alex86
Goto Top

Exchange SMTP Connector einrichten aber manche Mailboxen beim Provider lassen

Hi Leute,

habe folgende Situation:

eine Domain mit ca. 15 E-Mail Adressen (xyz@domain.tld) wobei aber nur 10 E-Mail Adressen zur Exchange-"Organisation" gehören, sprich die restlichen 5 werden privat verwendet und haben nichts mit Exchange zu tun.

Nun sollen alle Organisations-Adressen direkt in den Exchange laufen und die privaten Adressen aber als Mailboxen beim Provider bleiben damit diese von extern einfach mittels POP oder IMAP abgerufen werden können.

Ist das irgendwie machbar? Dass man mehere MX Records definieren kann weiß ich, aber wie verhält sich das dann?

Wenn ich den 1. Record auf den Exchange stelle und den 2. auf den Provider, laufen dann alle nicht zustellbaren vom Exchange automatisch beim Provider auf?

Content-Key: 216406

Url: https://administrator.de/contentid/216406

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 08.09.2013 aktualisiert um 19:14:24 Uhr
Goto Top
Zitat von @alex86:
Ist das irgendwie machbar? Dass man mehere MX Records definieren kann weiß ich, aber wie verhält sich das dann?

ja, aber nicht mit MX-Records.

Du richtest im exchage einfach für die entsprechenden "privaten" Adressen ein forwarding ein, daß die Mails dann beim Provider einkippt.

Wenn ich den 1. Record auf den Exchange stelle und den 2. auf den Provider, laufen dann alle nicht zustellbaren vom Exchange
automatisch beim Provider auf?

Nein, denn der erste MX ist a erreichbarm, wenn er die Mails ablehnt. Der Absender bekommt dann ein "unzustellbar" zurück.

merke: Der "Reserve-MX" sollte nur für das eingesetzt werden, für das er auch gedacht ist. nämlich den Ausfall des ersten MX zu überbrücken.

lks
Mitglied: alex86
alex86 08.09.2013 um 19:34:38 Uhr
Goto Top
wenn ich eine Mail von max@mustermann.de auf max@mustermann.de umleite dann habe ich ja eine endlose Weiterleitung weil sie immer wieder in den 1. Mailserver reinläuft der erreichbar ist - oder wie funktioniert das genau?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 08.09.2013 aktualisiert um 19:41:33 Uhr
Goto Top
Zitat von @alex86:
wenn ich eine Mail von max@mustermann.de auf max@mustermann.de umleite dann habe ich ja eine endlose Weiterleitung weil sie immer
wieder in den 1. Mailserver reinläuft der erreichbar ist - oder wie funktioniert das genau?

Nein, nicht umleiten. Du sagt dem exchange, daß er die Mail an max@mustermann. an den Server server.provider.de (oder IP-Adresse a.b.c.d) zustellen soll.

lks
Mitglied: Lochkartenstanzer
Lochkartenstanzer 08.09.2013 um 19:54:06 Uhr
Goto Top
Alternative Lösung:

Du nimmst einen Paspberry Pi (oder ähnliches gerät) und benutzt den als Mailweiche, den du auch als MX einstellst. Dem Postfix, sendmail, exim oder sonstigem MTA sagst du dann, weilche Mail an welchen Mailserver zugestellt werden soll.

lks
Mitglied: Dani
Dani 08.09.2013 um 20:06:07 Uhr
Goto Top
Moin,
ich leg dir folgenden Technet Blogartikel ans Herz.


Grüße,
Dani
Mitglied: Lochkartenstanzer
Lochkartenstanzer 09.09.2013, aktualisiert am 14.09.2013 um 20:43:54 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Alternative Lösung:

Du nimmst einen Paspberry Pi (oder ähnliches gerät) und benutzt den als Mailweiche, den du auch als MX einstellst. Dem
Postfix, sendmail, exim oder sonstigem MTA sagst du dann, weilche Mail an welchen Mailserver zugestellt werden soll.

Würde mich interessieren, warum diese Alternative Lösung negativ bewertet wurde? das ist eine Lösung, die ich bei Kunden (mit einem x86-minirechner statt raspberry) durchaus einsetze. da werden einfach diverse mails per postfix zwischen Notes, David und exchange verteilt. Gleichzeitig spielt die Kiste auch malware-filter.

lks
Mitglied: alex86
alex86 14.09.2013 aktualisiert um 17:24:31 Uhr
Goto Top
Danke an Lochkartenstanzer und Dani, hat mir sehr weitergeholfen und es funktioniert auch schon alles.

Bleibt nur noch die Frage zur Sicherheit des ganzen.

Da ich die Mails vorher über den POPConnector angerufen habe, musste auch Port 25 nicht offen sein. Diesen musste ich jetzt natürlich öffnen - birgt das ein Sicherheitsrisiko wenn der komplette SBS/Exchange somit direkt am Internet hängt? Zumindest lauscht auf Port 25 der Exchange... aber anders geht es ja wohl nicht, zumindest nicht so einfach.

Port 443 ist zum Exchange hin auch noch offen, für ActiveSync unterwegs. Von dem her wäre sowieso schon mal ein Loch offen.

Die Lösung mit dem Raspberry gefällt mir prinzipiell sehr gut. Vorteil wäre dass ich den in die DMZ stellen könnte und somit die möglichen Angreifer 1. nicht direkt auf den Exchange kommen und 2. in einem getrennten Netz sind.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 14.09.2013 um 20:54:49 Uhr
Goto Top
Zitat von @alex86:
Danke an Lochkartenstanzer und Dani, hat mir sehr weitergeholfen und es funktioniert auch schon alles.

Gern geschehen.


Bleibt nur noch die Frage zur Sicherheit des ganzen.

Da ich die Mails vorher über den POPConnector angerufen habe, musste auch Port 25 nicht offen sein. Diesen musste ich jetzt
natürlich öffnen - birgt das ein Sicherheitsrisiko wenn der komplette SBS/Exchange somit direkt am Internet hängt?
Zumindest lauscht auf Port 25 der Exchange... aber anders geht es ja wohl nicht, zumindest nicht so einfach.


Die sicherheit ist abhängig davon, welcher prozess am Port 25 lauscht, in diesem fall exchange. Wichtig ist, dafür zu sorgen, hier sofort gepatcht wird, sobald exploits bekannt werden.

Weiterhin ist ein offener Port natürlich auch immer ein Ansatzpunkt für DOS-Attacken. Daher ist eine sorgfältige Konfiguration immemr notwendig. ich selber schalte immer eine Mailhub mit Contentfilter (postfix & Antivirensoftware) dazwischen, um bessere Kontrolle über ein und ausgehenden Mail zu haben.

Die Lösung mit dem Raspberry gefällt mir prinzipiell sehr gut. Vorteil wäre dass ich den in die DMZ stellen
könnte und somit die möglichen Angreifer 1. nicht direkt auf den Exchange kommen und 2. in einem getrennten Netz sind.

Es ist, zumindest bei größeren Firmen "best-practice", einen Mailhub zu verwenden, der dann intern die Mail auf verschiedene lokale Mailserver verteilt und ggf voher noch eine malwarescan durchführt. Von daher ist das eine Standardlösung, auch wenn dafür selten ein RasPi genommen wird, sonder eher ein "ordentlicher" Server.

lks
Mitglied: alex86
alex86 15.09.2013 aktualisiert um 11:28:51 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Die sicherheit ist abhängig davon, welcher prozess am Port 25 lauscht, in diesem fall exchange. Wichtig ist, dafür zu
sorgen, hier sofort gepatcht wird, sobald exploits bekannt werden.

Updates werden regelmäßig eingespielt sobald neue vorhanden sind.

Es ist, zumindest bei größeren Firmen "best-practice", einen Mailhub zu verwenden, der dann intern die Mail
auf verschiedene lokale Mailserver verteilt und ggf voher noch eine malwarescan durchführt. Von daher ist das eine
Standardlösung, auch wenn dafür selten ein RasPi genommen wird, sonder eher ein "ordentlicher" Server.

lks

In meinem Fall wäre das eh eine super Lösung.

1. Alle Postfächer die jetzt noch beim Provider sind richte ich direkt am Raspberry (postfix/dovecot) ein
2. Mails für Empfänger für die der Raspberry keine User hat, werden an den Exchange weitergegeben
3. dort werden sie dann entsprechend zugestellt, oder falls es auch da keinen User gibt, gibt es einen Bounce.

Der Raspberry wäre insofern ideal als dass er fast keinen Strom braucht, und von der Leistung her müsste er die Mails für 15 User auch locker packen.
Alternativ könnte ich noch ein NAS dafür missbrauchen (Netgear ReadyNAS Duo) - ist auch ein Linux System, hängt als Kunden-Server in der DMZ und läuft 24/7

2 Sachen bereiten mir noch Kopfschmerzen:

1. wenn der Raspberry offline ist, bekommt der Absender eine Nachricht dass die Mail nicht zugestellt werden konnte
2. wenn der Exchange offline ist, bekommt der Absender eine Nachricht dass die Mail nicht zugestellt werden konnte

d.h. ich bräuchte extern einen Backup-MX und der Raspberry müsste die Mails an den Exchange so lange zuzustellen zu versuchen bis er wieder online ist.

Wie stelle ich das an?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 15.09.2013 um 12:57:21 Uhr
Goto Top
Zitat von @alex86:
2 Sachen bereiten mir noch Kopfschmerzen:

1. wenn der Raspberry offline ist, bekommt der Absender eine Nachricht dass die Mail nicht zugestellt werden konnte

Es ist bei vorgesehen, daß der Sender, sofern der MX nicht erreichbar ist, zunächst die secondary MXe durchprobiert, sofern vorhanden und ansonsten "später" noch zustellversuche macht. Ab wan eine NDN zugestellt wird, ist abhängig, wie der MTA des Senders konfiguriert ist.

2. wenn der Exchange offline ist, bekommt der Absender eine Nachricht dass die Mail nicht zugestellt werden konnte

Das komtm drauf an, wie Du Deinen Mailhub konfigurierst. Man kann i.d.R. angeben, wie oft und in welchen abständen Postfix (oder exim oder senmail oder sonst ein MTA) es versuchen soll, bis er eien NDN generiert. man kann z.B. nach mehrer fehlöversuchen eine Notiz an den Absender schicken, daß es noch nciht zugestellt wurde, aber es weiter versucht wird, zuzustellen.


d.h. ich bräuchte extern einen Backup-MX und der Raspberry müsste die Mails an den Exchange so lange zuzustellen zu
versuchen bis er wieder online ist.

Ein Backup-MX ist nciht unbedingt notwendig, auch wenn er natürlich die situation entschärfen könnte. Du könntest einfach einen zweiten RasPi aufstellen. face-smile

Wie stelle ich das an?

Indem Du in der Postfixkonfiguration die richtigen Werte einträgst. face-smile

Üblicherweise ist das schon so voreingestellt, daß postfix eine ganze Weile versucht die Mails zuzustellen. Du mußt nur üprüfen, ob die default-Werte Deinen Bedürfnissen genügen.

lks

PS: Bedenke aber, daß für RasPI keine 24/7-Aussagen getroffen wurden und die Steckernetzteile auch nicht die Qualität eines Servernetzteils haben. Du mußt daher mit einer höheren Ausfalwahrscheinlichkeit rechnen, als bei einem "richtigen" Server. Du könntest natürlich gleich ein paar auf Lager legen. face-smile
Mitglied: alex86
alex86 15.09.2013 aktualisiert um 18:21:57 Uhr
Goto Top
Es ist bei vorgesehen, daß der Sender, sofern der MX nicht erreichbar ist, zunächst die secondary MXe durchprobiert,
sofern vorhanden und ansonsten "später" noch zustellversuche macht. Ab wan eine NDN zugestellt wird, ist
abhängig, wie der MTA des Senders konfiguriert ist.

OK - wenn ich aber als 2. MX einen externen BackupMX angebe wäre das sicher eine gute Lösung - speziell für den Fall dass die Internetverbindung ausgefallen ist etc.

Der BackupMX weiß aufgrund der Prioritäten in den MX Einträgen dass er der sekundäre Server ist und versucht automatisch die Mails die er bekommt dem primären Server weiterzuleiten - ist das so richtig?
Habe gesehen dass u.a. diverse dyndns Services sowas anbieten.


> 2. wenn der Exchange offline ist, bekommt der Absender eine Nachricht dass die Mail nicht zugestellt werden konnte

Das komtm drauf an, wie Du Deinen Mailhub konfigurierst. Man kann i.d.R. angeben, wie oft und in welchen abständen Postfix
(oder exim oder senmail oder sonst ein MTA) es versuchen soll, bis er eien NDN generiert. man kann z.B. nach mehrer
fehlöversuchen eine Notiz an den Absender schicken, daß es noch nciht zugestellt wurde, aber es weiter versucht wird,
zuzustellen.

Alles klar face-smile
Weißt du zufällig wie das beim Postfix genau geht? Wenn dann werde ich Postfix nehmen. Ist "beliebter" und man findet im Netz mehr Hilfe dazu.

PS: Bedenke aber, daß für RasPI keine 24/7-Aussagen getroffen wurden und die Steckernetzteile auch nicht die
Qualität eines Servernetzteils haben. Du mußt daher mit einer höheren Ausfalwahrscheinlichkeit rechnen, als bei
einem "richtigen" Server. Du könntest natürlich gleich ein paar auf Lager legen. face-smile

Der RasPi wäre halt die absolute Budget-Variante. Denke dass sowas in Verbindung mit einer SSD vernünftiger und immer noch sehr günstig wäre: Zotac ZBOX SD-ID12
Vor allem weil ich auf einer SSD mehr Speicherplatz habe und die Platte länger lebt als eine SD-Karte face-big-smile
Mitglied: Dani
Dani 15.09.2013 um 18:35:45 Uhr
Goto Top
Moin,
Der BackupMX weiß aufgrund der Prioritäten in den MX Einträgen dass er der sekundäre Server ist und versucht automatisch die Mails die er bekommt dem primären Server weiterzuleiten - ist das so richtig?
Ist eine Konfigurationsmöglichkeit...
a) Nimmt die Mails an und stellt diese direkt an den Mailserver zu. Macht allerdings nur sinn, wenn die Viren- und Spammaßnahmen auf beiden Systemen gepflegt werden. Wenn du nur eine Internetanbindung hast, macht es sinn sowas extern zu hosten bei einem Webhoster. Ein vServer sollte es locker tun.

b) Nimmt die Mails an und reiht diese in eine Warteschlange ein, bis der primäre MX-Record wieder erreichbar ist.

Weißt du zufällig wie das beim Postfix genau geht? Wenn dann werde ich Postfix nehmen. Ist "beliebter" und man findet im Netz mehr Hilfe dazu.
Weiß ich gerade nicht.. aber wie du selber schreibst gibt es im Netz genug Anleitungen.

Vor allem weil ich auf einer SSD mehr Speicherplatz habe
Für was? Was willst du alles darauf speichern?

und die Platte länger lebt als eine SD-Karte
Sicher? Drauf wetten würde ich nicht.


Grüße,
Dani
Mitglied: alex86
alex86 16.09.2013 aktualisiert um 09:37:42 Uhr
Goto Top
Zitat von @Dani:

b) Nimmt die Mails an und reiht diese in eine Warteschlange ein, bis der primäre MX-Record wieder erreichbar ist.


das wäre meine favorisierte Lösung face-smile

> Weißt du zufällig wie das beim Postfix genau geht? Wenn dann werde ich Postfix nehmen. Ist "beliebter"
und man findet im Netz mehr Hilfe dazu.
Weiß ich gerade nicht.. aber wie du selber schreibst gibt es im Netz genug Anleitungen.


Stimmt, da werde ich sicher fündig

> Vor allem weil ich auf einer SSD mehr Speicherplatz habe
Für was? Was willst du alles darauf speichern?


Mein Postfach hat derzeit knapp 2 GB... über die Jahre sammelt sich immer mehr an. Die Logs wachsen bei so einem System auch sehr, von daher möchte ich nach oben hin ein wenig Luft haben.

> und die Platte länger lebt als eine SD-Karte
Sicher? Drauf wetten würde ich nicht.

SD Karten sind speziell bei vielen reads/writes sehr schnell am Ende ihres Lebens - da hält eine moderne SSD deutlich länger.
Auch geben SD Karten keine Vorwarnung wenn etwas nicht stimmt - sie sind dann plötzlich tot.

Naja ich werde mich dann mal dranmachen demnächst! Melde mich dann wieder falls ich Fragen habe face-wink
Danke euch inzwischen!
Mitglied: Lochkartenstanzer
Lochkartenstanzer 16.09.2013 um 10:04:08 Uhr
Goto Top
Zitat von @alex86:
Stimmt, da werde ich sicher fündig

http://www.synology-wiki.de/index.php/Mail-Relay_mit_Postfix

> > Vor allem weil ich auf einer SSD mehr Speicherplatz habe
> Für was? Was willst du alles darauf speichern?
>

Mein Postfach hat derzeit knapp 2 GB... über die Jahre sammelt sich immer mehr an. Die Logs wachsen bei so einem System auch
sehr, von daher möchte ich nach oben hin ein wenig Luft haben.

Sofern der das Relay nicht auch gleichzeitig mailserver spielen soll (z.B. mit dovecot & Co.), benötigst Du nur wenig Plattenplatz für die durchlaufenden mails (sofern Du keine ISO-images durch die gegend schickst).

Da reichen kleine Kapazitatäten unter 30 GB, sofern man die überhaupt noch bekommt.

> > und die Platte länger lebt als eine SD-Karte
> Sicher? Drauf wetten würde ich nicht.

SD Karten sind speziell bei vielen reads/writes sehr schnell am Ende ihres Lebens - da hält eine moderne SSD deutlich
länger.
Auch geben SD Karten keine Vorwarnung wenn etwas nicht stimmt - sie sind dann plötzlich tot.

Und SSDs leben nicht so lange wie ordentliche HDDs zumindest habe ich noch HDDs, die nach über 10 Jahren immer noch zuverlässig laufen, was ich von SSDs noch nicht behaupten kann.

lks
Mitglied: alex86
alex86 16.09.2013 um 10:39:49 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Sofern der das Relay nicht auch gleichzeitig mailserver spielen soll (z.B. mit dovecot & Co.),

Das soll er aber face-smile

Und SSDs leben nicht so lange wie ordentliche HDDs zumindest habe ich noch HDDs, die nach über 10 Jahren immer noch
zuverlässig laufen, was ich von SSDs noch nicht behaupten kann.


Stimmt auch wieder, aber dafür gibt es ja regelmäßige Backups. Ich mag bei denn SSDs die Geräuschlosigkeit, dass sie fast keine Abwärme produzieren und die Geschwindigkeit face-wink

lks