Hallo!

Wir wollen in der Firma unsere Domäne selber im Internet hosten (Company Connect mit fester IP-Adresse).
Als OS für den Web/Mail-Server kommt W2k-Server zum Einsatz, welcher in der DMZ bei uns steht.

Nuzn habe ich ein kleines Verständnis-Problem:
Wie landen die Mails, die an name@unsere-domäne.de gesendet werden auf unserem Web/Mail-Server?
Ich kenne das so, dass unser interne Exchange-Server über POP3 die Mails aus dem Internet geholt hat und dann intern verteilt.
Wie sieht die Kommunikations zukünftig aus?

Danke + Gruß,
MGeee

mmm...

Ganz grob umrissen: Eure Kiste selber steht frei erreichbar im Internet und präsentiert eure Webseite. Dann öffnet ihr noch den Port für die EMails und schon kann der Webserver die EMails ebenfalls entgegennehmen. Eurer Exchange- Server muss eventuell umkonfiguriert werden, je nachdem, was dort als Adresse eingetragen ist, soweit ich dich verstanden habe, holt er die EMails aber nur ab.
Die anderen Rechner/ Router müssen nur die IP kennen, um die Packete zu versenden (IP durch Namensauflösung herausfinden). Interessant ist eigentlich eher, ab wann eure Webseite unter der festen IP erreichbar ist, die Router brauchen meistens 1 - 2 Tage, um sich auf die IP einzustellen, ansonsten sendet jemand aus Hinterbayern noch an die alte IP die Sachen und diese gehen verloren ... Ulukay, Proust und die anderen können das aber besser erklären und dir mehr Tips wegen DMZ und Sicherheit geben ... FAQ zu EMail- Headers verstehen (http://sites.inka.de/ancalagon/faq/headerfaq.php3) ...

Danke für die Zusammenfassung.
Die Mails landen also, wenn ich Port-Forwarding an der Firewall aktiviert habe, automatisch im Mailserver?
Welcher Mail-Srerver ist zu empfehlen (erstmal möglichst günstig oder Freeware)?
Wie richtie ich einen Postmaster ein, der alle Mails bekommt, die kein Ziel haben?

mmm...

1.) Jup, so sollte es sein, wenn der Dienst "richtig" läuft.
2.) Ehrlich gesagt, Linux/ *BSD ;), allerdings muss sich da jemand die Zeit nehmen und die Sachen konfigurieren (OS installieren, Apache, EMail und dann sollte es laufen). Achja, der Webserver sollte nur eingeschränkte Rechte bekommen, ansonsten ist er ein zu leichtes Ziel für Hacker ...
3.) Ist wieder eine Einstellungssache, die Abhängig vom Programm ist (sprich, ob es unterstüzt wird oder nicht und je nachdem unter Option XYZ) ...

Danke :)

Leider ist es eine Windows-Maschine (meine Fav war auch ein Linux-Server), da www.sync4j.org einsetzen wollen und zukünftig ASP-Scripte einsetzen werden.
Exchange wollte ich für diese Maschine aber nicht nehmen.
Kannst Du einen brauchbaren Mailserver unter Windows empfehlen, oder kann man da prinizipiell jeden x-beliebigen nehmen? Ich hatte da den jana-server im Visier...

mmm...

Leider nein :( ... was sind den die allgemeinen Anforderungen an die Maschine selber? vielleicht kann dann jemand anderes was dazu sagen und Software empfehlen ...

OS: Win 2000
Webserver: (soll ASP können)
EMail:
Weitere Dienste:

Tu dir selbst den Gefallen und lies dich zumindest *ein bischen* in die Materie ein. Den Server zum Laufen zu bringen ist eine Sache, aber falls er nicht richtig konfiguriert ist, wird er schnell zum Einfallstor für Relaying & Co.

Original geschrieben von Lokadamus
mmm...

Leider nein :( ... was sind den die allgemeinen Anforderungen an die Maschine selber? vielleicht kann dann jemand anderes was dazu sagen und Software empfehlen ...

OS: Win 2000
Webserver: (soll ASP können)
EMail:
Weitere Dienste:

Anfangs sind die Anforderungen nicht groß... er soll E-Mails weiterleiten und HTML-Seiten anbieten. Erst später kommenen weitere Funktionen hinzu.

Original geschrieben von Nagilum
Tu dir selbst den Gefallen und lies dich zumindest *ein bischen* in die Materie ein. Den Server zum Laufen zu bringen ist eine Sache, aber falls er nicht richtig konfiguriert ist, wird er schnell zum Einfallstor für Relaying & Co.

Wo bekomme ich das nötige Wissen... hast Du da einen Buchtipp oder Link?

Also ein Buch brauchst du dir nun nicht gerade zu kaufen. Lies dir einfach die beiliegende Dokumentation des auserwählten Web- und Mailservers aufmerksam durch. Also nicht dieses typische:

- Installieren
- bischen an den Werten spielen
- irgendwie zum Laufen bringen
- und Tschüss

Und dann 2 Wochen später: Scheisse, Chef! Alles kaputt! Weiss auch von nix! :)

Achja. Apache kann wohl auch mit ASP umgehen (ASP.NET dunno) (siehe hier (http://www.apache-asp.org/)). Bei der Auswahl des Webservers könnte man ihn (und damit auch Linux) durchaus in Erwägung ziehen, denn so gut ist der Ruf des IIS nun auch wieder nicht. :)

... der Web/Mail-Server soll mit an unseren Symantec AntiVirus Server, da ist dann definitiv nix mehr mit Linux

Lokadamus, ich darf aber leider nicht mehr posten...oder soll nicht mehr.

MGeee, wer ist für die Policy bei euch verantwortlich? Nach Deinen bisherigen Aussagen klingt die ganze Sache eher nach "Wir spielen Server".
Hast Du das schonmal gemacht?

Wie meine Vorredner sagten: Wenn das ganze eine ernste Sache werden soll, dann nimm besser für die Implementierung kostenpflichtige Hilfe in Anspruch, sonst wird das extrem schnell ein Eigentor. Wenn Du lernen willst: Zieh den Server hoch, lass ihn eine Zeit am Netz und schau Dir die Logfiles an. Sollte eigentlich ausreichen.
Ansonsten kann man die Bücher von MS Press empfehlen, sie stellen im Serverbereich immer noch die Referenz dar.

MfG
Prous

P.S.: Kann mal einer rausfinden, wie lange mein Account noch gesperrt bleibt? Wohl mit jedem Posting um einen Monat länger, oder? *ggg*

Die Policy mache ich. In der ersten Phase wollen wir nur eine eine Domäne (nicht die Hauptdomäne!) umziehen und ein wenig testen. Allerdings ist ziehmlich kurzfristig auch der Umzug der Hauptdomäne geplant und dann wird es ernst!
Ist es sinnvoll, Exchange-2k als MailServer herzunehmen, oder was gibt es für (am Besten günstige) Alternativen?

Danke!

Es kommt drauf an, ob Du die Groupware-Funktionalität brauchst. Wenn nicht, ist meines Erachtens der Wechsel auf andere Alternativen Sinnvoll.
Wie wird es Deiner Meinung nach mit der Last der Rechner aussehen? Auch hier gilt abzuwägen, ob man die kompletten Serverdienste auf einer Maschine hochzieht. Davon kann man nur abraten, weil die Ausfallswahrscheinlichkeit mit jedem angebotenen Dienst steigt.

Gruß
Proust

mmm...

Ein paar doofe (wahrscheinlich sinnlose) Fragen (es zeugt von meiner Unwissenheit):
1.) Soll der aktuelle Exchange ausser Dienst genommen werden?
Hintergrund: diese Kiste weiter am Leben lassen und in der DMZ eine Alternative hinpflanzen, wovon sich Exchange die EMails in kurzen Zeitintervallen abholt.
Wie das mit den Groupwarefunktionen aussieht, weis ich nicht, darum verweise ich auch gerne auf Proust ;) ...
2.) Sicherheit, der Webserver kommt so oder so in ein anderes Subnet, um Hacker/ Cracker den Einblick in das interne Netzwerk zu verhindern, bzw. durch Flooding auf Broodcast sinnlos Traffic erzeugen verhindern zu können. Die 2. Firewall (also die, die die DMZ mit dem Intranet verbindet) sollte nicht auf Pings antworten, eigentlich sollte deren Logfile auch sauber von solchen Sachen bleiben, ansonsten hab ich irgendwas falsch verstanden :( ...
3.) Hierbei dürfen sich Ulukay, Ajax und Proust eigentlich austoben wegen Konfiguration der Firewall (es dürften für den Webserver nur Port 80 und Port XXX wegen EMail offen sein, wie das mit den Verbindungen über Port 1024 aussieht, weis ich nicht, dürfte ausser der Beschränkung auf passives FTP aber egal sein, also auch sperren) ...

Proust
Ich denke, wenn du es schaffst, nicht arrogant rüberzukommen und auch zu helfen (sprich, das mehr als nur "Lies ein Buch" kommt (dann mit Buchtip und warum ausgerechnet dieses Buch), dann wird dir das niemand übel nehmen, MGeee erst recht nicht. Aber der Pfad ist immer sehr klein (ist genauso wie mit Ironie und Sarkasmus, einige Leute finden die Grenze nicht)). Diesmal geht es ja auch nicht mehr um den Heimbereich, sondern um den Einsatz in einer Firma, da bin ich dann auch lieber ruhiger (sinnvolles Einrichten der DMZ, Konfiguration der Firewall, Einschränken der Dienste vom Webserver usw.) ...

So, ich habe es mal kurz skizziert:

http://mgeee-webspace.home.t-link.de/mgeee/sonstiges/Skizze - DMZ.gif

Als Firewall kommt eine FortiGate 60 oder eine NetScreen 5GT-AV zum Einsatz, wobei ich ehern zur 5GT-AV greifen würde, da diese feiner abgestufte Einstellungen für Flood-Protection und ein sehr gutes DeepInspection (abgespecktes IDS-System) bietet.

mmm...

??? Ich steh ein bischen auf dem Schlau, eine DMZ sieht eher so aus: http://www.elektronik-kompendium.de/sites/net/0907241.htm
Internet => Firewall Nr. 1 => Web/ Emailserver (DMZ) => Firewall Nr. 2 => Intranet (interne Server und Clients) ...

http://www.tecchannel.de/internet/682/12.html
http://www.msexchangefaq.de/internet/firewall3.htm

ja, aber Du kannst ja den Webserver nicht direkt an das Internet anschließen, eine Firewall muss da ja schon devor.
In diesem Fall sieht die Policy der 3 Zonen Firewall z.B. so aus:
Untrust --> DMZ = HTTP, SMTP, FTP
Untrust --> Trust = nix
Trust --> Untrust = (Reglementierung des ausgehenden Traffic´s des internen LANs)
Trust --> DMZ = SMTP, HTTP, RDP (um aus dem internen Firmennetz Mails, etc. vom Webserver abzuholen)

MGeee

Was ist eigentlich Dein exaktes Ziel?
Was sind Deine Vorgaben?
Was wird in der Firma eingesetzt?

Es sieht mir schwer danach aus, also ob Du ins kalte Wasser geworfen wurdest...

Original geschrieben von MGeee
Hallo!
Wir wollen in der Firma unsere Domäne selber im Internet hosten (Company Connect mit fester IP-Adresse).
Als OS für den Web/Mail-Server kommt W2k-Server zum Einsatz, welcher in der DMZ bei uns steht.
Nuzn habe ich ein kleines Verständnis-Problem:
Wie landen die Mails, die an name@unsere-domäne.de gesendet werden auf unserem Web/Mail-Server?
Ich kenne das so, dass unser interne Exchange-Server über POP3 die Mails aus dem Internet geholt hat und dann intern verteilt.
Wie sieht die Kommunikations zukünftig aus?
Danke + Gruß,
MGeee
Der Hoster eurer DNS-Zone muss den MX-Record dieser Domain auf eure IP zeigen lassen.
Dann wird jeder Mailserver dieser Welt die Emails über TCP/25 direkt an euren Server schicken --> Port25 muss offen sein --> Portforwarding.

Als Mailserver, vor allem wenn er auch GroupwareFunktionen haben sollte, kann ich Dir CommunigatePro empfehlen.
Kosten ein Bruchteil von Exchange, bietet aber deutlich mehr - vor allem steckt da auch ein echter Mailserver dahinter und nicht nur eine olle SMTP Schleuder wie bei Exchange.

Ansonsten muss ich aber auch anmerken, dass es nicht ganz einfach ist, einen Mailserver (korrekt) zu installieren/betreiben.

Original geschrieben von MGeee
ja, aber Du kannst ja den Webserver nicht direkt an das Internet anschließen, eine Firewall muss da ja schon devor.
In diesem Fall sieht die Policy der 3 Zonen Firewall z.B. so aus:
Untrust --> DMZ = HTTP, SMTP, FTP
Untrust --> Trust = nix
Trust --> Untrust = (Reglementierung des ausgehenden Traffic´s des internen LANs)
Trust --> DMZ = SMTP, HTTP, RDP (um aus dem internen Firmennetz Mails, etc. vom Webserver abzuholen) mmm...

Lesen ;)Original geschrieben von Lokadamus
Internet => Firewall Nr. 1 => Web/ Emailserver (DMZ) => Firewall Nr. 2 => Intranet (interne Server und Clients) ... Die => kannst du von mir aus auch durch <=> austauschen, damit es dann verständlicher ist ...

Danke!

Dann reicht in der DMZ ein IIS 5.0, da dieser einen SMTP-Server mitbringt.
Unser interner Exchange-Server holt dann von diesem SMTP-Server ab und versendet über diesen.
Groupware-Funktionalität muss der SMTP-Server nicht haben, dass soll nur in der internen Domäne verfügbar sein.

und ansonsten ein gut gemeinter Rat. Holt euch professionelle Hilfe, schaue denen über die Schulter und lerne dabei.
Manschmal ist eine Consultingfirma eben auch net schlecht, viele sind besser als ihr Ruf.
evt schaust du mal ins news net, da gibt es schon newsgroups woman auch allerhand erfährt.