Jump to content
Sign in to follow this  
mika_do

Exchange Server veröffentlichen - was beachten?

Recommended Posts

Hallo zusammen,

 

ich möchte von der POP3 Abholung der E-Mails von den Servern eines recht unzuverlässigen Providers auf eine direkte SMTP Übermittlung auf unseren Server umstellen. Seitens des Providers ist dies auch kein Problem, die MX bzw. A Records würden dann vom Provider entsprechend geändert.

 

Nun zu meiner Infrastruktur:

 

Hinter einer Cisco PIX501 haben wir im Prinzip ein MS Standard Netzwerk, d.h. 2003er Domäne, 2003er Exchange, Fileserver, Terminalserver. Alles auf separaten Servern. Alle Server haben Windows 2k3 mit allen Patchen und SPs. Ein ISA 2004 ist auch vorhanden, dient im Moment allerdings nur als Proxy für die Clients, kann und soll aber für die zukünftige Konfiguration auch als 2. interne Firewall eingesetzt werden.

 

Wie baue ich das also im Hinblick auf die Veröffentlichung meines Exchange am besten auf?

 

Ich wollte die PIX weiterhin als externe Firewall nutzen und zwischen dieser und dem ISA eine DMZ einrichten. In dieser DMZ würde ich dann gerne einen Front-End Exchange installieren, der die Mails via SMTP annimmt bzw. versendet und durch den ISA an die Exchange Datenbank weitergibt.

 

Macht das 1. in dieser Konstellation sinn und 2. was muss ich bei der Konfiguration des Backend und Frontend Exchange beachten. Kennt hier jemand ein gutes Tutorial o.ä.? Wie sollte der Front-End dimensioniert sein? Wir haben 25 Mailboxen und täglich ca. 1000 Mails (ein und ausgehende insgesamt.)

 

Vielen Dank für eure Hilfe!

 

Mika

Share this post


Link to post
Share on other sites

Hallo Mika,

 

sehr gute Idee, vom poppen zur direkten Zustellung umzusteigen!

 

Danke, dass Du auch die Größenordnung angegeben hast.

Willst Du da wirklich soviel Aufwand mit einem Back-to-back-Firewallkonzept anfangen? Lieber eine Firewall, die aber richtig konfiguriert.

 

Ich sehe kein Problem, den SMTP-Port 25 direkt über die PIX zu veröffentlichen. Vergesse aber bitte nicht, Dir Gedanken über Spam-/Virenabwehr zu machen.

 

Von einem richtigen FrontEnd-Server in einer DMZ rate ich ab. Du gewinnst dadurch kaum an Sicherheit. Wenn, dann höchstens ein dummes SMTP-Relay oder noch besser einen Exchange Server 2007 Edge-Transport. Dann kannst Du gleich da nicht-existierende Mailadressen abweisen und eine saubere Spam-/Virenfilterung in Kombination mit Forefront Security für Exchange Server durchführen. Hm, aber bei 1000 Mails pro Tag musst Du überlegen/nachrechnen, ob sich der Aufwand lohnt.

 

Viele Grüße

Dieter

Share this post


Link to post
Share on other sites

Hallo.

 

a) überprüfen, dass der Exchange kein offenes Relay ist (in der Default konfiguration ist er auch das nicht)

b) IMF installieren

c) Empfängerfilter konfigurieren

 

Ansonsten sehe ich das so wie Dieter. Es gibt tausende Exchange Installation, die ohne FE/BE Konfiguration auskommen, und trotzdem sicher sind.

 

LG Günther

Share this post


Link to post
Share on other sites

ich habe viele installationen hinter mir bei denen ich direkt über smtp von der firewall auf den exchange zugreifen lasse. wenn du die vorhergesagten regeln umsetzt, sollte das alles kein problem sein.

 

du könntest jedoch einen Viren/Spamfilter-Server vorsetzten, der als erstes auf Spams und Viren prüft und nur die guten Mails dann an den Exchange weitergibt.

 

DMZ, FE/BE würd ich bei der geringen User- bzw. Mailzahl nicht machen.

 

lg

martin

Share this post


Link to post
Share on other sites
Wenn, dann höchstens ein dummes SMTP-Relay oder noch besser einen Exchange Server 2007 Edge-Transport. Dann kannst Du gleich da nicht-existierende Mailadressen abweisen und eine saubere Spam-/Virenfilterung in Kombination mit Forefront Security für Exchange Server durchführen. Hm, aber bei 1000 Mails pro Tag musst Du überlegen/nachrechnen, ob sich der Aufwand lohnt.

 

uupsss, da hab ich wohl nicht genau genug gelesen - wollte keine wiederholung... SORRY

Share this post


Link to post
Share on other sites

Vielen Dank euch beiden für die schnelle Antwort. Ich habe das FE/BE Konzept gewählt, da ich schon in vielen Foren gehört, dass es nicht ratsam ist, Rechner, welche Mitglied der Domäne sind, im Internet zu veröffentlichen. Weiterhin bin ich, was das angeht relativ perfektionistisch und hab das auch mit Blick auf die Zukunft gesehen.

 

Ich möchte ohnehin, unabhängig von der Exchangeveröffentlichung, den ISA als interne Firewall nutzen um unser WLAN bestmöglich aus dem "internen" Netz zu halten. Das aber nur zum Hintergrund...

 

Also eurer Meinung nach kann ich am Exchange, der ja in unserer Domäne hängt, den Port 25 bedenkenlos öffnen, wenn ich eure Hinweise berücksichtige?! Als Antispam/virus-Lösung verwende ich Trendmicro Messaging Security for Small & Medium Business und bin auch sehr zufrieden damit.

 

Viele Grüße

Michael

Share this post


Link to post
Share on other sites
dass es nicht ratsam ist, Rechner, welche Mitglied der Domäne sind, im Internet zu veröffentlichen

Beim ISA Server hat man ja die Wahl ob er Domain Member sein soll. Hier gibt es hunderte für und genauso hunderte wider. Hier ist das ganz gut beschrieben: Debunking the Myth that the ISA Firewall Should Not be a Domain Member

 

Front-End macht in deinem Szenario keinen Sinn, vor allem hätte er nichts in der DMZ verloren.

Wenn die Infrastruktur aber schon vorhanden ist, würde ich den ISA als interne Firewall und die PIX als externe einsetzen. Zur Veröffentlichung eines Exchange gibts nichts besseres als einen ISA. Wenn die PIX noch Intrusion Prevention Funktionen hat, hast du schon sehr hohe Sicherheit!

 

Je nachdem wieviel Sicherheit/Aufwand zu betreiben möchtest, könntest du dir z.b. noch eine Trendmicro IGSA Appliance in die DMZ stellen. Auf der Cebit präsentiert auch Astaro ein neues Produkt, das als Gateway Filter dienen soll (ASG ohne Firewall quasi).

Ich weiß, das ist alles schon recht hoch gegriffen, aber du sagtest ja, dass du perfektionistisch bist ;)

 

LG

Share this post


Link to post
Share on other sites
Vielen Dank euch beiden für die schnelle Antwort. Ich habe das FE/BE Konzept gewählt, da ich schon in vielen Foren gehört, dass es nicht ratsam ist, Rechner, welche Mitglied der Domäne sind, im Internet zu veröffentlichen.

 

Genau das würdest du aber tun, wenn du einen Frontend in die DMZ stellst. (nicht ganz Internet, aber zuviel)

 

Also eurer Meinung nach kann ich am Exchange, der ja in unserer Domäne hängt, den Port 25 bedenkenlos öffnen, wenn ich eure Hinweise berücksichtige?! Als Antispam/virus-Lösung verwende ich Trendmicro Messaging Security for Small & Medium Business und bin auch sehr zufrieden damit.

 

Also ein richtig konfigurierter IMF ist in meinen Augen besser. Aber das muß jeder selbst entscheiden.

Eventuell magst du das hier ja mal lesen:

microsoft.public.de.exchange | Google Groups

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...