soulseeker 13 Geschrieben 5. November 2013 Melden Teilen Geschrieben 5. November 2013 Hallo zusammen, ich bin in einem Unternehmen gelandet, wo man noch auf einen pop3-Konnektor setzt (Exchange2010). Grund dazu - der Smarthost führt Antispam-Maßnahmen durch, die man dadurch lokal einspart und es gibt keinen Edge-Server, bzw. Antispam-Gateway, daher halt auch eine "Sicherheitsmaßnahme". Nun gibt es aber mit dem Catchall-Account Probleme (Spam, Reverse lookup-Probleme), daher wäre meine erste Idee, die Mails direkt "reinlaufen" zu lassen. Ich habe früher GFI-Mailessentials oder die IMSS als Mail-Frontend benutzt. Ist das denn aktuell noch "state of the art" oder gibt es da empfehlenswertere Produkte? Es sind gerade mal 50 Accounts, ist ein kleines Unternehmen ... Viele Grüße Marcel Zitieren Link zu diesem Kommentar
NorbertFe 1.845 Geschrieben 5. November 2013 Melden Teilen Geschrieben 5. November 2013 Hi, POP mit dem Argument des Spamfilters vom Provider zu rechtfertigen ist irgendwie do.f. ;) Der Provider könnte die Mails dann ja auch gefiltert per SMTP zustellen, oder? Wenn ihr die Mails direkt zugestellt haben wollt, dann wäre eine Variante einfach die AntispamAgents von Exchange 2010 zu nutzen (kann man nachinstallieren), die funktionieren bei korrekter Konfiguration schon sehr gut. WEnns dann nicht reicht, kann ich www.vamsoft.com empfehlen. ;) Bye Norbert Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 5. November 2013 Autor Melden Teilen Geschrieben 5. November 2013 Der Provider könnte die Mails dann ja auch gefiltert per SMTP zustellen, oder? Ok, da stehe ich gerade auf dem Schlauch, wie funktioniert das? Wenn ich den mx-Eintrag bei unserem Provider auf die IP-Adresse unserer TMG umstelle und von dort direkt zum Exchange schicke, dann hat der Provider (domainfactory) doch mit der Filterung nix mehr am Hut. Vamsoft schaue ich mir mal an, hab ich vorher noch nie gehört, danke :). Zitieren Link zu diesem Kommentar
NorbertFe 1.845 Geschrieben 5. November 2013 Melden Teilen Geschrieben 5. November 2013 Warum sollte er damit nix mehr zu tun haben? Hosted Anti-Spam ist jetzt keine neue Lösung, oder? ;) Deine Beschreibung exkludiert aber den Provider, weil du eben den mx Record auf deine IP setzt und nicht beim Provider läßt, der dann logischerweise ein Relay an dich durchführen muß. Bye Norbert Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 5. November 2013 Autor Melden Teilen Geschrieben 5. November 2013 Ich seh bei domainfactory keine Möglichkeit, einen Relay zu konfigurieren, zumindest in unserem Account nicht ... ich kann dort den Nameserver bearbeiten, Mailkonten/Catchall anlegen, das war's dann. Wie ist denn der Sicherheitsaspekt zu sehen, wenn der Exchange direkt per SMTP erreichbar ist. Viele Firmen haben ja einen Edge-Server oder Mailgateway im Einsatz. Vamsoft ist ja scheinbar auch "nur" ein SMTP-Aufsatz. Zitieren Link zu diesem Kommentar
NorbertFe 1.845 Geschrieben 5. November 2013 Melden Teilen Geschrieben 5. November 2013 Wie kritisch siehst du es denn? Ich sehe es relativ unkritisch, solange man weiß, was man konfiguriert und bspw. von extern _nur_ anonymen Zugriff zuläßt. Angriffe direkt über das SMTP Protokoll, welche keine "Authentifizierung" mißbrauchen sind relativ selten und in fast allen Fällen zu vernachlässigen (wenn man mich fragen würde). ORF Fusion ist tatsächlich "nur" ein SMTP Transport Agent, dafür aber einer der ein super Kosten-Leistungsverhältnis bietet, was kaum eine andere Lösung bringt. ;) Bye Norbert Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 5. November 2013 Autor Melden Teilen Geschrieben 5. November 2013 (bearbeitet) "Nur" war auch nicht negativ gemeint ... ich muss mir jetzt mal überlegen, ob ich die exchange agents nutze oder unsere GFüberzeuge, Geld für eine gute Antispam-Lösung auszugeben. Im Moment steht auch noch im Raum, den Exchange zu Office365 in die Cloud zu migrieren. Was ich davon halten soll, weiss ich noch nicht ... Ich kenne es von früheren Kundensystem halt so, dass vor dem Exchanger immer noch mindestens ein Server hängt, der Mails filtert (z.B. die IMSS, gibt's jetzt auch als fertige virtual appliance auf nem Linux laufend). Mit "nicht anonymen Zugriff" meinst du, dass per Pop3 oder IMAP auf den Exchange zugegriffen werden soll? Das ist nicht geplant ... Auf jeden Fall vielen Dank für die Denkanstöße! bearbeitet 5. November 2013 von soulseeker Zitieren Link zu diesem Kommentar
NorbertFe 1.845 Geschrieben 5. November 2013 Melden Teilen Geschrieben 5. November 2013 "Nur" war auch nicht negativ gemeint ... ich muss mir jetzt mal überlegen, ob ich die exchange agents nutze oder unsere GFüberzeuge, Geld für eine gute Antispam-Lösung auszugeben. ORF und die Antispam Agents kann man super miteinander kombinieren. ;) Im Moment steht auch noch im Raum, den Exchange zu Office365 in die Cloud zu migrieren. Was ich davon halten soll, weiss ich noch nicht ... Ich wüßte was ich davon halten soll. ;) Ich kenne es von früheren Kundensystem halt so, dass vor dem Exchanger immer noch mindestens ein Server hängt, der Mails filtert (z.B. die IMSS, gibt's jetzt auch als fertige virtual appliance auf nem Linux laufend). Geht natürlich auch. ;) ORF kann man auch einfach auf einem beliebigen Windows Server (ab 2003) installieren, der vor dem Exchange steht. Mit "nicht anonymen Zugriff" meinst du, dass per Pop3 oder IMAP auf den Exchange zugegriffen werden soll? Das ist nicht geplant ... Ich meinte, dass man _nur_ als anonymer BEnutzer per SMTP von extern zugreifen kann. Bye Norbert Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 5. November 2013 Melden Teilen Geschrieben 5. November 2013 Moin, was Du mit dF aber auch machen kannst, ist eine Weiterleitung auf eine Subdomain. Also: webmaster@firma.xx -> webmaster@buero.firma.xx Und auf "buero.firma.xx" setzt Du den MX-Eintrag. Damit profitierst Du vom recht guten Spamfilter bei dF. Der einzige Nachteil ist, dass Du alles doppelt pflegen musst. Und ein Tipp für dF: NICHT die einfache Weiterleitung benutzen, sondern eine Filterregel erstelle. Die einfache Weiterleitung basiert auf den eingehenden SMTP-Server, der vor dem Spam-Filter arbeitet. Die Filter-Regel erst danach. Ist so eine Besonderheit bei denen. Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 6. November 2013 Autor Melden Teilen Geschrieben 6. November 2013 webmaster@firma.xx -> webmaster@buero.firma.xx Und auf "buero.firma.xx" setzt Du den MX-Eintrag. So ähnlich hatte ich es mir auch erst gedacht, aber mit dem Unterschied, dass ich die "echten" Mailadressen als Weiterleitung bei df anlege und diese auf einen weiteren Account lege, quasi einen "Catchallexisting". Derzeit wird halt auch der ganze Spam vom Catchall abgerufen, der Exchange generiert dann jede Menge ndrs und schickt diese zurück. Aber ich will ja weg vom popcon Damit profitierst Du vom recht guten Spamfilter bei dF Mit diesem Spamfilter habe ich auch Probleme, genauer gesagt mit dem "tollen" Office365. Die Firma nutzt Sharepoint online und bekommt Benachrichtungsmails zugesandt. Diese nimmt der df-SMTP aber nicht an, wenn reverse Lookup an ist - Sharepoint online/Office365 hat keine PTR-Einträge. Wenn ich Reverse Lookup ausschalte, gibt's dann aber mal so richtig Spam. Der Microsoft-Supprt sagte mir nur "reverse lookup ist veraltet", damit muss ich leben. Daher werde ich wohl die Mails direkt zum Exchange schicken und dort das von Norbert empfohlene Tool mal ausprobieren. Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 6. November 2013 Melden Teilen Geschrieben 6. November 2013 So ähnlich hatte ich es mir auch erst gedacht, aber mit dem Unterschied, dass ich die "echten" Mailadressen als Weiterleitung bei df anlege und diese auf einen weiteren Account lege, quasi einen "Catchallexisting". Derzeit wird halt auch der ganze Spam vom Catchall abgerufen, der Exchange generiert dann jede Menge ndrs und schickt diese zurück. Aber ich will ja weg vom popcon Natürlich darf bei mein POP-Connectoren und bei Weiterleitungen kein Catch-All verwenden, das kann prinzipbedingt nicht funktionieren. Wenn man das will, muss man 1:1 die Konten beim Provider anlegen wie bei Exchange. Mit diesem Spamfilter habe ich auch Probleme, genauer gesagt mit dem "tollen" Office365. Die Firma nutzt Sharepoint online und bekommt Benachrichtungsmails zugesandt. Diese nimmt der df-SMTP aber nicht an, wenn reverse Lookup an ist - Sharepoint online/Office365 hat keine PTR-Einträge. Wenn ich Reverse Lookup ausschalte, gibt's dann aber mal so richtig Spam. Der Microsoft-Supprt sagte mir nur "reverse lookup ist veraltet", damit muss ich leben. Dafür kann jetzt aber dF nichts, oder? Und dein Test zeigt, dass Microsoft hier offensichtlich unrecht hat. Aber natürlich ist dF ein großer allgemeiner Provider und wann man sehr spezielle Anforderungen hat, muss man es halt selbst machen. Aber das ist bei jedem großen Provider so. Daher werde ich wohl die Mails direkt zum Exchange schicken und dort das von Norbert empfohlene Tool mal ausprobieren. ORF ist wirklich sehr gut, habe ich auch selbst im Einsatz. Allerdings kann man dort keine Domain-Ausnahme für PTR-Lookup machen. Man kann allerdings Domänen/IP-Adresse/E-Mail-Adressen komplett Whitelisten, das müsstest Du mal ausprobieren, das sollte auch gehen. Als ich mir das eben anschaute, habe ich festgestellt, dass ich die PTR-Prüfung gar nicht aktiviert habe. Ich nutzen Greylisting und Du müsstest sehen, ob das bei Euch nutzbar ist (Greylisting hat prinzipbedingt einige kleiner Nachteile, die manche Kunden nicht wollen). Das reicht offensichtlich in Verbindung mit RLBs schon aus. Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 6. November 2013 Autor Melden Teilen Geschrieben 6. November 2013 Natürlich darf bei mein POP-Connectoren und bei Weiterleitungen kein Catch-All verwenden, das kann prinzipbedingt nicht funktionieren. Wenn man das will, muss man 1:1 die Konten beim Provider anlegen wie bei Exchange. Mit "Catchallexisting" meinte ich kein echtes Catchall, sondern quasi das Emnpfängerpostfach, in das die Weiterleitungen reinlaufen, die ich dann manuell anlege. Der Popcon ruft dann dieses Konto ab und damit nicht jeden Mist, sondern nur die existierenden. Ich weiss aber nicht, ob das mit df funktioniert, bzw. ob die Mails nach der Weiterleitung und dem Popcon-Abruf noch den Postfächern zugeordnet werden können. Ich hab das aber mal so bei 1&1 gesehen, aber da gabs auch immer mal wieder Probleme. Ist halt auch nur so "semiprofessionell" ;). Aber damit kann man zumindest vermeiden, dass man im popcon 40-50 Konten alle 5 Minuten abrufen muss ... naja Ich muss jetzt erstmal abwarten, ob die GF einen Umzug auf O365 wünscht, ich hoffe nicht. Und nein, df kann natürlich nix für Microsofts "reverse lookup"-Ansicht ... für mich aber letztlich ein weiterer Grund, die Cloud-Angebote generell b***d zu finden. ORF ist wirklich sehr gut, habe ich auch selbst im Einsatz. Allerdings kann man dort keine Domain-Ausnahme für PTR-Lookup machen. Man kann allerdings Domänen/IP-Adresse/E-Mail-Adressen komplett Whitelisten, das müsstest Du mal ausprobieren, das sollte auch gehen. Ist die Whitelist denn in der Prio höher als der PTR-Lookup? Von der Logik her würde ich sagen, der PTR-Lookup müsste immer zuerst kommen, da dann die Verbindung zum SMTP sofort abgebaut wird. Oder kann man eine Reihenfolge der Prüfungen konfigurieren? Das geht z.B. bei GFI Mailessentials. Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 6. November 2013 Melden Teilen Geschrieben 6. November 2013 Mit "Catchallexisting" meinte ich kein echtes Catchall, sondern quasi das Emnpfängerpostfach, in das die Weiterleitungen reinlaufen, die ich dann manuell anlege. Der Popcon ruft dann dieses Konto ab und damit nicht jeden Mist, sondern nur die existierenden. Ich weiss aber nicht, ob das mit df funktioniert, bzw. ob die Mails nach der Weiterleitung und dem Popcon-Abruf noch den Postfächern zugeordnet werden können. Verstehe ich nicht? Noch ein drittes Postfach? Wenn man POP nutzen will (will man eigentlich nicht), dann muss das so aussehen: 1. PF Provider -> POP -> 1. PF Exchange 2. PF Provider -> POP -> 2. PF Exchange 3. PF Provider -> POP -> 3. PF Exchange usw. Als jedes Postfach in Exchange hat eine Entsprechung beim Provider und jedes Postfach muss einzeln abgeholt werden. Das heißt bei 20 Postfächern 20 POP-Vorgänge bei jeder Runde. Catch-All-Postfächer, Sammelabholen, usw. können prinzipbedingt nicht sauber funktionieren. Ich hab das aber mal so bei 1&1 gesehen, aber da gabs auch immer mal wieder Probleme. Ist halt auch nur so "semiprofessionell" ;). Aber damit kann man zumindest vermeiden, dass man im popcon 40-50 Konten alle 5 Minuten abrufen muss ... Das kannst Du nie vermeiden, wenn ein POP-Connector halbwegs laufen soll. Das liegt im SMTP-Protokoll und der Tatsache, dass der korrekte Empfänger an genauer einer Stelle steht (RCPT TO), diese Stelle aber nach dem Einliefern nicht gespeichert werden muss. Exchange z.B. speichert sie nicht, viele Provider haben eine nicht-standard-konforme Krücke eingebaut. Aber was nicht Standard ist, muss morgen nicht mehr funktionieren. Daher gibt es, wenn überhaupt, nur eine Lösung: Gaaaanz viele POP-Abholvorgänge - oder halt gleich richtiges SMTP einsetzen. Und nein, df kann natürlich nix für Microsofts "reverse lookup"-Ansicht ... für mich aber letztlich ein weiterer Grund, die Cloud-Angebote generell b***d zu finden. Man gibt bei Cloud-Lösungen immer ein wenig Freiheit ab, kann aber eventuell viel Know-How gewinnen, das man sonst nicht hätte. Für mich gibt es aber andere Hauptgründe gegen Clous und die liegen eindeutig beim Datenschutz. Erschreckend, wenn nach Prism und NSA überhaupt noch ein GF darüber nachdenkt, in eine Cloud und nach dazu in eine nicht-deutsche zu wechseln. Ist die Whitelist denn in der Prio höher als der PTR-Lookup? Von der Logik her würde ich sagen, der PTR-Lookup müsste immer zuerst kommen, da dann die Verbindung zum SMTP sofort abgebaut wird. Oder kann man eine Reihenfolge der Prüfungen konfigurieren? Das geht z.B. bei GFI Mailessentials. Man kann sehr viel bei ORF konfigurieren. Gibt es als Trial-Version, solltest Du Dir mal anschauen. Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 6. November 2013 Autor Melden Teilen Geschrieben 6. November 2013 Verstehe ich nicht? Noch ein drittes Postfach? Wenn man POP nutzen will (will man eigentlich nicht), dann muss das so aussehen: 1. PF Provider -> POP -> 1. PF Exchange 2. PF Provider -> POP -> 2. PF Exchange 3. PF Provider -> POP -> 3. PF Exchange Ich meine das so: 1. das reine Catchall deaktivieren 2. Neues Postfach bei df anlegen "catchallexisting" (irgend ein Name halt) 3. Einen Haufen Weiterleitungen mit name@firma.de (mit den Mailadressen des Exchange-Postfachs), die alle in dieses "catchallexisting@firma" laufen 4. Mit popcon nur noch dieses eine catchallexisting abrufen Auf jeden Fall nochmals danke an alle für die Anregungen! Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 6. November 2013 Melden Teilen Geschrieben 6. November 2013 Ach so, ändert aber an dem Problem nicht. Nach der Weiterleitungen (Punkt 3) muss in der Mail (Stichwort BCC) nicht mehr zwangsläufig der Original-Empfänger stehen. Der RCPT TO ist dann die Weiterleitungsadresse und die Mail liegt ohne Identifikationsmöglichkeit im Weiterleitungspostfach. Wohin soll der POP-Connector die dann schieben, bzw. was soll Exchange damit machen? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.