none
TMG 2010 und SMTP Policies und VPN RRS feed

  • Frage

  • Hallo zusammen,

    wir haben die folgende Konstellation:
    Einen TMG 2010 (aktuell gepatchet), SMTP Policies sind definiert und der interne Exchange Server schickt seine Mails an den Smart Host des Providers. Das ist soweit auch OK und kann einfach administriert werden.

    Jetzt soll aber eine einzige (Sub-)Domäne, die sich hinter einer Site2Site Konfiguration des TMG befindet NICHT über den Smarthost gehen! Geht das?

    Wenn ich im LAN bleiben würde, könnte man mit Split-Brain DNS und den richtigen Routen arbeiten. Da aber die Domäne hinter der Site2Site Verbindung hängt, schlägt bei dem Versuch, eine Verbindung aufzubauen die Mailpolicy des TMG zu und schickt die Mails einfach an den Smarthost.

    Die Regel "Schicke ALLE Mails an den Smarthost außer eine Subdomäne" geht nicht, wenn man SMTP Policies unter TMG konfiguriert, oder?

    Danke für Input

    Gernot

    Donnerstag, 31. März 2011 13:47

Alle Antworten

  • moin gernot,

    wenn du auf dem tmg die zugriffsregel so setzt, das du sie nur von dem exchanger am hauptstandort erlaubst, dann sollten der mailserver in der geschäftsstelle nicht direkt rausschicken können.

    oder meinst du das der mailserver in der filiale den exchanger im hauptstandort als smarthost verwendet?


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 31. März 2011 14:03
  • Nee. Der Exchange Server des Hauptstandortes soll alle Mails an den externen Smarthost schicken. Die Ausnahme ist ein SharePoint Server, der via Site2Site angebunden ist. diese Mails sollen von Exchange direkt (durch den Site2Site Tunnel) geschickt werden. Hier soll der externe Smarthost nicht verwendet werden.

     

    Donnerstag, 31. März 2011 14:09
  • axo - somit eher eine "exchange-frage". welche exchange-version ist im einsatz? unter exchange 2003 lässt sich das imho mit einer remote-domäne im iis-smtp lösen. aber die kellogs die was fitter im exchanger sind werden dir dazu sicherlich mehr sagen können. ich bin immer froh die richtigen schaltflächen zu treffen bzw. befehle für die power-HELL zu finden.

    ;-)


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 31. März 2011 14:12
  • nee!!! Das arme kleine Paket kommt doch IMMER am TMG an. Egal, ob es dann weiter ins Internet oder durch den Site2Site Tunnel muss.
    Die Frage ist: Auch wenn das Paket durch den Site2Site Tunnel geht, greift trotzdem 'vorher' die SMTP Policy, oder?!

     

    Donnerstag, 31. März 2011 14:25
  • Hi,

    erstelle einen zweiten SMTP Sendeconnector in der Exchange Organisationskonfiguration und stell den so ein, dass der nur vom dem Sharepoint Server genutzt werden kann. Als Ziel nimmst Du nicht einen Smarthost, sondern einen MX Record, dann entscheidet die Konfiguration Deines DNS Servers wie die Mail nach draussen gehen (Forwarder, Conditional Forwarder oder Root Hints).


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 31. März 2011 14:33
    Moderator
  • OK. Aber dann muss ich die SMTP Policy des TMG abschalten bzw. auf DNS Auflösung ändern, oder?

    Die Exchange Konfiguration habe ich schon lange fertig ;-).

     

    Donnerstag, 31. März 2011 14:39
  • wenn du mit smtp-policy eine von dir erstellt zugriffsregel meinst, dann ja. aber tmg greift ja nicht ins smtp-routing rein, sondern definiert nur wer wohin "quasseln" darf.
    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 31. März 2011 14:44
  • also unter TMG heißt das Ding "E-Mail Policy" (im Auswahlbaum der TMG Konsole ;-).

    Dort kann ich Outbound und Inbound Policies erstellen. Das sind doch aber aber keine Firewall Regeln. Die benötigt man natürlich trotzdem. Wie diese beiden Sachen (Firewall Regeln und E-Mail Policies) zusammenspielen, erschließt sich mir nicht wirklich.

    Meine Firewallregel sagt: Lasse SMTP (Port 25) vom Exchange Server zum Smarthost und zum SharePoint zu.

    Meine Outbound Policy sagt: Schicke ausgehende Mails zum Smarthost.

    Man kann ja mehrere Outbound Policies erstellen. Einmal mit Smarthost, einmal via DNS Auflösung. Keine Ahnung, wer dann gewinnt?
    Die Policy schränkt in jedem Fall die Firewallregel ein. Das kann man nachvollziehen.

    Die Info, dass diese Mail zum SharePoint geroutet werden soll kommt, das ist klar, natürlich vom Exchange Server.

    Gruß Gernot

    Donnerstag, 31. März 2011 15:06
  • Hi Frank,

    das Exchange SMTP Routing / DNS hat Vorrang vor Deinem TMG. Das Mail System sucht in den SMTP Sendeconenctoren nach dem kleinsten gemeinsamen Nenner und verwendet dann den SMTP Conenctor mit der groessten Uebereinstimmung (anhand von Kosten, E-Mail Domaenen, Relay Restrictions, SMTP Send Berechtigungen). Wenn Exchange dann den SMTP Connector gewaehlt hat, geht es raus aus dem Exchange System und nimmt seinen DNS/TCP-IP Weg


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 31. März 2011 15:10
    Moderator
  • ah jetzt ja,

    die email-policy betrifft die exchange-subscription. d.h. du bräuchtest exchange edge und fpe unter dem tmg (installiert und lizenziert) um diesen konsolen-part nutzen zu können. hast du dies nicht, dann muttu mit zugriffsregeln für outbound smtp arbeiten!!!


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 31. März 2011 16:12
  • Hallo zusammen,

    ich sehe das auch eher als Exchange Thema. Über einen Sendeconnector sollte das Problem lösbar sein.

    Erstellen eines Sendeconnectors
    http://technet.microsoft.com/de-de/library/aa997285.aspx

     


    Viele Grüße Carsten
    Donnerstag, 31. März 2011 19:31
  • aha jetzt ja ... eine Insel (oder eher ein Lichtblick)

    verstehe ich das richtig: die TMG email-policy ist eigentlich nur für edge-subscription. Wenn man keine edge-Subscription hat, dann sollte man die Dinger besser deaktivieren.

    Das finde ich auch besser, weil dann alles über Firewall Regeln gemacht wird.

     

    Freitag, 1. April 2011 10:47
  • Hallo Carsten,

    was man im Exchange-connector regelt ist ja das eine.
    Aber was der TMG dann daraus macht (also zuläßt oder nicht) ist das andere.

    Wie schon geschrieben: der entsprechende Sendeconnector unter Exchange ist bereits konfiguriert.

    Grüße

    Gernot

    Freitag, 1. April 2011 10:50
  • moin gernot,

    yop so is dem!


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Montag, 4. April 2011 18:56