Mailrelay & Mailfilter mit ext. Mailserver
Moderator: Securepoint
Mailrelay & Mailfilter mit ext. Mailserver
Hallo zusammen,
hat schon jemand die UTM als Mailfilter im Einsatz, bei welchem sich der Mailserver extern bei Microsoft O365 befindet?
Wie sieht das Setup für das Mailrelay und Portfilter dafür aus, falls überhaupt möglich?
Mailrelay mit akzeptierter "to" Domain test.com und Relay.
Und Mail-Routing auf die MX-Adresse bei O365.
Aber wie dann weiter?
Denn wenn ich dafür einen Portfilter benötigen sollte, komme ich ja wegen des DNS-Namens bei O365 bzw. der nicht eindeutigen IP hier nicht weiter ...
Freue mich auf Rückinfo.
VG
Jan
hat schon jemand die UTM als Mailfilter im Einsatz, bei welchem sich der Mailserver extern bei Microsoft O365 befindet?
Wie sieht das Setup für das Mailrelay und Portfilter dafür aus, falls überhaupt möglich?
Mailrelay mit akzeptierter "to" Domain test.com und Relay.
Und Mail-Routing auf die MX-Adresse bei O365.
Aber wie dann weiter?
Denn wenn ich dafür einen Portfilter benötigen sollte, komme ich ja wegen des DNS-Namens bei O365 bzw. der nicht eindeutigen IP hier nicht weiter ...
Freue mich auf Rückinfo.
VG
Jan
Hallo,
Sie brauchen die Regel:
Internet => external-interface => smtp
Im Mailrelay sagen Sie wie gewohnt die Domain aber als Empfängerhost ist dann halt die öffentliche IP wo die Mails gehostet werden. Dies geht aber nur wenn der MX auf die Firewall läuft.
Gruß Björn
Sie brauchen die Regel:
Internet => external-interface => smtp
Im Mailrelay sagen Sie wie gewohnt die Domain aber als Empfängerhost ist dann halt die öffentliche IP wo die Mails gehostet werden. Dies geht aber nur wenn der MX auf die Firewall läuft.
Gruß Björn
Hallo Björn,
ja, so habe ich es eingerichtet.
Die Mail wird beim Test via Telnet auch angenommen.
mailq gibt auch eine leere queue aus.
Aber im O365 (ich kann keine fixe IP sondern nur den DNS-Namen vom O365-MX eintragen) kommt nichts an.
Werde ich mal weitersuchen.
VG
Jan
ja, so habe ich es eingerichtet.
Die Mail wird beim Test via Telnet auch angenommen.
mailq gibt auch eine leere queue aus.
Aber im O365 (ich kann keine fixe IP sondern nur den DNS-Namen vom O365-MX eintragen) kommt nichts an.
Werde ich mal weitersuchen.
VG
Jan
Ich lass das mal.
Es scheint nicht zu funktionieren.
Es scheint nicht zu funktionieren.
Hallo,
das funktioniert (bei vielen Providern, ich hatte es so bei Strato) nur mit einer festen IP auf ihrer Seite, die mindestens auch Reverse auflösbar ist (mxtoolbox.com).
Die Mail wird schon an den O365-Server übertragen, aber der lehnt sie von einer dynamischen IP dann ab, da sich die UTM ja nicht an dem Server authentifiziert.
Aber da spielen auch noch andere Dinge mit. Thema "SPF-Eintrag"...
Gruß
Rolf
das funktioniert (bei vielen Providern, ich hatte es so bei Strato) nur mit einer festen IP auf ihrer Seite, die mindestens auch Reverse auflösbar ist (mxtoolbox.com).
Die Mail wird schon an den O365-Server übertragen, aber der lehnt sie von einer dynamischen IP dann ab, da sich die UTM ja nicht an dem Server authentifiziert.
Aber da spielen auch noch andere Dinge mit. Thema "SPF-Eintrag"...
Gruß
Rolf
Hallo zusammen,
ich würde das Thema gern nochmal aufreißen, da das Interesse am SecurePoint-Spamfilter in Verbindung mit O365 doch weiterhin besteht.
Dazu die konkrete Frage, ob das schon jemand erfolgreich umgesetzt hat und evtl. auch ein HowTo dafür besteht bzw. seitens Securepoint erstellt werden könnte.
Ablauf:
Freue mich auf Feedback.
VG & ein schönes Wochenende,
Jan
ich würde das Thema gern nochmal aufreißen, da das Interesse am SecurePoint-Spamfilter in Verbindung mit O365 doch weiterhin besteht.
Dazu die konkrete Frage, ob das schon jemand erfolgreich umgesetzt hat und evtl. auch ein HowTo dafür besteht bzw. seitens Securepoint erstellt werden könnte.
Ablauf:
- Mailversand an Kunden von extern
- MX zeigt auf IP der UTM, somit WAN-Anschluss Kunde
- UTM nimmt Mail an, prüft, stell in Quarantäne oder ...
- UTM leitet Mail weiter an MX-Adresse des O365-Accounts
Freue mich auf Feedback.
VG & ein schönes Wochenende,
Jan
Hallo,
noch nicht getestet, allerdings auch schon darüber nachgedacht.
Ich glaube, der Stolperstein wird sein, dass man O365 nicht sagen kann: Nimm nur Mails von der IP des Kunden an weil man ja eigentlich keinen Zugriff auf die Empfangskonnektoren von dem Exchange in O365 hat.
Klar kann man diese Zusatzempfangskonnektoren (der konkrete Name will mir gerade nicht einfallen) anlegen, die sind aber eher nur als Zusatz zu verstehen (z.B. beim Kunden intern steht irgendein ururalt-Multifunktionsgerät und man will dem erlauben, dass es ev. ohne Authentifizierung mit Benutzername / Kennwort sondern Authentifizierung anhand der öffentl. IP des Kunden an O365 schickt).
Den Namen von diesen Konnektor reiche ich noch nach - sollte nun ohnehin O365 für den nächsten Kunden einrichten.
E-Mail und dynamische IPs: Nur zum Wegschicken eventuell (muss sich das Multifunktionsgerät um beim Beispiel zu bleiben eben bei O365 authentifzieren oder man jagt die Mails durch´s Mailrelay der Securepoint und das leitet die an O365 als Smarthost weiter) aber spätestens beim empfangen über eine dyn. IP wirds Probleme geben - man will ja nicht, dass die Mails wenn vielleicht auch nur kurzfristig bei sonstwem landen.
noch nicht getestet, allerdings auch schon darüber nachgedacht.
Ich glaube, der Stolperstein wird sein, dass man O365 nicht sagen kann: Nimm nur Mails von der IP des Kunden an weil man ja eigentlich keinen Zugriff auf die Empfangskonnektoren von dem Exchange in O365 hat.
Klar kann man diese Zusatzempfangskonnektoren (der konkrete Name will mir gerade nicht einfallen) anlegen, die sind aber eher nur als Zusatz zu verstehen (z.B. beim Kunden intern steht irgendein ururalt-Multifunktionsgerät und man will dem erlauben, dass es ev. ohne Authentifizierung mit Benutzername / Kennwort sondern Authentifizierung anhand der öffentl. IP des Kunden an O365 schickt).
Den Namen von diesen Konnektor reiche ich noch nach - sollte nun ohnehin O365 für den nächsten Kunden einrichten.
E-Mail und dynamische IPs: Nur zum Wegschicken eventuell (muss sich das Multifunktionsgerät um beim Beispiel zu bleiben eben bei O365 authentifzieren oder man jagt die Mails durch´s Mailrelay der Securepoint und das leitet die an O365 als Smarthost weiter) aber spätestens beim empfangen über eine dyn. IP wirds Probleme geben - man will ja nicht, dass die Mails wenn vielleicht auch nur kurzfristig bei sonstwem landen.
Eingehende Mails Steuern über IP in O365: Doch, das geht über Regeln und Empfangskonnektoren zuverlässig. Machen wir seit Jahren mit unseren aktuellen Filterlösungen. Nur Mails welche von deren Servern an O365 eingeliefert werden, nimmt O365 auch an. Alles andere wird abgelehnt.
Mich würde aber, wie gesagt, interessieren, wie ich das ganz nun mit der UTM umsetze. Lassen wir mal das Thema dyn-IP etc. außen vor. Das sind ja Parameter, die einem Admin klar sein sollten. Aber mir will der Weg nicht gelingen:
Jan
Mich würde aber, wie gesagt, interessieren, wie ich das ganz nun mit der UTM umsetze. Lassen wir mal das Thema dyn-IP etc. außen vor. Das sind ja Parameter, die einem Admin klar sein sollten. Aber mir will der Weg nicht gelingen:
- MX = fixe IP mit UTM
- Annahme/Ablehung durch UTM
- nach Annhame weiterg. Prüfung und ggf. Quarantäne oder ...
- ... Weitergabe an O365-MX
Jan
Hallo,
MX auf die IP der Firewall biegen. Die Firewall normal mit Mailrelay einrichten. Bei der smtp route halt nicht die interne IP angeben sondern die IP/Namen die bei Office 365 dazu gehört. Beispiel: bjoern-securepoint.office365.com
Gruß Björn
MX auf die IP der Firewall biegen. Die Firewall normal mit Mailrelay einrichten. Bei der smtp route halt nicht die interne IP angeben sondern die IP/Namen die bei Office 365 dazu gehört. Beispiel: bjoern-securepoint.office365.com
Gruß Björn
@Björn:
Man glaubt es kaum, aber es funktioniert.
Ich hatte es unter 11.7 bereits versucht, damals war ich jedoch nicht erfolgreich.
Hatte jedoch die Einstellungen für eine Testdomain noch an genau den stellen, in welchen ich jetzt die Einstellungen für eine andere Testdomain nochmal vorgenommen habe.
Und siehe da, mit der neuen Testdomain klappt das!
Super.
Danke.
Man glaubt es kaum, aber es funktioniert.
Ich hatte es unter 11.7 bereits versucht, damals war ich jedoch nicht erfolgreich.
Hatte jedoch die Einstellungen für eine Testdomain noch an genau den stellen, in welchen ich jetzt die Einstellungen für eine andere Testdomain nochmal vorgenommen habe.
Und siehe da, mit der neuen Testdomain klappt das!
Super.
Danke.
Und hier, falls es von Interesse ist, die Regel für ExchangeOnline/O365 um nur Zustellungen von der WAN-IP der UTM zu akzeptieren (über den Connector geht es übrigens auch): Hardcopy
Darf ich mich nochmal einklinken?
Ich bin mit einer Domain bei Domainfactory:
Nameserver-Einstellungen:
A Record:
Hostname hugo.domäne -> Ziel: feste IP der Firewall
MX Record
Name mx.domaine Ziel: hugo.domäne
Auf der UTM die SMTP Routen:
Die MX Einträge von M365 Komisch ist, dass er da so eine komische "0" vorsetzt.
Beim senden einer testmail bekomme ich als Fehler: The domain xy doesn't exist...
Wo ist der Bock?
OK, ein bisschen Weiter: Bei Domainfactory darf bei Mx kein Name angegeben werden!
Un dnun meckert Microsoft, dass es für die SMTP-Route, also den 365 MX keinen Eintrag geben würde. Der ist aber in der UTM definitiv eingetragen.
Ich bin mit einer Domain bei Domainfactory:
Nameserver-Einstellungen:
A Record:
Hostname hugo.domäne -> Ziel: feste IP der Firewall
MX Record
Name mx.domaine Ziel: hugo.domäne
Auf der UTM die SMTP Routen:
Die MX Einträge von M365 Komisch ist, dass er da so eine komische "0" vorsetzt.
Beim senden einer testmail bekomme ich als Fehler: The domain xy doesn't exist...
Wo ist der Bock?
OK, ein bisschen Weiter: Bei Domainfactory darf bei Mx kein Name angegeben werden!
Un dnun meckert Microsoft, dass es für die SMTP-Route, also den 365 MX keinen Eintrag geben würde. Der ist aber in der UTM definitiv eingetragen.
Und wieder etwas weiter. Domain raus geschmissen und mit den Microsoft Angaben neu registriert. Domain erfolgreich in M365 übernommen.
Dann den MX umgebogen, so dass die UTM dazwischen geschaltet wird und Schwups bekomme ich wieder den Fehler, "Die Adresse wurde nicht gefunden". Komischerweise geht es bei einer anderen Domain beim selben Provider.
Björn vom Support mit den 4 Punkten abgearbeitet. Regel ist erstellt. DNS ist 24 h her, als daran liegt es auch nicht...
Der Weg ist doch Provider -> UTM -> M365. Wenn ich den Host Abfrage zeigt er die korrekte öffentliche IP. Im Log finde ich Receipent Adress rejected, undeliverable Adress. Address verification failed. Also scheint der Rückweg doch irgendwie defekt zu sein, also die Rückfrage, ob die E-Mail defekt ist.
Dann den MX umgebogen, so dass die UTM dazwischen geschaltet wird und Schwups bekomme ich wieder den Fehler, "Die Adresse wurde nicht gefunden". Komischerweise geht es bei einer anderen Domain beim selben Provider.
Björn vom Support mit den 4 Punkten abgearbeitet. Regel ist erstellt. DNS ist 24 h her, als daran liegt es auch nicht...
Der Weg ist doch Provider -> UTM -> M365. Wenn ich den Host Abfrage zeigt er die korrekte öffentliche IP. Im Log finde ich Receipent Adress rejected, undeliverable Adress. Address verification failed. Also scheint der Rückweg doch irgendwie defekt zu sein, also die Rückfrage, ob die E-Mail defekt ist.