NorbertFe

Poste mal ein

get-receiveconnector |fl

Bye

Norbert

Steht vor dem Exchange eine Firewall?

Kann die Lösung den Tls? Falls nein musst du den Haken entfernen, dass Standard Authentifizierung ohne Tls möglich ist.

Man kann auch "nein" zu Kunden sagen. Es gibt Sachen die gehen nicht und es gibt genauso sachn, die mache ich nicht.

Normalerweise ist die letzte Regel immer ein deny all. ;)

sinnvoller ist gleich auf W2012 umzusteigen und Hyper-V 2.0 zu verwenden.

Wir sind schon 3.0 ;)

Bye

Norbert

Es geht auch mit folgenden outlooks:

License requirements for Personal Archive and retention policies - Outlook - Office.com

Naja f-Secure ist jetzt auch nicht die Ausgeburt an Benutzerfreundlichkeit. ;) ich find fpe immer noch gut.

40 mal suchen und ersetzen ist mit Sicherheit schneller als deine Methode. ;) aber egal...

Dürfte schwierig werden. 1. ist lizenzübertragung bei ms alles andere als trivial, 2. ist das Produkt zu morgen abgekündigt.

Was war denn ungeeignet, und was wird statt dessen genutzt?

Bye

Norbert

Ich finde einfach 9 DNS Listen einfach zu viel. Ne Menge DNS Traffic für wenig zusätzlichen Nutzen. Sicher aber Geschmackssache. Bei mir wird sehr viel schon mittels EHLO Blacklist geblockt.

Bye

Norbert

Servus Norbert,

 

Domainlisten:

sbl-xbl.spamhaus.org

Gibt's die noch?

Ich nutz die hier: zen.spamhaus.org

bl.spamcop.net

ubl.unsubscore.com

psbl.surriel.com

dnsbl.njabl.org

sbl.csma.biz

no-more-funn.moensted.dk

dnsbl.sorbs.net

dnsbl-1.uceprotect.net

9 Blacklists? Ist das nicht etwas übertrieben? ;) Ich hab zwei aktiv und die zweite hat schon kaum wirklich was zu tun. ;)

as mich so stutzig gemacht hat war das Timing. Gestern und heute hat sich einiges getan. Ich hab das Produkt (CA ITM 8.1) seit 2008 in der Config am laufen, läuft tadellos.

Geh ich mal von aus, aber ich hab hier nichts ungewöhnliches feststellen können.

Bye

Norbert

Nach meinen Erfahrungen sind die "Client-User" mit Windows 8 (Metro) komplett überfordert. Zumal sie sich strikt gegen Shortcuts weigern ;-)

Tja, kann ich wie gesagt nicht unterschreiben. Entweder man weiß wie Shortcuts funktionieren (oder auch anheften an Taskbar), oder man kann im Modern-UI ganz normal suchen. Dazu sollte man natürlich wissen, was man sucht. ;)

Bye

Norbert

Jeder User welche meine Emailadresse kennt kann mir eine Email schicken, der ExchangeServer sorgt dafür das ich diese bekomme.

Und jeder User ist bei dir dann authentifiziert? ;)

von extern zugeriffen, das ist ja auch Teil der Aufgaben des Exchangeservers.

Ja, aber der Unterschied ist immer noch ob authentifiziert oder nicht.

Hast du oben sogar rot markiert.

Bye

Norbert

Warum hast du nicht einfach obige Befehle genommen. Und ja es ist egal, wie du die rechte zugewiesen hast.

Hat Nils schon beantwortet. Wenn explizit das Recht delegiert wurde, dann interessiert der Zähler maximal noch den Gasman. ;)

Bye

Norbert

Das Ändern des Counters ist eine entweder oder Sache. per Default haben Authentifizierte Nutzer das Recht bis zu 10 (bzw. das was im Counter steht) PCs zur Domain hinzuzufügen. Wenn du den auf 0 setzt, dürfen sie das also nicht mehr. (Mein Vorschlag). Nils erwähnte das Recht in der DDP zu entfernen, dann brauchst du den Counter nicht zu ändern.

Bye

Norbert

Das hat nichts mit "gehen" zu tun, sondern mit Logik. ;) du kannst einen Admin nicht beschneiden, ohne dass er sich die Rechte auch wieder zurückholen kann. Also nimm einen User und gib diesem die Rechte die er benötigt, dann funktioniert das auch.

Bye

Norbert

Ein Admin ist ein Admin. Andersrum wird ein Schuh drauf. Gib ihm die Rechte, die er benötigt.

Bye

Norbert

Catch-All Postfach ein. Ist deine Leitung gestört, wird der 2. mx eintrag benutzt und du kannst die E-Mails dort abholen.

Aha, und was machst du mit all denen, die im Normalbetrieb dorthin senden (auch wenns wahrscheinlich mehrheitlich Spam ist)? Nein, wenn SMTP, dann kein Catchall bzw. überhaupt keine Postfächer mehr ausserhalb des Exchangeservers.

Bye

Norbert

Kann mir jemand ein gutes Anti-Virus-Programm für Emails empfehlen?

Trend Micro Scanmail bspw. Falls du auf deinen PCs schon einen Virenscanner laufen hast, frag bei dem Hersteller nach, meistens haben die auch was für Exchangeserver im Angebot, was dann ggf. preiswerter wird.

Bzw. kann man vielleicht sogar weiterhin 1und1 zum scannen der Emails nutzen?

Kommt auf 1und1 an, aber ich bin kein Freund von hosted mail Hygiene. ;)

c) Muss ich am Exchange noch irgendetwas beachten oder konfigurieren?[/Quote]

 

Ja, empfang von anonymen Mails auf entweder dem Default Receive Connector oder einen eigenen Connector anlegen und den Default Receive Connector anpassen, dass er nur noch aufs LAN hört.

Der EHLO STring im Sendeconnector sollte gleich zu deinen A-Record lauten. Auf allen Empfangs- und Sendeconnectoren das Logging auf verbose stellen.

 

z.B. lege ich fest, welche Emaildomänen "angenommen" werden?

 

So wie du vermutest.

 

Ich vermute das sind die Domänen welche ich bei Organisations-Konfiguration -> Hub-Transport -> Aktzeptierte Domänen eintrage, aber welchen Typ muss ich hier auswählen?

 

Authoritativ. ;)

 

d) Email Versenden

So wie ich die aktuelle Konfiguration sehe, werden ausgehende Emails über einen SmartHost bei 1und1 (smtp.1und1.de) verschickt. Macht es Sinn dies so zu lassen?

 

Kommt darauf an. Ich sage nein, da ich dann bessere Analyse-Möglichkeiten habe. Andererseits kann es dir zumindest am Anfang passieren, dass deine feste IP Adresse von diversen Blacklists geblockt wird, was man dann erst feststellt, wenns auftritt. ;) Aber wenn du das nie tust, wirst du es nicht feststellen. Ich würde mich soweit wie möglich von 1und1 unabhänig machen, dann kannst du ggf. relativ unproblematisch jederzeit wechseln.

 

e) Sicherheitseinstellungen

Ich habe an den Standard-Einstellungen des SBS2011 nichts verändert. Kann dies so gelassen werden? Verhindert werden soll natürlich, dass der Server als "Spam-Schleuder" von Menschen mit böswilliger Absicht missbraucht wird ;)

Bzw. kenn jemand einen guten Guide Empfehlungen für Sicherheitseinstellungen bei einem SBS2011?

 

Da gibt's im SBS doch sogar Wizards, die alles korrekt konfigurieren. Ansonsten verweise ich hier auf Günther den SBS Profi. ;)

 

Bye

Norbert

Ich möchte das nun auf SMTP umstellen und bin hierbei in der Planung.

Vorbildlich. :)

Allerdings habe ich mich erst vor kurzem ein wenig in die Thematik POP3 / SMTP Zustellung eingelesen und möchte vermeiden etwas wichtiges vergessen zu haben.

OK, schau'n wir mal

Folgendermaßen habe ich es geplant:

1. Am Exchange kontrollieren, dass sämtliche genutzten Emailaddressen dem jeweiligen Postfach zugeordnet sind

Bei 1und1 gibt es aktuell viele "Weiterleitungen" auf andere Postfächer, welche so nicht in der Exchange Umgebung abgebildet sind.

Korrekt, das muß natürlich hinterher wieder stimmen.

2. Bei 1und1 den MX Eintrag der entsprechenden Domänen abändern und auf die feste Public IP unseres Servers ändern

Nein. Als erstes einen Hosteintrag (A-Record) bzw. bei 1und1 eine Subdomain mit dem gewünschten Namen anlegen und diesen auf die IP zeigen lassen. Erst danach dann den MX auf diese Subdomain (Host) zeigen lassen.

Gleichzeitig kannst du dann schonmal bei deinem Leitungs-Provider klingeln, dass er den gewählten Namen (bspw. mail.deindomain.de) als reverse Eintrag für deine IP anlegen soll. Bei TDSL-Business geht das bspw. im Kundencenter.

3. Testemail verschicken

Testemail empfangen ist wichtiger. ;)

Korrekt. Wenn der Reverse Eintrag existiert, brauchst du nicht mal über den 1und1 Smarthost senden, sondern kannt direkt senden.

a) Ich habe irgendwo gelesen, dass man 1und1 weiterhin als "Backup" Email nutzten kann, falls mein Server nicht verfügbar ist.

Kann ich nur von abraten.

1. Spammer laden bevorzugt beim secondary mx ihren Kram ab, da der meist weniger gut vor Spam geschützt ist.

2. Wenn dein Server nicht verfügbar ist, geht noch lange nichts verloren, da der Absender seine Mail versucht mehrfach zuzustellen. Sollte innerhalb von normalerweise 24-48h kein Versand zu Stande kommen, bekommt der Absender wenigstens einen NDR. Bei einem Secondary MX wüßtest du nichts von der Mail und der Absender wundert sich, dass du ihm nicht antwortest.

b) Anti-Virus und Spam

Bisher nutze ich die Virus- und Spam-Scanner von 1und1. Dieses würde ja dann entfallen und ich muss dafür sorgen dass dies der Exchange-Server macht.

Korrekt.

Einen eingebauten Spam-Filter hat er ja meines Wissens, aber reicht der aus?

Kommt darauf an. ;) Was genau willst du hören? Bei korrekter Konfiguration ist der Exchange Spamfilter nicht schlecht. Für mehr, könnte ich bspw. The new ORF 5. Simply different. empfehlen.

Moin,

 

 

 

wenn 3. ausgeführt wird, ist 4. wirkungslos ... ;)

Ich weiß, das ist ja der Vorteil von 3., dass ich die Default Domain Policy in 4. nicht anpassen muß.

Aus Gründen der einfacheren Dokumentation ziehe ich vor, ms-DS-MachineAccountQuota nicht zu ändern und dafür in der DefDomConPol das unter 4. genannte Recht niemandem zuzuweisen. Da beide Verfahren aber denselben Effekt haben, ist das letztlich Geschmackssache.

Genau deswegen mach ich das nicht. ;)

Eins wollt ich noch hinzufügen: Konten-Operatoren haben mit der Aufnahme von Computern nur am Rande zu tun - ist das Recht nach 4. gesetzt, dann darf das jeder. Konten-Operatoren dürfen vor allem Benutzerkonten anlegen, was viel kritischer ist.

Kontenoperatoren sind vor allem vom AdminSDHolder geschützt und damit von Delegation sowieso nicht sinnvoll zu erfassen. ;)

Bye

Norbert

Ja, das ist erheblich. War u.a. ein Grund, warum wir unser MPLS dann bei VF schalten ließen und nicht bei der T-Com.

Bye

Norbert

Welche Blacklists nutzt du denn?

Bye

Norbert