DNS Einstellungen für Exchange 2016

1. offizieller Beitrag

    Hallo,


    erst einmal kurz zu meiner Umgebung:


    ich habe einen gemieteten vServer mit fester IP. Auf diesem Server ist Windows Server 2016 Datacenter und Exchange 2016 installiert. Bis her hat alles wunder bar funktioniert. Ich konnte Mails senden und empfangen.


    nun habe ich ein schreiben bekommen, dass auf meinem Server eine fehlerhafte Software läuft. explizit wurde hier "OPEN DNS RESOLVER" genannt. Dies schließt auf den DNS-Server. Nach einigen Recherchen bin auch dahinter gestiegen, wo das Problem liegt und habe dies auch abgestellt.


    meine Einstellung im DNS-Server wurden wie folgt geändert:


    Eigenschaften/Erweitert --> Hacken bei Rekursionsvorgang (und Weiterleitungen) deaktivieren rein
    dann auf dem Register Schnittstellen die IP-Adressen angegeben, die DNS-Anfragen verarbeiten.


    jetzt habe ich festgestellt, das mein Exchange Server weder eMails empfängt noch senden kann.



    Meine Fragen nun, welche Einstellungen muss ich machen, damit der Exchange wieder fehlerfrei arbeitet und das mein DNS Server sicher ist.


    PS: im Log-Verzeichnis für das senden steht leider keine Datei drin.



    Ich danke Euch schon im voraus für Eure Hilfe

    • Offizieller Beitrag

    Der Hacken heißt eigentlich Haken. Und normalerweise läuft auf einem Exchange kein DNS, was darauf schliessen läßt, dass du einen DC unter deinem Exchange laufen hast, was zumindest grenzwertig und nicht empfohlen ist. Ansonsten solltest du dich auch gleich mal noch drum kümmern, warum der DNS public erreichbar ist. Sieht mir stark nach vollkommener Bastelkonfiguration aus, was im Übrigen auch die Lizenzfrage aufwirft, wenn Exchangelizenzen darfst du im Allgemeinen nicht auf gemieteter Hardware betreiben.


    Bye
    Norbert

    • Offizieller Beitrag

    Wobei mir allerdings nicht wirklich klar ist, warum ein "OPEN DNS RESOLVER" eine fehlerhafte Software sein sollte.


    Damit kann man niemanden wirklich schaden, weil niemand gezwungen wird, den zu nutzen. Damit schade ich höchsten mir selbst, aber das ist meine Verantwortung.


    Anyway, den Problem ist kein Wunder, denn wenn Du das hier gemacht hast:


    Zitat von MHenschel261

    Eigenschaften/Erweitert --> Hacken bei Rekursionsvorgang (und Weiterleitungen) deaktivieren rein

    Macht der DNS keine Namensauflösung außerhalb seiner Zonen mehr. Das bedeutet dann, dass Exchange keine Auflösung mehr in Richtung Internet macht.


    Ich persönliche würde nun einen DNS speziell für die Sendeconnectoren einstellen (z.B. 8.8.8.8). Dann sollte das Mail senden wieder funktionieren.

    Zitat von MHenschel261

    dann auf dem Register Schnittstellen die IP-Adressen angegeben, die DNS-Anfragen verarbeiten.

    Das dagegen ist ziemlich egal, wenn damit hast Du nur fix die Netzwerkkarte eingestellt, die vorher eh schon DNS gespielt hat. Einstellungen hier sind nur sinnvoll, wenn ein Server mehrere Netzwerkkarten hat.


    Warum Mails nicht empfangen werden können, kann mangels Fehlermeldungen nur spekuliert werden. Ein DNS, der keine Namen aus dem Internet auflöst, wäre im Standard da kein Hinterungsgrund.


    Alternativ kann man in der Windows Firewall auch den Port 53 udp/tcp von Public sperren und dann den DNS Server wieder mit Rekursion oder wenigstens Weiterleitung betreiben.

    • Offizieller Beitrag
    Zitat von Robert

    Wobei mir allerdings nicht wirklich klar ist, warum ein "OPEN DNS RESOLVER" eine fehlerhafte Software sein sollte.

    https://blog.botfrei.de/2013/1…uliert-open-dns-resolver/


    Mal abgesehen davon, dass bei einer vermuteten nach extern offenen DNS konfig sicher noch diverses anderes im Argen sein könnte und der Betreiber zumindest mehr Infos nach außen gibt, als gut ist.


    Bye
    Norbert

    • Offizieller Beitrag

    Das beantwortet nicht die Frage, warum ein "OPEN DNS RESOLVER" eine fehlerhafte Software ist. ;)


    Es ist vielleicht eine fehlerhafte Konfiguration (woher will der Ersteller des Schreibens das überhaupt wissen, kennt der die Konfiguration so genau), aber die Software an sich macht erstmal genau das, was sie soll und ist damit per Definition nicht fehlerhaft.


    Außerdem ist der Artikel veraltet; er ist ja auch von 2013. Es gibt für die heutigen "Botnetze", die eh nur noch aus gekaperten Rechnen bestehen, keinen Grund mehr, noch einen DNS Server für DoS dazwischen zu nutzen. Es sind ja die vielen DNS-Anfragen, die den Ziel DNS-Server überlasten (andere Server kann man eh nicht angreifen), und das kann man dann mit den gekaperten Rechner auch gleich selbst machen.


    Das war ein Angriffsszenario aus einer Zeit, in der die Angreifer noch "eigene" Rechner genutzt haben. Heute spart man sich den Umweg und nimmt gleich die Bots.

    • Offizieller Beitrag

    Ich gehe davon aus, dass der Provider bei dem der Server betrieben wird, kein Teil eines ddos sein möchte(auch wenn das heute möglicherweise unwahrscheinlicher geworden ist dieses Szenario) und seine Kunden deswegen dahingehend überprüft. Und im Allgemeinen ist es für extern erreichbare (selbstbetriebene) DNS Server auch vollkommen wurscht, ob sie nur ihre eigene Zone auflösen können. ;) Wer einen DNS ins Netz stellt, sollte sich darüber eben Gedanken machen, genauso wie bei SMTP Servern. Da würdest du ein Open-Relay im Zweifel ja auch nicht positiv bewerten, obwohl es keine fehlerhafte Software darstellt.


    Zitat von TO

    habe einen gemieteten vServer mit fester IP. Auf diesem Server ist Windows Server 2016 Datacenter und Exchange 2016 installiert

    Wie gesagt, in so einem Szenario hab ich irgendwie immer einen 1und1 Rootserver vor Augen, welcher von Leuten mit MSDN oder ähnlichen Lizenzen als Hobby betrieben wird.