ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
Erstellen einer Firewallrichtlinie
Systemrichtlinien
Websiten sperren
Windowsupdate V5
Zeitsynchronisation
Mailzugriff
SMTP Server veröffentlichen
Exchange RPC über HTTPS
Formbased OWA
SSL Bridging mit HOSTS Datei
SSL Bridging mit Split DNS
Lokaler Remotedesktop
RDP-Serververöffentlichung
RDP-Serververöffentlichung 2
SQL Server Veröffentlichung
Oracle veröffentlichen
Ping zulassen
HTTP Filterung

 

Sichere Veröffentlichung eines SMTP-Mail-Servers mit ISA Server 2004


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2004

 

E-Mails haben in den meisten Unternehmen heutzutage einen sehr hohen Stellenwert. Immer mehr geschäftliche (und auch private) Korrespondenz wird über dieses schnelle, günstige und meist unkomplizierte Medium abgewickelt. Damit ein Unternehmen jedoch E-Mails empfangen und versenden kann, sind einige technische Voraussetzungen zu erfüllen. Irgendwie müssen der E-Mail-Server beziehungsweise die Clients mit dem E-Mail-Programm an das Internet angebunden werden. Es gibt mehrere sinnvolle und weniger sinnvolle Möglichkeiten, diese Anbindung zu realisieren. Kleine Unternehmen mit bis zu fünf Arbeitsplätzen und geringem E-Mailverkehr werden sich möglicherweise keinen eigenen Server für die E-Mail-Kommunikation anschaffen können/wollen. Da muss jeder einzelne Client seine E-Mails bei einem Anbieter im Internet abholen und an diesen zur Weiterleitung übermitteln. Etwas größere Unternehmen werden sicherlich einen eigenen E-Mail-Server einsetzen. Hierbei gibt es dann im Wesentlichen zwei Möglichkeiten, wie dieser hausinterne E-Mail-Server eingehende E-Mails bekommt. Die Sparvariante sieht so aus, dass der E-Mail-Server stellvertretend für die Client E-Mails beim Provider abholt und ausgehende an diesen übermittelt. Diese Methode bringt in der Regel wenig Stabilität und einen hohen Verwaltungsaufwand bei fehlender Flexibilität mit sich. Sie sehen schon, diesen Weg sollten Sie möglichst nicht wählen. Die zuverlässigere und am flexibelsten konfigurierbare Methode ist die direkte Anbindung des eigenen E-Mail-Servers an das Internet. Ok, dazu müssen ebenfalls einige Voraussetzungen erfüllt sein, die je nach Internet Service Provider (ISP) ein paar Euro kostet. Aber Sie werden anschließend wesentlich entspannter Ihr Wochenende genießen können. Die Veröffentlichung eines E-Mail-Servers wie zum Beispiel Microsoft Exchange Server ist sicherlich einer der zentralen Einsatzzwecke von ISA Server 2004.

Auf dieser Website finden Sie verschiedene Artikel, die Ihnen helfen werden, jede der oben aufgezählten Methoden zur Anbindung eines E-Mail-Servers/Clients mit ISA Server 2004 sicher zu realisieren.

  • Mailzugriff
    Hier finden Sie Konfigurationsschritte, um internen E-Mail-Clients einzeln das Empfangen und Senden von E-Mails zu erlauben. Verwenden Sie diesen Artikel ebenfalls, wenn Sie einen internen E-Mail-Server verwenden, der E-Mails stellvertretend für die Clients abholt und versendet
     
  • SMTP Server veröffentlichen
    Hier lernen Sie alles, was Sie benötigen, um einen E-Mail-Server direkt an das Internet anzubinden. Damit kann der E-Mail-Server selbstständig E-Mails empfangen ohne sie bei einem ISP abholen zu müssen. Ausgehende E-Mails werden direkt an den E-Mail-Server des Empfängers zugestellt
     
  • Exchange RPC über HTTPS
    Hier sehen Sie, welche Möglichkeiten Microsoft Exchange bietet, um mobilen Arbeitsstationen den Zugriff auf den internen Exchange-Server sicher und komfortabel zu ermöglichen. Diese Methode steht Ihnen nur ab Exchange Server 2003 und Office Outlook 2003 und höher zur Verfügung
     
  • Formbased OWA
    Hier finden Sie Konfigurationsschritte, um mobilen Benutzern den sicheren Zugriff auf ihr Postfach (E-Mail, Kalender, Aufgaben etc.) zu ermöglichen. Alles, was der Benutzer benötigt, ist irgendein PC mit einem Internet Browser

 

Damit Sie Ihren E-Mail-Server direkt an das Internet anbinden können und automatisch an Sie gesendete E-Mails empfangen können, müssen Sie ein paar Voraussetzungen erfüllen. Der E-Mail-Server des Absenders muss wissen, wo sich Ihr Server befindet. Dazu benötigen Sie natürlich eine Internetdomain und müssen im DNS-Server dieser Domain einen so genannten MX-Record festlegen. Dieser zeigt auf die öffentliche IP-Adresse Ihres E-Mail-Servers. Der sendende E-Mail-Server fragt diesen Eintrag ab und weiß daher, wohin er die Mail senden muss.

Wie sieht so etwas aus? Hier ein Auszug aus einem Beispiel-DNS-Zonenfile für firma1.de.

firma1.de         nameserver = pns.provider.de
firma1.de         nameserver = ns.provider2.de
firma1.de         nameserver = ns.firma1.de
firma1.de
                  primary name server   = ns.firma1.de
                  responsible mail addr = hostmaster.firma1.de
                  serial                = 2001110126
                  refresh               = 10800 (3 hours)
                  retry                 = 3600 (1 hour)
                  expire                = 686400 (7 days 22 hours 40 mins)
                  default TTL           = 43600 (12 hours 6 mins 40 secs)
firma1.de         MX preference         = 20, mail exchanger = mailfwd.provider.de
firma1.de         MX preference         = 10, mail exchanger = mail.firma1.de
ns.firma1.de      internet address      = 222.222.222.100
mail.firma1.de    internet address      = 222.222.222.102
www.firma1.de     internet address      = 222.222.222.101

Ggfs. müssen Sie Ihren Internet Service Provider bitten, die DNS Zone entsprechend anzupassen, sofern Sie die Zone nicht (wie im Beispiel oben) selber hosten.

Da ja zwischen E-Mail-Server und dem Internet noch der ISA Server 2004 steht, muss dieser die IP-Adresse 222.222.222.102 bekommen. Sie müssen noch dafür sorgen, dass der Exchange Server-Computer als SecureNAT-Client konfiguriert ist, das heißt, dass sein Default-Gateway der IP-Einstellungen auf den ISA Server zeigt. Anschließend können Sie die ISA Server 2004-Verwaltungskonsole aufrufen, um die Mailserververöffentlichungsregel zu erstellen.

Öffnen Sie dazu den Knoten "Firewallrichtlinien" und wählen Sie im Aufgabenbereich den Punkt "Mailserver veröffentlichen". Der "Assistent für neue Mailserver-Veröffentlichungsregeln" startet und leitet Sie durch die komplette Konfiguration:

Vergeben Sie wie immer einen sinnvollen Namen für die Richtlinie.

In diesem Beispiel soll ein SMTP-Server veröffentlicht werden, also wählen Sie bitte den untersten Punkt aus.

Im Normalfall wählen Sie nun "SMTP" aus. Newsgroups werden Sie kaum veröffentlichen und SMTP-S ist nicht so verbreitet und geeignet, um einen Mailserver damit zu veröffentlichen.

Geben Sie hier die interne IP-Adresse des Mail-Servers an. Beachten Sie nochmals, dass der Mail-Server als SecureNAT-Client konfiguriert ist!

In diesem Schritt wählen Sie das Interface aus, auf dem ISA Server eingehende Anfragen für SMTP (TCP 25) entgegennehmen soll. Im Regelfall ist das natürlich das externe Netzwerk.

Sofern Sie mehrere IP-Adressen an die externe Netzwerkkarte gebunden haben, können Sie hier bestimmen, welche IP für SMTP verwendet werden soll. Beachten Sie dabei, dass die IP mit dem MX-Record der DNS-Zone übereinstimmen muss. Beachten Sie bei der Planung ebenfalls, dass ISA Server 200x für ausgehende Verbindungen stets die erste konfigurierte IP-Adresse verwendet. Sie sollten daher unbedingt den Mailserver auf der ersten IP-Adresse veröffentlichen, um nicht Reverse-DNS-Lookup-Probleme zu bekommen.

Zum Schluss zeigt der Assistent noch eine kurze Zusammenfassung an, die Sie gegebenenfalls zu Dokumentationszwecken herauskopieren könnten.

Sie sehen nun die fertige Firewallrichtlinie:

 

Wenn wir schon von einer sicheren E-Mail-Server-Veröffentlichung mit SMTP sprechen, sollten Sie sich auch den SMTP-Filter von ISA Server 2004 ansehen. Im Artikel SMTP Anwendungsfilter finden Sie ausführlichere Informationen, an dieser Stelle hier sei nur knapp darauf verwiesen.

Der SMTP-Anwendungsfilter befindet sich in der ISA Server 2004-Verwaltungskonsole unter dem Knoten Konfiguration / Add-Ins:

Es empfiehlt sich, sämtliche nicht-verwendete SMTP-Befehle direkt am ISA Server zu blockieren:

Nachdem alle Konfigurationsschritte abgearbeitet sind und Sie die Änderungen übernommen haben, sollten Sie von einem externen Client aus die Verbindung testen. Geben Sie dazu am externen Client in einer Eingabeaufforderung den Befehl telnet 222.222.222.102 25 ein. Sie sollten ungefähr folgende Anzeige bekommen:

 

 

Stand: Friday, 28. August 2009/DR.


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher