2K3R2 - Standort des E-Mailservers

[Scorp1337]

Hallo Kollegen,
wir schaffen uns demnächst einen Mailserver an. Damit wird unser E-Mailprovider abgelöst und wir übernehmen dann sämtliche Funktionen des Hosters.

Mein Problem ist einfach, dass in meinen Kopf keine sinnvolle Lösung entstehen will

Deswegen wollte ich jetzt mal hier nachfragen wie ein E-Mailserver "normalerweise" in ein Netz gestellt wird.

Das gesamte Teil in die DMZ kommt nicht in Frage, der E-Mailstorage sowie das Archiv sollten ja eindeutig im LAN stehen. Lässt sich das trotzdem realisieren? ...Axigen Mailserver und Kerio Connect bieten beide die Möglichkeit Mails/Einstellungen etc. auf UNC-Pfaden zu speichern. Aber geht das dann immernoch, wenn der Rechner in der DMZ steht, dass in unser Netzwerk Mails gespeichert werden? Wenn ja, was ist dann mit dem Sicherheitsaspekt?

Dann sollte es möglich sein, dass man 2 Server hat: "MailServDMZ" steht in der DMZ, empfängt und verschickt alle E-Mails stellt aber auch den Webmailer zur Verfügung. Diese werden direkt auf der Maschine von Viren-/Malware-Scannern überprüft.
Die sauberen und gültigen Mails werden dann vom "MailServDMZ" zum "MailServMAIN" geschickt. "MailServMAIN" hat die Aufgabe sich um Authentifizierung, Storage und Management (Administration) zu kümmern.
Brauche ich für diese, in meinen Augen gescheite Konstellation nicht sogar 2 (neue/extra) Rechner anstatt nur einen?

Was gibt es noch für Optionen? Worauf muss man besonders achten? Sonst was für Anmerkungen?

Grüße,
myScorpion.de

[Stephan Betken]

Hallo Scorp1337,

um was für ein Produkt geht es denn? "Ein Mailserver" ist nicht wirklich aussagekräftig. Oder habt ihr einfach erstmal beschlossen, eine eigene Lösung einzusetzen, ohne euch Gedanken darüber zu machen?

Was sind denn eure Anforderungen?

[Scorp1337]

Wie oben bereits geschrieben, vielleicht hast du es überlesen..., geht es um den Kerio Connect bzw. Axigen Mail-Server.

Ich mache mir ja gerade Gedanken darüber

Unsere Anforderungen sind:
- Winbased
- Inhouse (also selbst hosten)
- jederzeit erreichbar
- LDAP-Anbindung (ob lediglich import der Accounts oder direkt Authentifizierung darüber ist egal)
- autom. Backupkompatibilität (z.B. mit eingebauter Funktion)
- Archivierungsschnittstelle

Sonst noch was?

[SoerenK]

Hallo,

als 1. solltest Du Dir ggf. über eine 2. Internetleitung Gedanken machen. Wenn Du den MX Eintrag im DNS umschreibst, und keinen Backup vom Hoster nutzen möchtest, brauchst Du hier sicherlich einen 2. Uplink ins Internet. Ansonsten haste einen Totalausfall wenn Dein ISP mal ein Problem hat. Sinnvoll wäre als Backup auch ein anderer ISP als der primäre MX Eintrag.

Weiterhin solltest Du auch eine redundanz schaffen damit mindestens 2 Mailserver die Mails extern annehmen!

Bei weiteren Fragen einfach posten.

[Scorp1337]

Zitat von SoerenK als 1. solltest Du Dir ggf. über eine 2. Internetleitung Gedanken machen.

Jetzt haben wir auch nur eine Internetleitung und wenn die ausfällt steht hier auch alles still (außer Telefon). Aber keiner ist zu 100% abhängig. Die Leute können immernoch arbeiten, allerdings natürlich nur bedingt.

Zitat von SoerenK Weiterhin solltest Du auch eine redundanz schaffen damit mindestens 2 Mailserver die Mails extern annehmen!

Extern? Ich soll also noch extra Mailserver in ein fremdes Rechenzentrum stellen / ein anderes Providerpaket nehmen oder was? Hää? Versteh deinen Satz nicht.

[Stephan Betken]

Moin,

eine zweite Internetverbindung ist in kleinen Umgebungen nicht notwendig, da die Mails auch bei vorübergehendem Ausfall nicht verloren gehen (auch ohne eigehendes Relay). Um welche Größenordnung geht es denn überhaupt?

Die genannten Produkte kenne ich höchstens vom Namen, daher kann ich dazu nichts sagen. Eine Astaro als Mailrelay und Viren- /Spam-Filter wäre auch noch eine Möglichkeit.

Zitat von Scorp1337 Extern?

Ich bin mir sicher, SoerenK meint "von extern".
Aber ob das wirklich notwendig ist, hängt von den Anforderungen ab.

[Dukel]

Ein Mailserver gehör ins LAN. In die DMZ gehört ein Mailrelay, welches die Mails aus dem internet empfängt und ins LAN weiterleitet (und anderstrum).

Bei Exchange nennt man das Edge, bei Kerio und dem anderen weiss ich nicht obs sowas gibt, man kann aber solch ein System selber zusammenbauen.

Man kann auch auf diesem Relay gleich nach Viren / Spam filtern.

[Scorp1337]

Zitat von Stephan Betken Um welche Größenordnung geht es denn überhaupt?

~30 Angestellte/PCs/aktive Mailboxes, ~60 VMs, weiter wachsend
In der DMZ steht bisher nur ein "alter" Rechner als Webserver der für die bisherigen Ansprüche genug leistet.
15 Server mit unterschiedlichsten Funktionen.

Die zeitliche Anforderung kann ich noch nicht sagen, das muss erst noch bestimmt werden. Maximum wird der nächste Tag sein, eventuell kann es aber auch sein, dass wir doch eine 3 Stunden restoretime vom Chef vorgegeben bekommen.

Zitat von Dukel Ein Mailserver gehör ins LAN. In die DMZ gehört ein Mailrelay, welches die Mails aus dem internet empfängt und ins LAN weiterleitet (und anderstrum). Bei Exchange nennt man das Edge, bei Kerio und dem anderen weiss ich nicht obs sowas gibt, man kann aber solch ein System selber zusammenbauen. Man kann auch auf diesem Relay gleich nach Viren / Spam filtern.

Ja so in etwa dachte ich mir das auch. Mein "Problem" dabei ist, dass ich bisher davon ausgegangen war, dass ich nur eine Kiste für das Ganze brauchen würde.

Allerdings muss ich sagen, ich mag es wirklich nicht für gut heißen den Mailserver wirklich in die dmz zu stellen...


------
Mal so ne Frage am Rande...
So'n Relay braucht ja wirklich nicht viel zu tun außer die E-Mails zu überprüfen und weiterzuleiten oder? Ich denke, dass es sicher bewährte OpenSource Mailrelays gibt die sehr schmalspurig sind.
Was ist denn die Mindestanforderung an das Relay?

[Dukel]

Zitat von Scorp1337 [...] ------ Mal so ne Frage am Rande... So'n Relay braucht ja wirklich nicht viel zu tun außer die E-Mails zu überprüfen und weiterzuleiten oder? Ich denke, dass es sicher bewährte OpenSource Mailrelays gibt die sehr schmalspurig sind. Was ist denn die Mindestanforderung an das Relay?

Kommt auf das Mailaufkommen an. Ausserdem, wie schon geschrieben, kann man auf solch einem Relay gleich nach Viren und Spams filtern, was dann mehr Leistung fordert.

[unst]

das ding muss ja nichtmal unter windows laufen (stichwort: spamassassin)
Die Windows Anti-Spam-Lösungen kosten fast alle Geld iirc.

/EDIT: Vllt hilft dir das: http://webuser.hs-furtwangen.de/~rei...rianWoizik.pdf