ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
Erstellen einer Firewallrichtlinie
Systemrichtlinien
Websiten sperren
Windowsupdate V5
Zeitsynchronisation
Mailzugriff
SMTP Server veröffentlichen
Exchange RPC über HTTPS
Formbased OWA
SSL Bridging mit HOSTS Datei
SSL Bridging mit Split DNS
Lokaler Remotedesktop
RDP-Serververöffentlichung
RDP-Serververöffentlichung 2
SQL Server Veröffentlichung
Oracle veröffentlichen
Ping zulassen
HTTP Filterung

 

Konfiguration des ISA Server zur Unterstützung interner Mailclients (z.B. Outlook/Outlook Express)


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2004

 

E-Mails haben in den meisten Unternehmen heutzutage einen sehr hohen Stellenwert. Immer mehr geschäftliche (und auch private) Korrespondenz wird über dieses schnelle, günstige und meist unkomplizierte Medium abgewickelt. Damit ein Unternehmen jedoch E-Mails empfangen und versenden kann, sind einige technische Voraussetzungen zu erfüllen. Irgendwie müssen der E-Mail-Server beziehungsweise die Clients mit dem E-Mail-Programm an das Internet angebunden werden. Es gibt mehrere sinnvolle und weniger sinnvolle Möglichkeiten, diese Anbindung zu realisieren. Kleine Unternehmen mit bis zu fünf Arbeitsplätzen und geringem E-Mailverkehr werden sich möglicherweise keinen eigenen Server für die E-Mail-Kommunikation anschaffen können/wollen. Da muss jeder einzelne Client seine E-Mails bei einem Anbieter im Internet abholen und an diesen zur Weiterleitung übermitteln. Etwas größere Unternehmen werden sicherlich einen eigenen E-Mail-Server einsetzen. Hierbei gibt es dann im Wesentlichen zwei Möglichkeiten, wie dieser hausinterne E-Mail-Server eingehende E-Mails bekommt. Die Sparvariante sieht so aus, dass der E-Mail-Server stellvertretend für die Client E-Mails beim Provider abholt und ausgehende an diesen übermittelt. Diese Methode bringt in der Regel wenig Stabilität und einen hohen Verwaltungsaufwand bei fehlender Flexibilität mit sich. Sie sehen schon, diesen Weg sollten Sie möglichst nicht wählen. Die zuverlässigere und am flexibelsten konfigurierbare Methode ist die direkte Anbindung des eigenen E-Mail-Servers an das Internet. Ok, dazu müssen ebenfalls einige Voraussetzungen erfüllt sein, die je nach Internet Service Provider (ISP) ein paar Euro kostet. Aber Sie werden anschließend wesentlich entspannter Ihr Wochenende geniessen können. Die Veröffentlichung eines E-Mail-Servers wie zum Beispiel Microsoft Exchange Server ist sicherlich einer der zentralen Einsatzzwecke von ISA Server 2004.

Auf dieser Website finden Sie verschiedene Artikel, die Ihnen helfen werden, jede der oben aufgezählten Methoden zur Anbindung eines E-Mail-Servers/Clients mit ISA Server 2004 sicher zu realisieren.

  • Mailzugriff
    Hier finden Sie Konfigurationsschritte, um internen E-Mail-Clients einzeln das Empfangen und Senden von E-Mails zu erlauben. Verwenden Sie diesen Artikel ebenfalls, wenn Sie einen internen E-Mail-Server verwenden, der E-Mails stellvertretend für die Clients abholt und versendet
     
  • SMTP Server veröffentlichen
    Hier lernen Sie alles, was Sie benötigen, um einen E-Mail-Server direkt an das Internet anzubinden. Damit kann der E-Mail-Server selbstständig E-Mails empfangen ohne sie bei einem ISP abholen zu müssen. Ausgehende E-Mails werden direkt an den E-Mail-Server des Empfängers zugestellt
     
  • Exchange RPC über HTTPS
    Hier sehen Sie, welche Möglichkeiten Microsoft Exchange bietet, um mobilen Arbeitsstationen den Zugriff auf den internen Exchange-Server sicher und komfortabel zu ermöglichen. Diese Methode steht Ihnen nur ab Exchange Server 2003 und Office Outlook 2003 und höher zur Verfügung
     
  • Formbased OWA
    Hier finden Sie Konfigurationsschritte, um mobilen Benutzern den sicheren Zugriff auf ihr Postfach (E-Mail, Kalender, Aufgaben etc.) zu ermöglichen. Alles, was der Benutzer benötigt, ist irgendein PC mit einem Internet Browser

 

Da im Artikel Erstellen einer Firewallrichtlinie bereits sehr ausführlich auf das Erstellen von Firewallrichtlinien eingegangen wurde, beschränkt sich dieser Artikel auf die wesentlichen Schritte um einem internen Mailclient (wie z.B. Outlook Express) die Anbindung an einen externen Mailserver (z.B. gmx.de) zu ermöglichen.

Nach der ISA Installation sind ja bekanntlich sämtliche Verbindungen blockiert. Jedes notwendige Protokoll muss zuerst zugelassen werden. Damit ein Mailclient mit einem externen Mailserver kommunizieren kann werden gewöhnlich zwei Protokolle benötigt: SMTP fürs senden und POP3 zum Mails abholen. Deshalb sollten auch nur diese beiden Protokolle freigegeben werden. Und das dann am besten nicht gleich für das ganze interne Netzwerk sondern nur für einzeln festgelegte Computer. Warum? Ganz einfach, welchen Grund sollte es z.B. für einen Netzwerkdrucker geben, Mails nach extern versenden zu können?

Der ISA Server kann Regeln anhand Benutzernamen oder IP-Adressen zulassen/verweigern. Im ersten Fall ist der Firewallclient notwendig, für IP-basierte Regeln reicht der SecureNAT-Client. Üblicherweise sollte der SecureNAT Client ausreichend sein.

Das folgende Beispiel soll eine Richtlinie erstellen, die folgende Bedingungen erfüllt: Die Benutzer Cornelia, Birgit und Andreas sollen von ihren jeweiligen Clients (192.168.16.19, 192.168.16.59 und 192.168.16.34) ganztags Mails bei GMX abholen und versenden können.

Dazu wird eine neue Firewallrichtlinie erstellt:


Diese Regel soll eine Zulassungsregel sein...


....und nur für POP3 und SMTP gelten.

Als nächstes muss ein Computersatz für die drei Benutzer erstellt werden:

Dieser neu erstellte Computersatz wird als Quelle für die Zulassungsregel verwendet:

Damit die Benutzer auch nur den erlaubten Mailaccount bei GMX nutzen können wird ein weiteres Computer-Objekt angelegt...

...und als Ziel für die Regel verwendet:

Nachdem der Richtlinienassistent beendet wurde und die neue Regel übernommen wurde ist sie einsatzbereit.

Die berechtigte Frage die hier aufkommen kann ist, warum die drei Benutzer nicht unter Bedingung eingetragen wurden. Die Lösung ist einfach: dazu wäre der Firewallclient notwendig gewesen. Nur mit diesem ist eine echte Benutzerauthentifizierung möglich. In diesem Beispiel sind jedoch nur die IP Adressen der Clients relevant.

 

Stand: Friday, 28. August 2009/DR.


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher