Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ExchangeProjekt

Frage Microsoft Exchange Server

Mitglied: Stef123

Stef123 (Level 1) - Jetzt verbinden

30.04.2009, aktualisiert 18:11 Uhr, 3155 Aufrufe, 6 Kommentare

Hallo,

ich bin neu hier und habe mal eine Frage zu Exchange.

Wir planen zur Zeit in unserer Firma die EDV neu einzurichten, dabei bin ich auf ein Problem bezüglich Exchange gestoßen.

Geplant ist, eine DMZ einzurichten. Erste Firewall ist eine NAT, die in dem Router integriert ist der am Internet hängt.
Die Firewall für das Interne LAN soll eine Application Layer Firewall von SONICWALL werden (NSA 240).
An beiden Firewalls soll jeweils der Port 443 geöffnet werden für OWA und OMA.
Die Application Layer Firewall soll dazu dienen, dass keine schädlichen Pakete durch diesen Port in das interne LAN gelangen.

Im Internen LAN soll dann der Exchange-Server stehen. Meine Frage ist nun, ob ich nun einen Frontendserver benötige oder ob ein Backend reicht.
Zudem muss der Mailserver ja irgendwie über den Port 25 ansprechbar sein. Meine 2. Frage ist also, wie man das dann sicher löst. Wenn ich bei beiden Firewalls den Port 25 dazu öffne ist das ja ein Sicherheitsrisiko. Ich habe gelesen, dass man deshalb noch einen Server mit einer SMTP-Relay Software in die DMZ stellt. Ich weiß nur leider nicht, wie man das dann einrichtet. Denn wenn der SMTP-Relay dann die E-Mails annimmt, müssen diese ja auch an den Exchange-Server im internen LAN weitergeleitet werden, wozu ich wiederrum den Port 25 öffnen müsste.
Ich hoffe mir kann da jemand helfen.


Gruß
Mitglied: jadefalke
30.04.2009 um 21:36 Uhr
hallo,

Grundsätzlich ist der Gedanke gut eine 2 Stufen Firewall aufzubauen.
Zwischen den beiden Firewalls hast du ein Netz (ich denke mal dass du das mit DMZ meinst) das ich meistens Transfernetz nenne. Im Grunde ganz einfach die Interne NIC der Router/Firewall bekommt eine IP Adresse mit einem Bitcount von 30, und die externe NIC der Sonicwall die verbleibende IP Adresse aus dem selben Netz, jeweils auch mit einem Bitcount 30.
Somit kannst du schonmal behaupten dass sich kein Mensch mehr in dein Transfernetz / DMZ reinmogeln kann.

Dein FrontEnd Exchange Server kannst du an der 3ten NIC der RouterFirewall in ein DMZ stellen.

Natürlich muss das interne Netz auch über das Tranfernetz gerouter werden, zum DMZ und zu der Routerfirewall

Habt ihr eine feste IP? Das macht das Folgende etwas leichter.

Wenn du OWA betreiben möchtest, MUSST du das Protokoll HTTPS aus dem Internet erlauben.
je nachdem wie dein IIS eingerichtet ist, wird die Sicherheit hier nicht über den Port 443 gewährleistet sondern über die Einrichtung eines Zertifikats auf den IIS, über die Authentifizierung und letzendlich über die Konfiguration / Sperrung des IIS.
Alternativ hierzu wäre die Veröffentlichung des OWA´s über ein ISA Server.

Und was Port 25 angeht. Ich rate mal dass du damit meinst dass ihr eine Direkteinlieferung der eMails eingerichtet habt.
Nun ja, du musst ja Ports öffnen zur Kommunikation nach Innen wenn du willst das die Welt dich auch erreicht. In der Firewall wird ja Port 25 mit dem Protokoll SMTP geöffnet, wenn du hierrüber versäuchte eMails bekommst, ja da ist dein Virenscanner dafür zuständig diese auszufiltern.

Frontend Exch Server kann man auch machen, ich würde mir jedoch erstmal Gedanken machen wie man die beiden Firewalls konfiguriert so dass eMail verkehr funktioniert und OWA erreichbar ist. Danach, wenn alles lauft kann man über ein Frontend Exch nachdenken.

Ich würde hier mit der Baustelle Firewalls Konfiguration anfangen
Dann würde ich mich mit Veröffentlichungen beschäftigen. Darunter fällt Veröffentlichung OWA (mit oder ohne ISA Server) und Einrichtung Direkteinlieferung eMails.
Bitte warten ..
Mitglied: ollembyssan
30.04.2009 um 21:45 Uhr
Zitat von jadefalke:
Habt ihr eine feste IP? Das macht das Folgende etwas leichter.


Mit einer dyn-IP ist es ebenfalls einfach

Ansonsten hat "jadefalke" eigentlich alles in die Antwort gepackt.

Vielleicht solltest Du dich allerdings etwas mehr mit Exchange beschäftigen, bevor du solche Operationen anstrebst.
Bitte warten ..
Mitglied: Stef123
30.04.2009 um 22:40 Uhr
Hallo,

erstmal vielen Dank für die Antworten. Eine statische IP-Adresse haben wir momentan nicht. Momentan werden die Mails von einem Linuxserver per POP3 aus einem Sammelpostfach beim Provider abgeholt und mittels Postfix dann an die internen Exchangepostfächer verteilt. Geplant ist nun folgendes:

Den DynDNS-Host als MX-Eintrag beim Provider eintragen und dann die E-Mail Konten mit Exchange hosten.

Eins verstehe ich nicht ganz:

Zitat von jadefalke:
Dein FrontEnd Exchange Server kannst du an der 3ten NIC der
RouterFirewall in ein DMZ stellen.

Wieso an die 3. NIC? Zwischen der RouterFirewall und der SONICWALL habe ich doch eine DMZ? (Der Router hat auch nur 2 NICs 1x WAN 4x LAN)

Gruß
Bitte warten ..
Mitglied: St-Andreas
30.04.2009 um 23:17 Uhr
Zitat von Stef123:
[...]
Den DynDNS-Host als MX-Eintrag beim Provider eintragen und dann die
E-Mail Konten mit Exchange hosten.
[...]

Schlechte Idee. Besorgte Euch lieber eine feste IP. Wenn Dyndns mal wieder nicht läuft, oder Euer DynDns-Agent nicht schnell genug ist, nicht läuft oder sonstwas passiert, dann bekommt Ihr ein Problem mit Euren Mails.
Oder wollte Ihr dann einen MX Backup beim Provider nutzen? Dann könnt Ihr das auch dauerhaft machen.
Bitte warten ..
Mitglied: Stef123
30.04.2009 um 23:29 Uhr
Als A-Record bleibt ja die IP vom Provider drinstehen. D. h. er müsste die Mail doch dann trotzdem noch zustellen, selbst wenn unser DynDNS vorrübergehend nicht erreichbar wäre oder?
Bitte warten ..
Mitglied: jadefalke
07.05.2009 um 11:02 Uhr
öh ??? Nein

Wenn ihr eine Direkteinlieferung anstrebt dann landen die eMails direkt auf den Exchange und nicht beim Provider. Die Postfächer beim Provider kann man dann getrost löschen.
Hat man eine DynDNS Adresse, und DynDNS löst nicht die aktuelle, richtige IP auf, so werden die eMails nicht zugestellt.

Benutzt man jedoch weiterhin die POP3 Abfrage der Postfächer beim Provider, so braucht man kein DynDNS Eintrag, sondern lediglich ein Tool wie Pullmail.exe das über geplante Tasks zB alle 15 Minuten die Postfächer abruft und an den Exchange weiterleitet
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...