einträge sind notwendig, und an welcher Stelle?
Danke für jede hilfreiche Antwort!
Gruß, panax-4.3
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 300347
Url: https://administrator.de/contentid/300347
Printed on: April 25, 2024 at 09:04 o'clock
6 Comments
Latest comment
Moin,
Und wow, das klingt nach einem starken Quereinstieg in die Welt der Mailserver. Du solltest dir dringend bevor du anfängst diverse Tutorials und Dokumentationen zu dem Thema durchlesen.
Privat darf man beim Mailserver auch mal was kaputt machen. In einer Firma geht sowas gar nicht. Blacklisting wegen Spams ist z.B. kein Spielplatz. Je nach Blacklist kann das entfernen von 1 Tag bis hin zu mehreren Monaten dauern. Und solange man da irgendwo rumspukt wird man einige Mails nicht zugestellt bekommen.
Aber wie auch immer, kommen wir mal zu deinen Fragen:
Geht. Setze ein Webinterface für deine Groupware-Lösung auf, schleife den Port 443 mit gültigem Zertifikat für eine entsprechende Domain durch oder setze einen Reverse Proxy dafür auf. Wichtig ist nur, dass deine HTTP-Requests einfach bei deinem Interface landen.
DNS wird dir hier gute Dienste Leisten. Einfach die IP für die Domain als A Record im internen DNS Server passend hinterlegen. Fertig.
Genau genommen nur 1. Schließlich hast du nur einen Server. (Was übrigens sehr bescheiden ist bei Firmenmails.) Diesen setzt du im für deine externe Domain authorativen DNS Server.
Das kommt drauf an, ob du die Domain schon intern verwendest oder nicht. Geisterst du irgendwo auf domainname.local rum, wie du im Titel schreibst so musst du eine neue Zone erstellen und den entsprechenden DNS Namen eintragen. Außerdem vielleicht auch noch alle anderen DNS Namen für die externe Domain, falls du diese innerhalb des Unternehmens aufrufen willst. Das ist zumindest die Split Horizon Lite Variante.
Primär brauchst du halt deinen mail.firma.de.-Eintrag um deine Mails zustellen zu können. Alle anderen sind optional, wenn du auf keine anderen Inhalte zugreifen möchtest. Und den Natürlich dann einmal für Intern auf deinem Windows DNS und einmal bei deinem externen DNS Anbieter mit der externen IP deines Mailservers.
Aber wie schon oben erwähnt. Mailserver sind kein Spielplatz wenn es um Firmen geht. Neben den technischen Hürden gibt es auch Auflagen wie lange man Mails vorhalten muss (Ja, alle, auch die die man eigentlich nur gen Spam verschiebt) etc.
Es ist halt schon ein Unterschied interne Groupware-Server wie Exchange zu betreiben oder den weiteren Schritt zu gehen und auch noch alle Mails selbst anzunehmen. Das eine setzt das andere nämlich nicht voraus.
Ich würde dir jedenfalls empfehlen das Ganze zu überdenken. Lieber erstmal die Mails per Pop3 vom externen Provider abrufen und auf dem internen Groupware-Server bunkern, wie es die meisten tun, statt direkt mit der Tür ins Haus zu fallen und gleich alles selbst machen zu wollen.
In diesem Sinne eine ruhige Nacht
Gruß
Chris
Und wow, das klingt nach einem starken Quereinstieg in die Welt der Mailserver. Du solltest dir dringend bevor du anfängst diverse Tutorials und Dokumentationen zu dem Thema durchlesen.
Privat darf man beim Mailserver auch mal was kaputt machen. In einer Firma geht sowas gar nicht. Blacklisting wegen Spams ist z.B. kein Spielplatz. Je nach Blacklist kann das entfernen von 1 Tag bis hin zu mehreren Monaten dauern. Und solange man da irgendwo rumspukt wird man einige Mails nicht zugestellt bekommen.
Aber wie auch immer, kommen wir mal zu deinen Fragen:
- Es soll möglich sein den Mailserver von extern anzusprechen (Clientzugriff, Webportal).
Geht. Setze ein Webinterface für deine Groupware-Lösung auf, schleife den Port 443 mit gültigem Zertifikat für eine entsprechende Domain durch oder setze einen Reverse Proxy dafür auf. Wichtig ist nur, dass deine HTTP-Requests einfach bei deinem Interface landen.
- Intern soll der Mailserver auch über mail.meinefirma.de ansprechbar sein.
DNS wird dir hier gute Dienste Leisten. Einfach die IP für die Domain als A Record im internen DNS Server passend hinterlegen. Fertig.
- Wie viele MX-Records muss ich erstellen, und wo genau?
Genau genommen nur 1. Schließlich hast du nur einen Server. (Was übrigens sehr bescheiden ist bei Firmenmails.) Diesen setzt du im für deine externe Domain authorativen DNS Server.
- Ist es notwendig eine neue Zone im DNS zu erstellen?
Das kommt drauf an, ob du die Domain schon intern verwendest oder nicht. Geisterst du irgendwo auf domainname.local rum, wie du im Titel schreibst so musst du eine neue Zone erstellen und den entsprechenden DNS Namen eintragen. Außerdem vielleicht auch noch alle anderen DNS Namen für die externe Domain, falls du diese innerhalb des Unternehmens aufrufen willst. Das ist zumindest die Split Horizon Lite Variante.
- Wie viele Host A Einträge sind notwendig, und an welcher Stelle?
Primär brauchst du halt deinen mail.firma.de.-Eintrag um deine Mails zustellen zu können. Alle anderen sind optional, wenn du auf keine anderen Inhalte zugreifen möchtest. Und den Natürlich dann einmal für Intern auf deinem Windows DNS und einmal bei deinem externen DNS Anbieter mit der externen IP deines Mailservers.
Aber wie schon oben erwähnt. Mailserver sind kein Spielplatz wenn es um Firmen geht. Neben den technischen Hürden gibt es auch Auflagen wie lange man Mails vorhalten muss (Ja, alle, auch die die man eigentlich nur gen Spam verschiebt) etc.
Es ist halt schon ein Unterschied interne Groupware-Server wie Exchange zu betreiben oder den weiteren Schritt zu gehen und auch noch alle Mails selbst anzunehmen. Das eine setzt das andere nämlich nicht voraus.
Ich würde dir jedenfalls empfehlen das Ganze zu überdenken. Lieber erstmal die Mails per Pop3 vom externen Provider abrufen und auf dem internen Groupware-Server bunkern, wie es die meisten tun, statt direkt mit der Tür ins Haus zu fallen und gleich alles selbst machen zu wollen.
In diesem Sinne eine ruhige Nacht
Gruß
Chris
Moin,
Du solltest Dir bewußt sein, daß Du da als "Quereinsteiger" seh viele fehler machen kannst. Von daher solltest Du schauen, ob Du wirklich keine Unterstützugn in Anspruch nehmen willst.
Die frage ist, wo Du meine "firma.de" registiriert hast. Beim Provider1 oder beim neuen Provider2?
Im ersteren Fall müßtest Du erstmal einjen KK-Antrag machen, sofern der Provider1 das setzen von DNS-Einträgen nicht ermöglicht.
Weiterhin ist die frage, wiviele statische IP-Adressen Du bekommen hast und ob der mail-server direkt mit eine roffiziellen IP-Adresse bestückt werden kann oder nicht.
Fall1: Du hast Die Möglichkeit, deinem Mailserver eine öffentliche IP-Adresse zu verpassen:
Setze einen A-record für mail.meinefirma.tld auf die statische IP-Adresse des Servers und dazu noch einen MX für meinefirma.tld auf diese Adresse.
Fall2: Dein Mailserver muß mit einer RFC1918-Adresse arbeiten:
Sofern Dein Router kein Hairpin-NAT kann, mußt Du mit einer Split-Brain-kkonfiguration Deines DNS arbeiten. Der interne mailserver muß mail.meinefirma.tld auf die RFC1918-Adresse auflösen und der externe beim provider auf die statische IP-Adresse Deines Routers. Bei Deinem Router mußt Du dann nur dafür sorgen, das smtp, auf Deinen Mailserver weitergeleitet wird.
lks
Du solltest Dir bewußt sein, daß Du da als "Quereinsteiger" seh viele fehler machen kannst. Von daher solltest Du schauen, ob Du wirklich keine Unterstützugn in Anspruch nehmen willst.
Die frage ist, wo Du meine "firma.de" registiriert hast. Beim Provider1 oder beim neuen Provider2?
Im ersteren Fall müßtest Du erstmal einjen KK-Antrag machen, sofern der Provider1 das setzen von DNS-Einträgen nicht ermöglicht.
Weiterhin ist die frage, wiviele statische IP-Adressen Du bekommen hast und ob der mail-server direkt mit eine roffiziellen IP-Adresse bestückt werden kann oder nicht.
Fall1: Du hast Die Möglichkeit, deinem Mailserver eine öffentliche IP-Adresse zu verpassen:
Setze einen A-record für mail.meinefirma.tld auf die statische IP-Adresse des Servers und dazu noch einen MX für meinefirma.tld auf diese Adresse.
Fall2: Dein Mailserver muß mit einer RFC1918-Adresse arbeiten:
Sofern Dein Router kein Hairpin-NAT kann, mußt Du mit einer Split-Brain-kkonfiguration Deines DNS arbeiten. Der interne mailserver muß mail.meinefirma.tld auf die RFC1918-Adresse auflösen und der externe beim provider auf die statische IP-Adresse Deines Routers. Bei Deinem Router mußt Du dann nur dafür sorgen, das smtp, auf Deinen Mailserver weitergeleitet wird.
lks
Hallo Sheogorath, hallo Lochkartenstanzer,
habt vielen Dank für Eure Beiträge! Ihr habt mich davon überzeugt, das Projekt nicht zu überstürzen. Vorerst wird der interne Mailserver alle Nachrichten per POP3 zugestellt bekommen. Sobald ich im Thema richtig fit bin kann immer noch auf Direktempfang umgestellt werden.
Damit habe ich vorerst einen Meilenstein erreicht, den internen Mailserver mit Groupware Funktion.
Viele Grüße, panax-4.3
habt vielen Dank für Eure Beiträge! Ihr habt mich davon überzeugt, das Projekt nicht zu überstürzen. Vorerst wird der interne Mailserver alle Nachrichten per POP3 zugestellt bekommen. Sobald ich im Thema richtig fit bin kann immer noch auf Direktempfang umgestellt werden.
Damit habe ich vorerst einen Meilenstein erreicht, den internen Mailserver mit Groupware Funktion.
Viele Grüße, panax-4.3
Hallo panax,
wenn Dein Kerio intern läuft, ist die Umstellung von POP3-Abholung auf Direktzustellung nicht kompliziert.
Das läuft in etwa so (mindestens):
1. Firewall konfigurieren (SMTP von extern nach Kerio/intern erlauben, andersrum auch nur den Kerio erlauben nach extern zu SMTPen)
2. Den Kerio konfigurieren (Internet-Hostname auf den externen Name ändern - z.B. mail.firma.de. SMTP-Zustellung auf per MX ändern)
3. beim Web/Mail-Provider den MX-Record umstellen
4. Beim Internetanbieter einen Reverse-Lookup Eintrag erstellen lassen (IP-Adresse zu Name)
5. optional: im Kerio DKIM erstellen und beim Provider den DNS Eintrag (TXT für DKIM) eintragen
6. ein SSL-Zertifikat für den Kerio bei einem Anbieter ausstellen lassen (z.B. https://www.psw-group.de/ssl-zertifikate/detail/c40-geotrust-rapidssl/)
das nur als grober Fahrplan.
Ist nicht kompliziert...
vG
LS
wenn Dein Kerio intern läuft, ist die Umstellung von POP3-Abholung auf Direktzustellung nicht kompliziert.
Das läuft in etwa so (mindestens):
1. Firewall konfigurieren (SMTP von extern nach Kerio/intern erlauben, andersrum auch nur den Kerio erlauben nach extern zu SMTPen)
2. Den Kerio konfigurieren (Internet-Hostname auf den externen Name ändern - z.B. mail.firma.de. SMTP-Zustellung auf per MX ändern)
3. beim Web/Mail-Provider den MX-Record umstellen
4. Beim Internetanbieter einen Reverse-Lookup Eintrag erstellen lassen (IP-Adresse zu Name)
5. optional: im Kerio DKIM erstellen und beim Provider den DNS Eintrag (TXT für DKIM) eintragen
6. ein SSL-Zertifikat für den Kerio bei einem Anbieter ausstellen lassen (z.B. https://www.psw-group.de/ssl-zertifikate/detail/c40-geotrust-rapidssl/)
das nur als grober Fahrplan.
Ist nicht kompliziert...
vG
LS
Hallo laster,
DANKE!
Über Deine Antwort habe ich mich sehr gefreut. In der Zwischenzeit habe ich einige Punkte abhaken können:
0. DNS Eintrag setzen - erledigt
1. Firewall konfigurieren (SMTP von extern nach Kerio/intern erlauben, andersrum auch nur den Kerio erlauben nach extern zu SMTPen)
erledigt
2. Den Kerio konfigurieren (Internet-Hostname auf den externen Name ändern - z.B. mail.firma.de. SMTP-Zustellung auf per MX ändern)
erledigt
3. beim Web/Mail-Provider den MX-Record umstellen
Habe als Zwischenlösung für die Postfächer auf dem Smarthost eine Weiterleitung zu vorname.nachname@mail.meinefirma.de eingerichtet. Damit habe ich den Direktempfang erfolgreich getestet. Das Versenden der Mails funktioniert auch (SMTPen). Das verschafft mir genug Zeit alle lokalen Postfächer zum Kerio Connect zu migrieren. Wenn alle Clients angebunden sind und alles zufriedenstellend funktioniert, stelle ich den MX-Record um.
4. Beim Internetanbieter einen Reverse-Lookup Eintrag erstellen lassen (IP-Adresse zu Name)
muss ich noch tun
5. optional: im Kerio DKIM erstellen und beim Provider den DNS Eintrag (TXT für DKIM) eintragen
damit setze ich mich in den nächsten Tagen auseinander
//6. ein SSL-Zertifikat für den Kerio bei einem Anbieter ausstellen lassen (z.B. https://www.psw-group.de/ssl-zertifikate/detail/c40-geotrust-rapidssl/)/ ..)
fehlt noch, kommt aber 100%ig
Sobald ich durch bin, oder hängen bleibe, poste ich meine Erfahrungen.
bis bald, panax-4.3
DANKE!
Über Deine Antwort habe ich mich sehr gefreut. In der Zwischenzeit habe ich einige Punkte abhaken können:0. DNS Eintrag setzen - erledigt
1. Firewall konfigurieren (SMTP von extern nach Kerio/intern erlauben, andersrum auch nur den Kerio erlauben nach extern zu SMTPen)
erledigt
2. Den Kerio konfigurieren (Internet-Hostname auf den externen Name ändern - z.B. mail.firma.de. SMTP-Zustellung auf per MX ändern)
erledigt
3. beim Web/Mail-Provider den MX-Record umstellen
Habe als Zwischenlösung für die Postfächer auf dem Smarthost eine Weiterleitung zu vorname.nachname@mail.meinefirma.de eingerichtet. Damit habe ich den Direktempfang erfolgreich getestet. Das Versenden der Mails funktioniert auch (SMTPen). Das verschafft mir genug Zeit alle lokalen Postfächer zum Kerio Connect zu migrieren. Wenn alle Clients angebunden sind und alles zufriedenstellend funktioniert, stelle ich den MX-Record um.
4. Beim Internetanbieter einen Reverse-Lookup Eintrag erstellen lassen (IP-Adresse zu Name)
muss ich noch tun
5. optional: im Kerio DKIM erstellen und beim Provider den DNS Eintrag (TXT für DKIM) eintragen
damit setze ich mich in den nächsten Tagen auseinander
//6. ein SSL-Zertifikat für den Kerio bei einem Anbieter ausstellen lassen (z.B. https://www.psw-group.de/ssl-zertifikate/detail/c40-geotrust-rapidssl/)/ ..)
fehlt noch, kommt aber 100%ig
Sobald ich durch bin, oder hängen bleibe, poste ich meine Erfahrungen.
bis bald, panax-4.3
Sobald ich durch bin, oder hängen bleibe, poste ich meine Erfahrungen.
Gutes Gelingen!
(KerioConnect seit heute in Version 9.0.3 verfügbar. Neue Antispam-Engine, von Bitdefender, muss aber extra lizenziert werden...)
vG
LS
