none
TMG 2010 und Messagelabs RRS feed

  • Frage

  • Guten Tag,

    unser MX-Eintrag liegt bei Messagelabs. Dort werden unsere Mails gefiltert. Welche Firewallrichtlinie muss ich im TMG 2010 konfigurieren, damit Mails von Messagelabs an unseren Exchange-Server (2007) zugestellt werden?

    Samstag, 25. Dezember 2010 20:47

Antworten

  • Die Lösung für mein Problem ist geradezu peinlich, dennoch schulde ich eine Antwort:

     

    Der billiger Consumer-Router (provisorische Notlösung - seit über 6 Monaten ....) braucht einen Resett, wenn man Portweiterleitung konfiguriert. Ein Klick auf "Übernehmen" reicht wohl nicht aus.

    • Bearbeitet McZalle Freitag, 7. Januar 2011 10:15
    • Als Antwort markiert Andrei Talmaciu Freitag, 21. Januar 2011 13:52
    Freitag, 7. Januar 2011 01:06

Alle Antworten

  • Guten Abend,

    wenn Dein TMG nicht das E-Mail Protection Feature verwendet, musst Du eine ganz normale Serververoeffentlichungsregel fuer das Protokoll SMTP-Server erstellen, damit der Exchange Server aus dem Internet erreichbar ist. Dann brauchst Du noch eine Zugriffsregel am TMG, welche Deinem Exchange Server erlaubtt, SMTP zu den Messagelabs Servern zu senden.
    Dein Exchange Server muss SecureNAT Client sein.
    Weitere Infos:
    http://technet.microsoft.com/de-de/library/cc441537.aspx
    http://technet.microsoft.com/en-us/library/bb794751.aspx (gilt auch fuer TMG)


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Samstag, 25. Dezember 2010 20:52
    Moderator
  • Hallo Marc,

     

    vielen Dank für Deine Antwort. Ich habe jeglichen ausgehenden Verkehr erlaubt und kann auch erfolgreich aus meinem internen Netz Mails nach draußen verschicken. Ich kann auch per Telnet Port 25 von mail.messanging.microsoft.com erreichen.

    Zusätzlich habe ich eine weitere Regel erstellt, die eingehenden Verkehr (also von extern) an die IP-Adresse meines Exchange-Servers erlaubt, Protokoll SMTP-Server.

    Das Standard-Gateway des Exchange-Servers ist die interne IP des TMG.

    Das Problem ist, dass mein Exchange-Server dennoch keine Mails empfängt. Fällt Dir dazu eventuell noch etwas ein?

    Samstag, 25. Dezember 2010 21:11
  • Hi,

    wenn das Netzwerkverhaeltnis EXTERN --> INTERN NAT ist (und das ist es standardmaessig) musst Du eine Serververoeffentlichungsregel erstellen. Eine Firewallregel reicht da nicht aus. Zusaewtzlich muss Dein Exchange Server natuerlich Mails annehmen duerfen und dafuer musst Du die Exchange Management Shell bemuehen!


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Samstag, 25. Dezember 2010 21:33
    Moderator
  • Und noch Mal Danke, Marc.

    Wir haben hier einen Router mit einer statischen, öffentlichen IP-Adresse. Das interne Interface des Routers steht in einem privaten Netz, welches ich als "extern" bezeichne". Das Netzt ist ansonsten leer. Das TMG steht mit einem Bein in dem Netz, die zweite Netzwerkkarte des TMG steht in einem weiteren, privaten Subnetz ("intern"). Hier stehen unsere Server.

     

    Es sieht also so aus:

     

    Internet - Router - externes Netz - TMG 2010 - internes Netz - Exchange Server

    Der Exchange-Server arbeitet seit zwei Jahren tadellos, das TMG kam heute dazu. Am Exchange-Server habe ich keine Änderungen vorgenommen.

    Die Firewallrichtline für SMTP-Server eingehend habe ich über den Wizzard "Mailserver veröffentlichen" hinzugefügt.

     

    Samstag, 25. Dezember 2010 21:44
  • Hi,

    das sieht doch schon mal gut aus. Dann schau mal in das TMG Logging, ob Anfragen korrekt mit der Veroeffentlichungsregel weitergeleitet werden und dann schau auch mal in das SMTP Receive Log auf Deinem Exchange Server, ob die Anfrage dort geblockt wird.
    Bis Morgen, ich haue mich hin


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Samstag, 25. Dezember 2010 22:18
    Moderator
  • Ich habe jetzt auch Feierabend gemacht, morgen geht es weiter - würde mich freuen, wenn Du noch Mal Zeit für mich hast.

    Was mir auf dem Rückweg in den Sinn kam:


    Messagelabs leitet Mails an unserer öffentliche IP-Adresse weiter, an Port 25. Bisher wird es so gewesen sein, dass der Router die Zieladresse (also unser Exchange-Server) zuordnen konnte, also einfach in unser internes Netz weitergeleitet hat - der Router stand ja bereits mit einem Bein im richtigen Subnetz.


    Jetzt habe ich ein TMG installiert und zwischen dem Router und unserem internen Netzwerk noch ein weiters Subnetz eingerichtet. An dieser Stelle vermute ich jetzt, dass der Router mit den Paketen von Messagelabs nichts mehr anfangen kann, weil er nicht mehr im internen Subnetz steht, in dem auch der Mailserver ist!

    Kann es das sein, mein Problem?

    Sonntag, 26. Dezember 2010 00:41
  • Hi,

    ja, das kann schon gut sein! Dein Router nimmt weiterhin alle E-MAils an, da dort ja Eure oeffentliche IP gebunden ist. Der Router muss jetzt ein Portforwarding fuer den SMTP Port zu der externen IP-Adresse vom TMG machen und der TMG leitet dann die SMTP Anfrage zum Exchange Server weiter.
    Bis gleich!


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Sonntag, 26. Dezember 2010 06:33
    Moderator
  • Guten Morgen marc,

     

    das probiere ich später mal aus, noch bin ich nicht im Büro. Wäre ja super, wenn es dann klappen würde :) Ich melde mich dann mit meinem Ergebnis hier.

     

    Vielen Dank

    Sonntag, 26. Dezember 2010 08:37
  • So, jetzt habe ich eine Portweiterleitung für SMTP Port 25 an die externe IP meines TMGs aktiviert. Leider bekommt der Exchange-Server auch weiterhin keine Mails.

     

    Bis heute Abend muss das irgendwie klappen - hast Du (oder ein anderer Mitleser) noch eine Idee für mich?

    Sonntag, 26. Dezember 2010 13:32
  • Hi,

    weiter helfen kann ich Dir jetzt nur, wenn Du mir Auszuege aus dem TMG log sendest und Details zu Deiner Veroeffentlichungsregel. Zusaetzlich musst Du in das SMTP Receive Log auf Deinem Exchange Server gucken, ob da Anfragen ankommen und das Log auch mal senden. Poste auch mal das Ergebnis von https://testexchangeconnectivity.com/ oder gib mir mal ne E-Mail Adresse / MX REcord / Public Name wenn ich was mittesten soll!


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Sonntag, 26. Dezember 2010 14:32
    Moderator
  • Hast Du eine Mailadresse unter der ich Dich kontaktieren kann? Möchte möglichst nicht zuviel internes hier posten.

     

    VG

     

    Sonntag, 26. Dezember 2010 15:00
  • Hi,

    juup, guck mal:
    http://www.it-training-grote.de/kontakt.php


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Sonntag, 26. Dezember 2010 15:06
    Moderator
  • Die Lösung für mein Problem ist geradezu peinlich, dennoch schulde ich eine Antwort:

     

    Der billiger Consumer-Router (provisorische Notlösung - seit über 6 Monaten ....) braucht einen Resett, wenn man Portweiterleitung konfiguriert. Ein Klick auf "Übernehmen" reicht wohl nicht aus.

    • Bearbeitet McZalle Freitag, 7. Januar 2011 10:15
    • Als Antwort markiert Andrei Talmaciu Freitag, 21. Januar 2011 13:52
    Freitag, 7. Januar 2011 01:06
  • Hi,

    na bitte cool. So einfach kann es sein. War ja meine Vermutung in meiner PM, dass es nicht am TMG liegt, weil der Traffic da gar nicht ankam :-)


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Freitag, 7. Januar 2011 04:47
    Moderator