Jump to content

Exchange Server veröffentlichen - was beachten?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich möchte von der POP3 Abholung der E-Mails von den Servern eines recht unzuverlässigen Providers auf eine direkte SMTP Übermittlung auf unseren Server umstellen. Seitens des Providers ist dies auch kein Problem, die MX bzw. A Records würden dann vom Provider entsprechend geändert.

 

Nun zu meiner Infrastruktur:

 

Hinter einer Cisco PIX501 haben wir im Prinzip ein MS Standard Netzwerk, d.h. 2003er Domäne, 2003er Exchange, Fileserver, Terminalserver. Alles auf separaten Servern. Alle Server haben Windows 2k3 mit allen Patchen und SPs. Ein ISA 2004 ist auch vorhanden, dient im Moment allerdings nur als Proxy für die Clients, kann und soll aber für die zukünftige Konfiguration auch als 2. interne Firewall eingesetzt werden.

 

Wie baue ich das also im Hinblick auf die Veröffentlichung meines Exchange am besten auf?

 

Ich wollte die PIX weiterhin als externe Firewall nutzen und zwischen dieser und dem ISA eine DMZ einrichten. In dieser DMZ würde ich dann gerne einen Front-End Exchange installieren, der die Mails via SMTP annimmt bzw. versendet und durch den ISA an die Exchange Datenbank weitergibt.

 

Macht das 1. in dieser Konstellation sinn und 2. was muss ich bei der Konfiguration des Backend und Frontend Exchange beachten. Kennt hier jemand ein gutes Tutorial o.ä.? Wie sollte der Front-End dimensioniert sein? Wir haben 25 Mailboxen und täglich ca. 1000 Mails (ein und ausgehende insgesamt.)

 

Vielen Dank für eure Hilfe!

 

Mika

Link zu diesem Kommentar

Hallo Mika,

 

sehr gute Idee, vom poppen zur direkten Zustellung umzusteigen!

 

Danke, dass Du auch die Größenordnung angegeben hast.

Willst Du da wirklich soviel Aufwand mit einem Back-to-back-Firewallkonzept anfangen? Lieber eine Firewall, die aber richtig konfiguriert.

 

Ich sehe kein Problem, den SMTP-Port 25 direkt über die PIX zu veröffentlichen. Vergesse aber bitte nicht, Dir Gedanken über Spam-/Virenabwehr zu machen.

 

Von einem richtigen FrontEnd-Server in einer DMZ rate ich ab. Du gewinnst dadurch kaum an Sicherheit. Wenn, dann höchstens ein dummes SMTP-Relay oder noch besser einen Exchange Server 2007 Edge-Transport. Dann kannst Du gleich da nicht-existierende Mailadressen abweisen und eine saubere Spam-/Virenfilterung in Kombination mit Forefront Security für Exchange Server durchführen. Hm, aber bei 1000 Mails pro Tag musst Du überlegen/nachrechnen, ob sich der Aufwand lohnt.

 

Viele Grüße

Dieter

Link zu diesem Kommentar

Hallo.

 

a) überprüfen, dass der Exchange kein offenes Relay ist (in der Default konfiguration ist er auch das nicht)

b) IMF installieren

c) Empfängerfilter konfigurieren

 

Ansonsten sehe ich das so wie Dieter. Es gibt tausende Exchange Installation, die ohne FE/BE Konfiguration auskommen, und trotzdem sicher sind.

 

LG Günther

Link zu diesem Kommentar

ich habe viele installationen hinter mir bei denen ich direkt über smtp von der firewall auf den exchange zugreifen lasse. wenn du die vorhergesagten regeln umsetzt, sollte das alles kein problem sein.

 

du könntest jedoch einen Viren/Spamfilter-Server vorsetzten, der als erstes auf Spams und Viren prüft und nur die guten Mails dann an den Exchange weitergibt.

 

DMZ, FE/BE würd ich bei der geringen User- bzw. Mailzahl nicht machen.

 

lg

martin

Link zu diesem Kommentar
Wenn, dann höchstens ein dummes SMTP-Relay oder noch besser einen Exchange Server 2007 Edge-Transport. Dann kannst Du gleich da nicht-existierende Mailadressen abweisen und eine saubere Spam-/Virenfilterung in Kombination mit Forefront Security für Exchange Server durchführen. Hm, aber bei 1000 Mails pro Tag musst Du überlegen/nachrechnen, ob sich der Aufwand lohnt.

 

uupsss, da hab ich wohl nicht genau genug gelesen - wollte keine wiederholung... SORRY

Link zu diesem Kommentar

Vielen Dank euch beiden für die schnelle Antwort. Ich habe das FE/BE Konzept gewählt, da ich schon in vielen Foren gehört, dass es nicht ratsam ist, Rechner, welche Mitglied der Domäne sind, im Internet zu veröffentlichen. Weiterhin bin ich, was das angeht relativ perfektionistisch und hab das auch mit Blick auf die Zukunft gesehen.

 

Ich möchte ohnehin, unabhängig von der Exchangeveröffentlichung, den ISA als interne Firewall nutzen um unser WLAN bestmöglich aus dem "internen" Netz zu halten. Das aber nur zum Hintergrund...

 

Also eurer Meinung nach kann ich am Exchange, der ja in unserer Domäne hängt, den Port 25 bedenkenlos öffnen, wenn ich eure Hinweise berücksichtige?! Als Antispam/virus-Lösung verwende ich Trendmicro Messaging Security for Small & Medium Business und bin auch sehr zufrieden damit.

 

Viele Grüße

Michael

Link zu diesem Kommentar
dass es nicht ratsam ist, Rechner, welche Mitglied der Domäne sind, im Internet zu veröffentlichen

Beim ISA Server hat man ja die Wahl ob er Domain Member sein soll. Hier gibt es hunderte für und genauso hunderte wider. Hier ist das ganz gut beschrieben: Debunking the Myth that the ISA Firewall Should Not be a Domain Member

 

Front-End macht in deinem Szenario keinen Sinn, vor allem hätte er nichts in der DMZ verloren.

Wenn die Infrastruktur aber schon vorhanden ist, würde ich den ISA als interne Firewall und die PIX als externe einsetzen. Zur Veröffentlichung eines Exchange gibts nichts besseres als einen ISA. Wenn die PIX noch Intrusion Prevention Funktionen hat, hast du schon sehr hohe Sicherheit!

 

Je nachdem wieviel Sicherheit/Aufwand zu betreiben möchtest, könntest du dir z.b. noch eine Trendmicro IGSA Appliance in die DMZ stellen. Auf der Cebit präsentiert auch Astaro ein neues Produkt, das als Gateway Filter dienen soll (ASG ohne Firewall quasi).

Ich weiß, das ist alles schon recht hoch gegriffen, aber du sagtest ja, dass du perfektionistisch bist ;)

 

LG

Link zu diesem Kommentar
Vielen Dank euch beiden für die schnelle Antwort. Ich habe das FE/BE Konzept gewählt, da ich schon in vielen Foren gehört, dass es nicht ratsam ist, Rechner, welche Mitglied der Domäne sind, im Internet zu veröffentlichen.

 

Genau das würdest du aber tun, wenn du einen Frontend in die DMZ stellst. (nicht ganz Internet, aber zuviel)

 

Also eurer Meinung nach kann ich am Exchange, der ja in unserer Domäne hängt, den Port 25 bedenkenlos öffnen, wenn ich eure Hinweise berücksichtige?! Als Antispam/virus-Lösung verwende ich Trendmicro Messaging Security for Small & Medium Business und bin auch sehr zufrieden damit.

 

Also ein richtig konfigurierter IMF ist in meinen Augen besser. Aber das muß jeder selbst entscheiden.

Eventuell magst du das hier ja mal lesen:

microsoft.public.de.exchange | Google Groups

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...