firsttime 10 Geschrieben 13. Februar 2009 Melden Teilen Geschrieben 13. Februar 2009 Hallo zusammen, ein ISA Server 2004 ist als SMTP relay (nicht offen) eingerichtet. Nun wird zur Zeit recht viel NDR-Spam (1000/Tag) in den Badmail Ordner geschoben, welcher regelmäßig manuell gelöscht wird. Unter Exchange 2003 und SP1 kann man alle Mails, die in den Badmail Ordner kommen würden, direkt löschen. Auch gibt es die Option gegen das AD die eMails zu verifizieren auf dme ISA 2004 nicht. Was kann ich auf eine ISA bezüglich Badmail tun? Bringt irgendein SP ggf die Option mit dem SMPT Virtual Server ähnlich dem auf dem Exchange zu behandeln? Oder kann ich den SMTP Filter des ISA so granular einstellen das legitimer NDR Spam nicht gefiltert wird? Gruss Zitieren Link zu diesem Kommentar
NorbertFe 2.064 Geschrieben 13. Februar 2009 Melden Teilen Geschrieben 13. Februar 2009 Hallo zusammen, ein ISA Server 2004 ist als SMTP relay (nicht offen) eingerichtet. Nun wird zur Zeit recht viel NDR-Spam (1000/Tag) in den Badmail Ordner geschoben, welcher regelmäßig manuell gelöscht wird. Unter Exchange 2003 und SP1 kann man alle Mails, die in den Badmail Ordner kommen würden, direkt löschen. Auch gibt es die Option gegen das AD die eMails zu verifizieren auf dme ISA 2004 nicht. Was kann ich auf eine ISA bezüglich Badmail tun? Bringt irgendein SP ggf die Option mit dem SMPT Virtual Server ähnlich dem auf dem Exchange zu behandeln? Oder kann ich den SMTP Filter des ISA so granular einstellen das legitimer NDR Spam nicht gefiltert wird? Gruss Der SMTP Screener bzw. die Verwendung vom ISA als SMTP Relay ist ziemlich sinnfrei. Wie du schon feststellst, sind bestimmte (heutige) Standardfunktionen nicht verfügbar. Insofern würde ich mir an deiner Stelle überlegen dieses Konstrukt aufzulösen und die Mails direkt an den Exchange zustellen zu lassen. In dem Zuge kannst du auch gleich noch das SP2 für Exchange 2003 installieren, was seit Jahren verfügbar ist. Bye Norbert Zitieren Link zu diesem Kommentar
firsttime 10 Geschrieben 13. Februar 2009 Autor Melden Teilen Geschrieben 13. Februar 2009 IMHO ist es schon sinnvoll bezüglich Mail Verkehr eine WAN-LAN Kopplung zu meiden. Ob man nun den SMTP Dienst des IIS einsetzt, ist eine andere Frage. Da der ISA aber das "DMZ- Kopplungsdevice" in dieser Konstellation ist, macht es schon Sinn diesen aus Kostengründen/Konfigurationsaufwand/Sicherheitsgründen zu nutzen. Welche Add-Ons, 3rdParty Software oder whatever geben den von der Funktion mehr her als der SMTP Dienst und können als Frontend genutzt werden und auf dem ISA den IIS SMTP-Dienst ersetzen? Was sind da gängige Konstellationen? Mfg Zitieren Link zu diesem Kommentar
NorbertFe 2.064 Geschrieben 13. Februar 2009 Melden Teilen Geschrieben 13. Februar 2009 IMHO ist es schon sinnvoll bezüglich Mail Verkehr eine WAN-LAN Kopplung zu meiden. Ja. Ob man nun den SMTP Dienst des IIS einsetzt, ist eine andere Frage. Der ISA hat letztendlich garnichts damit zu tun ausser das dieser einen SMTP Filter nutzt. Da er aber das "DMZ- Kopplungsdevice" in dieser Konstellation ist, warum nicht. Die Frage hab ich dir schon beantwortet. Du bekommst mehr Stress dadurch, dass du mehr Spam erhältst als dir der SMTP Screener des ISA Servers Nutzen bringt. Ist wie immer eine Abwägung zwischen Vor- und Nachteilen. In deiner Situation sehe ich mehr Nachteile als Vorteile. Welche Add-Ons, 3rdParty Software oder whatever geben den von der Funktion mehr her als der SMTP Dienst und können als Frontend genutzt werden und auf dem ISA den IIS SMTP-Dienst ersetzen? Was sind da gängige Konstellationen? Wenn du unbedingt trennen wilst, schraub eine weitere Netzwerkkarte in deinen ISA an die hängst du ein SMTP Relay (je nach Größenordnung Mails/User usw.) und filterst dort korrekt. Bei mir steht in der DMZ bspw. ein Windows 2003 Server der die Mails mit dem IIS und zusätzlichem Plugin (High level spam protection for Microsoft Windows IIS SMTP Service and Microsoft Exchange Server platforms from Vamsoft) annimmt und sich mittels AD Connect die Empfängerprüfung durchführt. Effekt: Erstens eine Kopplung extern-intern ist nicht vorhanden und Spam nahe null. Der ISA der daran beteiligt ist hat nix zu tun, weil der SMTP Screener eh sinnlos ist. Aber das ist meine Ansicht. Und scheinbar hat MS das geteilt, denn die haben ihn in 2006 erstmal wieder ausgebaut ;) "SMTP Message Screener SMTP Message Screener is not supported by ISA Server 2006" Upgrade Guide for ISA Server 2006 Standard Edition Bye Norbert Zitieren Link zu diesem Kommentar
firsttime 10 Geschrieben 13. Februar 2009 Autor Melden Teilen Geschrieben 13. Februar 2009 Danke für die Tipps...! Ich werde mir mal das Plugin von Vamsoft anschauen... Spricht irgendetwas dagegen das Plugin auf den ISA direkt aufzuspielen mit dem IIS SMTP Service, ausser das eine Kopplung viel sauberer ist? Aber leider sprechen die Faktoren Platz und Kosten gegen eine zusätzliche Hardware.. ;-) Zitieren Link zu diesem Kommentar
NorbertFe 2.064 Geschrieben 13. Februar 2009 Melden Teilen Geschrieben 13. Februar 2009 Danke für die Tipps...! Ich werde mir mal das Plugin von Vamsoft anschauen... Spricht irgendetwas dagegen das Plugin auf den ISA direkt aufzuspielen mit dem IIS SMTP Service, ausser das eine Kopplung viel sauberer ist? Aber leider sprechen die Faktoren Platz und Kosten gegen eine zusätzliche Hardware.. ;-) Virtualisierung ist auch kein Fremdwort mehr, oder? ;) Abgesehen davon, ich kenne deine Umgebung nicht, aber smtp sehe ich derzeit eher unkritisch bei den meisten Kunden bei denen nur ein Mailserver in überschaubarer Größenordnung existiert ;) Gegen die Installation auf dem ISA spricht für mich einfach die Tatsache, dass das eine Firewall ist. Da wird nix installiert. Zusätzlich verkompliziert dein Konstrukt sicher auch die Firewallregeln. Aber nach einem Test kannst du ja mal berichten. Bye Norbert Zitieren Link zu diesem Kommentar
firsttime 10 Geschrieben 13. Februar 2009 Autor Melden Teilen Geschrieben 13. Februar 2009 Wie du schon geschrieben hast, du kennst die Umgebung nicht. Von daher war der Einwand Virtualisierung in dieser Form unpassend.. ;-) Und ISA IMHO ungleich FW... Eine "richtige" Firewall hat kein OS dieser Art als Basis. Aber das ist wieder eine anderes Thema. Wie schon geschrieben, Danke für die Tipps. Mal schauen was sich umsetzen lässt. Zitieren Link zu diesem Kommentar
NorbertFe 2.064 Geschrieben 13. Februar 2009 Melden Teilen Geschrieben 13. Februar 2009 Wie du schon geschrieben hast, du kennst die Umgebung nicht. Von daher war der Einwand Virtualisierung in dieser Form unpassend.. ;-) Richtig, also was genau erwartest du als Antwort? Ohne Infos ist das nunmal Gestochere. Und ISA IMHO ungleich FW... Eine "richtige" Firewall hat kein OS dieser Art als Basis. Jaja. Aber dazu müssen wir uns nicht wirklich unterhalten. Wobei mich jetzt interessiert, was für dich dann in deiner Umgebung eine "richtige" Firewall darstellt. Wie schon geschrieben, Danke für die Tipps. Mal schauen was sich umsetzen lässt. NP. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.