crack24
Goto Top

Mailserver und Relay, wie funktioniert das?

Hallo,

ich habe neulich gelesen, dass jemand einen Exchange Server und einen "Windows SMTP-Server als Relay" einsetzt. Exchange Server kenne ich aber was bedeutet in diesem Zusammenhang dieser Relay Server und wozu benutzt man den? Normalerweise schickt doch der Exchange direkt die Mails weg oder nicht?

Viele Grüße
crack

Content-Key: 208809

Url: https://administrator.de/contentid/208809

Ausgedruckt am: 28.03.2024 um 20:03 Uhr

Mitglied: tikayevent
tikayevent 28.06.2013 um 14:32:17 Uhr
Goto Top
Man sollte niemals einen Exchange Server (oder E-Mail/Postfachserver) direkt am Internet betreiben sondern immer Instanz dazwischen haben. Ich habe z.B. einen Postfix und einen Squid zwischen Internet und Exchange. Dadurch sind die Daten weiterhin sicher, selbst wenn der Mailserver in erster Front unter Beschuss steht.
Mitglied: crack24
crack24 28.06.2013 um 16:15:02 Uhr
Goto Top
Hm ok. Das heißt der Relay Server empfängt die Mails und leitet sie dann an den Exchange weiter?

Bisher werden bei uns die Mails von jedem Client über Pop3 abgerufen. Jetzt haben wir diese Woche einen neuen Server bestellt auf dem auch Exchange als Mailserver laufen soll.

D.h. damit hätten wir ein latentes Sicherheitsrisiko? Das hätte mir unser IT Dienstleister vielleicht mal sagen sollen. Wäre es eine Lösung dass der Exchange die Mails weiter per Pop3 vom Provider abholt? Welchen Vorteil hätte die andere Variante wo die Mails direkt an den Exchange gehen?
Mitglied: jsysde
jsysde 28.06.2013 um 16:45:47 Uhr
Goto Top
N'Abend.


Zitat von @tikayevent:
Man sollte niemals einen Exchange Server (oder E-Mail/Postfachserver) direkt am Internet betreiben sondern immer Instanz
dazwischen haben. Ich habe z.B. einen Postfix und einen Squid zwischen Internet und Exchange. Dadurch sind die Daten weiterhin
sicher, selbst wenn der Mailserver in erster Front unter Beschuss steht.

Hmm, das möcht ich so nicht stehen lassen. Korrekt wäre, man sollte seinen Exchange Server, wenn er denn direkt "am Internet betrieben wird", schon richtig konfigurieren und ihn nicht als offenes Relay stehen lassen - wobei afaik seit Exchange 2007 die Standard-Konfig das schon nicht mehr zulässt.

Um das klarzustellen:
Es besteht keine Pflicht dazu, eine weitere "Instanz" zwischen Exchange und das "böse" Internet zu schalten. Jeder falsch (== als offenes Relay) konfigurierte Mailserver taugt als Spamschleuder, egal ob Exchange, hMail, Postfix oder whatsoever.

Dass es natürlich sinnvoll ist, vor seinem Exchange z.B. einen Spam- und Virenfilter zu betreiben, steht auf einem anderen Blatt.

Cheers,
jsysde
Mitglied: tikayevent
tikayevent 28.06.2013 um 19:30:26 Uhr
Goto Top
Meine Aussage bezog sich nicht auf Open Relays sondern jede Software hat Fehler, teilweise auch Sicherheitslücken. Wenn man einen direkten Zugriff auf einen Exchangeserver erlangen kann, der ohne Zwischenschritt im Internet erreichbar ist, kann man eventuell Zugriff auf die Mails, Kontakte, Kalenderdaten, das dahinterliegende Active Directory oder sogar Netzwerk erhalten.

Mit dem Relay zwischen Internet und Exchange muss man erstmal eine Sicherheitslücke im Relay finden, diese ausnutzen und dann durch diese Lücke an das System dahinter kommen.

Ich bau diese Systeme so auf, dass in direkt am Internet der Router läuft und nur Port 25 an den Relay weitergibt. Dieser prüft nimmt die Mail an, prüft die auf Viren, SPAM und sowas. Hierbei handelt es sich um ein Postfixsystem, sobald die E-Mail komplett angenommen und geprüft wurde, wird die Mail erst an den Exchange weitergeben. Eine direkte Kommunikation ist nicht möglich, die E-Mail wird immer erst komplett angenommen.

Die Lösung mit dem POP3-Abruf ist sicherheitstechnisch nochmal um Längen sicherer, weil das Internet nicht mit dem Exchange kommuniziert sondern nur der Exchange mit dem Internet. Bei kleinen Installationen kann man dieses gut machen, bei vielen Postfächern ist der Mehraufwand irgendwann nicht mehr tragbar, weil man für jedes Postfach eigentlich zwei Postfächer pflegen muss.

Damit die Lösung mit Relay und Exchange funktioniert, sollte man eh eine ordentliche Internetverbindung, wenn möglich SDSL oder was anderes im Businessbereich haben, eine feste IP-Adresse ist Pflicht, mit ADSL gehts auch, aber die Ausfallrate bei ADSL-Anschlüssen ist sehr hoch.
Mitglied: wiesi200
wiesi200 28.06.2013 um 19:55:23 Uhr
Goto Top
Hallo,

über so Relayserver werden oft auch noch Nebeneffekte realisiert wie z.b. der Spamschutz dadurch wird schon mal Last vom Mailserver genommen.
Zu dem SMTP Relay kann man beim Exchange auch noch einen Reverse Proxy für den Webzugriff einsetzen.
Das alles erhöht natürlich die Sicherheit, aber ich glaube die wenigsten "kleineren" Firmen setzten solche Funktionen ein.
Es sind einfach zusätzliche Kosten da ein zweiter Server her muss. Virtualisieren würde ich sowas z.b. nicht und auch der Wartungsaufwand ist höher.
Wobei man, vor allem wenn mann hier oft Beiträge von Dienstleistern sieht, auch von Unwissen ausgehen muss.

Aber wenn's ein neuer Exchange ist wo regelmäßig Sicherheitsupdates gemacht werden sehe ich's jetzt nicht so extrem schlimm.
Dem OWA von einem Exchange 2003 hingegen würde ich nicht mehr so trauen.

Sehen wir's mal als erweiterte Sicherheitsfunktion.
Mitglied: filippg
filippg 28.06.2013 aktualisiert um 21:11:09 Uhr
Goto Top
Hallo,

D.h. damit hätten wir ein latentes Sicherheitsrisiko?
Ja.
Was hier noch gar nicht angesprochen wurde, sind Antivirus und Antispam. Was hast du dir den dann vorgestellt? Für AV gibt es (von vielen Herstellern) Produkte, die sich in Exchange einklinken (ein "normaler" Virenscanner tut es nicht!).
Antispam direkt auf Exchange gut umzusetzen ist m.E. schon schwieriger. Alleine deswegen braucht man i.A. einen weiteren Server zwischen Internet und Exchange.

Das hätte mir unser IT Dienstleister vielleicht mal sagen sollen.
Was macht denn euer Dienstleister für euch? Auch Exchange betreiben?

Wäre es eine Lösung dass der Exchange die Mails weiter per Pop3 vom Provider abholt? Welchen Vorteil hätte die
andere Variante wo die Mails direkt an den Exchange gehen?
Diese Möglichkeit gibt es beim SBS (oder beim echten Exchange mit Drittprodukten).
Vorteil: Ein Provider, der das kann, kann sich um AV und AS kümmern. Und wenn dein Exchange oder deine Internetanbindung mal ausfallen, werden Mails trotzdem vom Provider angenommen (keine Fehlermeldung für Kunde) und halt nur etwas später abgeholt.
Nachteil: Funktioniert nicht vernünftig. Und: Entweder, du richtest für jedes Postfach auf deinem Exchange auch eins beim Provider an - dann hast du viel Arbeit, oder du verwendest ein CatchAll beim Provider - dann wird da auch viel Spam angenommen, und per BCC empfangen Mails können nicht mehr zugeordnet werden.

Gruß

Filipp
Mitglied: crack24
crack24 02.07.2013 um 08:00:55 Uhr
Goto Top
Zitat von @filippg:
Was hier noch gar nicht angesprochen wurde, sind Antivirus und Antispam. Was hast du dir den dann vorgestellt? Für AV gibt es
(von vielen Herstellern) Produkte, die sich in Exchange einklinken (ein "normaler" Virenscanner tut es nicht!).
Antispam direkt auf Exchange gut umzusetzen ist m.E. schon schwieriger. Alleine deswegen braucht man i.A. einen weiteren Server
zwischen Internet und Exchange.

Wir haben eine Securepoint Firewall Appliance die sowohl Antivirus als auch Antispam bietet. Im Exchange 2013 ist meines Wissens nach auch noch eine Antivirenlösung integriert oder? Kann man beides zusammen laufen lassen?

> Das hätte mir unser IT Dienstleister vielleicht mal sagen sollen.
Was macht denn euer Dienstleister für euch? Auch Exchange betreiben?

Der Dienstleister kümmert sich um Beschaffung und Wartung von allem was mit unserem Server zusammenhängt.
Mitglied: wiesi200
wiesi200 02.07.2013 um 11:28:55 Uhr
Goto Top
Also wenn der Securepoint eure einzige Antivirus Lösung ist und nicht's auf dem Desktop dann ist's zu wenig. Ansonsten passt schon.

Wenn ihr den OWA verwendet vom Exchange kann man noch nen Reverse Proxy noch davor schalten wenn man will, ist schöner. Das kommt aber auch darauf an welchen Sicherheitsanspruch man hat.

Beim Dienstleister gehe ich aber einfach davon aus das er die Möglichkeiten nicht kannte.
Mitglied: crack24
crack24 08.07.2013 um 11:10:38 Uhr
Goto Top
Auf dem Desktop benutzen wir momentan noch GData. Das prüft die Mails beim Pop3 Abruf. Ich denke wenn wir Securepoint und Exchange Antivirus einsetzen, kann man sich die GData Prüfung für den Mailabruf sparen. Da würde ich dann nur noch den normalen Wächter laufen lassen.

Ich habe jetzt gesehen dass Securepoint anscheinend auch Mail Relay Funktionen hat. Ich kenne mich damit nicht so aus, sagen euch die Funktionen auf dem Screenshot was?
http://img259.imageshack.us/img259/7382/ox7m.jpg
Mitglied: wiesi200
wiesi200 08.07.2013 um 15:32:07 Uhr
Goto Top
Das mit dem Pop3 Abruf kannst dir danach wirklich schenken, vor allem ihr werden doch nicht von eurem Exchange in Zukunft per Pop E-Mail abrufen?
Die Relaying Funktionen vom Securepoint braucht ihr damit z.B der Spam und Virenfilter läuft.

Also ein normaler Grundschutz, wie bei den meisten kleineren Firmen, ist da schon vorhanden. Besser geht's natürlich immer.

<OT>
Mich würd echt mal interessieren warum mein letzter Beitrag ne negative Bewertung gekriegt hat.
</OT>
Mitglied: crack24
crack24 08.07.2013 um 15:44:58 Uhr
Goto Top
Ok vielen Dank für deine Hilfe. Jetzt blicke ich schon mal mehr durch face-smile
Mitglied: crack24
crack24 31.07.2013 um 09:04:52 Uhr
Goto Top
Kurzes Feedback, der Exchange läuft und Securepoint Relay ist davorgeschaltet als Spam und Virenfilter. Der Spamfilter läuft noch nicht so richtig, aber das bekommen wir sicher noch in den Griff.