6
ExchangeProjekt
Hallo,
ich bin neu hier und habe mal eine Frage zu Exchange.
Wir planen zur Zeit in unserer Firma die EDV neu einzurichten, dabei bin ich auf ein Problem bezüglich Exchange gestoßen.
Geplant ist, eine DMZ einzurichten. Erste Firewall ist eine NAT, die in dem Router integriert ist der am Internet hängt.
Die Firewall für das Interne LAN soll eine Application Layer Firewall von SONICWALL werden (NSA 240).
An beiden Firewalls soll jeweils der Port 443 geöffnet werden für OWA und OMA.
Die Application Layer Firewall soll dazu dienen, dass keine schädlichen Pakete durch diesen Port in das interne LAN gelangen.
Im Internen LAN soll dann der Exchange-Server stehen. Meine Frage ist nun, ob ich nun einen Frontendserver benötige oder ob ein Backend reicht.
Zudem muss der Mailserver ja irgendwie über den Port 25 ansprechbar sein. Meine 2. Frage ist also, wie man das dann sicher löst. Wenn ich bei beiden Firewalls den Port 25 dazu öffne ist das ja ein Sicherheitsrisiko. Ich habe gelesen, dass man deshalb noch einen Server mit einer SMTP-Relay Software in die DMZ stellt. Ich weiß nur leider nicht, wie man das dann einrichtet. Denn wenn der SMTP-Relay dann die E-Mails annimmt, müssen diese ja auch an den Exchange-Server im internen LAN weitergeleitet werden, wozu ich wiederrum den Port 25 öffnen müsste.
Ich hoffe mir kann da jemand helfen.
Gruß
ich bin neu hier und habe mal eine Frage zu Exchange.
Wir planen zur Zeit in unserer Firma die EDV neu einzurichten, dabei bin ich auf ein Problem bezüglich Exchange gestoßen.
Geplant ist, eine DMZ einzurichten. Erste Firewall ist eine NAT, die in dem Router integriert ist der am Internet hängt.
Die Firewall für das Interne LAN soll eine Application Layer Firewall von SONICWALL werden (NSA 240).
An beiden Firewalls soll jeweils der Port 443 geöffnet werden für OWA und OMA.
Die Application Layer Firewall soll dazu dienen, dass keine schädlichen Pakete durch diesen Port in das interne LAN gelangen.
Im Internen LAN soll dann der Exchange-Server stehen. Meine Frage ist nun, ob ich nun einen Frontendserver benötige oder ob ein Backend reicht.
Zudem muss der Mailserver ja irgendwie über den Port 25 ansprechbar sein. Meine 2. Frage ist also, wie man das dann sicher löst. Wenn ich bei beiden Firewalls den Port 25 dazu öffne ist das ja ein Sicherheitsrisiko. Ich habe gelesen, dass man deshalb noch einen Server mit einer SMTP-Relay Software in die DMZ stellt. Ich weiß nur leider nicht, wie man das dann einrichtet. Denn wenn der SMTP-Relay dann die E-Mails annimmt, müssen diese ja auch an den Exchange-Server im internen LAN weitergeleitet werden, wozu ich wiederrum den Port 25 öffnen müsste.
Ich hoffe mir kann da jemand helfen.
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 115081
Url: https://administrator.de/contentid/115081
Printed on: April 19, 2024 at 06:04 o'clock
6 Comments
Latest comment
hallo,
Grundsätzlich ist der Gedanke gut eine 2 Stufen Firewall aufzubauen.
Zwischen den beiden Firewalls hast du ein Netz (ich denke mal dass du das mit DMZ meinst) das ich meistens Transfernetz nenne. Im Grunde ganz einfach die Interne NIC der Router/Firewall bekommt eine IP Adresse mit einem Bitcount von 30, und die externe NIC der Sonicwall die verbleibende IP Adresse aus dem selben Netz, jeweils auch mit einem Bitcount 30.
Somit kannst du schonmal behaupten dass sich kein Mensch mehr in dein Transfernetz / DMZ reinmogeln kann.
Dein FrontEnd Exchange Server kannst du an der 3ten NIC der RouterFirewall in ein DMZ stellen.
Natürlich muss das interne Netz auch über das Tranfernetz gerouter werden, zum DMZ und zu der Routerfirewall
Habt ihr eine feste IP? Das macht das Folgende etwas leichter.
Wenn du OWA betreiben möchtest, MUSST du das Protokoll HTTPS aus dem Internet erlauben.
je nachdem wie dein IIS eingerichtet ist, wird die Sicherheit hier nicht über den Port 443 gewährleistet sondern über die Einrichtung eines Zertifikats auf den IIS, über die Authentifizierung und letzendlich über die Konfiguration / Sperrung des IIS.
Alternativ hierzu wäre die Veröffentlichung des OWA´s über ein ISA Server.
Und was Port 25 angeht. Ich rate mal dass du damit meinst dass ihr eine Direkteinlieferung der eMails eingerichtet habt.
Nun ja, du musst ja Ports öffnen zur Kommunikation nach Innen wenn du willst das die Welt dich auch erreicht. In der Firewall wird ja Port 25 mit dem Protokoll SMTP geöffnet, wenn du hierrüber versäuchte eMails bekommst, ja da ist dein Virenscanner dafür zuständig diese auszufiltern.
Frontend Exch Server kann man auch machen, ich würde mir jedoch erstmal Gedanken machen wie man die beiden Firewalls konfiguriert so dass eMail verkehr funktioniert und OWA erreichbar ist. Danach, wenn alles lauft kann man über ein Frontend Exch nachdenken.
Ich würde hier mit der Baustelle Firewalls Konfiguration anfangen
Dann würde ich mich mit Veröffentlichungen beschäftigen. Darunter fällt Veröffentlichung OWA (mit oder ohne ISA Server) und Einrichtung Direkteinlieferung eMails.
Grundsätzlich ist der Gedanke gut eine 2 Stufen Firewall aufzubauen.
Zwischen den beiden Firewalls hast du ein Netz (ich denke mal dass du das mit DMZ meinst) das ich meistens Transfernetz nenne. Im Grunde ganz einfach die Interne NIC der Router/Firewall bekommt eine IP Adresse mit einem Bitcount von 30, und die externe NIC der Sonicwall die verbleibende IP Adresse aus dem selben Netz, jeweils auch mit einem Bitcount 30.
Somit kannst du schonmal behaupten dass sich kein Mensch mehr in dein Transfernetz / DMZ reinmogeln kann.
Dein FrontEnd Exchange Server kannst du an der 3ten NIC der RouterFirewall in ein DMZ stellen.
Natürlich muss das interne Netz auch über das Tranfernetz gerouter werden, zum DMZ und zu der Routerfirewall
Habt ihr eine feste IP? Das macht das Folgende etwas leichter.
Wenn du OWA betreiben möchtest, MUSST du das Protokoll HTTPS aus dem Internet erlauben.
je nachdem wie dein IIS eingerichtet ist, wird die Sicherheit hier nicht über den Port 443 gewährleistet sondern über die Einrichtung eines Zertifikats auf den IIS, über die Authentifizierung und letzendlich über die Konfiguration / Sperrung des IIS.
Alternativ hierzu wäre die Veröffentlichung des OWA´s über ein ISA Server.
Und was Port 25 angeht. Ich rate mal dass du damit meinst dass ihr eine Direkteinlieferung der eMails eingerichtet habt.
Nun ja, du musst ja Ports öffnen zur Kommunikation nach Innen wenn du willst das die Welt dich auch erreicht. In der Firewall wird ja Port 25 mit dem Protokoll SMTP geöffnet, wenn du hierrüber versäuchte eMails bekommst, ja da ist dein Virenscanner dafür zuständig diese auszufiltern.
Frontend Exch Server kann man auch machen, ich würde mir jedoch erstmal Gedanken machen wie man die beiden Firewalls konfiguriert so dass eMail verkehr funktioniert und OWA erreichbar ist. Danach, wenn alles lauft kann man über ein Frontend Exch nachdenken.
Ich würde hier mit der Baustelle Firewalls Konfiguration anfangen
Dann würde ich mich mit Veröffentlichungen beschäftigen. Darunter fällt Veröffentlichung OWA (mit oder ohne ISA Server) und Einrichtung Direkteinlieferung eMails.
Mit einer dyn-IP ist es ebenfalls einfach
Ansonsten hat "jadefalke" eigentlich alles in die Antwort gepackt.
Vielleicht solltest Du dich allerdings etwas mehr mit Exchange beschäftigen, bevor du solche Operationen anstrebst.
Hallo,
erstmal vielen Dank für die Antworten. Eine statische IP-Adresse haben wir momentan nicht. Momentan werden die Mails von einem Linuxserver per POP3 aus einem Sammelpostfach beim Provider abgeholt und mittels Postfix dann an die internen Exchangepostfächer verteilt. Geplant ist nun folgendes:
Den DynDNS-Host als MX-Eintrag beim Provider eintragen und dann die E-Mail Konten mit Exchange hosten.
Eins verstehe ich nicht ganz:
Wieso an die 3. NIC? Zwischen der RouterFirewall und der SONICWALL habe ich doch eine DMZ? (Der Router hat auch nur 2 NICs 1x WAN 4x LAN)
Gruß
erstmal vielen Dank für die Antworten. Eine statische IP-Adresse haben wir momentan nicht. Momentan werden die Mails von einem Linuxserver per POP3 aus einem Sammelpostfach beim Provider abgeholt und mittels Postfix dann an die internen Exchangepostfächer verteilt. Geplant ist nun folgendes:
Den DynDNS-Host als MX-Eintrag beim Provider eintragen und dann die E-Mail Konten mit Exchange hosten.
Eins verstehe ich nicht ganz:
Zitat von @jadefalke:
Dein FrontEnd Exchange Server kannst du an der 3ten NIC der
RouterFirewall in ein DMZ stellen.
Dein FrontEnd Exchange Server kannst du an der 3ten NIC der
RouterFirewall in ein DMZ stellen.
Wieso an die 3. NIC? Zwischen der RouterFirewall und der SONICWALL habe ich doch eine DMZ? (Der Router hat auch nur 2 NICs 1x WAN 4x LAN)
Gruß
[...]
Schlechte Idee. Besorgte Euch lieber eine feste IP. Wenn Dyndns mal wieder nicht läuft, oder Euer DynDns-Agent nicht schnell genug ist, nicht läuft oder sonstwas passiert, dann bekommt Ihr ein Problem mit Euren Mails.
Oder wollte Ihr dann einen MX Backup beim Provider nutzen? Dann könnt Ihr das auch dauerhaft machen.
Den DynDNS-Host als MX-Eintrag beim Provider eintragen und dann die
E-Mail Konten mit Exchange hosten.
[...]E-Mail Konten mit Exchange hosten.
Schlechte Idee. Besorgte Euch lieber eine feste IP. Wenn Dyndns mal wieder nicht läuft, oder Euer DynDns-Agent nicht schnell genug ist, nicht läuft oder sonstwas passiert, dann bekommt Ihr ein Problem mit Euren Mails.
Oder wollte Ihr dann einen MX Backup beim Provider nutzen? Dann könnt Ihr das auch dauerhaft machen.
Als A-Record bleibt ja die IP vom Provider drinstehen. D. h. er müsste die Mail doch dann trotzdem noch zustellen, selbst wenn unser DynDNS vorrübergehend nicht erreichbar wäre oder?
öh ??? Nein
Wenn ihr eine Direkteinlieferung anstrebt dann landen die eMails direkt auf den Exchange und nicht beim Provider. Die Postfächer beim Provider kann man dann getrost löschen.
Hat man eine DynDNS Adresse, und DynDNS löst nicht die aktuelle, richtige IP auf, so werden die eMails nicht zugestellt.
Benutzt man jedoch weiterhin die POP3 Abfrage der Postfächer beim Provider, so braucht man kein DynDNS Eintrag, sondern lediglich ein Tool wie Pullmail.exe das über geplante Tasks zB alle 15 Minuten die Postfächer abruft und an den Exchange weiterleitet
Wenn ihr eine Direkteinlieferung anstrebt dann landen die eMails direkt auf den Exchange und nicht beim Provider. Die Postfächer beim Provider kann man dann getrost löschen.
Hat man eine DynDNS Adresse, und DynDNS löst nicht die aktuelle, richtige IP auf, so werden die eMails nicht zugestellt.
Benutzt man jedoch weiterhin die POP3 Abfrage der Postfächer beim Provider, so braucht man kein DynDNS Eintrag, sondern lediglich ein Tool wie Pullmail.exe das über geplante Tasks zB alle 15 Minuten die Postfächer abruft und an den Exchange weiterleitet
