mika_do 10 Geschrieben 3. März 2008 Melden Teilen Geschrieben 3. März 2008 Hallo zusammen, ich möchte von der POP3 Abholung der E-Mails von den Servern eines recht unzuverlässigen Providers auf eine direkte SMTP Übermittlung auf unseren Server umstellen. Seitens des Providers ist dies auch kein Problem, die MX bzw. A Records würden dann vom Provider entsprechend geändert. Nun zu meiner Infrastruktur: Hinter einer Cisco PIX501 haben wir im Prinzip ein MS Standard Netzwerk, d.h. 2003er Domäne, 2003er Exchange, Fileserver, Terminalserver. Alles auf separaten Servern. Alle Server haben Windows 2k3 mit allen Patchen und SPs. Ein ISA 2004 ist auch vorhanden, dient im Moment allerdings nur als Proxy für die Clients, kann und soll aber für die zukünftige Konfiguration auch als 2. interne Firewall eingesetzt werden. Wie baue ich das also im Hinblick auf die Veröffentlichung meines Exchange am besten auf? Ich wollte die PIX weiterhin als externe Firewall nutzen und zwischen dieser und dem ISA eine DMZ einrichten. In dieser DMZ würde ich dann gerne einen Front-End Exchange installieren, der die Mails via SMTP annimmt bzw. versendet und durch den ISA an die Exchange Datenbank weitergibt. Macht das 1. in dieser Konstellation sinn und 2. was muss ich bei der Konfiguration des Backend und Frontend Exchange beachten. Kennt hier jemand ein gutes Tutorial o.ä.? Wie sollte der Front-End dimensioniert sein? Wir haben 25 Mailboxen und täglich ca. 1000 Mails (ein und ausgehende insgesamt.) Vielen Dank für eure Hilfe! Mika Zitieren Link zu diesem Kommentar
Dieter Rauscher 10 Geschrieben 3. März 2008 Melden Teilen Geschrieben 3. März 2008 Hallo Mika, sehr gute Idee, vom poppen zur direkten Zustellung umzusteigen! Danke, dass Du auch die Größenordnung angegeben hast. Willst Du da wirklich soviel Aufwand mit einem Back-to-back-Firewallkonzept anfangen? Lieber eine Firewall, die aber richtig konfiguriert. Ich sehe kein Problem, den SMTP-Port 25 direkt über die PIX zu veröffentlichen. Vergesse aber bitte nicht, Dir Gedanken über Spam-/Virenabwehr zu machen. Von einem richtigen FrontEnd-Server in einer DMZ rate ich ab. Du gewinnst dadurch kaum an Sicherheit. Wenn, dann höchstens ein dummes SMTP-Relay oder noch besser einen Exchange Server 2007 Edge-Transport. Dann kannst Du gleich da nicht-existierende Mailadressen abweisen und eine saubere Spam-/Virenfilterung in Kombination mit Forefront Security für Exchange Server durchführen. Hm, aber bei 1000 Mails pro Tag musst Du überlegen/nachrechnen, ob sich der Aufwand lohnt. Viele Grüße Dieter Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 3. März 2008 Melden Teilen Geschrieben 3. März 2008 Hallo. a) überprüfen, dass der Exchange kein offenes Relay ist (in der Default konfiguration ist er auch das nicht) b) IMF installieren c) Empfängerfilter konfigurieren Ansonsten sehe ich das so wie Dieter. Es gibt tausende Exchange Installation, die ohne FE/BE Konfiguration auskommen, und trotzdem sicher sind. LG Günther Zitieren Link zu diesem Kommentar
Martin0708 10 Geschrieben 3. März 2008 Melden Teilen Geschrieben 3. März 2008 ich habe viele installationen hinter mir bei denen ich direkt über smtp von der firewall auf den exchange zugreifen lasse. wenn du die vorhergesagten regeln umsetzt, sollte das alles kein problem sein. du könntest jedoch einen Viren/Spamfilter-Server vorsetzten, der als erstes auf Spams und Viren prüft und nur die guten Mails dann an den Exchange weitergibt. DMZ, FE/BE würd ich bei der geringen User- bzw. Mailzahl nicht machen. lg martin Zitieren Link zu diesem Kommentar
Martin0708 10 Geschrieben 3. März 2008 Melden Teilen Geschrieben 3. März 2008 Wenn, dann höchstens ein dummes SMTP-Relay oder noch besser einen Exchange Server 2007 Edge-Transport. Dann kannst Du gleich da nicht-existierende Mailadressen abweisen und eine saubere Spam-/Virenfilterung in Kombination mit Forefront Security für Exchange Server durchführen. Hm, aber bei 1000 Mails pro Tag musst Du überlegen/nachrechnen, ob sich der Aufwand lohnt. uupsss, da hab ich wohl nicht genau genug gelesen - wollte keine wiederholung... SORRY Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 3. März 2008 Melden Teilen Geschrieben 3. März 2008 Zum Thema SMTP, Exchange und Pix bitte das hier beachten: http://support.microsoft.com/kb/320027/de Bye Norbert Zitieren Link zu diesem Kommentar
mika_do 10 Geschrieben 3. März 2008 Autor Melden Teilen Geschrieben 3. März 2008 Vielen Dank euch beiden für die schnelle Antwort. Ich habe das FE/BE Konzept gewählt, da ich schon in vielen Foren gehört, dass es nicht ratsam ist, Rechner, welche Mitglied der Domäne sind, im Internet zu veröffentlichen. Weiterhin bin ich, was das angeht relativ perfektionistisch und hab das auch mit Blick auf die Zukunft gesehen. Ich möchte ohnehin, unabhängig von der Exchangeveröffentlichung, den ISA als interne Firewall nutzen um unser WLAN bestmöglich aus dem "internen" Netz zu halten. Das aber nur zum Hintergrund... Also eurer Meinung nach kann ich am Exchange, der ja in unserer Domäne hängt, den Port 25 bedenkenlos öffnen, wenn ich eure Hinweise berücksichtige?! Als Antispam/virus-Lösung verwende ich Trendmicro Messaging Security for Small & Medium Business und bin auch sehr zufrieden damit. Viele Grüße Michael Zitieren Link zu diesem Kommentar
firefox80 10 Geschrieben 3. März 2008 Melden Teilen Geschrieben 3. März 2008 dass es nicht ratsam ist, Rechner, welche Mitglied der Domäne sind, im Internet zu veröffentlichen Beim ISA Server hat man ja die Wahl ob er Domain Member sein soll. Hier gibt es hunderte für und genauso hunderte wider. Hier ist das ganz gut beschrieben: Debunking the Myth that the ISA Firewall Should Not be a Domain Member Front-End macht in deinem Szenario keinen Sinn, vor allem hätte er nichts in der DMZ verloren. Wenn die Infrastruktur aber schon vorhanden ist, würde ich den ISA als interne Firewall und die PIX als externe einsetzen. Zur Veröffentlichung eines Exchange gibts nichts besseres als einen ISA. Wenn die PIX noch Intrusion Prevention Funktionen hat, hast du schon sehr hohe Sicherheit! Je nachdem wieviel Sicherheit/Aufwand zu betreiben möchtest, könntest du dir z.b. noch eine Trendmicro IGSA Appliance in die DMZ stellen. Auf der Cebit präsentiert auch Astaro ein neues Produkt, das als Gateway Filter dienen soll (ASG ohne Firewall quasi). Ich weiß, das ist alles schon recht hoch gegriffen, aber du sagtest ja, dass du perfektionistisch bist ;) LG Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 3. März 2008 Melden Teilen Geschrieben 3. März 2008 Vielen Dank euch beiden für die schnelle Antwort. Ich habe das FE/BE Konzept gewählt, da ich schon in vielen Foren gehört, dass es nicht ratsam ist, Rechner, welche Mitglied der Domäne sind, im Internet zu veröffentlichen. Genau das würdest du aber tun, wenn du einen Frontend in die DMZ stellst. (nicht ganz Internet, aber zuviel) Also eurer Meinung nach kann ich am Exchange, der ja in unserer Domäne hängt, den Port 25 bedenkenlos öffnen, wenn ich eure Hinweise berücksichtige?! Als Antispam/virus-Lösung verwende ich Trendmicro Messaging Security for Small & Medium Business und bin auch sehr zufrieden damit. Also ein richtig konfigurierter IMF ist in meinen Augen besser. Aber das muß jeder selbst entscheiden. Eventuell magst du das hier ja mal lesen: microsoft.public.de.exchange | Google Groups Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.