Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Mailserver und Relay, wie funktioniert das?

Frage Microsoft Exchange Server

Mitglied: crack24

crack24 (Level 2) - Jetzt verbinden

28.06.2013 um 14:15 Uhr, 3794 Aufrufe, 12 Kommentare, 4 Danke

Hallo,

ich habe neulich gelesen, dass jemand einen Exchange Server und einen "Windows SMTP-Server als Relay" einsetzt. Exchange Server kenne ich aber was bedeutet in diesem Zusammenhang dieser Relay Server und wozu benutzt man den? Normalerweise schickt doch der Exchange direkt die Mails weg oder nicht?

Viele Grüße
crack
Mitglied: tikayevent
28.06.2013 um 14:32 Uhr
Man sollte niemals einen Exchange Server (oder E-Mail/Postfachserver) direkt am Internet betreiben sondern immer Instanz dazwischen haben. Ich habe z.B. einen Postfix und einen Squid zwischen Internet und Exchange. Dadurch sind die Daten weiterhin sicher, selbst wenn der Mailserver in erster Front unter Beschuss steht.
Bitte warten ..
Mitglied: crack24
28.06.2013 um 16:15 Uhr
Hm ok. Das heißt der Relay Server empfängt die Mails und leitet sie dann an den Exchange weiter?

Bisher werden bei uns die Mails von jedem Client über Pop3 abgerufen. Jetzt haben wir diese Woche einen neuen Server bestellt auf dem auch Exchange als Mailserver laufen soll.

D.h. damit hätten wir ein latentes Sicherheitsrisiko? Das hätte mir unser IT Dienstleister vielleicht mal sagen sollen. Wäre es eine Lösung dass der Exchange die Mails weiter per Pop3 vom Provider abholt? Welchen Vorteil hätte die andere Variante wo die Mails direkt an den Exchange gehen?
Bitte warten ..
Mitglied: jsysde
28.06.2013 um 16:45 Uhr
N'Abend.


Zitat von tikayevent:
Man sollte niemals einen Exchange Server (oder E-Mail/Postfachserver) direkt am Internet betreiben sondern immer Instanz
dazwischen haben. Ich habe z.B. einen Postfix und einen Squid zwischen Internet und Exchange. Dadurch sind die Daten weiterhin
sicher, selbst wenn der Mailserver in erster Front unter Beschuss steht.

Hmm, das möcht ich so nicht stehen lassen. Korrekt wäre, man sollte seinen Exchange Server, wenn er denn direkt "am Internet betrieben wird", schon richtig konfigurieren und ihn nicht als offenes Relay stehen lassen - wobei afaik seit Exchange 2007 die Standard-Konfig das schon nicht mehr zulässt.

Um das klarzustellen:
Es besteht keine Pflicht dazu, eine weitere "Instanz" zwischen Exchange und das "böse" Internet zu schalten. Jeder falsch (== als offenes Relay) konfigurierte Mailserver taugt als Spamschleuder, egal ob Exchange, hMail, Postfix oder whatsoever.

Dass es natürlich sinnvoll ist, vor seinem Exchange z.B. einen Spam- und Virenfilter zu betreiben, steht auf einem anderen Blatt.

Cheers,
jsysde
Bitte warten ..
Mitglied: tikayevent
28.06.2013 um 19:30 Uhr
Meine Aussage bezog sich nicht auf Open Relays sondern jede Software hat Fehler, teilweise auch Sicherheitslücken. Wenn man einen direkten Zugriff auf einen Exchangeserver erlangen kann, der ohne Zwischenschritt im Internet erreichbar ist, kann man eventuell Zugriff auf die Mails, Kontakte, Kalenderdaten, das dahinterliegende Active Directory oder sogar Netzwerk erhalten.

Mit dem Relay zwischen Internet und Exchange muss man erstmal eine Sicherheitslücke im Relay finden, diese ausnutzen und dann durch diese Lücke an das System dahinter kommen.

Ich bau diese Systeme so auf, dass in direkt am Internet der Router läuft und nur Port 25 an den Relay weitergibt. Dieser prüft nimmt die Mail an, prüft die auf Viren, SPAM und sowas. Hierbei handelt es sich um ein Postfixsystem, sobald die E-Mail komplett angenommen und geprüft wurde, wird die Mail erst an den Exchange weitergeben. Eine direkte Kommunikation ist nicht möglich, die E-Mail wird immer erst komplett angenommen.

Die Lösung mit dem POP3-Abruf ist sicherheitstechnisch nochmal um Längen sicherer, weil das Internet nicht mit dem Exchange kommuniziert sondern nur der Exchange mit dem Internet. Bei kleinen Installationen kann man dieses gut machen, bei vielen Postfächern ist der Mehraufwand irgendwann nicht mehr tragbar, weil man für jedes Postfach eigentlich zwei Postfächer pflegen muss.

Damit die Lösung mit Relay und Exchange funktioniert, sollte man eh eine ordentliche Internetverbindung, wenn möglich SDSL oder was anderes im Businessbereich haben, eine feste IP-Adresse ist Pflicht, mit ADSL gehts auch, aber die Ausfallrate bei ADSL-Anschlüssen ist sehr hoch.
Bitte warten ..
Mitglied: wiesi200
28.06.2013 um 19:55 Uhr
Hallo,

über so Relayserver werden oft auch noch Nebeneffekte realisiert wie z.b. der Spamschutz dadurch wird schon mal Last vom Mailserver genommen.
Zu dem SMTP Relay kann man beim Exchange auch noch einen Reverse Proxy für den Webzugriff einsetzen.
Das alles erhöht natürlich die Sicherheit, aber ich glaube die wenigsten "kleineren" Firmen setzten solche Funktionen ein.
Es sind einfach zusätzliche Kosten da ein zweiter Server her muss. Virtualisieren würde ich sowas z.b. nicht und auch der Wartungsaufwand ist höher.
Wobei man, vor allem wenn mann hier oft Beiträge von Dienstleistern sieht, auch von Unwissen ausgehen muss.

Aber wenn's ein neuer Exchange ist wo regelmäßig Sicherheitsupdates gemacht werden sehe ich's jetzt nicht so extrem schlimm.
Dem OWA von einem Exchange 2003 hingegen würde ich nicht mehr so trauen.

Sehen wir's mal als erweiterte Sicherheitsfunktion.
Bitte warten ..
Mitglied: filippg
28.06.2013, aktualisiert um 21:11 Uhr
Hallo,

D.h. damit hätten wir ein latentes Sicherheitsrisiko?
Ja.
Was hier noch gar nicht angesprochen wurde, sind Antivirus und Antispam. Was hast du dir den dann vorgestellt? Für AV gibt es (von vielen Herstellern) Produkte, die sich in Exchange einklinken (ein "normaler" Virenscanner tut es nicht!).
Antispam direkt auf Exchange gut umzusetzen ist m.E. schon schwieriger. Alleine deswegen braucht man i.A. einen weiteren Server zwischen Internet und Exchange.

Das hätte mir unser IT Dienstleister vielleicht mal sagen sollen.
Was macht denn euer Dienstleister für euch? Auch Exchange betreiben?

Wäre es eine Lösung dass der Exchange die Mails weiter per Pop3 vom Provider abholt? Welchen Vorteil hätte die
andere Variante wo die Mails direkt an den Exchange gehen?
Diese Möglichkeit gibt es beim SBS (oder beim echten Exchange mit Drittprodukten).
Vorteil: Ein Provider, der das kann, kann sich um AV und AS kümmern. Und wenn dein Exchange oder deine Internetanbindung mal ausfallen, werden Mails trotzdem vom Provider angenommen (keine Fehlermeldung für Kunde) und halt nur etwas später abgeholt.
Nachteil: Funktioniert nicht vernünftig. Und: Entweder, du richtest für jedes Postfach auf deinem Exchange auch eins beim Provider an - dann hast du viel Arbeit, oder du verwendest ein CatchAll beim Provider - dann wird da auch viel Spam angenommen, und per BCC empfangen Mails können nicht mehr zugeordnet werden.

Gruß

Filipp
Bitte warten ..
Mitglied: crack24
02.07.2013 um 08:00 Uhr
Zitat von filippg:
Was hier noch gar nicht angesprochen wurde, sind Antivirus und Antispam. Was hast du dir den dann vorgestellt? Für AV gibt es
(von vielen Herstellern) Produkte, die sich in Exchange einklinken (ein "normaler" Virenscanner tut es nicht!).
Antispam direkt auf Exchange gut umzusetzen ist m.E. schon schwieriger. Alleine deswegen braucht man i.A. einen weiteren Server
zwischen Internet und Exchange.

Wir haben eine Securepoint Firewall Appliance die sowohl Antivirus als auch Antispam bietet. Im Exchange 2013 ist meines Wissens nach auch noch eine Antivirenlösung integriert oder? Kann man beides zusammen laufen lassen?

> Das hätte mir unser IT Dienstleister vielleicht mal sagen sollen.
Was macht denn euer Dienstleister für euch? Auch Exchange betreiben?

Der Dienstleister kümmert sich um Beschaffung und Wartung von allem was mit unserem Server zusammenhängt.
Bitte warten ..
Mitglied: wiesi200
02.07.2013 um 11:28 Uhr
Also wenn der Securepoint eure einzige Antivirus Lösung ist und nicht's auf dem Desktop dann ist's zu wenig. Ansonsten passt schon.

Wenn ihr den OWA verwendet vom Exchange kann man noch nen Reverse Proxy noch davor schalten wenn man will, ist schöner. Das kommt aber auch darauf an welchen Sicherheitsanspruch man hat.

Beim Dienstleister gehe ich aber einfach davon aus das er die Möglichkeiten nicht kannte.
Bitte warten ..
Mitglied: crack24
08.07.2013 um 11:10 Uhr
Auf dem Desktop benutzen wir momentan noch GData. Das prüft die Mails beim Pop3 Abruf. Ich denke wenn wir Securepoint und Exchange Antivirus einsetzen, kann man sich die GData Prüfung für den Mailabruf sparen. Da würde ich dann nur noch den normalen Wächter laufen lassen.

Ich habe jetzt gesehen dass Securepoint anscheinend auch Mail Relay Funktionen hat. Ich kenne mich damit nicht so aus, sagen euch die Funktionen auf dem Screenshot was?
http://img259.imageshack.us/img259/7382/ox7m.jpg
Bitte warten ..
Mitglied: wiesi200
08.07.2013 um 15:32 Uhr
Das mit dem Pop3 Abruf kannst dir danach wirklich schenken, vor allem ihr werden doch nicht von eurem Exchange in Zukunft per Pop E-Mail abrufen?
Die Relaying Funktionen vom Securepoint braucht ihr damit z.B der Spam und Virenfilter läuft.

Also ein normaler Grundschutz, wie bei den meisten kleineren Firmen, ist da schon vorhanden. Besser geht's natürlich immer.

<OT>
Mich würd echt mal interessieren warum mein letzter Beitrag ne negative Bewertung gekriegt hat.
</OT>
Bitte warten ..
Mitglied: crack24
08.07.2013 um 15:44 Uhr
Ok vielen Dank für deine Hilfe. Jetzt blicke ich schon mal mehr durch
Bitte warten ..
Mitglied: crack24
31.07.2013 um 09:04 Uhr
Kurzes Feedback, der Exchange läuft und Securepoint Relay ist davorgeschaltet als Spam und Virenfilter. Der Spamfilter läuft noch nicht so richtig, aber das bekommen wir sicher noch in den Griff.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...

Linux
LTSP: PXE Boot funktioniert nicht (21)

Frage von Fenris14 zum Thema Linux ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...