Vorgeschalteter Exchange 2003 als Relay und Virenscanner

1. offizieller Beitrag

    Hallo!


    Wir planen gerade unsere bisheriges Mailsystem auf Exchange 2003 umzustellen.


    (Die Diskussion warum wir nicht 2007 nehmen haben wir schon mehrfach gehabt, aber unsere Entscheidung blieb bei 2003)


    Unser derzeitiges Mailsystem holt die Mails von einem Provider aus teilweise personenbezogen Postfächern und einem "catch all" Postfach ab. Dieses möchte ich im Rahmen der Umstellung auch abschaffen.


    Jetzt meine Grobe Idee zur Planung des Exchange Server:


    Da ich wenig Lust habe, meine Exchange Server der die ganzen Postfächer hält direkt ans Internet zu hängen sind bin ich im Rahmen meiner Planung auf ein Konzept gestossen welches mir wohl gefallen könnte:


    Ich Stelle einen Exchange Server in einer "DMZ" - es soll lediglich der Port 25 durchgereicht werden (später natürlich auch noch weitere für den Web-Zugriff usw.) Dieser soll die Mails annehmen, prüfen ob es die Mailadressen gibt (aus dem AD), wenn ja, anehmen, nach Viren durchsuchen und dann an den eigentlich Exchange-Server durchreichen damit dieser es dem Postfach zustellen kann.


    Hat einer schon eine ähnliche Konfiugration und kann mir der ein oder andere vielleicht noch ein paar Tips geben, um schon Fehler zu verhindern, bevor ich das System aufsetze.


    Ich habe mich hier im Forum auch schon umgesehen, aber leider noch keinen passenende Beitrag gefunden.


    Ich bedanke mich jetzt schon für zahlreich Hinweise.


    Manu

    • Offizieller Beitrag

    Hallo,


    in der Theorie generell gut. Denn so funktioniert das mit dem Edge Server in 2007 auch.


    Aber wie soll der Exchange Server die Zugriffe auf das AD machen um die adressen zu überprüfen wenn nur Port 25 offen ist?


    Von der MS Produktgruppe wird es nicht empfohlen einen E2k3 in die DMZ zu stellen. Dazu müsstest Du deine Firewall aufmachen und das birgt dann wieder Angriffspunkte.

    Der Exchange Server, der in der "DMZ" steht, connectet über eine zweite Netzwerkkarte und Firewall über die entsprechenden Ports auf dem "Postfach"-Exchange Server

    • Offizieller Beitrag

    Hallo,


    er muss sich auch gegen den DC verbinden können um die LDP Queries absetzen zu können. Dazu muss noch Port 3268 in/out geöffnet werden.


    80/TCP HTTP <== evtl. nicht relevant
    143/TCP IMAP <== evtl. nicht relevant
    110/TCP POP <== evtl. nicht relevant
    25/TCP SMTP
    389/TCP LDAP to Directory Service
    389/UDP LDAP to Directory Service
    3268/TCP LDAP to Global Catalog Server

    Zitat

    25/TCP SMTP
    389/TCP LDAP to Directory Service
    389/UDP LDAP to Directory Service
    3268/TCP LDAP to Global Catalog Server


    Ich glaube Port 53 DNS müsste auch noch dazu, oder habe ich das falsch?


    Der Server soll auch als Memberserver in der Domäne damit ich die Benutzerkonten dort auch zur Verfügung habe.


    Würde es mit dieser Firewallkonfiguration eine Problem geben, wenn der "Relay"-Exchange in der gleichen Routinggruppe ist, oder muss der zwangsläufig in eine andere Routinggruppe?


    Oder muss der nicht sogar in eine extra Routingruppe?