3
SBS2003, macht es sinn den Smarthost rauszuwerfen?
Hallo zusammen,
bei uns stehen demnächst einige größere Änderungen an, deswegen wollte ich mich im Vorfeld über die Sinnigkeit dieser informieren. Ggf kann da ja jemand eine Meinung zu äußern. Würde mir sehr helfen.
Aktuelle Situation:
Wir haben einen SBS2003 mit Exchange. Dieser sitzt hinter einer Linux Debian Firewall. Hier sind Dienste wie spamassasin sowie clamav etc. installiert und arbeiten auch sehr gut. Diese Firewall ist über einen VPN-Tunnel (OpenVPN) mit einem Webserver verbunden, der als Smarthost fungiert. D.h. alle Mails, die rein oder raus gehen, wandern durch den Tunnel zum Webserver und werden dort erst rausgehauen. Dies funktioniert über postfix bzw. fetchmail. Ich denke, das ist eine übliche Vorgehensweise, die auch tut, was sie soll.
Nun zur zukünftigen Situation:
Wir planen Juniper SSG5 Firewalls einzusetzen. Diese haben wir bereits hier und verbaut, mussten dann aber leider alles rückgängig machen, da alles nicht so geklappt hat, wie es sollte. Der Exchange und die Firewall sind so eingestellt, dass Mails halt nur den üblichen Weg (VPN-Tunnel) nehmen und punkt. Leider konnte die Firewall hinter der SSG5 in einer neuen DMZ keinen ordentlichen Tunnel aufbauen und nichts lief.
Nun... wie kann man den Spaß nun zum laufen bringen. Wir haben jetzt eine Lösung im Auge, die da wäre, dass wir uns eine feste IP holen und den MX-Eintrag der Domain auf unsere feste IP setzen. Dann soll die Juniper den Mailserver übernhemen bzw. direkt zum Exchange wieterleiten, ohne, dass das ganze über den Smarthost geht.
- Problem ist hier... wie verfahren wir am schlausten?
- Welche Einstellungen und Konfigurationen müssen getätigt werden, damit die Idee aufgeht?
- Womit ist zu rechnen und gibt es evtl. einen generellen Fehler?
- wird das so laufen oder wird dringend angeraten dennoch den Smarthost weiter zu betreiben? Problem ist, dass spamassasin etc von der Linux-FW, die abgeschaltet wird, auf den Webserver umziehen müssten
- kann so eien Juniper SSG5 und ein Exchange ordneltich mirt Spam umgehen?
Die Umstellungen und Konfigurationen werden Dienstleister übernehmen, jedoch weiss ich nicht genau, wo ich ansetzen soll. Ich bin derzeit soweit, dass wir zuerst der aktuellen Firewall beibringen müssen Mails ohne Smarthost anzunehmen und rauszujagen. Im nächsten Schritt müssen wir die Firewall durch die SSG5 ersetzen und diese übernimmt dann die Arbeit der Firewall.
Zukünftig (in 1-3 Monaten) soll der SBS von Win2008Std sowie einem Exchange 2007 auf einem separaten Server abgelöst werden. Ist hier auch noch etwas zu beachten?
Ich hoffe, ich habe alle nötigen Angaben gemacht. Falls nicht, fragt einfach udn ich werde versuchen zu antworten.
Danke schon jetzt!
Gruß, luk
bei uns stehen demnächst einige größere Änderungen an, deswegen wollte ich mich im Vorfeld über die Sinnigkeit dieser informieren. Ggf kann da ja jemand eine Meinung zu äußern. Würde mir sehr helfen.
Aktuelle Situation:
Wir haben einen SBS2003 mit Exchange. Dieser sitzt hinter einer Linux Debian Firewall. Hier sind Dienste wie spamassasin sowie clamav etc. installiert und arbeiten auch sehr gut. Diese Firewall ist über einen VPN-Tunnel (OpenVPN) mit einem Webserver verbunden, der als Smarthost fungiert. D.h. alle Mails, die rein oder raus gehen, wandern durch den Tunnel zum Webserver und werden dort erst rausgehauen. Dies funktioniert über postfix bzw. fetchmail. Ich denke, das ist eine übliche Vorgehensweise, die auch tut, was sie soll.
Nun zur zukünftigen Situation:
Wir planen Juniper SSG5 Firewalls einzusetzen. Diese haben wir bereits hier und verbaut, mussten dann aber leider alles rückgängig machen, da alles nicht so geklappt hat, wie es sollte. Der Exchange und die Firewall sind so eingestellt, dass Mails halt nur den üblichen Weg (VPN-Tunnel) nehmen und punkt. Leider konnte die Firewall hinter der SSG5 in einer neuen DMZ keinen ordentlichen Tunnel aufbauen und nichts lief.
Nun... wie kann man den Spaß nun zum laufen bringen. Wir haben jetzt eine Lösung im Auge, die da wäre, dass wir uns eine feste IP holen und den MX-Eintrag der Domain auf unsere feste IP setzen. Dann soll die Juniper den Mailserver übernhemen bzw. direkt zum Exchange wieterleiten, ohne, dass das ganze über den Smarthost geht.
- Problem ist hier... wie verfahren wir am schlausten?
- Welche Einstellungen und Konfigurationen müssen getätigt werden, damit die Idee aufgeht?
- Womit ist zu rechnen und gibt es evtl. einen generellen Fehler?
- wird das so laufen oder wird dringend angeraten dennoch den Smarthost weiter zu betreiben? Problem ist, dass spamassasin etc von der Linux-FW, die abgeschaltet wird, auf den Webserver umziehen müssten
- kann so eien Juniper SSG5 und ein Exchange ordneltich mirt Spam umgehen?
Die Umstellungen und Konfigurationen werden Dienstleister übernehmen, jedoch weiss ich nicht genau, wo ich ansetzen soll. Ich bin derzeit soweit, dass wir zuerst der aktuellen Firewall beibringen müssen Mails ohne Smarthost anzunehmen und rauszujagen. Im nächsten Schritt müssen wir die Firewall durch die SSG5 ersetzen und diese übernimmt dann die Arbeit der Firewall.
Zukünftig (in 1-3 Monaten) soll der SBS von Win2008Std sowie einem Exchange 2007 auf einem separaten Server abgelöst werden. Ist hier auch noch etwas zu beachten?
Ich hoffe, ich habe alle nötigen Angaben gemacht. Falls nicht, fragt einfach udn ich werde versuchen zu antworten.
Danke schon jetzt!
Gruß, luk
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 133796
Url: https://administrator.de/contentid/133796
Printed on: April 23, 2024 at 09:04 o'clock
3 Comments
Latest comment
Hallo Du
also ich habs hier so gemacht.
Denn MX eintrag auf eine Fixe IP die Ihr noch zu bestellen habt.
Firewall mit DMZ (kein exposed host)
Port 25 von Extern auf den DMZ Spamfilter
dann vom Spamfilter auf Port 26 zurück zur Firewall
Port 26 von DMZ nach intern port 25 auf den Mailserver weiterleiten.
so nun spielt es keine Rolle ob Du Exchange 2003, 2007 oder 2010 Oder ne Linux kiste hast.
Die Mails vom Exchange werden dann einfach an den DMZ Spamfilter weitergeleitet.
im DMZ Spamfilter ist dann der Smarthost vom Provider eingetragen.
Damit deine verschickten mails auch Ihr Ziel erreichen.
Falls Du nur eine Psoido IP erhälst.
Gruass affabanana
edit:
Hier noch ein Bildlink:
http://doc.m0n0.ch/handbook-single/networkdiagrams/dmz-network.png
also ich habs hier so gemacht.
Denn MX eintrag auf eine Fixe IP die Ihr noch zu bestellen habt.
Firewall mit DMZ (kein exposed host)
Port 25 von Extern auf den DMZ Spamfilter
dann vom Spamfilter auf Port 26 zurück zur Firewall
Port 26 von DMZ nach intern port 25 auf den Mailserver weiterleiten.
so nun spielt es keine Rolle ob Du Exchange 2003, 2007 oder 2010 Oder ne Linux kiste hast.
Die Mails vom Exchange werden dann einfach an den DMZ Spamfilter weitergeleitet.
im DMZ Spamfilter ist dann der Smarthost vom Provider eingetragen.
Damit deine verschickten mails auch Ihr Ziel erreichen.
Falls Du nur eine Psoido IP erhälst.
Gruass affabanana
edit:
Hier noch ein Bildlink:
http://doc.m0n0.ch/handbook-single/networkdiagrams/dmz-network.png
Hallo affabanana,
danke für deinen Beitrag. Aber so wie ich das verstehe, wird in deinem Szenario weiterhin der Linux Server benötigt (der DMZ Spamfilter). Oder meinst du damit die Firewall Appliance?
Wichtig ist mir auch, was ich dann genau im exchange umstellen muss, damit die mails vernünftig rausgehen, also ohne smarthost und ob das so reibungslos läuft, wie es die Theorie verspricht, wenn man die Mails über einen Telekom-Anshcluß mit fester IP empfangen und raussenden möchte.
Gruß, luk
danke für deinen Beitrag. Aber so wie ich das verstehe, wird in deinem Szenario weiterhin der Linux Server benötigt (der DMZ Spamfilter). Oder meinst du damit die Firewall Appliance?
Wichtig ist mir auch, was ich dann genau im exchange umstellen muss, damit die mails vernünftig rausgehen, also ohne smarthost und ob das so reibungslos läuft, wie es die Theorie verspricht, wenn man die Mails über einen Telekom-Anshcluß mit fester IP empfangen und raussenden möchte.
Gruß, luk
Hallo lukluk
Hier mal ein paar links
http://support.microsoft.com/kb/821911/de
Hier mit Bildern
http://www.msexchangefaq.de/internet/reversedns.htm
Gruass affabananana
Hier mal ein paar links
http://support.microsoft.com/kb/821911/de
Hier mit Bildern
http://www.msexchangefaq.de/internet/reversedns.htm
Gruass affabananana
