markus-xm 10 Geschrieben 11. September 2008 Melden Teilen Geschrieben 11. September 2008 Hallo, wir planen unser Mailsystem umzustellen. Derzeit haben wir einen externen Linux Server, aufdem unsere Mailboxen liegen. Unser Exchange ruft diese periodisch per POP3 Connector ab. Bald soll das anders werden: Wir wollen den Exchange Server als externen Mailserver zum Internet nutzen. dazu wollen wir folgende Einstellungen vornehmen: 1. Exchangeserver als MX-REcord unsere Domain eintragen mit der Priorität 10 2. Den Linux Server als Backup MX eintragen mit der Priorität 20 Ich habe leider bisher noch nicht mit mehreren Mailservern, bzw. Mailrecords für eine einzige Domain gearbeitet. Daher möchte ich gerne im Vorfeld ein paar evtl. auf mich zukommende Probleme ausschließen bzw. besprechen: Ich habe das MX Record System so verstanden: MX-Record: Dient der Festlegung eines für eine Domain zuständigen Mailservers. Man kann für eine Domain auch mehrere MX-Records konfigurieren, diese werden dann mit unterschiedlichen Prioritäten erstellt. In diesem Fall kennzeichnet der MX-Record mit der höchsten Priorität den eigentlichen Zielrechner, auf dem sich die Mailboxen befinden. Die anderen MX-Records definieren Backup-Rechner, die ersatzweise verwendet werden können, wenn der eigentliche Zielrechner nicht erreicht werden kann. Diese speichern die E-Mails nur temporär und versuchen periodisch sie an den eigentlichen Zielrechner weiterzuleiten. Müsste also von der Logik her relativ einfach sein: DNS: Exchange = MX 10 xxx.xxx.xxx.xxx meine Domain Linux = MX 20 xxx.xxx.xxx.xxx meine Domain -> Wer hat so eine Lösung schon mal gebaut, wenn ja wie, gabs Probleme ? -> In wieweit müssen die Mailboxen auf dem Exchange auch auf dem Linux vorhanden sein, oder ist dem Linux generell egal, welche Emails er empfängt und leitet diese sowieso nur weiter an den Exchange der dann Schlußendlich entscheidet ob die Mailbox exisitert oder nicht ? Vielen Dank für eure Erfahrungen und euere Meinung. Gruß Markus Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 11. September 2008 Melden Teilen Geschrieben 11. September 2008 Bald soll das anders werden: Wir wollen den Exchange Server als externen Mailserver zum Internet nutzen. dazu wollen wir folgende Einstellungen vornehmen: 1. Exchangeserver als MX-REcord unsere Domain eintragen mit der Priorität 10 2. Den Linux Server als Backup MX eintragen mit der Priorität 20 Wozu soll der Backup denn gut sein? Wenns schlecht konfiguriert wird, fängt man sich damit mehr unnötigen Spam ein als ohne. MX-Record: Dient der Festlegung eines für eine Domain zuständigen Mailservers. Man kann für eine Domain auch mehrere MX-Records konfigurieren, diese werden dann mit unterschiedlichen Prioritäten erstellt. In diesem Fall kennzeichnet der MX-Record mit der höchsten Priorität den eigentlichen Zielrechner, auf dem sich die Mailboxen befinden. Die anderen MX-Records definieren Backup-Rechner, die ersatzweise verwendet werden können, wenn der eigentliche Zielrechner nicht erreicht werden kann. Diese speichern die E-Mails nur temporär und versuchen periodisch sie an den eigentlichen Zielrechner weiterzuleiten.[/code] Ja kommt so in etwa hin. Dummerweise sind Spammer wahrscheinlich die Leute die sich am besten mit dem SMT Protokoll auskennen, dass sie u.a. einfach gleich an den secondary mx zustellen um die meist besser geschützten primary mx zu umgehen. -> Wer hat so eine Lösung schon mal gebaut, wenn ja wie, gabs Probleme ? Ich. Aber im Normalfall fährt man besser wenn man nur noch einen mx hat, oder eben zwei mx die identisch geschützt sind. In wieweit müssen die Mailboxen auf dem Exchange auch auf dem Linux vorhanden sein, oder ist dem Linux generell egal, welche Emails er empfängt und leitet diese sowieso nur weiter an den Exchange der dann Schlußendlich entscheidet ob die Mailbox exisitert oder nicht ? Du hast nur eine Mailbox und die liegt auf dem Exchange. Auf dem Linux darf es keine Postfächer geben, der relayed nämlich nur weiter. ;) Bye Norbert Zitieren Link zu diesem Kommentar
markus-xm 10 Geschrieben 11. September 2008 Autor Melden Teilen Geschrieben 11. September 2008 Hallo, danke für die schnelle Antwort. Dazu habe ich noch ein paar Fragen: 1. Ja kommt so in etwa hin. Dummerweise sind Spammer wahrscheinlich die Leute die sich am besten mit dem SMT Protokoll auskennen, dass sie u.a. einfach gleich an den secondary mx zustellen um die meist besser geschützten primary mx zu umgehen. Wie muss man sich das vorstellen ? Ist es so das wenn eine Mail auf dem Backup MX angenommen wurde, das die dann ohne weitere Prüfung bei der nächsten WEiterleitung an den Exchange übermittelt wird und direkt im Postfach landet? Oder ist es so, das der Backup MX die Mail erst selbst prüft, dann evtl. nicht als SPAM erkennt, zwischenpeichert und später an den Exchange weiterleitet. Der Exchange prüft diese Mail aber nochmal und kann z.b. anhand der Empfängerrichtlinie nochmals SPAM aussortieren. Das wäre also quasi eine Art doppelter Schutz. Kommt es noch durch den Backup kann der Exchange nochmal nachfiltern ? ----------- 2. Ich. Aber im Normalfall fährt man besser wenn man nur noch einen mx hat, oder eben zwei mx die identisch geschützt sind. Wie bekomme ich sichergestellt, das uns keine Emails verloren gehen, obwohl wir nur eine kleines Netzwerk mit einem Server und einem DSL Anschluss mit fester IP sind ? Ist der Exchange down z.b. zwecks Wartung, Neustart nach Update oder ähnlichem, sind die Mails weg ... ? Daher bisher die Lösung mit dem externen Linux root server und dem POP3 Connector zum Abholen. ? ----------- 3. Du hast nur eine Mailbox und die liegt auf dem Exchange. Auf dem Linux darf es keine Postfächer geben, der relayed nämlich nur weiter. - Benötigt der Linux eine besondere Konfiguration dafür ? - Darf der Linux noch Mailboxen von anderen Domains haben, wo der Linux nach wie vor der Haupt MX ist ? - Muss der Linux ein offenes Relay sein ? Gruß Markus Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 11. September 2008 Melden Teilen Geschrieben 11. September 2008 Wie muss man sich das vorstellen ? Ist es so das wenn eine Mail auf dem Backup MX angenommen wurde, das die dann ohne weitere Prüfung bei der nächsten WEiterleitung an den Exchange übermittelt wird und direkt im Postfach landet? Nein. Aber ein paar Checks funktionieren nur bedingt (z.B. RBL, Open Proxy Checks, etc. pp.) Oder ist es so, das der Backup MX die Mail erst selbst prüft, dann evtl. nicht als SPAM erkennt, zwischenpeichert und später an den Exchange weiterleitet. Der Exchange prüft diese Mail aber nochmal und kann z.b. anhand der Empfängerrichtlinie nochmals SPAM aussortieren. Das wäre also quasi eine Art doppelter Schutz. Kommt es noch durch den Backup kann der Exchange nochmal nachfiltern ? Der Exchange kann nachfiltern, hat aber nur noch Mailheader und keine Verbindung zum spammenden System mehr. Das schränkt diverse Spamschutz-Mechanismen ein. Weiters hast du ein Problem durch Backscatter: Der MTA auf der Linux-Maschine wird Mails von Exchange rejected bekommen, und dann versuchen die Bounces zuzustellen. Du musst mindestens die Mail-Adressenliste auf den Linux MTA bekommen. Das ist alles keine Hexerei, aber enorm mühsam und zeitaufwendig. Wie bekomme ich sichergestellt, das uns keine Emails verloren gehen, obwohl wir nur eine kleines Netzwerk mit einem Server und einem DSL Anschluss mit fester IP sind ? Ist der Exchange down z.b. zwecks Wartung, Neustart nach Update oder ähnlichem, sind die Mails weg ... ? Daher bisher die Lösung mit dem externen Linux root server und dem POP3 Connector zum Abholen. ? Der sendende Mailserver kann die Mails selber queuen. Das ist kein Problem. - Benötigt der Linux eine besondere Konfiguration dafür ? - Darf der Linux noch Mailboxen von anderen Domains haben, wo der Linux nach wie vor der Haupt MX ist ? - Muss der Linux ein offenes Relay sein ? Mit Linux hat das ganze eigentlich herzlich wenig zutun - es geht um den MTA der auf dem Linux-System läuft. Ja, du musst Relaying speziell konfigurieren, speziell wenn du es richtig machen willst Ja, natürlich. Nein, auf keinen Fall. Wie kommst du darauf? Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 11. September 2008 Melden Teilen Geschrieben 11. September 2008 Wie muss man sich das vorstellen ? Ist es so das wenn eine Mail auf dem Backup MX angenommen wurde, das die dann ohne weitere Prüfung bei der nächsten WEiterleitung an den Exchange übermittelt wird und direkt im Postfach landet? Normalerweise packt man ja seinen eigenen secondary mx als intermediate host eingetragen wird, damit du eben keine false positives produzierst. Denn was dein secondary mx angenommen hat, gilt für den Absender als zugestellt. Da aber viele admins ihren secondary weniger schützen (können) als den primary, da das Ding oftmals beim Provider steht. Oder ist es so, das der Backup MX die Mail erst selbst prüft, dann evtl. nicht als SPAM erkennt, zwischenpeichert und später an den Exchange weiterleitet. Der Exchange prüft diese Mail aber nochmal und kann z.b. anhand der Empfängerrichtlinie nochmals SPAM aussortieren. Das wäre also quasi eine Art doppelter Schutz. Kommt es noch durch den Backup kann der Exchange nochmal nachfiltern ? Siehe oben. Oft filtert der secondary gar nicht, bzw. wenn überhaupt dann oftmals nur auf Viren. Spam wird oft durchgelassen und landet dann auf deinem Exchange. Den belastest du dann mit der zusätzlichen prüfung und bei Ablehnung belastest du deinen secondary nochmal, da er den NDR erzeugen muß. Wie bekomme ich sichergestellt, das uns keine Emails verloren gehen, obwohl wir nur eine kleines Netzwerk mit einem Server und einem DSL Anschluss mit fester IP sind ? Und? Ist der Exchange down z.b. zwecks Wartung, Neustart nach Update oder ähnlichem, sind die Mails weg ... ? Normalerweise werden Mails mehr als einmal versucht zuzustellen. Ich kenne jedenfalls niemanden der nach dem ersten Versuch bereits einen NDR schickt. Und wenn du sicherstellen kannst, dass du innerhalb einer gewissen Zeit wieder erreichbar bist, stellt das alles kein Problem dar. Die meisten Server versuchen bis zu 48h und länger eine Mail abzuliefern. Daher bisher die Lösung mit dem externen Linux root server und dem POP3 Connector zum Abholen. ? Wenn du mich fragst alles nur Gründe weil man das Prinzip nicht kapiert hat. - Benötigt der Linux eine besondere Konfiguration dafür ? Ja er muß für die Domain relayen dürfen. - Darf der Linux noch Mailboxen von anderen Domains haben, wo der Linux nach wie vor der Haupt MX ist ? Klar. - Muss der Linux ein offenes Relay sein ? Ich kenne keinen Grund, warum irgendwer überhaupt ein open relay sein muß. Bye Norbert Zitieren Link zu diesem Kommentar
Tom250376 10 Geschrieben 12. September 2008 Melden Teilen Geschrieben 12. September 2008 Etwas anderes ist es dann noch, wenn der zweite MX an einer anderen Leitung hängt und somit eine andere IP Adresse hat, um zum Beispiel einen Leitungsausfall abfedern zu können. Es stimmt zwar, dass der sendende meist bis zu 48 stunden versucht, die mails los zu werden, aber man kennt ja die Provider. Wenn der berühmte Bagger das kabel zerbeisst, sind es vielleicht auch mal mehr. Ausserdem gibt es dann noch die Problematik mit Reverse-Lookup, den viele (große) Firmen benutzen. Für die beiden Fälle ist Deine anfangs beschriebene einstellung mit zwei MX richtig Zitieren Link zu diesem Kommentar
DAUjones 10 Geschrieben 12. September 2008 Melden Teilen Geschrieben 12. September 2008 Man könnte auch einfach sagen, diese Konfiguration mit dem externen Server ist reichlich überkompliziert für kleine Netze. Bei fachlich sauberer Einrichtung kann man ruhig seinen Exchange "direkt" (hinter Firewall) an einem gewöhnlichen DSL-Anschluß betreiben. Die Wahrscheinlichkeit, dass Mails verloren gehen ist dadurch auch nicht höher als mit exotischeren Lösungen. Eher im Gegenteil. Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 12. September 2008 Melden Teilen Geschrieben 12. September 2008 Etwas anderes ist es dann noch, wenn der zweite MX an einer anderen Leitung hängt und somit eine andere IP Adresse hat, um zum Beispiel einen Leitungsausfall abfedern zu können. Es stimmt zwar, dass der sendende meist bis zu 48 stunden versucht, die mails los zu werden, aber man kennt ja die Provider. Wenn der berühmte Bagger das kabel zerbeisst, sind es vielleicht auch mal mehr. Jaja. Ausserdem gibt es dann noch die Problematik mit Reverse-Lookup, den viele (große) Firmen benutzen.Für die beiden Fälle ist Deine anfangs beschriebene einstellung mit zwei MX richtig Was hat der Reverse Lookup mit einer Konfiguration von ein oder zwei mx zu tun? Beide müssen natürlich korrekt konfiguriert sein. Bye Norbert Zitieren Link zu diesem Kommentar
markus-xm 10 Geschrieben 13. September 2008 Autor Melden Teilen Geschrieben 13. September 2008 Hallo, ich möchte mich nochmal für die zahlreichen Infos und Anregungen bedanken. Wir haben die Umstellung nun erfolgreich durchgeführt und vorerst nur einen MX Eintrag gewählt. Mails die während eines Restart oder Shutdown nicht ankamen wurden wie beschrieben kurz nach dem Neustart des Servers zugestellt. Gruß Markus Zitieren Link zu diesem Kommentar
markus-xm 10 Geschrieben 17. September 2008 Autor Melden Teilen Geschrieben 17. September 2008 Hallo, nun nachdem der Server ein paar Tage umgestellt ist ergibt sich ein kleines Problem: Wenn man im Outlook eines Clientrechners den Abwesenheitsassistenen einschaltet, Regeln definiert z.b. Jede ankommende Mail ... Dann passiert leider nichts. Weder werden die ankommenden Mails an einen Vertreter weitergeleitet noch bekommt der Absender eine Abwesenheitsnotiz ... "Ich bin im urlaub von bis". Woran kann das liegen, wie kann ich das Problem am ehesten finden und eingrenzen ? Gruß Markus Zitieren Link zu diesem Kommentar
Tom250376 10 Geschrieben 17. September 2008 Melden Teilen Geschrieben 17. September 2008 was genau hab t ihr denn jetzt umgestellt. nur den ex näher ans internet gestellt? hat das vorher funktioniert? Zitieren Link zu diesem Kommentar
markus-xm 10 Geschrieben 17. September 2008 Autor Melden Teilen Geschrieben 17. September 2008 Hallo, vorher haben wir diese Funktionen nicht genutzt, Wir hatten Autoresponder auf dem alten Linux Mailserver per Weboberfläche eingerichtet. Jetzt wo der Exchange ja direkt am Netz ist und auch ordentlich empfängt und sendet per smtp-Connector, da wollen wir den Outlook internen Abwesenheitsassistenten nutzen. Gruß Markus Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 17. September 2008 Melden Teilen Geschrieben 17. September 2008 Du musst dem Exchange erlauben das er Abwesenheitsnachrichten ausserhalb der Organisation versenden darf. Findest du unter Organization Configuration / Remote Domains / Default. Zitieren Link zu diesem Kommentar
markus-xm 10 Geschrieben 17. September 2008 Autor Melden Teilen Geschrieben 17. September 2008 Hallo Lukas, wo genau finde ich diese Einstellung ? Im Systems Manager oder wo ? Gruß Markus Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 17. September 2008 Melden Teilen Geschrieben 17. September 2008 Hallo Lukas, wo genau finde ich diese Einstellung ? Im Systems Manager oder wo ? Gruß Markus Suchen? ;) How to enable out-of-office reply messages to the Internet Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.