Exchange 2003 empfang via SMTP

[gogo_sven 10]

Hallo Leute,

 

Ich möchte jetzt das erste mal einen Exchange 2003 via smtp Emails empfangen lassen.

 

Also Port 25 auf der Firewall zum Exchange weiterleiten lassen, MX-Record auf fest IP umstellen und dann ?

 

Muß ich zwangsläufig mit einem SMTP-Proxy oder einem zweiten Mail-Server arbeiten der in der DMZ steht ?

 

Es sollen ca. 40 User ihre Emails empfangen.

 

Ich habe schon etwas gestöbert und bin schon über "NDR" gestolpert.

 

Das der Mail-Server einen vernünftigen Virenschutz braucht ist mir auch ziemlich klar :).

 

Aber worauf muß ich noch achten ? Das kann ja nicht so einfach sein...

 

Gruß Gogo

[steven20 10]

Hallo,

 

Prinzipiell mal den MX eintrag auf die richtige IP setzen und das Port zum richtigen server zu bringen ist soweit richtig.

 

Dann muss der smtp dienst auf dem Exchange noch richtig konfiguriert sein.

So das er kein relaying erlaubt etc.

Empfängerfilter aufdrehen so das er keine NDRS verschickt. (aber dazu gibts im Forum viel zu lesen.)

 

Prinzipiell brauchst du keinen SMTP Proxy in einer DMZ.

Dieses Setup erhöht aber die insgesamte sicherheit des Systems.

 

Wobei meines Wissens nach der Windos SMTP Dienst den Exchange 2003 verwendet eigentlich realtiv sicher ist.

 

Beim Thema Virenschutz und Spamschutz gibt es halt verschiedenen ansätze.

Exchange hat ja auch schon einen Spamfilter dabei allerdings hab ich keine Ahnung wie gut der ist. Allerdings ist da kein Virenschutz dabei.

 

Dann gibt es noch Viren und Spam Scanner die sich zusätzlich auf deinem

Exchange installiert werden und sich in deinen Server integrieren.

Diese haben den nachteil das sie Mails zwar scanne aber erst dann wenn sie der Server bereits angenommen hat. Trendmicro Scanmail arbeitet meines wissens jetz so.

 

Dann gibts noch die Gateway Lösungen die ihren eigenen SMTP Dienst zur verfügung stellen und großteils auch DNS-Blacklists abfragen und somit Verbinungsversuche vom Spammer von vorn herein Blocken.

Das entlasstet den Server und spart Bandbreite.

Diese Lösungen lassen sich teilweise auch auf dem Exchange Server mitinstallieren. Wären aber natürlich ideal auf einem Eigenen Server in der DMZ plaziert. Z.B Nospam Proxy fällt mir jetzt ein.

 

Im großen und ganzen ist es eine Kostenfrage ;)

 

lg

Stefan

[Stephan Betken 43]

Hallo,

 

eigentlich ist der Exchange 2003 von Haus aus relaysicher, so dass man dort nicht allzuviel dran drehen muss. Der IMF ist soweit auch schon in Ordnung, so dass man meiner Meinung nach nicht unbedingt Zusatzprodukte für die Spamfilterung benötigt.

 

Aber im Bereich Virenscanner ist es eigentlich Pflicht, den Exchange-Store mittels VSAPI-Scanner zu schützen, damit auch Mails die bereits im Store sind nach einem eventuellen Pattern-Update entfernt werden können.

Ein SMTP-Gateway-Virenscanner (der auch gut Spams filtert) kann natürlich noch als Option eingesetzt werden (macht sich auch prima in der DMZ), aber sollte niemals alleine genutzt werden (eine Mail, die noch nicht erkannt wird durch das Gateway und der Store ist verseucht).

[NorbertFe 1.812]

Hallo,

 

Prinzipiell mal den MX eintrag auf die richtige IP setzen

 

Um genau zu sein zeigt ein mx Record auf einen A-Record, der wiederum auf eine IP zeigt.

 

 

Dann muss der smtp dienst auf dem Exchange noch richtig konfiguriert sein.

So das er kein relaying erlaubt etc.

 

Das ist bei E2k3 per default korrekt. Kann man zur Not aber nochmal testen mittels Mail relay testing

 

Prinzipiell brauchst du keinen SMTP Proxy in einer DMZ.

Dieses Setup erhöht aber die insgesamte sicherheit des Systems.

 

Erstens braucht man dazu eine DMZ und zweitens muß man auch mal den Kosten Nutzen Faktor festlegen. Solange das nicht gemacht wurde braucht man darüber auch nicht sprechen. ;)

 

Beim Thema Virenschutz und Spamschutz gibt es halt verschiedenen ansätze.

Exchange hat ja auch schon einen Spamfilter dabei allerdings hab ich keine Ahnung wie gut der ist.

 

Besser als vieles andere, was viel mehr kostet. ;)

 

 

Allerdings ist da kein Virenschutz dabei.

Genau. Den braucht man noch zusätzlich. Von MS gibts dafür Forefront Security for Exchange (bzw. bei Einsatz von Exchange 2003 dann Antigen for Exchange 9)

 

Dann gibt es noch Viren und Spam Scanner die sich zusätzlich auf deinem

Exchange installiert werden und sich in deinen Server integrieren.

Diese haben den nachteil das sie Mails zwar scanne aber erst dann wenn sie der Server bereits angenommen hat. Trendmicro Scanmail arbeitet meines wissens jetz so.

 

Eigentlich arbeitet jeder Virenscanner so, denn vorher hat er ja nix zu scannen. ;)

 

Dann gibts noch die Gateway Lösungen die ihren eigenen SMTP Dienst zur verfügung stellen und großteils auch DNS-Blacklists abfragen und somit Verbinungsversuche vom Spammer von vorn herein Blocken.

Das entlasstet den Server und spart Bandbreite.

Diese Lösungen lassen sich teilweise auch auf dem Exchange Server mitinstallieren. Wären aber natürlich ideal auf einem Eigenen Server in der DMZ plaziert. Z.B Nospam Proxy fällt mir jetzt ein.

 

Warum extra in die DMZ? Das kann wie du schreibst der Exchange alles mit erledigen ohne zusätzliche Kosten zu produzieren.

 

Im großen und ganzen ist es eine Kostenfrage ;)

 

Genau ;)

 

Bye

Norbert

[Markus Doll 10]

Hallo,

 

zum Thema Antispamlösungen auf dem Exchange kann ich folgendes sagen:

 

Wir haben den IMF 2.0 seit erscheinen auf unserem Exchange mit knapp 200 Postfächern am laufen und seit dem weitestgehend Ruhe vor Spam. Vorher hatten wir XWALL (auch ein Antispamproxy) im Einsatz, der trotz der Abfrage der gängigen RBLs noch massig Schrott ins Netz ließ und die Spammails grundsätzlich erstmal annahm, kategorisierte um sie dann zu verwerfen. Ich weiß nicht, ob das das grundsätzliche Konzept dieses Produktes ist, aber wir haben uns entschlossen erstmal nur noch auf den IMF zu setzen und das mit Erfolg.

 

Alleine über die RBL Abfrage bleiben täglich ca. 14000 Spams vor der Tür und der Exchange braucht sich erst garnicht damit zu befassen. Ca. 200-300 Mails, deren SCL Rating < 8 ist werden in den Junk-E-Mailordner der Benutzer geleitet. Alle paar Tage kommt es dann auch mal vor, dass sich eine Spammail in den Posteingang verirrt, was aber angesichts der Masse, die täglich "draussen" bleibt, harmlos ist.

 

Zu XWall Zeiten hatten manche User bis zu 800 Spams täglich im Postfach und waren damit entsprechend unglücklich. Das hohe Spamaufkommen in unseren Postfächern hat seinen Ursprung in einem ehemals sehr sorglosen Umgang mit den dienstlichen E-Mailadressen, was ganz schnell dazu führte, das die entsprechenden User zugemüllt wurden.

 

Bei der Auswahl der Abzufragenden RBL (im IMF) ist ein wenig Vorsicht geboten. Ich hatte ursprünglich einfach mal pauschal "alle" RBLs aktiviert und sah das es gut war. Irgendwann gabs dann aber mit einzelnen RBLs Probleme durch die wir plötzlich garkeine Mails mehr ins Haus bekamen, weil pauschal alle externen Domains auf dieser RBL standen. Mittlerweile fragen wir im Wesendlichen Spamhaus.org und Spamcop ab.

 

Ich kann den IMF aus meiner Erfahrung raus nur empfehlen.

 

Vielleicht hilft dieser kurze Bericht bei Auswahl des Antispamproduktes.

 

Gruß,

Markus

[firefox80 10]

Wie Stefan schon sagte, kann man ja prinzipiell alles ohne Sicherheit konfigurieren - das das natürlich wenig Sinn macht ist eine andere Sache.

 

Viele Anbieter haben mittlerweile einen SMTP Proxy Dienst als mietbaren Service im Programm. Der MX Record zeigt dann auf den Dienst Provider und dieser schickt dir dann die Mails gefiltert auf den Exchange weiter. Als Sicherheits-Konfiguration kannst du dann am Exchange einstellen, dass dieser nur Verbindungen vom Service Provider annimmt.

 

Du könntest auch eine universelle Gateway Security Lösung einsetzen. Damit hast du dann alles bei dir im Haus und bist unabhängiger. Zusätzlich kannst du noch abgesehen von dem Mail Filter eine Menge anderer Features nutzen: Firewall, Intrusion Prevention, VPN Gateway, Web Filter, Mail Quarantäne, IM/P2P/Skyper Blocker, usw.

Wie du meiner Signatur entnehmen kannst bevorzuge ich hierfür das Astaro Security Gateway ;)

 

LG

[gogo_sven 10]

Vielen Dank für eure Umfangreichen postings.

 

Dann werde ich das mal in Angriff nehmen. Habe mir gerade schon Endian angeschaut, die Lösung soll ja auch als SMTP-Proxy arbeiten können.

 

@ firefox: Kannst du einen Anbieter für den SMTP-Proxy-Dienst empfehlen ?

[firefox80 10]

Ich warte noch auf die neue TrendMicro Worry-Free Suite, die im Juli erscheint. Da soll dieser Dienst mit dabei sein, dann werde ich das Testen.

 

Microsoft Forefront gibt es auch als gehostete Lösung.

 

LG

[Stephan Betken 43]

Microsoft Forefront gibt es auch als gehostete Lösung.

Macht aber trotzdem nur Sinn als Ergänzung zu einem vorhandenen Scanner der den Store überprüft. In kleineren Umgebungen lohnt sich das nicht wirklich.

[gogo_sven 10]

Also reicht ein Exchange mit installiertem Virenschutz und NDR und man könnte auf einen SMTp-Gateway bzw. UTM-Lösung verzichten ?

[Stephan Betken 43]

Reicht ist in dem Fall mal wieder relativ. Installierter Virenschutz ist halt Grundvoraussetzung.

Zusätzlich kann man einen UTM-Schutz einsetzen (sei es Astaro, Zywall, ISA o. ä.), aber das lohnt meiner Meinung nach meist nur, wenn das Gateway dieses unterstützt oder eh eine Neuanschaffung geplant ist. Und selbst dann würde ich nicht auf den selben Scanner setzen, da 2 verschiedene Scanner eine (zumindest theoretisch) höhere Erkennungsrate haben.

Aber hundertprozentigen Schutz wird es auch da nicht geben. Die Frage ist immer, wieviel Geld Du ausgeben willst und kannst.

[gogo_sven 10]

In diesem Fall begrenzt, aber ich möchte ja auch kein Spam-Server veröffentlichen :)

[NorbertFe 1.812]

der Exchange braucht sich erst garnicht damit zu befassen. Ca. 200-300 Mails, deren SCL Rating < 8 ist werden in den Junk-E-Mailordner der Benutzer geleitet.

 

Ab wann sortiert ihr denn in den Junkfolder? Wenn ich Level 8 einstelle, dann würde noch viel zu viel im Posteingang landen. ;)

 

 

Alle paar Tage kommt es dann auch mal vor, dass sich eine Spammail in den Posteingang verirrt, was aber angesichts der Masse, die täglich "draussen" bleibt, harmlos ist.

 

Kann ich nicht bestätigen. Wenns hoch kommt, dann landen 1-10 Mails pro Woche im Junkfolder. Der Rest wird abgelehnt. Hängt natürlich auch immer von Größe der Umgebung und Kommunikationsverhalten der Mitarbeiter an.

 

Bei der Auswahl der Abzufragenden RBL (im IMF) ist ein wenig Vorsicht geboten. Ich hatte ursprünglich einfach mal pauschal "alle" RBLs aktiviert und sah das es gut war. Irgendwann gabs dann aber mit einzelnen RBLs Probleme durch die wir plötzlich garkeine Mails mehr ins Haus bekamen, weil pauschal alle externen Domains auf dieser RBL standen.

 

Tja, nach einem Jahr ordb offlineschaltung und immer noch keine Kontrolle durch die Admins, würde ich auch so reagiert haben. ;)

heise online - Anti-Spam-Blacklist ORDB listet alles

 

Mittlerweile fragen wir im Wesendlichen Spamhaus.org und Spamcop ab.

 

Ich persönlich kann diesen Listen wenig bis gar nichts abgewinnen, da viel zu viele false positives dabei sind. Aber wie oben schon geschrieben, es kommt immer drauf an.

 

Ich kann den IMF aus meiner Erfahrung raus nur empfehlen.

 

ACK.

 

Bye

Norbert