mcdaniels 33 Geschrieben 24. August 2005 Melden Teilen Geschrieben 24. August 2005 Hi Leute! Nachdem ich das Board zur Zeit nur zum Fragen verwende, mache ich gleich mal damit weiter ;) Ich muß unser gesamtes Netzwerk bezogen auf den Internetzugang / Mailserver / SMTP Virenscanner umstellen. (Deswegen kam von mir in nem andren Post ne FRage nach nem guten Firewall/Router). Momentan läuft alles! auf einem Rechner (Winnt 4... SP6a, Proxy 2, Mailsrv, Mailwall.. ) Ich will dass 1 Server die Webpage und die Mails managed und ein separater Server für das Scannen der Mails verantwortlich ist. Router interne IP: 10.0.0.1 Web/Mailserverip 10.0.0.2 Mailscanner 10.0.0.3 Router externe IP: 62.218.1.1 Gesehen vom Internet aus müßte die Konfiguration so aussehen: Anfrage kommt auf port 80 extern -> Router routet auf 10.0.0.2 Port 80 Anfrage kommt auf port 25 extern -> Router routet auf 10.0.0.3 Port 25 --> Die Email wird gescannt --> Mail wird weitergegeben (Relay für lokale Domäne) auf --> Mailserver : Port 25 Das wärs mal von extern (Wenn die Server im Lan und nicht an der DMZ hängen... hm sollte man ja nicht machen...) Wie is jetzt aber wenn ein Client ein Mail schickt? Client Port 25 --> gibt an den lokalen Mailserver Port 25 weiter (auf dem Mailserverläuft Mercur -> von Atrium-software)? --> und jetzt is die Frage wie ich von hier zum Mailscanner komm. ..oder muß ich das evtl so machen, dass ich als ausgehender Mailserver die ip meines Mailscanners angebe (Der dann entscheidet obs lokal ist und entsprechend wieder auf den internen Mailserver schickt - per Relay bzw ob die Mail nach extern geht und macht nen MX Lookup über den DNS meines Providers??) Hm langer Text , ob das wer liest ?ggg Hm langer Text und einige knifflige Fragen... Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 24. August 2005 Melden Teilen Geschrieben 24. August 2005 Wie is jetzt aber wenn ein Client ein Mail schickt? ..oder muß ich das evtl so machen, dass ich als ausgehender Mailserver die ip meines Mailscanners angebe Langer (aber gut erklärter!) Text, kurze Antwort: Clients zum Mailserver (port 25), der zum Mail-Scan-Server, der raus. Der Mail-Server muss immer als Absender in der Mail drinstehen, daher zuerst zu ihm. Im Scanner gibt es (so kenne ich es) eine Konfig für das Relaying eingehender/ausgehender Mails. Für ausgehende Mails trägst du als erlaubten Server den Mailserver ein, dann sollte es funzen. Grüße Olaf Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 25. August 2005 Autor Melden Teilen Geschrieben 25. August 2005 Hi Olaf! Ja also doch den Mailserver als Eintrag beim Client. Hab da irgendwie nen Denkfehler... Angenommen alles läuft über Port 25 Client -> sendet -> Mailserver (dann muss es hier in der Mailserversoftware ja ne Option geben, dass er Mails an den Mailscanner , also auf nen andren Rechner weitergibt... oder? ) --> der Mailscanner macht dann den Scan - wenns ne Mail an die lokale Domäne is gibt er sie wieder an den Mailserver retour -> sonst gehts über DNS "raus" Beim Mailscanner (Webshield SMTP) hab ich die Möglichkeit das incoming Port zu definieren und das Outgoing Port... theoretisch müssen dann da beide auf 25 bleiben... Incoming Port bekommt dann entweder vom Internet ne Anfrage oder aber vom internen Mailserver... und Outgoing Port schickt dann auf 25 ins Internet... Bekomm ich dann nicht einen Mailloop zusammen... wenn der Mailscanner incoming und outgoing auf 25 hat, oder kann er das unterscheiden, meinst du? Hm da wirst du die Software wahrscheinlich ned kennen und nur mutmaßen können ;) @olaf Welche Mailscanner setzt du ein? Vielleicht gibts da was flexibleres wie Webshield... Vielen Dank nochmal an Olaf!!! Zitieren Link zu diesem Kommentar
dippas 10 Geschrieben 25. August 2005 Melden Teilen Geschrieben 25. August 2005 Moin, also der Trick ist vereinfacht gesagt eigendlich nur folgender: 1. der gesamte Mailverkehr (egal intern/extern) läuft aussschließlich über Port 25. Dieser ist natürlich an den relevanten Stellen freizugeben. 2. Die Clients sind ausschließlich mit dem internen Mailserver verbunden 3. Der interne Mailserver hat irgendwo in der Konfiguration stehen, das jeder Mailverkehr nach Extern an einen anderen Mailserver relayed wird (unter Exchange heisst die Angabe "Smarthost"). Ein guter Mailserver behält den internen Mailverkehr bei sich und sendet diesen nicht an den Smarthost (in diesem Fall Dein Mailscanner). 4. Der Mailscanner ist so konfiguriert, dass er nur für deine Domäne Mails von Extern annimmt und nur den internen Mailserver relayen lässt. Was passiert? Den Mailweg von extern hast Du selber hübsch beschrieben, erspare ich mir. Den Mailweg von intern beschreibe ich dann so: Client -> Mailserv intern -> Weiterleitung an Smarthost (Mailscanner) -> raus ins Internet. Frage: Warum nicht den internen Mailserver die Mails direkt ins Internet schicken lassen? Antwort: Weil dann der Mailscanner die Chance bekommt auch den nach draußen gehenden Mailverkehr zu scannen (ist wichtig, da sich intern vielleicht etwas verselbstständigt ;) ) und weil Du einen MX-Eintrag haben wirst, der an eine bestimme IP gekoppelt ist, an der schon der Mailscanner hängt. grüße dippas Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 25. August 2005 Autor Melden Teilen Geschrieben 25. August 2005 Hi Dippas! Thx für die lange Beschreibung ;) Frage: Warum nicht den internen Mailserver die Mails direkt ins Internet schicken lassen? Antwort: Weil dann der Mailscanner die Chance bekommt auch den nach draußen gehenden Mailverkehr zu scannen (ist wichtig, da sich intern vielleicht etwas verselbstständigt ) und weil Du einen MX-Eintrag haben wirst, der an eine bestimme IP gekoppelt ist, an der schon der Mailscanner hängt Das der Mailscanner die Mails vorher abchecken muß bevor sie von intern nach extern rausgehen ist mir sowieso wichtig. U.a. wegen der von dir beschriebenen Gründe... Hat ja auch uU rechtliche Relevanz wenn man als Virenschleuder dient... *smile* Grundsätzlich haben wir ne fixe IP (die dann wie von dir angesprochen mit dem MX Eintrag gekoppelt ist...ja) das ganze wird halt dann später (wenn ich denn nun mal zum Umstellen komme... über einen Router laufen...) Das ändert aber natürlich grundsätzlich nix am Mailserver / Mailscanner / Mailclientschema Werd mal versuchen das mit einer Testumgebung zu machen... bis auf das dass ich halt dann keine offizielle IP hab um das ganze wirklich so nachzuvollziehen wie es im Realbetrieb ist, müssts ja grundsätzlich funktionieren... Nur von extern nach intern wird halt nix ankommen ... und den laufenden Betrieb kann ich auch ned einfach so abdrehen :D Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.