Veröffentlichung eines Exchange Servers mit dem ISA - Teil 1: SMTP-Anbindung
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
Dieses Kapitel beschäftigt sich mit der Anbindung und Veröffentlichung eines Exchange-Servers an das Internet über einen ISA Server. Dabei kann man drei Teile abgrenzen:
- Exchange veröffentlichen, so dass Mails vom Internet per SMTP empfangen werden können
- Exchange ans Internet anbinden, sodass per SMTP Mails versendet werden können
- Outlook WebAccess einrichten (Zugriff auf Postfächer per Webbrowser)
Alle drei Themenbereiche möchte ich hier vorstellen.
1. Exchange Server veröffentlichen um Internet-Mails empfangen zu können
Wichtigste Grundlage für den Empfang von Mails ist (natürlich neben einer eigenen Domain) ein korrekt gesetzter MX-Record. Wie sieht sowas aus? Hier ein Auszug aus einem Beispiel-DNS-Zonenfile für firma1.de (siehe auch die ausführliche DNS-Konfiguration unter WebServer veröffentlichen - Teil 1)
firma1.de
nameserver = pns.provider.de
firma1.de nameserver =
ns.provider2.de
firma1.de nameserver =
ns.firma1.de
firma1.de
primary name server = ns.firma1.de
responsible mail addr = hostmaster.firma1.de
serial
= 2001110126
refresh
= 10800 (3 hours)
retry
= 3600 (1 hour)
expire
= 686400 (7 days 22 hours 40 mins)
default TTL = 43600
(12 hours 6 mins 40 secs)
firma1.de MX preference
= 20, mail exchanger = mailfwd.provider.de
firma1.de MX preference
= 10, mail exchanger = mail.firma1.de
ns.firma1.de internet address
= 222.222.222.100
mail.firma1.de internet address
= 222.222.222.102
www.firma1.de internet address
= 222.222.222.101
Ggfs müssen Sie Ihren Internet Service Provider bitten, die DNS Zone entsprechend anzupassen.
Anhand des MX-Records kann der Absende-Mailserver feststellen, welche IP-Adresse der Ziel-Mailserver hat und ihm dann die Mail übergeben. In unserem Fall muss der ISA Server u.a. die öffentliche IP-Adresse 222.222.222.102 haben.
Eine zuverlässige Anbindung dieser Art ist nur dann gewährleistet wenn der ISA über mindestens eine statische öffentliche IP-Adresse verfügt.
Hinweis: Es gibt noch weitere Möglichkeiten, wie der Exchange-Server seine Mails "zugestellt" bekommen kann: Über einen Pop3-Connector; dem wird die Anleitung ISA und SBS gerecht. Oder - etwas seltener - über ETRN. Letzteres ist aber sehr Exchange-spezifisch und kann hier nicht Bestandteil einer Besprechung sein.
Wenn diese Vorraussetzungen erledigt sind, können wir den ISA für eingehende Mails vorbereiten. Der interne Exchange-Server hat die IP-Adresse 192.168.220.20; die öffentliche IP-Adresse für den mail-Host lautet 192.168.69.100. Ausserdem muss sichergestellt werden, dass der Exchange-Server als SecureNAT Client konfiguriert ist (keinen Firewall Client installieren!).
Dafür benötigen wir eine Serververöffentlichungsregel. Der ISA stellt für diesen Anwendungsfall auch einen "Mailserver sichern..." Assistenten zur Verfügung. Zwecks besserer Transparenz verwende ich eine selbsterstelle Serververöffentlichung.
Hinweis: Sofern sich der Exchange-Server auf dem ISA Server befindet wird keine Serververöffentlichung benötigt. Diese Situation entspricht dem SBS und wurde in einem eigenen Kapitel in der msisafaq.de besprochen.
Auf der nächsten Seite gibt es die Möglichkeit, den Zugriff auf bestimmte Computer zu begrenzen. Im allgemeinen macht dies wenig Sinn. Zum Schluss zeigt die Zusammenfassung die wesentlichen Details:
Wenn nun alles korrekt war, ist der Exchange Server ab sofort bereit, Mails zu empfangen. Auf die Konfiguration des Exchange-Servers gehe ich an dieser Stelle nicht ein. Weitere Infos hierzu unter: Links
Wir können das sofort via telnet überprüfen:
telnet 192.168.69.100 25
2. Exchange ermöglichen, Mails zu versenden
Dieser Part ist recht einfach. Wir benötigen lediglich eine Protokollregel, die SMTP-Verkehr zulässt. Der Exchange Server muss ein SecureNAT Client sein.
Wir erstellen hierzu zuerst einen Clientadresssatz, damit wir in der Protokollregel festlegen können, dass auch nur der Exchange Server Mails versenden kann:
Mit diesem Clientsatz erstellen wir eine neue Protokollregel:
Von nun an darf lediglich der Server 192.168.220.10 Mails versenden. Dies kann eine zusätzliche Sicherheitsmaßnahme sein um z.B. unerlaubten Mailverkehr oder E-Mail-Würmer zu verhindern.
Stand: Friday, 28. August 2009/DR.
