soulseeker

Ja, die habe ich bereits angefragt ... Aber dem Hybridkram mal beiseitegeschoben - das sind ja im Grunde genommen "nur" zwei Exchanger mit Vertrauensstellung und Konnektoren. Jetzt sendet der eine aber plötzlich über ein anderes Gateway, als er empfängt. Das on premises owa und active sync stört das überhaupt nicht, nur den Mailfluss zwischen den Organisationen. Muss man evtl. einen der Konnektoren noch bearbeiten?

Ja ich weiss, das ist schwer nachzuvollziehen. Aber die Hoffnung stirbt zuletzt ;). Die Mails dürften aber doch eigentlich gar nicht bei der Watchguard ankommen, der mx-Eintrag, bzw. der Konnektor zeigen ja nach wie vor noch auf das Interface der TMG. Wie gesagt, raus gehts ja zu Exchange online, aber wenn die Nachricht zurück an on premises sollen dann sehe ich die Meldung "Pending" und "Fehler beim letzten Versuch der Nachrichtenzustellung" in der Nachrichtenverfolgung von Exchange online. Nachdem ich das Routing umgestellt habe, steht zwar nun als Absender wieder die IP des TMG, statt der Watchguard, aber die Mails hängen trotzdem fest.

Hallo, wir haben in unserem Unternehmen eine funktionierende Hybrid-Konfiguration aus einem lokalen Exchange 2010 hinter einer TMG und einen Exchange Online-Account ... bisher funktionierte der Mailfluss über die Konnektoren ohne Probleme, aber seitdem wir eine neue Firewall in Betrieb genommen haben (Watchguard XTM330), die nun anstelle eines TMG die Rolle des Standard-Gateways für ausgehenden Traffic übernimmt, gibt es Probleme mit dem Mailfluss. Mails können nun nach wie vor vom on premise Exchange untereinander und an externe Empfänger gesendet werden. Wenn aber ein Cloud-User versucht, etwas an einen On premise-User zu senden, so kommt die Mail nicht an. Im Exchange Online-Mailfluss sehe ich, dass die Mail auf "Pending" steht. Umgekehrt kann jedoch ein On premise-User nach wie vor seine Mails an den Cloud-User zustellen. Ich habe derzeit leider keine Idee, wie ich dieses Problem beheben kann. Ich vermute, dass das Problem darin liegt, dass der on premise Exchange nach wie vor über den TMG veröffentlicht wird, aber seine Daten an externe Empfänger über die neue Firewall senden will (Watchguard). Ich habe vermutet, dass das Problem am Routing liegt, den nvorher hat ja der TMG alles über sein WAN Interface rausgeschickt. Ich habe daher das Routing so angepasst, dass alle Datenpakete, die an 132.245.0.0 gehen (die IP-Range, wo vermutlich unser Exchange Online liegt) wieder über die TMG laufen, aber das ist nicht die Ursache. Hat jemand von euch Erfahrungen mit diesen Hybrid-Konfigurationen oder eine Idee wo ich ansetzen kann? Danke, viele Grüße Marcel

Den würde ich dann natürlich deaktivieren ...

Nein, ich kenne das Produkt noch nicht ... also streich das Wort "zumindest" ;) ... ist darin begründet, dass ich bisher kein großer Fan vom Cloud Exchange bin. Ich habe vor kurzem den Hybrid-Modus konfiguriert, dieser funktioniert auch für den Mailfluss, aber Kalender-Sharing zwischen Cloud und on premise haut irgendwie nicht immer hin. Damit habe ich schon jede Menge Zeit verbringen dürfen. Im Moment hängt das Projekt noch in der Luft, wenn alle Konten zu Exchange online migriert werden, wird es EOP, wenn alles bleibt wie es ist, ein Antispam-Gateway. Aber kurz zum Thema "nicht korrekt konfigurierter pop3-Konnektor" - ich habe hier Popcon im Einsatz und bei "User unknown" die Möglichkeit, die Mail entweder umzuleiten (geht dann an postmaster) oder direkt zu löschen. Aber auch wenn löschen gewählt ist, "fragt" popcon vorher beim Exchange nach indem er die Mail erst weiterleitet, bekommt dann "User unknown" und löscht schließlich die Mail (oder leitet sie an postmaster). Aber ein NDR würde dann ja trotzdem rausgeschickt werden. Wenn ich das richtig sehe, kann ich so doch gar nicht verhindern, das Exchange in diesem Fall einen NDR sendet.

Office365, genau ... solange reverse lookup aktiv ist, kommen die Benachrichtigungen aus Sharepoint online nicht an. Seitdem hat das Gesamt-Spamvolumen auch massiv zugenommen. Ich hatte vor einer Weile hier schonmal nachgefragt, welche Antispam-Gateways empfehlenswert sind, aber derzeit kann sich unsere GF noch nicht entscheiden, wo der Zug hinfahren soll. Daher ist der Mailfluss hier nach wie vor "Smarthost - Popcon - Exchange (Hybrid)". Könnte auch sein, dass die Organisation demnächst komplett zu Exchange online migriert wird (grusel), dann hätte man zumindest Forefront online protection. Mir wäre es deutlich lieber, einen eigenen Antispam-Gateway zu betreiben und die Postfächer auf dem eigenen Exchange zu verwalten.

Eine Fehlkonfiguration haben wir derzeit in der Tat - seitdem unsere Firma sich für Office online entschieden hat, musste ich reverse lookup als Antispam-Maßnahme bei unserem Smarthost deaktivieren ... ansonsten werden keine Sharepoint online-Mails angenommen :(. Demnächst werde ich aber eine Watchguard hier einsetzen, die auch als Antispam-Gateway nutzbar sein wird, dann wird das Problem hoffentlich bald gelöst sein. Danke euch!

Hallo zusammen, nachdem unser Mailserver kürzlich auf einer Blacklist gelandet ist, weil er haufenweise NDRs raussendet, habe ich diese kurzerhand erst einmal deaktiviert. Wir werden demnächst noch einen Antispam-Gateway einrichten, damit ein Großteil des Mülls gefiltert wird, bevor es beim Exchange ankommt. Mich würde aber mal interessieren, wie andere Exchange-Admins NDRs handhaben - sind sie bei euch aktiviert oder nicht? Grüße Marcel

Danke ... ist mir vorher nie aufgefallen, da ich immer nur einen Domain-Adminuser hatte :).

Hallo, ich bin gerade etwas verwirrt, sorry für eine evtl. etwas behämmerte Frage. Wenn ich einen Ordner als Domain-Admin erstelle und diesen nach einer Freigabe mit Berechtigungen versehe, dann breche ich als erstes die Berechtigung auf, werfe servername/users raus, verwende stattdessen meine eigene Gruppe(n) und vergebe entsprechende Rechte - soweit so gut. Aber wenn ich auch meinen eigenen Ersteller-Account rauswerfe und stattdessen die Builtin-Gruppe der Domain-Admins verwende (wir haben mehrere Accounts) und auf "Full control" setze, erscheint beim nächsten Öffnen "You don't currently have permissions blabla" und nach dem Klicken von "Ja" ist mein Anmelde-Account wieder drin. Das gleiche habe ich auch, wenn ich eine eigene Gruppe verwende, die alle Domain-Admins beinhaltet. Dieses "Problem" tritt auch erst auf, wenn die Users-Gruppe raus ist. Warum ist das so? Mein Account ist doch Member der Domain admins und diese Gruppe ist doch wiederum Mitglied der lokalen Administratoren. Danke für's auf die Sprünge helfen ... Marcel

Stimmt ... komisch, bei 1&1 scheint das mal geklappt zu haben. Aber wie auch immer, ne wirkliche "Lösung" ist das ja eh nicht.

Ich meine das so: 1. das reine Catchall deaktivieren 2. Neues Postfach bei df anlegen "catchallexisting" (irgend ein Name halt) 3. Einen Haufen Weiterleitungen mit name@firma.de (mit den Mailadressen des Exchange-Postfachs), die alle in dieses "catchallexisting@firma" laufen 4. Mit popcon nur noch dieses eine catchallexisting abrufen Auf jeden Fall nochmals danke an alle für die Anregungen!

Mit "Catchallexisting" meinte ich kein echtes Catchall, sondern quasi das Emnpfängerpostfach, in das die Weiterleitungen reinlaufen, die ich dann manuell anlege. Der Popcon ruft dann dieses Konto ab und damit nicht jeden Mist, sondern nur die existierenden. Ich weiss aber nicht, ob das mit df funktioniert, bzw. ob die Mails nach der Weiterleitung und dem Popcon-Abruf noch den Postfächern zugeordnet werden können. Ich hab das aber mal so bei 1&1 gesehen, aber da gabs auch immer mal wieder Probleme. Ist halt auch nur so "semiprofessionell" ;). Aber damit kann man zumindest vermeiden, dass man im popcon 40-50 Konten alle 5 Minuten abrufen muss ... naja Ich muss jetzt erstmal abwarten, ob die GF einen Umzug auf O365 wünscht, ich hoffe nicht. Und nein, df kann natürlich nix für Microsofts "reverse lookup"-Ansicht ... für mich aber letztlich ein weiterer Grund, die Cloud-Angebote generell b***d zu finden. Ist die Whitelist denn in der Prio höher als der PTR-Lookup? Von der Logik her würde ich sagen, der PTR-Lookup müsste immer zuerst kommen, da dann die Verbindung zum SMTP sofort abgebaut wird. Oder kann man eine Reihenfolge der Prüfungen konfigurieren? Das geht z.B. bei GFI Mailessentials.

So ähnlich hatte ich es mir auch erst gedacht, aber mit dem Unterschied, dass ich die "echten" Mailadressen als Weiterleitung bei df anlege und diese auf einen weiteren Account lege, quasi einen "Catchallexisting". Derzeit wird halt auch der ganze Spam vom Catchall abgerufen, der Exchange generiert dann jede Menge ndrs und schickt diese zurück. Aber ich will ja weg vom popcon Mit diesem Spamfilter habe ich auch Probleme, genauer gesagt mit dem "tollen" Office365. Die Firma nutzt Sharepoint online und bekommt Benachrichtungsmails zugesandt. Diese nimmt der df-SMTP aber nicht an, wenn reverse Lookup an ist - Sharepoint online/Office365 hat keine PTR-Einträge. Wenn ich Reverse Lookup ausschalte, gibt's dann aber mal so richtig Spam. Der Microsoft-Supprt sagte mir nur "reverse lookup ist veraltet", damit muss ich leben. Daher werde ich wohl die Mails direkt zum Exchange schicken und dort das von Norbert empfohlene Tool mal ausprobieren.

"Nur" war auch nicht negativ gemeint ... ich muss mir jetzt mal überlegen, ob ich die exchange agents nutze oder unsere GFüberzeuge, Geld für eine gute Antispam-Lösung auszugeben. Im Moment steht auch noch im Raum, den Exchange zu Office365 in die Cloud zu migrieren. Was ich davon halten soll, weiss ich noch nicht ... Ich kenne es von früheren Kundensystem halt so, dass vor dem Exchanger immer noch mindestens ein Server hängt, der Mails filtert (z.B. die IMSS, gibt's jetzt auch als fertige virtual appliance auf nem Linux laufend). Mit "nicht anonymen Zugriff" meinst du, dass per Pop3 oder IMAP auf den Exchange zugegriffen werden soll? Das ist nicht geplant ... Auf jeden Fall vielen Dank für die Denkanstöße!

Ich seh bei domainfactory keine Möglichkeit, einen Relay zu konfigurieren, zumindest in unserem Account nicht ... ich kann dort den Nameserver bearbeiten, Mailkonten/Catchall anlegen, das war's dann. Wie ist denn der Sicherheitsaspekt zu sehen, wenn der Exchange direkt per SMTP erreichbar ist. Viele Firmen haben ja einen Edge-Server oder Mailgateway im Einsatz. Vamsoft ist ja scheinbar auch "nur" ein SMTP-Aufsatz.

Ok, da stehe ich gerade auf dem Schlauch, wie funktioniert das? Wenn ich den mx-Eintrag bei unserem Provider auf die IP-Adresse unserer TMG umstelle und von dort direkt zum Exchange schicke, dann hat der Provider (domainfactory) doch mit der Filterung nix mehr am Hut. Vamsoft schaue ich mir mal an, hab ich vorher noch nie gehört, danke :).

Hallo zusammen, ich bin in einem Unternehmen gelandet, wo man noch auf einen pop3-Konnektor setzt (Exchange2010). Grund dazu - der Smarthost führt Antispam-Maßnahmen durch, die man dadurch lokal einspart und es gibt keinen Edge-Server, bzw. Antispam-Gateway, daher halt auch eine "Sicherheitsmaßnahme". Nun gibt es aber mit dem Catchall-Account Probleme (Spam, Reverse lookup-Probleme), daher wäre meine erste Idee, die Mails direkt "reinlaufen" zu lassen. Ich habe früher GFI-Mailessentials oder die IMSS als Mail-Frontend benutzt. Ist das denn aktuell noch "state of the art" oder gibt es da empfehlenswertere Produkte? Es sind gerade mal 50 Accounts, ist ein kleines Unternehmen ... Viele Grüße Marcel

Hi Forum, ich habe in unserem Hauptstandort einen TMG2010 im Netz, der bei uns als Firewall und VPN-Einwahlserver fungiert. Dieser TMG hängt direkt im WAN, kein Nat. Wir wollen nun eine Außenstelle per Tunnel an den TMG anbinden. Dort hängt eine Kabel-Fritzbox, dahinter ein alter Draytek Vigor-Router. Ich habe mittlerweile einige Tage erfolglos damit verbracht, dieses Setup mit dem TMG zu verheiraten und es nun aufgegeben. Es gibt zwar jede Menge Anleitungen und auch der Support war sehr kompetent, aber letztlich hat es damit nie hingehauen - der TMG hat sich aus irgendeinem Grund beim Vigor immer nur als "Dynamic client" gemeldet und ich kam vom TMG zum Vigor aber nicht zurück. Egal, selbst der Support wusste nicht mehr weiter. Da der Draytek auch nicht mehr stabil läuft, muss eh was neues her. Meine Frage ist nun - könnt ihr mir Empfehlungen geben für ein Endgerät für ein kleines Office, das ohne Schwierigkeiten mit dem TMG einen Tunnel aufbauen kann? Ich dachte an Zyxel-Geräte, aber die habe ich bisher nur untereinander verbunden, noch nie mit dem TMG. Denkbar wäre für mich auch ein Windows 2012-Server mit Remote Access, aber da finde ich leider nur Anleitungen für Einwahl-VPNs. Ich bin für jeden Tipp offen. Danke! Marcel

Also mit der Fritzbox bekomme ich keine Verbindung hin ... ich hab hier testweise mal meine Home-Box versucht anzubinden und das ist eine 7390 wie in der Anleitung. Hab gerade keine Idee, wo ich ansetzen kann ...

Tja, TMG und Draytek scheinen wirklich problematisch zu sein ... Was für kleinere Firewalls für kleinere Bürolösungen könntest du denn empfehlen? Ich hab ganz gute Erfahrungen mit Zyxel gemacht, aber nur "untereinander". Watchguards sind auch gut, aber da kenne ich nur die großen und die sind ziemlich komplex.

Hmm danke ... hab ich auch schon dran gedacht, aber mit dem Draytek hatte ich gehofft, das ganze etwas professioneller und transparenter zu konfigurieren. Ich schau mir das morgen mal an ... meinst das haut auch mit einer 6360 hin?

Hallo, ich bräuchte mal einen Denkanstoß ... Und zwar habe ich an einem Ende eine TMG mit WAN, DMZ und internem Netz, VPN-Einwahl ist an der TMG bereits konfiguriert und funktioniert auch. Am anderen Ende ist ein kleines Office mit Fritzbox und einer Draytek 2910. Die Fritzbox ist nicht als Modem eingerichtet, sondern mit entsprechenden Portforwardings für LT2P/IPsec auf die Draytek. Ich habe heute an beiden Enden einen LT2P/IPsec-Tunnel konfiguriert, 3DES+SHA1+Preshared Key. Grundsätzlich offenbar richtig, denn der Tunnel baut sich auf, ich kann die IP-Netze von beiden Endpunkten auch erreichen, aber nach ca. einer Minute ist schicht und der Tunnel ist weg. Im TMG-Logging finde ich nichts, außer die entsprechenden Firewall-Regeln greifen. Das Draytek-Teil ist mit Logs leider auch sehr sparsam. Nach 1-2 Minuten ist der Tunnel wieder da, aber kurz darauf wieder weg. Ich habe bisher folgendes versucht: Agressive Mode, mit der MTU experimentiert, Dauerping vom Draytek auf das entfernte Netz und umgekehrt. Die letzte Aktion, die ich für heute gebracht habe, ist ein Firmware-Update am Draytek, seitdem ist das Teil komplett weg ... was genau los ist, sehe ich erst morgen früh, wenn jemand im Büro ist. Wenn ich das Draytek-Gerät wie einen VPN-Client konfiguriere, dann wählt er sich übrigens selber ein (PPTP), aber dann funktionieren durch das andere Routing einige Dienste nicht. Ich werde jetzt noch versuchen, den Tunnel per PPTP aufzubauen, auch wenn mir das aus Sicherheitsaspekten nicht wirklich gefällt. Hat jemand evtl. eine Idee, wo ich bei meinem Problem ansetzen könnte? Liegts evtl. an der Fritzbox? Grüße Marcel

Danke! Jetzt weiss ich auch, was du mit "da fehlt was" meinst ;) ... hab's mal geändert, falls das nochmal jemand liest.

Ja mir ist schon klar, dass durchaus schonmal jemand ein Schema erweitert hat ;) ... mir ging's ja auch nur darum, dass Schema auf 2012 zu erweitern, ohne gleichzeitig einen entsprechenden 2012 DC einzusetzen.