Sichere Veröffentlichung eines SMTP-Mail-Servers mit ISA Server 2004
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
E-Mails haben in den meisten Unternehmen heutzutage einen sehr hohen
Stellenwert. Immer mehr geschäftliche (und auch private) Korrespondenz wird über
dieses schnelle, günstige und meist unkomplizierte Medium abgewickelt. Damit ein
Unternehmen jedoch E-Mails empfangen und versenden kann, sind einige technische
Voraussetzungen zu erfüllen. Irgendwie müssen der E-Mail-Server beziehungsweise
die Clients mit dem E-Mail-Programm an das Internet angebunden werden. Es gibt
mehrere sinnvolle und weniger sinnvolle Möglichkeiten, diese Anbindung zu
realisieren. Kleine Unternehmen mit bis zu fünf Arbeitsplätzen und geringem
E-Mailverkehr werden sich möglicherweise keinen eigenen Server für die
E-Mail-Kommunikation anschaffen können/wollen. Da muss jeder einzelne Client
seine E-Mails bei einem Anbieter im Internet abholen und an diesen zur
Weiterleitung übermitteln. Etwas größere Unternehmen werden sicherlich einen
eigenen E-Mail-Server einsetzen. Hierbei gibt es dann im Wesentlichen zwei
Möglichkeiten, wie dieser hausinterne E-Mail-Server eingehende E-Mails bekommt.
Die Sparvariante sieht so aus, dass der E-Mail-Server stellvertretend für die
Client E-Mails beim Provider abholt und ausgehende an diesen übermittelt. Diese
Methode bringt in der Regel wenig Stabilität und einen hohen Verwaltungsaufwand
bei fehlender Flexibilität mit sich. Sie sehen schon, diesen Weg sollten Sie
möglichst nicht wählen. Die zuverlässigere und am flexibelsten konfigurierbare
Methode ist die direkte Anbindung des eigenen E-Mail-Servers an das Internet. Ok,
dazu müssen ebenfalls einige Voraussetzungen erfüllt sein, die je nach Internet
Service Provider (ISP) ein paar Euro kostet. Aber Sie werden anschließend
wesentlich entspannter Ihr Wochenende genießen können. Die Veröffentlichung
eines E-Mail-Servers wie zum Beispiel Microsoft Exchange Server ist sicherlich
einer der zentralen Einsatzzwecke von ISA Server 2004.
Auf dieser Website finden Sie verschiedene Artikel, die Ihnen helfen werden,
jede der oben aufgezählten Methoden zur Anbindung eines E-Mail-Servers/Clients
mit ISA Server 2004 sicher zu realisieren.
- Mailzugriff
Hier finden Sie Konfigurationsschritte, um internen E-Mail-Clients einzeln das Empfangen und Senden von E-Mails zu erlauben. Verwenden Sie diesen Artikel ebenfalls, wenn Sie einen internen E-Mail-Server verwenden, der E-Mails stellvertretend für die Clients abholt und versendet
- SMTP Server veröffentlichen
Hier lernen Sie alles, was Sie benötigen, um einen E-Mail-Server direkt an das Internet anzubinden. Damit kann der E-Mail-Server selbstständig E-Mails empfangen ohne sie bei einem ISP abholen zu müssen. Ausgehende E-Mails werden direkt an den E-Mail-Server des Empfängers zugestellt
- Exchange RPC über HTTPS
Hier sehen Sie, welche Möglichkeiten Microsoft Exchange bietet, um mobilen Arbeitsstationen den Zugriff auf den internen Exchange-Server sicher und komfortabel zu ermöglichen. Diese Methode steht Ihnen nur ab Exchange Server 2003 und Office Outlook 2003 und höher zur Verfügung
- Formbased OWA
Hier finden Sie Konfigurationsschritte, um mobilen Benutzern den sicheren Zugriff auf ihr Postfach (E-Mail, Kalender, Aufgaben etc.) zu ermöglichen. Alles, was der Benutzer benötigt, ist irgendein PC mit einem Internet Browser
Damit Sie Ihren E-Mail-Server direkt an das Internet anbinden können und
automatisch an Sie gesendete E-Mails empfangen können, müssen Sie ein paar
Voraussetzungen erfüllen. Der E-Mail-Server des Absenders muss wissen, wo sich
Ihr Server befindet. Dazu benötigen Sie natürlich eine Internetdomain und müssen
im DNS-Server dieser Domain einen so genannten MX-Record festlegen. Dieser zeigt
auf die öffentliche IP-Adresse Ihres E-Mail-Servers. Der sendende E-Mail-Server
fragt diesen Eintrag ab und weiß daher, wohin er die Mail senden muss.
Wie sieht so etwas aus? Hier ein Auszug aus einem Beispiel-DNS-Zonenfile für
firma1.de.
firma1.de
nameserver = pns.provider.de
firma1.de nameserver =
ns.provider2.de
firma1.de nameserver =
ns.firma1.de
firma1.de
primary name server = ns.firma1.de
responsible mail addr = hostmaster.firma1.de
serial
= 2001110126
refresh
= 10800 (3 hours)
retry
= 3600 (1 hour)
expire
= 686400 (7 days 22 hours 40 mins)
default TTL = 43600
(12 hours 6 mins 40 secs)
firma1.de MX preference
= 20, mail exchanger = mailfwd.provider.de
firma1.de MX preference
= 10, mail exchanger = mail.firma1.de
ns.firma1.de internet address
= 222.222.222.100
mail.firma1.de internet address
= 222.222.222.102
www.firma1.de internet address
= 222.222.222.101
Ggfs. müssen Sie Ihren Internet Service Provider bitten, die DNS Zone
entsprechend anzupassen, sofern Sie die Zone nicht (wie im Beispiel oben) selber
hosten.
Da ja zwischen E-Mail-Server und dem Internet noch der ISA Server 2004 steht,
muss dieser die IP-Adresse 222.222.222.102 bekommen. Sie müssen noch dafür
sorgen, dass der Exchange Server-Computer als
SecureNAT-Client konfiguriert
ist, das heißt, dass sein Default-Gateway der IP-Einstellungen auf den ISA
Server zeigt. Anschließend können Sie die ISA Server 2004-Verwaltungskonsole
aufrufen, um die Mailserververöffentlichungsregel zu erstellen.
Öffnen Sie dazu den Knoten "Firewallrichtlinien" und wählen Sie im
Aufgabenbereich den Punkt "Mailserver veröffentlichen". Der "Assistent für neue
Mailserver-Veröffentlichungsregeln" startet und leitet Sie durch die komplette
Konfiguration:
Vergeben Sie wie immer einen sinnvollen Namen für die Richtlinie.
In diesem Beispiel soll ein SMTP-Server veröffentlicht werden, also wählen Sie bitte den untersten Punkt aus.
Im Normalfall wählen Sie nun "SMTP" aus. Newsgroups werden Sie kaum veröffentlichen und SMTP-S ist nicht so verbreitet und geeignet, um einen Mailserver damit zu veröffentlichen.
Geben Sie hier die interne IP-Adresse des Mail-Servers an. Beachten Sie nochmals, dass der Mail-Server als SecureNAT-Client konfiguriert ist!
In diesem Schritt wählen Sie das Interface aus, auf dem ISA Server eingehende Anfragen für SMTP (TCP 25) entgegennehmen soll. Im Regelfall ist das natürlich das externe Netzwerk.
Sofern Sie mehrere IP-Adressen an die externe Netzwerkkarte gebunden haben, können Sie hier bestimmen, welche IP für SMTP verwendet werden soll. Beachten Sie dabei, dass die IP mit dem MX-Record der DNS-Zone übereinstimmen muss. Beachten Sie bei der Planung ebenfalls, dass ISA Server 200x für ausgehende Verbindungen stets die erste konfigurierte IP-Adresse verwendet. Sie sollten daher unbedingt den Mailserver auf der ersten IP-Adresse veröffentlichen, um nicht Reverse-DNS-Lookup-Probleme zu bekommen.
Zum Schluss zeigt der Assistent noch eine kurze Zusammenfassung an, die Sie gegebenenfalls zu Dokumentationszwecken herauskopieren könnten.
Sie sehen nun die fertige Firewallrichtlinie:
Wenn wir schon von einer sicheren E-Mail-Server-Veröffentlichung mit SMTP sprechen, sollten Sie sich auch den SMTP-Filter von ISA Server 2004 ansehen. Im Artikel SMTP Anwendungsfilter finden Sie ausführlichere Informationen, an dieser Stelle hier sei nur knapp darauf verwiesen.
Der SMTP-Anwendungsfilter befindet sich in der ISA Server 2004-Verwaltungskonsole unter dem Knoten Konfiguration / Add-Ins:
Es empfiehlt sich, sämtliche nicht-verwendete SMTP-Befehle direkt am ISA Server zu blockieren:
Nachdem alle Konfigurationsschritte abgearbeitet sind und Sie die Änderungen übernommen haben, sollten Sie von einem externen Client aus die Verbindung testen. Geben Sie dazu am externen Client in einer Eingabeaufforderung den Befehl telnet 222.222.222.102 25 ein. Sie sollten ungefähr folgende Anzeige bekommen:
Stand: Friday, 28. August 2009/DR.
