none
Konfiguration Exchange Server 2019 RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo, ich teste gerade eine lokale Installation von Exchange Server 2019. Ich hätte da mal ein paaaar Fragen zu einem Beispielszenario. Gegeben sei ein lokaler Exchange Server 2019 als mail.domain1.com und der Mailadresse administrator@domain1.com (die Domäne ist also domain1.com), dazu eine weitere Mailadresse administrator@domain2.com (als akzeptierte Domain samt Adressrichtline und zweitem Benutzer angelegt). Dazu folgende Fragen:

    1. Kann ich beim Registrar für Domain 2 als MX-Record einfach mail.domain2.com eintragen und hoffen, daß die Mails dann ankommen? Obwohl das im Exchange Server so nirgends eingetragen ist? Es funktioniert zwar, aber ist dies korrekt?
    2. Brauche ich eine zweite Sektion von Empfangsconnectoren, um einen zweiten Mailserver bereitzustellen mit mail.domain2.com?
    3. Ist ein zweiter (virtueller) Server auf Domänenebene des gleichen physischen Servers möglich, der dann im Abschnitt "Server" im Exchange Admin Center auftaucht? Oder gibt es die Möglichkeit, da ein Alias zu erstellen? Oder genügt der FQDN-Eintrag des Send-Connectors?
    4. Wie weise ich einer Mail-Adresse einen eigenen Sendconnector zu? Wird der Sendconnector automatisch ausgewählt und wird das Auswahlkriterium allein mit dessen jeweiligen FQDN-Eintrag oder gar nur dem Anzeige-Namen festgelegt?
    5. Muß/sollte ich weitere Email-Adressen (alias@domain2.com, alias@domain3.com usw.) jeweils im lokalen DNS-Server als neue (primäre oder sekundäre?) Zone eintragen? Muß ich dann die (für die Hauptdomain automatisch angelegten) Ordner _tcp und _udp ect. manuell anlegen? Was trage ich dann bei Domain 2 als MX-Record ein, nachdem für diese Domain eigentlich gar kein Mailserver existiert? Könnte ich an dieser Stelle einfach einen externen Smarthost eintragen?
    6. Wieso kommt bei einer Testmail an einen externen Empfänger (z.B. alias@gmail.com) über Telnet nach ein paar Sekunden die Fehlermedung, es könne nicht an eine nicht akzeptierte Email-Adresse gesendet werden? Versucht Telnet zuerst, den externen Mailserver zu erreichen, und durchsucht dann, wenn keine Verbindung mit Extern zustande kommt, z.B. wegen Zertifikatsfehlern oder mangelnder TXT- oder Reverse-IP Records, das lokale Adress-/Benutzerverzeichnis?

    Meine Testumgebung ist zugegebenermaßen denkbar ungünstig: Exchange Server 2019 als Standalone Domänen-Controller an einem Router mit dynamischer IP. Zertifikate einer CA sind derzeit keine installiert und die nötigen TXT-Records für Domain 1 lassen sich nicht bei Registrar 1 eintragen (auch ein externer Nameserver läßt sich nicht eintragen). Die Hauptdomain werde ich wohl zu einem anderen Registrar umziehen. Derzeit ist ein interner Mailverkehr in beiden Richtungen möglich, jedoch lassen sich Mail von Extern nur empfangen, jedoch nicht nach Extern versenden. Ein Versand an Extern gibt den Fehler Unable to connect -> SocketError: Failed to connect. Winsock error code: 10051. Sind Zertifikate einer CA zwingend erforderlich, sofern TLS (selbstverständlich) aktiviert ist, anderenfalls die Verbindung mit gängigen SMTP-Servern abgewiesen wird?



    • Bearbeitet Uwe Martens Montag, 22. April 2019 00:51 Korrektur
    Montag, 22. April 2019 00:47
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    Fragen über Fragen ;-) Versuchen wir's:

    ad 1. Du kannst auch bei domain2.com den mail.domain1.com eintragen. Es gibt keine Vorgabe, dass der A-Record des MX in der gleichen Zone sein muss. Wichtig ist, dass 1. die IP-Adresse, die sich daraus ergibt, zu Deinem Exchange führt, und 2. dass dort ein TLS-Zertifikat präsentiert wird, das den angesprochenen Namen enthält. Bei O365 haben Millionen von Domains den gleichen MX.

    ad 2. Das würde nur Sinn machen, wenn Du für domain2.com eine separate IP-Adresse für den Maileingang bereitstellen wolltest UND dort abweichende Berechtigungen, was das Relayen angeht, vergeben wolltest. Ansonsten nicht.

    ad 3. Nichts davon ist notwendig, sinnvoll oder möglich. Ein Exchange-Server - ein Eintrag unter "Servers", es geht ja an dieser Stelle nur darum, sie zu managen. Jeder Eintrag entspricht einem Computer im AD UND einem Container in der Configuration Partition. Man könnte sich da vermutlich was zurechtpimpen, dass ein zusätzlicher Eintrag angezeigt wird, aber es will sich mir der große Sinn dieser Aktion nicht erschließen. Und Hyper-V auf einem Exchange Server, um dort einen zweiten als VM zu installieren, ist hoffentlich unsupported.

    ad 4. Der Sendeconnector wird anhand der Zieldomäne (Adressraum) ausgewählt. Wenn Du einen Connector für SMTP:* mit Kosten=10 hast, kannst Du einen zweiten Connector für z.B. SMTP:gmx.de mit Kosten=5  anlegen, und die Mail an *@gmx.de wird über diesen Connector rausgeschickt.

    ad 5. Jein. Wenn Du ausschließlich Outlook und ausschließlich auf Domain-Clients verwendest, werden sie den Exchange-Server über den Service Connection Point (SCP) im AD finden. Da muss im lokalen DNS nichts zu den Mail-Domänen stehen. Alle anderen Clients werden versuchen, autodiscover.maildomain.de anzusprechen, und an dieser Stelle brauchst Du die Zone. 

    ad 6. Weil die Receive Connectors im Exchange per default so konfiguriert sind, dass jeder ohne Authentifizierung an interne Adressen (=solche aus akzeptierten Domänen) senden kann. Zum relayen (senden an externe Domänen) muss sich der Absender entweder authentifizieren, oder Du legst einen zusätzlichen Connector mit entsprechenden Berechtigungen an. Da musst Du aber zusehen, dass dieser aus dem Internet nicht erreichbar ist, sonst hast Du einen "open relay" gebaut. Den externen Versand "ab Exchange" kannst Du also am besten mit OWA testen.

    Jetzt hast Du leider mit der Nummerierung aufgehört.

    Re Versand an Extern: Hier spielt sicherlich nicht TLS eine entscheidende Rolle - zwei Mailserver werden sich schon einig, gerade Exchange ist da sehr genügsam. Vielmehr muss beim direkten Versand an andere Mail-Domains folgendes von entscheidender Bedeutung:

    • die ausgehende (öffentliche) IP-Adresse muss "gut" sein. Dynamische und pseudodynamische IP-Adressen werden normailerweise abgewiesen.
    • Es muss ein PTR-record zu der IP-Adresse geben, der der HELO-Anfrage Deines Exchange entspricht.
    • Es muss ein SPF-Record vorhanden sein, und die IP-Adresse sollte explizit oder über Hostnamen oder über MX dort drin stehen - oder SPF muss am Ende alle Adressen erlauben.

    Wenn die drei gegeben sind, wirst Du schon an die meisten Domains senden können. Am schwierigsten ist freilich der erste Punkt zu korrigieren, wenn er nicht gegeben ist. Viel einfacher ist es in solchen Fällen, den SMTP-Smarthost des Webhosters zu verwenden. Er wird zwar die Authentifizierung verlangen, aber die kannst Du im Sendeconnector ja eintragen.

    TLS wird nur bei einem sehr kleinen Anteil der Empfänger so erzwungen sein, dass der Versand - mit der entsprechenden Meldung!!! - scheitern wird. Auch hier ist der Smarthost Deines Hosters vermutlich eine Hilfe.

    Ich spüre bei Dir noch einen großen RTFM-Bedarf in Sachen Exchange. Daher sei Dir abschließend noch dies empfohlen: https://www.amazon.de/Microsoft-Exchange-Server-2019-Administratoren/dp/3836256436/ref=sr_1_fkmrnull_1?__mk_de_DE=%C3%85M%C3%85%C5%BD%C3%95%C3%91&qid=1555911969

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 22. April 2019 06:06
    |
  • Question
    Anmelden
    0
    Anmelden
    Danke für die sehr ausführlichen Antworten! Da möchte ich folgendes zu kommentieren bzw. haben sich neue Fragen aufgetan:

    zu 1.: Gedacht ist, die Zonen zu trennen, da dann verschiedene Geschäftsbereiche auf dem gleichen Server laufen sollen. Aber da das ja auch ohne explizitem Eintrag von mail.domain2.com auf dem Windows Server ankommt, wird das wohl schon so passen.

    zu 2. und 3.: Der Sinn wäre, über zwei getrennte Mailserver zu verfügen, die dann auch mit nslookup oder Reverse IP unterschieden werden können (z.B. gesetzt den Fall, es würden zwei Netzwerkanschlüsse verwendet mit unterschiedlichen IPs).

    zu 4.: Der Gedanke war, dort mit zwei Sendeconnectoren zwei unterschiedliche FQDN Einträge zu ermöglichen (um eben die Geschäftsbereiche getrennt zu halten). PS: Die Sache scheitert aber wohl schon an der Frage, ob denn dann zwei notwendig werdende unterschiedliche Zertifikate überhaupt angewendet werden könnten, da SMTP- und IIS-Dienst ja nur einmal auf dem Rechner laufen (außer in zwei virtuellen Betriebssystemen natürlich).

    zu 5.: Bei einem Mailverkehr mit Extern sollte man also (auch, oder vielmehr gerade bei gemeinsamen Eingangsconnectoren?) eine eigene Zone im lokalen DNS-Server anlegen? Bei gemeinsamen Eingangsconnectoren wäre der MX-Eintrag für Zone 2 dann beliebig? Oder überhaupt nötig? Muß die Subdomain autodiscover.domain1.com eigentlich auch in einem allfälligen SAN-Zertifikat aufgelistet sein? PS: Trial and error mit einem frisch geordertem Zertifikat hat ergeben, daß dies nicht nötig ist.

    zu 6: Seit wann muß sich ein SMTP-Server bei dem (externen) Empfänger authentifizieren (außer bei einem Smarthost natürlich)? Die Authentifizierung geschieht bestenfalls bzw. eben gerade über den TLS-Handshake. Bei dem standardmäßigen Windows SMTP-Server des IIS 6 lege ich einfach eine TXT-Datei in den Pickup-Ordner, und in 95 % aller Fälle kommt das auch an (je nachdem, mit wie vielen Mails man da den Mailserver bombardiert). PS: Trial and error hat auch hier ergeben, daß die Verbindung mit Extern in meiner Konfiguration auch mit einem frisch ausgestellten Zertifikat einer CA nicht zustandekommt.

    Und zu meinem abschließenden Absatz: Könnte ich bei einer dynamischen IP einfach den FQDN des Netzbetreibers im Sendconnector eintragen? Dieser entspräche dann natürlich nicht dem Namen meines Mailservers (es sei denn, es wäre möglich, den Provider zu einem Wunsch-FQDN zu bewegen). Das "fuckin manual" ist für mich die Online-Dokumentation auf https://docs.microsoft.com/de-de/exchange/exchange-server. Da finden sich aber zu meinen Fragen keine Antworten. Auch sollte Microsoft bedenken, daß LTE mittlerweile schon bei 300 Mbit im Download und 100 Mbit im Upload (zumindest in Österreich) jeden DSL-Anschluß, sogar diverse Angebote von Rechenzentren übertrifft. Bisweilen sind die IPs dabei pseudo-statisch und bleiben so lange erhalten, bis man den Router neu startet. Insofern versuche ich zu testen, ob hier eine brauchbare Kombination mit dem Exchange Server möglich ist. Dazu wird mir Dein verlinkter Schmöker wohl auch nicht viel helfen.


    • Bearbeitet Uwe Martens Montag, 22. April 2019 08:46 PS
    Montag, 22. April 2019 07:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    zwei (zwanzig, zweitausend) unabhängige Geschäftsbereiche auf einem Server laufen zu lassen ist nicht das Problem, siehe O365. Was "Trennung" ist, musst Du aber halt definieren. Wenn Du z.B. erreichen möchtest, dass OWA für jede Domäne zuverlässig über https://owa.diesespezielledomaene.tld erreichbar ist, wird es schon nicht einfach. Im Gegensatz dazu, alle Dienste - OWA, SMTP, MAPI, POP3, IMAP4 - über einen einheitlichen Namespace laufen zu lassen, ist kein Problem, dafür ist Exchange gedacht. Zur Trennung musst Du dich vermutlich eher mit Dingen wie Address Book Policies und RBAC auseinandersetzen.

    Ein SMTP-Server muss sich natürlich nur sehr selten bei einem externen Empfänger authentifizieren. Das ist aber auch nicht das von Dir formulierte Test-Szenario. Du versuchst ja, per Telnet (ich nehme an, auf Port 25) eine Mail einzureichen. Und da musst Du dich eben authentifizieren, wenn der Empfänger außerhalb der Organisation ist. Wenn Du eine TXT Datei im Pickup-Verzeichnis ablegst, musst Du dich ja auch authentifizieren, sonst kriegst Du keinen Zugang zum Server. Und solch eine "nicht SMTP-spezifische" Authentifizierung wäre in der Welt von Exchange ein Zugang über Outlook oder OWA. Hast Du diese durchgeführt, kannst Du auch im Default an Externe senden. Die Einlieferung der Mail geht dann aber eben nicht über SMTP (wie beim Pickup-Folder auch).

    Re 5. Nein, das eine hat mit dem anderen nichts zu tun. Ich sprach von Clients und nicht vom Mailverkehr mit Externen.

    Bei einer dynamischen IP kannst Du eintragen, was Du willst, die Verbindung wird von 99% MXen draußen nicht angenommen werden. Das hat auch mit Microsoft nichts zu tun, sondern es ist die erste Maßnahme für wirkungsvollen Spamschutz. Da musst Du mit Google, Apple und GMX reden (freilich auch mit Microsoft - aber als O365-Betreiber, nicht als Exchange-Hersteller).

    Folgende Konfig funktioniert bei dynamischen IPs:

    • Mail ausgehend: SMTP-Relay des ISP oder besser des Webhosters, Exchange authentifiziert sich gegenüber diesem, im DNS steht er als erlaubt im SPF
    • Mail eingehend: DynDNS-FQDN für die dynamische IP ist als MX in der externen DNS-Zone für jede akzeptierte Domäne eingetragen (DynDNS steht hier stellvertretend für jeden dynamischen DNS-Dienst). Es wäre natürlich sehr hilfreich, wenn man für den DynDNS-FQDN ein extern vertrauenswürdiges Zertifikat ausstellen könnte.
    • Autodiscover extern: CNAME "autodiscover" auf den DynDNS-FQDN in der externen DNS-Zone jeder akzeptierten Domäne.
    • Zugriff extern: CNAME <Namespace der Wahl> auf den DynDNS-FQDN in der externen DNS-Zone der entsprechenden Domäne.
    • Das gebundene TLS-Zertifikat muss die jeweiligen Namen beinhalten (autodiscover.maildomain1.xx, autodiscover.maildomain2.xx,...,namespace.webdomain.xx), das ist aber von der dynamischen oder statischen IP unabhängig.

    Und zum Thema, was Microsoft bedenken sollte: Firmen, die ihren Mailzugang gern per LTE abwickeln wollen, existieren in deren Welt ausschließlich als x365-Kunden. Exchange, und speziell 2019, ist für diese Art Organisationen nicht gedacht.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 22. April 2019 09:03
    |
  • Question
    Anmelden
    0
    Anmelden

    Du versuchst ja, per Telnet (ich nehme an, auf Port 25) eine Mail einzureichen. Und da musst Du dich eben authentifizieren, wenn der Empfänger außerhalb der Organisation ist.

    Ich wüßte nicht, daß ich mich da authentifizieren müßte, da Telnet ja gerade den eigenen SMTP-Server nimmt. Dies war also nur testweise am eigenen Server.

    Wenn Du eine TXT Datei im Pickup-Verzeichnis ablegst, musst Du dich ja auch authentifizieren, sonst kriegst Du keinen Zugang zum Server.

    Nicht, wenn ich vom eigenen SMTP-Server verschicke. Ich habe hierfür ein PHP-Skript aufgesetzt, welches mir alle paar Sekunden jeweils 10 Txt-Dateien in den Pickup-Ordner kopiert.

    Hast Du diese durchgeführt, kannst Du auch im Default an Externe senden. Die Einlieferung der Mail geht dann aber eben nicht über SMTP

    Versteh ich nicht! Wenn ich z.B. vom Handy am Exchange Server eingeloggt bin und eine Mail nach Extern verschicke, geht das selbstverständlich über den Sendconnector.

    Zu Deinen sonstigen Ausführungen: Mein Provider bietet kein mir bekanntes SMTP-Relay (und wenn, dann wohl nur mit Verfälschung des Absenders). Bez. DynDNS benutze ich doch lieber die API von meinem Registrar (oder, wenn dies nicht möglich ist, die API von NS1.com) und update meine IP selber. Ein gemeinsames Zertifikat verbietet sich ja bei strikter Trennung der Geschäftsbereiche. Cloud-Dienste kommen für meine verwalteten Geschäftsbereiche ebenfalls nicht in Betracht.



    • Bearbeitet Uwe Martens Montag, 22. April 2019 09:36 ...
    Montag, 22. April 2019 09:34
    |
  • Question
    Anmelden
    0
    Anmelden

    Versteh ich nicht! Wenn ich z.B. vom Handy am Exchange Server eingeloggt bin und eine Mail nach Extern verschicke, geht das selbstverständlich über den Sendconnector.


    Ja, aber das Recht, nach extern zu verschicken, wird bei reinem SMTP-Versand (also NICHT Dein Handy per ActiveSync, wo Du dich ja schließlich auch authentifizieren musst), vom RECEIVE Connector gesteuert.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 22. April 2019 12:16
    |
  • Question
    Anmelden
    0
    Anmelden

    Wenn Du eine TXT Datei im Pickup-Verzeichnis ablegst, musst Du dich ja auch authentifizieren, sonst kriegst Du keinen Zugang zum Server.

    Nicht, wenn ich vom eigenen SMTP-Server verschicke. Ich habe hierfür ein PHP-Skript aufgesetzt, welches mir alle paar Sekunden jeweils 10 Txt-Dateien in den Pickup-Ordner kopiert.

    Doch, denn auch Dein PHP-Skript läuft in einem Sicherheitskontext, welches das Recht besitzt, im Pickup-Folder Dateien zu erzeugen.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 22. April 2019 12:21
    |
  • Question
    Anmelden
    0
    Anmelden

    Ein gemeinsames Zertifikat verbietet sich ja bei strikter Trennung der Geschäftsbereiche. 

    Wirklich? Zehntausende Firmen, die nichts miteinander zu tun haben, verwenden das Zertifikat von *.outlook.com Und genau so kannst Du es "im Kleinen" auch machen: Reserviere eine Domain, die vom Namen her weder zu dem einen noch zu dem anderen GB gehört, und wickle für beide den Mailverkehr über Hosts aus dieser Domain (Web + SMTP) ab.

    Oder Du stellst Dir ernsthaft die Frage, ob Exchange das richtige Produkt für eure Anforderungen ist.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 22. April 2019 12:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Ja, aber das Recht, nach extern zu verschicken, wird bei reinem SMTP-Versand (also NICHT Dein Handy per ActiveSync, wo Du dich ja schließlich auch authentifizieren musst), vom RECEIVE Connector gesteuert.

    Das wurde in anderen Foren oft behauptet, allerdings ist der Versand nach Extern unabhängig von der Frage, ob ich im Defaultconnector "Anonym" zulasse, oder nicht, löst zumindest nicht das Problem abgewiesener dynamischer IP-Adressen am externen Eingangsserver. Auch die Frage der Bereitstellung eines (domainbezogenen oder generell offenen) Relays (von Extern nach Extern) tut wohl nichts zur Sache?

    Doch, denn auch Dein PHP-Skript läuft in einem Sicherheitskontext, welches das Recht besitzt, im Pickup-Folder Dateien zu erzeugen.

    Auch hier geht es mir nicht um die lokalen Rechte, sondern um die Frage, ob eine Authentifizierung mit Passwort am Empfangsserver nötig ist (was sie, wie wir einstimmig festgestellt haben, nicht ist). Allerdings ist dieses Verfahren eh nicht mehr zeitgemäß, daher der Exchange Server.

    Wirklich? Zehntausende Firmen, die nichts miteinander zu tun haben, verwenden das Zertifikat von *.outlook.com

    Das nützt alles nichts, da ich hier ein gemeinsames SAN-Zertifikat anlegen müßte, in welchem dann sämtliche Domains aus allen Geschäftsbereichen aufgelistet sind. Solche geschäftsbereichübergreifenden Zertifikate, die ja von jedermann gelesen werden können, sind unseriös!

    Oder Du stellst Dir ernsthaft die Frage, ob Exchange das richtige Produkt für eure Anforderungen ist.

    Daran habe ich keinerlei Zweifel, da der Exchange Server 2019 (zwangsweise auf dem Windows Server 2019 als Host) eine branchenweit konkurrenzlos komfortable Kombination ist! Was die Akzeptanz dynamischer IPs betrifft, werde ich mir wohl (gezwungenermaßen) mit Smarthosts aushelfen müssen, ehe ich den Server ab einem gewissen Traffic eh ins Rechenzentrum mit festen IPs stelle.

    Was die Frage der strikten Trennung der Geschäftsbereiche betrifft, muß man wohl ernüchtert feststellen, daß dies (auch) beim Exchange Server 2019 nicht möglich ist. Dies ist ein bedauerlicher Mangel eines ansonsten auf hochkomplexe Active Directories setzenden Unternehmens! Da bleibt dann wohl nur die Lösung mit wenigstens einem zweiten (physischen oder virtuellen) Server.

    Ein Workaround wäre wohl bestenfalls tatsächlich die Verwendung eines neutralen Domänennamens als Generalmailserver und dabei die Verwendung getrennter Zertifikate für IIS (und damit für den Browser des Clients), jedoch (gezwungenermaßen) eines gemeinsamen SAN-Zertifikates nur für POP, IMAP und SMTP (in der Annahme, daß dieses Zertifikat niemals eine außenstehende Person zu Gesicht bekommt). Sobald ich die SMTP-Einstellungen aber (bei einem größeren öffentlichen Webprojekt) öffentlich machen würde, wäre für Außenstehende (bzw. Benutzer aus dem anderen Projekt) schon wieder ein Zusammenhang mit beiden Geschäftsbereichen herstellbar. Die ausschließliche Bereitstellung des OWA-Webinterfaces wäre zwar hier auch wieder ein Workaround, allerdings schon sehr einschränkend und bevormundend gegenüber den Benutzern.

    • Bearbeitet Uwe Martens Montag, 22. April 2019 15:54 Workaround
    Montag, 22. April 2019 15:17
    |