Konfiguration des ISA Server zur Unterstützung interner Mailclients (z.B. Outlook/Outlook Express)
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
E-Mails haben in den meisten Unternehmen heutzutage einen sehr hohen
Stellenwert. Immer mehr geschäftliche (und auch private) Korrespondenz wird über
dieses schnelle, günstige und meist unkomplizierte Medium abgewickelt. Damit ein
Unternehmen jedoch E-Mails empfangen und versenden kann, sind einige technische
Voraussetzungen zu erfüllen. Irgendwie müssen der E-Mail-Server beziehungsweise
die Clients mit dem E-Mail-Programm an das Internet angebunden werden. Es gibt
mehrere sinnvolle und weniger sinnvolle Möglichkeiten, diese Anbindung zu
realisieren. Kleine Unternehmen mit bis zu fünf Arbeitsplätzen und geringem
E-Mailverkehr werden sich möglicherweise keinen eigenen Server für die
E-Mail-Kommunikation anschaffen können/wollen. Da muss jeder einzelne Client
seine E-Mails bei einem Anbieter im Internet abholen und an diesen zur
Weiterleitung übermitteln. Etwas größere Unternehmen werden sicherlich einen
eigenen E-Mail-Server einsetzen. Hierbei gibt es dann im Wesentlichen zwei
Möglichkeiten, wie dieser hausinterne E-Mail-Server eingehende E-Mails bekommt.
Die Sparvariante sieht so aus, dass der E-Mail-Server stellvertretend für die
Client E-Mails beim Provider abholt und ausgehende an diesen übermittelt. Diese
Methode bringt in der Regel wenig Stabilität und einen hohen Verwaltungsaufwand
bei fehlender Flexibilität mit sich. Sie sehen schon, diesen Weg sollten Sie
möglichst nicht wählen. Die zuverlässigere und am flexibelsten konfigurierbare
Methode ist die direkte Anbindung des eigenen E-Mail-Servers an das Internet. Ok,
dazu müssen ebenfalls einige Voraussetzungen erfüllt sein, die je nach Internet
Service Provider (ISP) ein paar Euro kostet. Aber Sie werden anschließend
wesentlich entspannter Ihr Wochenende geniessen können. Die Veröffentlichung
eines E-Mail-Servers wie zum Beispiel Microsoft Exchange Server ist sicherlich
einer der zentralen Einsatzzwecke von ISA Server 2004.
Auf dieser Website finden Sie verschiedene Artikel, die Ihnen helfen werden,
jede der oben aufgezählten Methoden zur Anbindung eines E-Mail-Servers/Clients
mit ISA Server 2004 sicher zu realisieren.
- Mailzugriff
Hier finden Sie Konfigurationsschritte, um internen E-Mail-Clients einzeln das Empfangen und Senden von E-Mails zu erlauben. Verwenden Sie diesen Artikel ebenfalls, wenn Sie einen internen E-Mail-Server verwenden, der E-Mails stellvertretend für die Clients abholt und versendet
- SMTP Server veröffentlichen
Hier lernen Sie alles, was Sie benötigen, um einen E-Mail-Server direkt an das Internet anzubinden. Damit kann der E-Mail-Server selbstständig E-Mails empfangen ohne sie bei einem ISP abholen zu müssen. Ausgehende E-Mails werden direkt an den E-Mail-Server des Empfängers zugestellt
- Exchange RPC über HTTPS
Hier sehen Sie, welche Möglichkeiten Microsoft Exchange bietet, um mobilen Arbeitsstationen den Zugriff auf den internen Exchange-Server sicher und komfortabel zu ermöglichen. Diese Methode steht Ihnen nur ab Exchange Server 2003 und Office Outlook 2003 und höher zur Verfügung
- Formbased OWA
Hier finden Sie Konfigurationsschritte, um mobilen Benutzern den sicheren Zugriff auf ihr Postfach (E-Mail, Kalender, Aufgaben etc.) zu ermöglichen. Alles, was der Benutzer benötigt, ist irgendein PC mit einem Internet Browser
Da im Artikel Erstellen einer Firewallrichtlinie bereits sehr ausführlich auf das Erstellen von Firewallrichtlinien eingegangen wurde, beschränkt sich dieser Artikel auf die wesentlichen Schritte um einem internen Mailclient (wie z.B. Outlook Express) die Anbindung an einen externen Mailserver (z.B. gmx.de) zu ermöglichen.
Nach der ISA Installation sind ja bekanntlich sämtliche Verbindungen blockiert. Jedes notwendige Protokoll muss zuerst zugelassen werden. Damit ein Mailclient mit einem externen Mailserver kommunizieren kann werden gewöhnlich zwei Protokolle benötigt: SMTP fürs senden und POP3 zum Mails abholen. Deshalb sollten auch nur diese beiden Protokolle freigegeben werden. Und das dann am besten nicht gleich für das ganze interne Netzwerk sondern nur für einzeln festgelegte Computer. Warum? Ganz einfach, welchen Grund sollte es z.B. für einen Netzwerkdrucker geben, Mails nach extern versenden zu können?
Der ISA Server kann Regeln anhand Benutzernamen oder IP-Adressen zulassen/verweigern. Im ersten Fall ist der Firewallclient notwendig, für IP-basierte Regeln reicht der SecureNAT-Client. Üblicherweise sollte der SecureNAT Client ausreichend sein.
Das folgende Beispiel soll eine Richtlinie erstellen, die folgende Bedingungen erfüllt: Die Benutzer Cornelia, Birgit und Andreas sollen von ihren jeweiligen Clients (192.168.16.19, 192.168.16.59 und 192.168.16.34) ganztags Mails bei GMX abholen und versenden können.
Dazu wird eine neue Firewallrichtlinie erstellt:
Diese Regel soll eine Zulassungsregel sein...
....und nur für POP3 und SMTP gelten.
Als nächstes muss ein Computersatz für die drei Benutzer erstellt werden:
Dieser neu erstellte Computersatz wird als Quelle für die Zulassungsregel verwendet:
Damit die Benutzer auch nur den erlaubten Mailaccount bei GMX nutzen können wird ein weiteres Computer-Objekt angelegt...
...und als Ziel für die Regel verwendet:
Nachdem der Richtlinienassistent beendet wurde und die neue Regel übernommen wurde ist sie einsatzbereit.
Die berechtigte Frage die hier aufkommen kann ist, warum die drei Benutzer nicht unter Bedingung eingetragen wurden. Die Lösung ist einfach: dazu wäre der Firewallclient notwendig gewesen. Nur mit diesem ist eine echte Benutzerauthentifizierung möglich. In diesem Beispiel sind jedoch nur die IP Adressen der Clients relevant.
Stand: Friday, 28. August 2009/DR.
