none
Postfach mit Verteilfunktion an alle Mitarbeiter. RRS feed

  • Allgemeine Diskussion

  • Guten Tag, 

    bevor alle wieder genervt mit dem Kopf schütteln, nein ich suche kein normales Sammelpostfach oder eine im AD angehängte Mailadresse um versch. Benutzer eine Mailadresse zu zuweisen. 

    Folgendes Szenario: 

    Hosteurope > Firewall > Exchange

    Die Idee ist, weder bei Hosteurope, noch in der Firewall Benutzer anzulegen, sodass bei neuen Mailadressen nur der Exchange User/Adresse angelegt werden muss und alles ist gut. Die Mails laufen durch die Firewall zum Spammfiltern / Schutz. 

    Nun wird bei Hosteurope ein kleiner "Trick" angewendet und wir sagen, dass alle Mails die keinem User zugeordnet werden können an catchall@domain.de geschickt werden. catchall@domain.de wird via pop3 in der Firewall abgerufen. 

    Die Firewall schickt das ganze nun auf den Exchange. Nur hier entsteht das Problem, dass wir in der Firewall User hinterlegen müssen bzw. Mailadressen hinterlegen müssen. 

    Der Exchange akzeptiert alle Mails von @domaine.de und verteilt dann an die einzelnen Benutzer entsprechend der zugewiesen Adressen. Ganz normal halt. 

    Kann man hier dem Exchange irgendwie sagen, dass er alle Mails von catchall@domaine.de zum verteilen an ALLE Benutzer nimmt? Denn wer aufgepasst hat weiß, dass in catchall@domaine.de alle Mails, aller Mitarbeiter usw. enthalten sind. Diese sollen nun verteilt werden an user1@domaine.de, user2@domaine.de , info@domaine.de usw. usw. . 

    Versteht irgend jemand was ich meine und hat vielleicht eine Idee dazu? 

    PS: Ich brauche keine Antworten die mir sagen wie es normal zu lösen wäre, dass die Mails durchkommen. Eine normale Einrichtung wäre nicht das Problem. Es spart nur langfristig Zeit, wenn man bei einer neuen Adresse tatsächlich nur im Exchange spielen muss, und nicht noch zusätzlich bei Hosteurope und in der Firewall. 

    Mit freundlichen Grüßen

    Lukas

    Mittwoch, 28. Dezember 2016 14:14

Alle Antworten

  • Moin, eine "normale" Einrichtung beinhaltet NICHTS beim Hoster außer einem MX-Eintrag und lediglich einen Filter mit LDAP-Abfrage an der Firewall. Somit müssen nur in Exchange Adressen eingerichtet werden. In dem POP3-Szenario musst Du deine Firewall dazu bewegen, alle für catchall abgeholten Mails einfach an Exchange (NICHT "über Exchange an Adresse XY!) weiterzuschicken. Kann sie es nicht, bist Du mit diesem Design in der Sackgasse und musst das Design überdenken.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Mittwoch, 28. Dezember 2016 15:14
  • Hallo Evgenij, 

    für mich bedeutet eine normale Einrichtung, dass alles was in das Unternehmen eingeht und verlässt, von der Firewall abgefangen und überprüft wird. Hierfür muss ich mehr als eine LDAP-Abfrage (Nichtmal die bräuchte man, da man auch einfach Port 25 von HostIP durchreichen kann.) 

    Wie oben beschrieben, entsteht ja auch genau in der Firewall das Problem, dass ist mir bewusst. Deswegen geht die Frage ja ganz klar in die Richtung : Kann ich den Exchange so manipulieren, dass es läuft? Denn bei der Firewall sind mir leider die Hände gebunden, da kann ich nicht an Exchange IP leiten oder ähnliches sondern an definierte Benutzer/Adressen.  Deines Wissens nach gibt es also keine Möglichkeit, dem Exchange zu sagen:

    "Verteile die Mails aus Catchall@domaine.de an die entsprechenden Benutzer"? 

    Mit freundlichen Grüßen

    Lukas

    Mittwoch, 28. Dezember 2016 16:02
  • In dem Moment, wo Du an Adresse XY sendest, schreibst Du (bzw. die Firewall) die Adresse ja um. Woher soll Exchange wissen, für wen die Mail ursprünglich bestimmt war? Klar, kannst Du einen Custom Transport Agent schreiben, der aus dem Header die ursprüngliche Adresse rauszieht und die Mail dann umroutet. Aber dieser Aufwand, nur um POP3 über seinen sicheren Tod hinaus zu retten?

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Mittwoch, 28. Dezember 2016 16:18
  • Am 28.12.2016 schrieb Evgenij Smirnov:

    In dem Moment, wo Du an Adresse XY sendest, schreibst Du (bzw. die Firewall) die Adresse ja um. Woher soll Exchange wissen, für wen die Mail ursprünglich bestimmt war? Klar, kannst Du einen Custom Transport Agent schreiben, der aus dem Header die ursprüngliche Adresse rauszieht und die Mail dann umroutet. Aber dieser Aufwand, nur um POP3 über seinen sicheren Tod hinaus zu retten?

    Der TO will ja nicht den Rat es "normal" zu regeln, aber wo bitte ist der Unterschied, wenn man beim sowieso nur die Mails annehmen will, die man definiert hat? Wozu dann einen Catchall beim Provider? Von hinten durch die Brust ins Auge? ;)

    Bye
    Norbert

    Mittwoch, 28. Dezember 2016 21:52
  • Hallo Norbert,

    der Catchall beim Provider ist notwendig damit die Firewall pop3 machen kann. Ich brauch ja irgendein Postfach was ich abrufen kann. 

    Mfg Lukas 

    Donnerstag, 29. Dezember 2016 07:59
  • Hallo,

    wie wäre denn folgende Variante:

    * Catchall für die gesamte Maildomain bei Hosteurope

    * Auf dem Exchange Server wird POPcon von Servolutions installiert. Der ruft den Catchall per POP3 mit der Einstellung "Sammelpostfach" ab. Mails für Adressen die er kennt, werden an die einzelnen Exchange Postfächer weitergeleitet. Mails an unbekannte Adressen gehen an einen Verteiler, der alle Nutzer beinhaltet.

    * Die Firewall macht eingehend POP3-Proxy/Scan und ausgehend SMTP-Proxy/Scan.

    Grüße Steve

    P.S.:

    * Bei Hosteurope ist dann nur noch ein Postfach

    * Die Firewall kennt auch keine Nutzer, sondern scannt nur noch

    * Der Exchange ist das entscheidende Element, mit den Postfächern, Verteilern, ...

    • Bearbeitet AlphaRonin Donnerstag, 29. Dezember 2016 08:24 Verteilung
    Donnerstag, 29. Dezember 2016 08:20
  • Und wozu benötigt man pop3? Achso du wolltest ja keine Hinweise, wie Mans richtig macht.
    Donnerstag, 29. Dezember 2016 08:46
  • Am 29.12.2016 schrieb AlphaRonin:
    Hi,

    wie wäre denn folgende Variante:

    Der Workaround für den Workaround? Ja es bleibt in jedem Fall eine Krücke, egal ob die vergoldet wird oder nicht.

    * Catchall für die gesamte Maildomain bei Hosteurope

    * Auf dem Exchange Server wird POPcon von Servolutions installiert. Der ruft den Catchall per POP3 mit der Einstellung "Sammelpostfach" ab. Mails für Adressen die er kennt, werden an die einzelnen Exchange Postfächer weitergeleitet. Mails an unbekannte Adressen gehen an einen Verteiler, der alle Nutzer beinhaltet.

    Toll, also werden alle Spams und Fehladressierungen an alle Nutzer zugestellt? NIcht nur Spambelästsigung, sondern auch gleich noch mögliche Datenschutzrechtliche Probleme.

    * Die Firewall macht eingehend POP3-Proxy/Scan und ausgehend SMTP-Proxy/Scan.

    Warum macht sie nicht einfach eingehend SMTP Relaying/Scan? Achso, weil man ja POP3 braucht?

    Bye
    Norbert


    Dilbert's words of wisdom #10:
    I don't have an attitude problem. You have a perception problem.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Donnerstag, 29. Dezember 2016 09:07
  • * Auf dem Exchange Server wird POPcon von Servolutions installiert. Der ruft den Catchall per POP3 mit der Einstellung "Sammelpostfach" ab. Mails für Adressen die er kennt, werden an die einzelnen Exchange Postfächer weitergeleitet. Mails an unbekannte Adressen gehen an einen Verteiler, der alle Nutzer beinhaltet.

    Na geil. Eine Mail geht von außen per BCC an den Chef und wird danach dann an alle Nutzer in der Firma weitergeleitet.

    Daher noch mal langsam zum Mitschreiben: POP-Connectoren sind prinzipbedingt Mist und können technisch nicht sauber funktionieren. Jeder, der sagt,"aber bei mir gehen sie", hat nur noch keines der Probleme erlebt. Das reicht von "Mails sind verloren, keiner weiß warum", bis hin zu diversen rechtlichen Problemen, weil die Mail angenommen wurde.

    Ich würde dem TO folgendes raten:

     - MX auf die Firmen-IP einrichten

     - Firewall Port 25 an Exchange weiterleiten ohne weitere Filterung

    Fertig. Wenn man möchte, kann man auf Exchange oder auf einem Server vor dem Exchange noch einen separaten Spam-Filter einrichten.

    Catch All Postfächer sind genauso rechtlich bedenklich wie POP-Connectoren und daher abzulehnen. Wenn eine Mail falsch adressiert wurde, ist der Absender über den Fehler zu informieren, nicht die Mail in irgendeinen Topf zu werfen, wo sie keiner findet.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Donnerstag, 29. Dezember 2016 10:31
  • Moin moin, 

    @AlphaRonin , danke ich wusste nicht das Popcon sowas kann, den Nichtzustellbar-Verteiler würde ich nicht integrieren, das wäre furchtbar :D Es gibt auch mit der Lösung noch ein paar Problemchen aber es ist zu mindest ein Ansatz mit dem man mal testen und arbeiten kann. 

    @Robert So ist es gerade eingerichtet. Ist ja auch weiter nicht das Problem. Wie gesagt, wie ich die Mails durchbekomme ist nicht das Problem, ich würde nur gerne an diesem Konstrukt arbeiten und gucken ob man das sinnvoll einrichten kann. Eigentlich möchte ich eine Kontrolle der Mails durch die Firewall. Und bei simplen Port25 > Exchange funktioniert das nicht.  

    Mfg Lukas 

    Donnerstag, 29. Dezember 2016 11:26
  • Eigentlich möchte ich eine Kontrolle der Mails durch die Firewall. Und bei simplen Port25 > Exchange funktioniert das nicht.  

    Warum sollte das nicht gehen? Du kannst z.B. eine Watchguard nehmen. Dort richtest du einen SMTP-Proxy (Port 25) ein, der ein SNAT von öffentlicher IP zu Exchange macht. In der Proxy-Policy wird dann noch SPAMBLOCKER und Gateway-AntiVirus aktiviert. (Watchguard ist hier ein Beispiel, CISCO IronPort und andere gehen auch)

    Grüße Steve

    Donnerstag, 29. Dezember 2016 11:33
  • @Robert So ist es gerade eingerichtet. Ist ja auch weiter nicht das Problem. Wie gesagt, wie ich die Mails durchbekomme ist nicht das Problem, ich würde nur gerne an diesem Konstrukt arbeiten und gucken ob man das sinnvoll einrichten kann. Eigentlich möchte ich eine Kontrolle der Mails durch die Firewall. Und bei simplen Port25 > Exchange funktioniert das nicht. 

    Was willst Du denn "sinnvolles" einrichten? Bisher sind dann Ideen (Catch All, POP3, etc.) alle unsinnig.

    Eventuell beschreibst Du nicht die Lösung, sondern das Problem.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Donnerstag, 29. Dezember 2016 12:18
  • Warum sollte das nicht gehen? Du kannst z.B. eine Watchguard nehmen. Dort richtest du einen SMTP-Proxy (Port 25) ein, der ein SNAT von öffentlicher IP zu Exchange macht. In der Proxy-Policy wird dann noch SPAMBLOCKER und Gateway-AntiVirus aktiviert. (Watchguard ist hier ein Beispiel, CISCO IronPort und andere gehen auch)

    Grüße Steve

    Ein SMTP Proxy bringt zu viele Fehler mit und ist daher seitens Microsoft unsupported - egal ob er auf der Firewall oder sonst wo läuft. Im SMTP-Supportfall will Microsoft daher immer den Fehler ohne Proxy nachstellen und die Fachleute hier können Dir bestätigen, dass damit der Fehler zu 99% auch schon weg ist.

    Vorgelagert darf es nur ein SMTP-Relay geben, z.B. als Spam-Filter. Das Relay muss dann aber technisch bedingt alle Prüfungen (inkl. Empfängerprüfung) durchführen und Exchange darf selbst nichts mehr prüfen.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)


    • Bearbeitet Robert Wille Donnerstag, 29. Dezember 2016 12:21
    Donnerstag, 29. Dezember 2016 12:20
  • Nur zur Klarstellung:

    "SMTP-Proxy" ist nur der Name bei Watchguard und bezeichnet grundlegend eine Firewall-Regel für Port 25 und von welchen Hosts/Netzen zu welchen Hosts/Netzen kommuniziert werden darf. Watchguard stellt damit rein namentlich einen Gleichklang zu "HTTP-Proxy", "HTTPS-Proxy" und und und her.

    Im "SMTP-Proxy" können dann zusätzlich die Funktionen eines Mailrelays aktiviert werden: Antivirus, Spamblocker, Absender- und Empfängerfilterung, Nachrichtengrößen, ....


    Grüße Steve

    Donnerstag, 29. Dezember 2016 12:48
  • Nur zur Klarstellung:

    "SMTP-Proxy" ist nur der Name bei Watchguard und bezeichnet grundlegend eine Firewall-Regel für Port 25 und von welchen Hosts/Netzen zu welchen Hosts/Netzen kommuniziert werden darf. Watchguard stellt damit rein namentlich einen Gleichklang zu "HTTP-Proxy", "HTTPS-Proxy" und und und her.

    Im "SMTP-Proxy" können dann zusätzlich die Funktionen eines Mailrelays aktiviert werden: Antivirus, Spamblocker, Absender- und Empfängerfilterung, Nachrichtengrößen, ....

    Der SMTP Proxy bei Watchguard nimmt die Mail an, analyisiert sie und leitet sie dann über eine eigene Warteschlange nach innen weiter? Dann wäre der Begriff "Proxy" in der Tat verkehrt.

    Sollte Watchguard aber in der Kommunikation zwischen Absender und Exchange rein hören und dann transparent Änderungen daran vornehmen (sog. "Deep Inspection"), dann wäre das nicht erlaubt.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Donnerstag, 29. Dezember 2016 13:10
  • Am 29.12.2016 schrieb Nemaidas:
    Hi,
     > @AlphaRonin , danke ich wusste nicht das Popcon sowas kann, den Nichtzustellbar-Verteiler würde ich nicht integrieren, das wäre furchtbar :D

    Genau das schreibst du aber sogar in den Betreff.
    Ich zitier mal den Originalpost:
    >> Kann man hier dem Exchange irgendwie sagen, dass er alle Mails von catchall@domaine.de zum verteilen an ALLE Benutzer nimmt?

    Es gibt auch mit der Lösung noch ein paar Problemchen aber es ist zu mindest ein Ansatz mit dem man mal testen und arbeiten kann.

    Nein, nein und nochmal nein. Wie Robert schon schrieb: POP ist nicht die Lösung für dein Problem.

    @Robert So ist es gerade eingerichtet.

    Nein ist es nicht. Zumindest wenn ich dein bisheriges Konstrukt hier im Thread korrekt interpretiere. Ihr holt die Mails von Hosteurope ab - lese ich so zumindest aus dem Kontext. Falls ihr jetzt schon SMTP Zustellung habt, wo ist dann eigentlich euer Problem?

    Ist ja auch weiter nicht das Problem. Wie gesagt, wie ich die Mails durchbekomme ist nicht das Problem, ich würde nur gerne an diesem Konstrukt arbeiten und gucken ob man das sinnvoll einrichten kann.

    Nein kann man nicht.

    Eigentlich möchte ich eine Kontrolle der Mails durch die Firewall. Und bei simplen Port25 > Exchange funktioniert das nicht.

    Und warum nicht? Exchange kann super Spam filtern. Alternativ eben ein Relay davor, wie hier schon vorgeschlagen wurde. Je nachdem was ihr als Firewall einsetzt, ist das eben sogar schon drin. Wobei wenn ich POPConnector und Firewall höre, fällt mir grad kein Produkt dazu ein. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #10:
    I don't have an attitude problem. You have a perception problem.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/



    Donnerstag, 29. Dezember 2016 16:51