Jump to content
Sign in to follow this  
jogu

Exchange DNS Name

Recommended Posts

Hallo

 

Ich habe ein Verständnis-Problem in Bezug auf Exch-DNS.

 

Situation:

Wir haben einen Exchange 2003 im Einsatz. (ca. 100 Benutzer)

 

Maildomäne:

firmaxy.de

 

Mailverkehr-ZIEL:

Eingehend:

WEB ---> (1)Outsourced SPAM/ANTIVIRUS Scanner ---> Exchange2003srv

Eingehende Mails werden via outsourced spam/antivirus Scanner

empfangen, geprüft und an unseren Mailserver weitergeleitet.

(outsourced = ein Anbieter übernimmt dies)

 

 

Ausgehend:

Exchange2003srv ---> (2)Outsourced SMARTHOST ---> WEB

Wir möchten Mails nicht direkt senden, sondern über einen

definierten Smarthost vom Provider.

(Security Gründen)

 

MX Records:

MX Record zeigt auf den (1).

mail.firmaxy.de

 

Weiteres:

- Interne Domäne heisst nicht gleich wie externe Domäne

Intern= meinefirmaxy.local

Extern= firmaxy.de

 

 

 

Nun:

Wir möchten nun den ausgehende Kanal (Smarthost) konfigurieren.

 

1.) funktioniert das überhaupt?

2.) wie sollte das DNS technisch umgesetzt werden?

3.) kann ich das so konfigurieren, dass der Mailserver

unter einem anderen Namen versendet und so entsprechend

von aussen auch auflösbar ist?

(statt exchangesrv.meinefirma.local den Eintrag auf

mail.firmaxy.de ändern)

 

 

Danke für die Hilfe

 

Jogu

Share this post


Link to post
Share on other sites

Wenn du eine feste IP Adresse hast, dann kannst du bei deinem Provider einen rDNS Eintrag erstellen lassen, so dass deine feste IP auf mailserver.domäne.de weißt.

 

Nun richtest du noch einen MX-Eintrag bei deiner Domäne mit deiner festen IP Adresse an und fertig. Der MX Eintrag muss allerdings eine niedrigere Priorität haben als dein externer Anbieter mit dem Antivirus.

Share this post


Link to post
Share on other sites
Wenn du eine feste IP Adresse hast, dann kannst du bei deinem Provider einen rDNS Eintrag erstellen lassen, so dass deine feste IP auf mailserver.domäne.de weißt.

 

Nun richtest du noch einen MX-Eintrag bei deiner Domäne mit deiner festen IP Adresse an und fertig. Der MX Eintrag muss allerdings eine niedrigere Priorität haben als dein externer Anbieter mit dem Antivirus.

 

Und was hat er davon? wenn der eigene MX eine niedrigere prio hat, dann wird per default alles an diesen Host geschickt und würde dann nicht vom Scanner erfaßt werden.

 

So recht verstehe ich den OP aber auch nicht. Du schreibst, dass du bereits über einen Smarthost versendest. Dann ist dein Problem doch aber schon gelöst. Kannst du eventuell noch ein paar mehr Infos geben, wo dein Problem derzeit ist?

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Ach herrje... niedrigere Prio = Höherer Wert? Das war da doch vertauscht. Sry.

 

Meinte es natürlich so, dass ankommende Mails an den externen gehen.

 

Wobei du schon Recht hast: Wo ist der Sinn wenn du über einen Smarthost sendest? Dann hast eigentlich wenig Probleme...

Share this post


Link to post
Share on other sites

Hallo.

 

Wir möchten nun den ausgehende Kanal (Smarthost) konfigurieren.

 

Siehe - : www.SBSPraxis.de, Konfigurieren des SMTP-Connectors in Exchange für Verbindung zu Internetdomänen :

 

2.) wie sollte das DNS technisch umgesetzt werden?

 

Wenn du über einen Smart Host versendest, spielt der DNS für dich keine Rolle. Alle notwendigen DNS Konfigurationen muss/hat der externe Dienstleister bereits durchgeführt haben

 

3.) kann ich das so konfigurieren, dass der Mailserver

unter einem anderen Namen versendet

 

ESM - Eigenschaften des virtuellen Standardserver für SMTP -> Register Übermittlung -> Erweitert -> und hier den FQDN des Mailserver eintragen

 

und so entsprechend

von aussen auch auflösbar ist?

 

Was soll das bringen. Mails dürfen ausschließlich bei deinem externen Dienstleister landen.

 

Ansonsten wie Norbert schon schrieb, mehr Infos und was willst du sonst noch bezwecken.

 

LG Günther

Share this post


Link to post
Share on other sites
Ach herrje... niedrigere Prio = Höherer Wert? Das war da doch vertauscht. Sry.

 

Ändert aber nix, da du als secondary dann immer den Spam direkt bekommen würdest. Spammer sind ja nicht doof und senden oft einfach gleich an den secondary.

 

Bye

Norbert

Share this post


Link to post
Share on other sites

hallo

 

danke für die vielen antworten.

 

Wir senden zur Zeit nicht über einen Smarthost, möchten

dies aber in zukunft. (angeblich sicherer)

 

Aus diesem Grund stellt sich mir die Frage,

wie ich entsprechende DNS Einträge (reverse)

richtig konfiguriere.

 

Noch zu wissen:

- Wir hosten die DNS Zonen für unsere Domain selber.

In einer DMZ - DNS Server

 

 

Sofern ich das von Euren Antworten ableiten kann,

würde das folgendes bedeuten:

 

1.) auf dem externen Domain DNS einen Reverse DNS Eintrag setzen.

(z.b. mail.firmaxy.de), dieser muss also zum Smarthost zeigen.

 

2.) der Smarthost muss entsprechend mit dem Namen mail.firmaxy.de

die Mails versenden.

 

==> So sollte der Empfänger dann auch meinen Server, sprich Smarthost,

korrekt Rückverfolgen können und entsprechend den Sendeort verifizieren können.

 

 

Was von dem stimmt, was nicht?

Was müsste ich ändern?

Dreh ich mich im Kreis?

Ist es gar nicht notwendig dass der Empfangsserver

den Sendeserver verifizieren kann - oder passiert das

ausschliesslich über die MX Einträge? ... dann hätt ich ja ein weiteres Problem ...

 

Dankeschön.

 

 

 

ps:

Wie sollte eigentlich mit NDR's umgegangen werden?

Aktiviert, Deaktiviert - speziell konfiguriert?

Share this post


Link to post
Share on other sites
Wir senden zur Zeit nicht über einen Smarthost, möchten

dies aber in zukunft. (angeblich sicherer)

 

Euren eigenen Smarthost, oder einen beim Provider? Angeblich sicherer? Mit welcher Begründung?

 

Aus diesem Grund stellt sich mir die Frage,

wie ich entsprechende DNS Einträge (reverse)

richtig konfiguriere.

 

Wenn der Smarthost beim Provider liegt, sind deine DNS Einträge völlig wurscht ;)

 

Noch zu wissen:

- Wir hosten die DNS Zonen für unsere Domain selber.

In einer DMZ - DNS Server

 

Dann ist es doch einfach. :)

 

 

2.) der Smarthost muss entsprechend mit dem Namen mail.firmaxy.de

die Mails versenden.

 

Jupp. Wobei eigentlich nur wichtig ist, dass forward und reverse gleichlautend sind.

 

==> So sollte der Empfänger dann auch meinen Server, sprich Smarthost,

korrekt Rückverfolgen können und entsprechend den Sendeort verifizieren können.

 

SPF kannst du noch setzen.

 

Ist es gar nicht notwendig dass der Empfangsserver

den Sendeserver verifizieren kann - oder passiert das

 

Kommt drauf an, was du unter verifizieren verstehst. ;)

 

ausschliesslich über die MX Einträge?

 

Der MX ist nur für den Empfang. Eine Filterung auf mx == Sendende IP/Host ist nicht RFC konform.

 

ps:

Wie sollte eigentlich mit NDR's umgegangen werden?

Aktiviert, Deaktiviert - speziell konfiguriert?

 

Kommt drauf an, ob du RFC konform sein willst. Dann mußt du NDRs aktiviert lassen. Wo siehst du Probleme?

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Hallo

 

 

Euren eigenen Smarthost, oder einen beim Provider? Angeblich sicherer? Mit welcher Begründung?

Wir senden heute direkt. Angeblich wäre es

sicherer über einen Smarthost.

Sicherer in Bezug auf Zugriff und Erkennung von Aussen.

(evtl. weisst kannst du mir mehr darüber erzählen)

 

 

Jupp. Wobei eigentlich nur wichtig ist, dass forward und reverse gleichlautend sind.

Eben, dementsprechend kann ich

diese Einträge für den "Smarthost"

auf unserem externen DNS hinzufügen und somit sollte die DNS

Angelegenheit erledigt sein, odeR?

 

 

SPF kannst du noch setzen.

Guter Tip, Danke.

 

 

Kommt drauf an, was du unter verifizieren verstehst. ;)

Verifizieren mein ich;

Empfänger stellt sicher, dass der Absender

auch wirklich der Sender ist. (Spam, etc.)

(wäre ja dann durch die DNS erledigt, oder?)

Möchte natürlich verhindern, dass unsere Mails

wegen solchen nicht verifizierbaren Umständen nicht angenommen werden.

 

 

Der MX ist nur für den Empfang. Eine Filterung auf mx == Sendende IP/Host ist nicht RFC konform.

Alles klar, Danke.

 

 

Kommt drauf an, ob du RFC konform sein willst. Dann mußt du NDRs aktiviert lassen. Wo siehst du Probleme?

Aktivieren lassen möchte ich diese ja auch.

(Spam probleme haben wir sowieso keine)

NDR - sende ich eine Mail an unseren MSX mit nicht

vorhandener E-Mail, erhalte ich die IP-Adresse des Exchangeservers

in der NDR - 192.168.1.x .

Denke das ist nicht sonderlich schlau, oder doch egal?

 

 

Danke!

Share this post


Link to post
Share on other sites

Wir senden heute direkt.

 

Wenn du mich fragst, würde ich es so lassen.

 

Angeblich wäre es

sicherer über einen Smarthost.

Sicherer in Bezug auf Zugriff und Erkennung von Aussen.

(evtl. weisst kannst du mir mehr darüber erzählen)

 

Wenn ich schon "angeblich" höre, dann würde ich das nicht so ernst nehmen. Entweder es kann einer sicherheitstechnisch begründen, oder nicht. Aber paranoide Aussagen ohne Basis sind an der Stelle fehl am Platz.

 

 

Eben, dementsprechend kann ich

diese Einträge für den "Smarthost"

auf unserem externen DNS hinzufügen und somit sollte die DNS

Angelegenheit erledigt sein, odeR?

 

Du kannst für deinen Provider keine DNS Einträge setzen. Wozu auch? Natürlich kannst du dem Host in deiner Zone einen Namen geben, der interessiert nur niemanden.

 

Verifizieren mein ich;

Empfänger stellt sicher, dass der Absender

auch wirklich der Sender ist. (Spam, etc.)

 

Das geht nur per SPF, SenderID und ähnlichen Verfahren. Jedenfalls nicht per Reverse DNS oder so.

 

Möchte natürlich verhindern, dass unsere Mails

wegen solchen nicht verifizierbaren Umständen nicht angenommen werden.

 

Hmm verständlich, nur will mir nicht in den Kopf, wozu ich da einen Provider für brauche? ;)

 

Aktivieren lassen möchte ich diese ja auch.

(Spam probleme haben wir sowieso keine)

NDR - sende ich eine Mail an unseren MSX mit nicht

vorhandener E-Mail, erhalte ich die IP-Adresse des Exchangeservers

in der NDR - 192.168.1.x .

Denke das ist nicht sonderlich schlau, oder doch egal?

 

Ein Problem ist es aber auch nicht, oder? ;)

 

Bye

Norbert

 

Danke!

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...