SMTP-Gateway testen / Dedizierter Send-Connector für Test-Domäne

[Maraun 12]

Hallo zusammen,

 

wir nutzen ein SMTP-Gateway in der DMZ, dahinter eine Exchange 2010 Farm.
Alles wird von extern zuerst an das Gateway und dann an die Exchange-Farm geroutet und von intern anders herum.

Jetzt würde ich gerne die SMTP-Appliance (SPAM- und Mail-Gateway) tauschen und als ersten Test eine alternative Appliance parallel installieren.

Ein erstes Ziel wäre mal, das Routing so zu konfigurieren, dass von einer bestimmten Mailadresse Mails über die Test-Appliance raus- und reingeroutet werden können.

Kann mir jemand schreiben, was ich alles zu beachten habe?

Was ich bisher gemacht habe:
Die Test-Appliance ist installiert und befindet sich in der DMZ mit passender IP.

Ein zusätzlicher Hoster-DNS Eintrag für die öffentliche IP ist beantragt.
Auf dem HUb-Transport Exchange habe ich eine neue Testdomäne als Accepted Domain (Authoritive Domain) konfiguriert.
Im DNS eine zusätzliche Zone (Testdomäne) angelegt. Bei einem Benutzer die Mailadresse auf die Testdomäne angepasst.
Einen neuen Send-Connector erstellt (Adress-Space ist die Testdomäne, Bei Route Mail through Smart Host habe ich die IP des Test-Gateways eingetragen, Source Server bleiben die HUB-Transport Server).
Solange der Hoster-Eintrag der öffentlichen IP noch nicht erledigt ist, könnte ich doch theoretisch zumindest ausgehende Mails testen, oder?
Funktioniert das so, wie von mir angedacht? Ich habe gelesen (Configure a dedicated Send Connector for a specific Domain), dass der Send-Connector nur mit Empfängerrixchtlinien, nicht aber mit Senderrichtlinien funktioniert. dazu wäre ein 3d Party Tool notwendig.

 

Vielen Dank für Antworten und Hilfe.

 

Grüße

Alex

[NorbertFe 2.041]

Das geht nicht. Rein geht's nicht, weil du dazu ja eine eigene SMTP Domain benötigst, die nur auf die neue Appliance zeigen würde, und raus geht's nicht, weil Exchange kein Sender Based Routing kann.

 

Bye

Norbert

[Maraun 12]

Danke für die Antwort.
 

Okay, das heißt, ich benötige ein 3d Party Tool wie zum Beispiel dieses hier um es zu realisieren?

http://www.servolutions.com/multisendcon.htm

Ist dann die einzige Möglichkeit, das jetztige Mail-Gateway durch das neue /Test) Gateway zu ersetzen?
 

Grüße

Alex

[NorbertFe 2.041]

Ich würde einfach das neue Relay vor das alte schalten und schauen was durchkommt. ;)

[Maraun 12]

Norbert:

Und wenn ich eine Subdomain erstelle und den MX-Record beantrage?
Soltle doch auch gehen, dann kann ich das Routing anpassen und habe eine saubere Trennung der Appliances.

Wie sollte dann die Konfig aussehen?

 

Viele Grüße

Alex

[NorbertFe 2.041]

Ja aber nur eingehend, wobei das zur spamfilterung ja ausreicht.

[Maraun 12]

So, mal kurz meine bisherige Lösung:
Das neue Secure Mail Gateway wird als vorgeschalteter Relay Spams abwehren und TLS regeln.
Allerdings benötige ich noch ein öffentliches SSL Zertifikat.

Das kann ich ja per openssl vorbereiten um den privaten Schlüssel zu erstellen.

Hat mir da jemand ein Tutorial?

 

Danke und Gruß

Alex

[NorbertFe 2.041]

Für TLS braucht man nicht zwingend ein öffentliches Zertifikat. Wenn das so wäre, würde kaum einer TLS verwenden. ;) Wenn du schon weißt, dass du das mit OpenSSL machen kannst, kannst du doch sicher auch ein Tutorial selber ergooglen. ;)

 

Die meisten Appliances haben doch die Option ein selfsigned Zertifikat zu nutzen.

 

Bye

Norbert

[Maraun 12]

Wie wird denn sonst das Zertifikat von fremden Servern akzeptiert?

Angenommen, ich erstelle das Cert selfsigned auf der Appliance (was geht), dann fragt jeder andere kommunizierende Server bei mir selber die Echtheit ab?

 

Gruß

Alex

bearbeitet 14. Februar 2014 von Maraun

[NorbertFe 2.041]

Als nicht vertrauenswürdig. Aber es wird immerhin verschlüsselt, was immer noch besser ist als anonym und auch noch unverschlüsselt. Wenn du gegenseitiges Vertrauen haben willst, wirst du sehr wenige Empfänger haben in nächster Zeit, es es sei denn du pflegst das alles manuell ein. ;)

 

Bye

Norbert