Exchange DNS Name

[jogu 10]

Hallo

 

Ich habe ein Verständnis-Problem in Bezug auf Exch-DNS.

 

Situation:

Wir haben einen Exchange 2003 im Einsatz. (ca. 100 Benutzer)

 

Maildomäne:

firmaxy.de

 

Mailverkehr-ZIEL:

Eingehend:

WEB ---> (1)Outsourced SPAM/ANTIVIRUS Scanner ---> Exchange2003srv

Eingehende Mails werden via outsourced spam/antivirus Scanner

empfangen, geprüft und an unseren Mailserver weitergeleitet.

(outsourced = ein Anbieter übernimmt dies)

 

 

Ausgehend:

Exchange2003srv ---> (2)Outsourced SMARTHOST ---> WEB

Wir möchten Mails nicht direkt senden, sondern über einen

definierten Smarthost vom Provider.

(Security Gründen)

 

MX Records:

MX Record zeigt auf den (1).

mail.firmaxy.de

 

Weiteres:

- Interne Domäne heisst nicht gleich wie externe Domäne

Intern= meinefirmaxy.local

Extern= firmaxy.de

 

 

 

Nun:

Wir möchten nun den ausgehende Kanal (Smarthost) konfigurieren.

 

1.) funktioniert das überhaupt?

2.) wie sollte das DNS technisch umgesetzt werden?

3.) kann ich das so konfigurieren, dass der Mailserver

unter einem anderen Namen versendet und so entsprechend

von aussen auch auflösbar ist?

(statt exchangesrv.meinefirma.local den Eintrag auf

mail.firmaxy.de ändern)

 

 

Danke für die Hilfe

 

Jogu

[Renator 10]

Wenn du eine feste IP Adresse hast, dann kannst du bei deinem Provider einen rDNS Eintrag erstellen lassen, so dass deine feste IP auf mailserver.domäne.de weißt.

 

Nun richtest du noch einen MX-Eintrag bei deiner Domäne mit deiner festen IP Adresse an und fertig. Der MX Eintrag muss allerdings eine niedrigere Priorität haben als dein externer Anbieter mit dem Antivirus.

[NorbertFe 2.032]

Wenn du eine feste IP Adresse hast, dann kannst du bei deinem Provider einen rDNS Eintrag erstellen lassen, so dass deine feste IP auf mailserver.domäne.de weißt.

 

Nun richtest du noch einen MX-Eintrag bei deiner Domäne mit deiner festen IP Adresse an und fertig. Der MX Eintrag muss allerdings eine niedrigere Priorität haben als dein externer Anbieter mit dem Antivirus.

 

Und was hat er davon? wenn der eigene MX eine niedrigere prio hat, dann wird per default alles an diesen Host geschickt und würde dann nicht vom Scanner erfaßt werden.

 

So recht verstehe ich den OP aber auch nicht. Du schreibst, dass du bereits über einen Smarthost versendest. Dann ist dein Problem doch aber schon gelöst. Kannst du eventuell noch ein paar mehr Infos geben, wo dein Problem derzeit ist?

 

Bye

Norbert

[Renator 10]

Ach herrje... niedrigere Prio = Höherer Wert? Das war da doch vertauscht. Sry.

 

Meinte es natürlich so, dass ankommende Mails an den externen gehen.

 

Wobei du schon Recht hast: Wo ist der Sinn wenn du über einen Smarthost sendest? Dann hast eigentlich wenig Probleme...

[GuentherH 61]

Hallo.

 

Wir möchten nun den ausgehende Kanal (Smarthost) konfigurieren.

 

Siehe - : www.SBSPraxis.de, Konfigurieren des SMTP-Connectors in Exchange für Verbindung zu Internetdomänen :

 

2.) wie sollte das DNS technisch umgesetzt werden?

 

Wenn du über einen Smart Host versendest, spielt der DNS für dich keine Rolle. Alle notwendigen DNS Konfigurationen muss/hat der externe Dienstleister bereits durchgeführt haben

 

3.) kann ich das so konfigurieren, dass der Mailserver

unter einem anderen Namen versendet

 

ESM - Eigenschaften des virtuellen Standardserver für SMTP -> Register Übermittlung -> Erweitert -> und hier den FQDN des Mailserver eintragen

 

und so entsprechend

von aussen auch auflösbar ist?

 

Was soll das bringen. Mails dürfen ausschließlich bei deinem externen Dienstleister landen.

 

Ansonsten wie Norbert schon schrieb, mehr Infos und was willst du sonst noch bezwecken.

 

LG Günther

[NorbertFe 2.032]

Ach herrje... niedrigere Prio = Höherer Wert? Das war da doch vertauscht. Sry.

 

Ändert aber nix, da du als secondary dann immer den Spam direkt bekommen würdest. Spammer sind ja nicht doof und senden oft einfach gleich an den secondary.

 

Bye

Norbert

[jogu 10]

hallo

 

danke für die vielen antworten.

 

Wir senden zur Zeit nicht über einen Smarthost, möchten

dies aber in zukunft. (angeblich sicherer)

 

Aus diesem Grund stellt sich mir die Frage,

wie ich entsprechende DNS Einträge (reverse)

richtig konfiguriere.

 

Noch zu wissen:

- Wir hosten die DNS Zonen für unsere Domain selber.

In einer DMZ - DNS Server

 

 

Sofern ich das von Euren Antworten ableiten kann,

würde das folgendes bedeuten:

 

1.) auf dem externen Domain DNS einen Reverse DNS Eintrag setzen.

(z.b. mail.firmaxy.de), dieser muss also zum Smarthost zeigen.

 

2.) der Smarthost muss entsprechend mit dem Namen mail.firmaxy.de

die Mails versenden.

 

==> So sollte der Empfänger dann auch meinen Server, sprich Smarthost,

korrekt Rückverfolgen können und entsprechend den Sendeort verifizieren können.

 

 

Was von dem stimmt, was nicht?

Was müsste ich ändern?

Dreh ich mich im Kreis?

Ist es gar nicht notwendig dass der Empfangsserver

den Sendeserver verifizieren kann - oder passiert das

ausschliesslich über die MX Einträge? ... dann hätt ich ja ein weiteres Problem ...

 

Dankeschön.

 

 

 

ps:

Wie sollte eigentlich mit NDR's umgegangen werden?

Aktiviert, Deaktiviert - speziell konfiguriert?

[NorbertFe 2.032]

Wir senden zur Zeit nicht über einen Smarthost, möchten

dies aber in zukunft. (angeblich sicherer)

 

Euren eigenen Smarthost, oder einen beim Provider? Angeblich sicherer? Mit welcher Begründung?

 

Aus diesem Grund stellt sich mir die Frage,

wie ich entsprechende DNS Einträge (reverse)

richtig konfiguriere.

 

Wenn der Smarthost beim Provider liegt, sind deine DNS Einträge völlig wurscht ;)

 

Noch zu wissen:

- Wir hosten die DNS Zonen für unsere Domain selber.

In einer DMZ - DNS Server

 

Dann ist es doch einfach. :)

 

 

2.) der Smarthost muss entsprechend mit dem Namen mail.firmaxy.de

die Mails versenden.

 

Jupp. Wobei eigentlich nur wichtig ist, dass forward und reverse gleichlautend sind.

 

==> So sollte der Empfänger dann auch meinen Server, sprich Smarthost,

korrekt Rückverfolgen können und entsprechend den Sendeort verifizieren können.

 

SPF kannst du noch setzen.

 

Ist es gar nicht notwendig dass der Empfangsserver

den Sendeserver verifizieren kann - oder passiert das

 

Kommt drauf an, was du unter verifizieren verstehst. ;)

 

ausschliesslich über die MX Einträge?

 

Der MX ist nur für den Empfang. Eine Filterung auf mx == Sendende IP/Host ist nicht RFC konform.

 

ps:

Wie sollte eigentlich mit NDR's umgegangen werden?

Aktiviert, Deaktiviert - speziell konfiguriert?

 

Kommt drauf an, ob du RFC konform sein willst. Dann mußt du NDRs aktiviert lassen. Wo siehst du Probleme?

 

Bye

Norbert

[jogu 10]

Hallo

 

 

Euren eigenen Smarthost, oder einen beim Provider? Angeblich sicherer? Mit welcher Begründung?

Wir senden heute direkt. Angeblich wäre es

sicherer über einen Smarthost.

Sicherer in Bezug auf Zugriff und Erkennung von Aussen.

(evtl. weisst kannst du mir mehr darüber erzählen)

 

 

Jupp. Wobei eigentlich nur wichtig ist, dass forward und reverse gleichlautend sind.

Eben, dementsprechend kann ich

diese Einträge für den "Smarthost"

auf unserem externen DNS hinzufügen und somit sollte die DNS

Angelegenheit erledigt sein, odeR?

 

 

SPF kannst du noch setzen.

Guter Tip, Danke.

 

 

Kommt drauf an, was du unter verifizieren verstehst. ;)

Verifizieren mein ich;

Empfänger stellt sicher, dass der Absender

auch wirklich der Sender ist. (Spam, etc.)

(wäre ja dann durch die DNS erledigt, oder?)

Möchte natürlich verhindern, dass unsere Mails

wegen solchen nicht verifizierbaren Umständen nicht angenommen werden.

 

 

Der MX ist nur für den Empfang. Eine Filterung auf mx == Sendende IP/Host ist nicht RFC konform.

Alles klar, Danke.

 

 

Kommt drauf an, ob du RFC konform sein willst. Dann mußt du NDRs aktiviert lassen. Wo siehst du Probleme?

Aktivieren lassen möchte ich diese ja auch.

(Spam probleme haben wir sowieso keine)

NDR - sende ich eine Mail an unseren MSX mit nicht

vorhandener E-Mail, erhalte ich die IP-Adresse des Exchangeservers

in der NDR - 192.168.1.x .

Denke das ist nicht sonderlich schlau, oder doch egal?

 

 

Danke!

[NorbertFe 2.032]

Wir senden heute direkt.

 

Wenn du mich fragst, würde ich es so lassen.

 

Angeblich wäre es

sicherer über einen Smarthost.

Sicherer in Bezug auf Zugriff und Erkennung von Aussen.

(evtl. weisst kannst du mir mehr darüber erzählen)

 

Wenn ich schon "angeblich" höre, dann würde ich das nicht so ernst nehmen. Entweder es kann einer sicherheitstechnisch begründen, oder nicht. Aber paranoide Aussagen ohne Basis sind an der Stelle fehl am Platz.

 

 

Eben, dementsprechend kann ich

diese Einträge für den "Smarthost"

auf unserem externen DNS hinzufügen und somit sollte die DNS

Angelegenheit erledigt sein, odeR?

 

Du kannst für deinen Provider keine DNS Einträge setzen. Wozu auch? Natürlich kannst du dem Host in deiner Zone einen Namen geben, der interessiert nur niemanden.

 

Verifizieren mein ich;

Empfänger stellt sicher, dass der Absender

auch wirklich der Sender ist. (Spam, etc.)

 

Das geht nur per SPF, SenderID und ähnlichen Verfahren. Jedenfalls nicht per Reverse DNS oder so.

 

Möchte natürlich verhindern, dass unsere Mails

wegen solchen nicht verifizierbaren Umständen nicht angenommen werden.

 

Hmm verständlich, nur will mir nicht in den Kopf, wozu ich da einen Provider für brauche? ;)

 

Aktivieren lassen möchte ich diese ja auch.

(Spam probleme haben wir sowieso keine)

NDR - sende ich eine Mail an unseren MSX mit nicht

vorhandener E-Mail, erhalte ich die IP-Adresse des Exchangeservers

in der NDR - 192.168.1.x .

Denke das ist nicht sonderlich schlau, oder doch egal?

 

Ein Problem ist es aber auch nicht, oder? ;)

 

Bye

Norbert

 

Danke!