Mailrelay & Mailfilter mit ext. Mailserver

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
csg
Beiträge: 193
Registriert: Di 08.03.2011, 10:55
Kontaktdaten:

Mailrelay & Mailfilter mit ext. Mailserver

Beitrag von csg »

Hallo zusammen,

hat schon jemand die UTM als Mailfilter im Einsatz, bei welchem sich der Mailserver extern bei Microsoft O365 befindet?
Wie sieht das Setup für das Mailrelay und Portfilter dafür aus, falls überhaupt möglich?
Mailrelay mit akzeptierter "to" Domain test.com und Relay.
Und Mail-Routing auf die MX-Adresse bei O365.
Aber wie dann weiter?
Denn wenn ich dafür einen Portfilter benötigen sollte, komme ich ja wegen des DNS-Namens bei O365 bzw. der nicht eindeutigen IP hier nicht weiter ...

Freue mich auf Rückinfo.

VG

Jan

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

Sie brauchen die Regel:
Internet => external-interface => smtp
Im Mailrelay sagen Sie wie gewohnt die Domain aber als Empfängerhost ist dann halt die öffentliche IP wo die Mails gehostet werden. Dies geht aber nur wenn der MX auf die Firewall läuft.

Gruß Björn

csg
Beiträge: 193
Registriert: Di 08.03.2011, 10:55
Kontaktdaten:

Beitrag von csg »

Hallo Björn,

ja, so habe ich es eingerichtet.
Die Mail wird beim Test via Telnet auch angenommen.
mailq gibt auch eine leere queue aus.
Aber im O365 (ich kann keine fixe IP sondern nur den DNS-Namen vom O365-MX eintragen) kommt nichts an.
Werde ich mal weitersuchen.

VG
Jan

csg
Beiträge: 193
Registriert: Di 08.03.2011, 10:55
Kontaktdaten:

Beitrag von csg »

Ich lass das mal.
Es scheint nicht zu funktionieren. 

merlin
Beiträge: 263
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Beitrag von merlin »

Hallo,

das funktioniert (bei vielen Providern, ich hatte es so bei Strato) nur mit einer festen IP auf ihrer Seite, die mindestens auch Reverse auflösbar ist (mxtoolbox.com).
Die Mail wird schon an den O365-Server übertragen, aber der lehnt sie von einer dynamischen IP dann ab, da sich die UTM ja nicht an dem Server authentifiziert.
Aber da spielen auch noch andere Dinge mit. Thema "SPF-Eintrag"...

Gruß
Rolf
 

csg
Beiträge: 193
Registriert: Di 08.03.2011, 10:55
Kontaktdaten:

Beitrag von csg »

Hallo zusammen,

ich würde das Thema gern nochmal aufreißen, da das Interesse am SecurePoint-Spamfilter in Verbindung mit O365 doch weiterhin besteht.

Dazu die konkrete Frage, ob das schon jemand erfolgreich umgesetzt hat und evtl. auch ein HowTo dafür besteht bzw. seitens Securepoint erstellt werden könnte.

Ablauf:
  • Mailversand an Kunden von extern
  • MX zeigt auf IP der UTM, somit WAN-Anschluss Kunde
  • UTM nimmt Mail an, prüft, stell in Quarantäne oder ...
  • UTM leitet Mail weiter an MX-Adresse des O365-Accounts
Dazu würde dann im O365 eine Regel eingerichtet, dass eingehender Traffic nur von der WAN-IP des Kunden zulässig ist, so dass kein Umgehen des Spamfilters und direkte Auslieferung an O365 möglich ist.

Freue mich auf Feedback.

VG & ein schönes Wochenende,

Jan

HaPe
Beiträge: 56
Registriert: Di 09.05.2017, 22:40

Beitrag von HaPe »

Hallo,

noch nicht getestet, allerdings auch schon darüber nachgedacht.

Ich glaube, der Stolperstein wird sein, dass man O365 nicht sagen kann: Nimm nur Mails von der IP des Kunden an weil man ja eigentlich keinen Zugriff auf die Empfangskonnektoren von dem Exchange in O365 hat.
Klar kann man diese Zusatzempfangskonnektoren (der konkrete Name will mir gerade nicht einfallen) anlegen, die sind aber eher nur als Zusatz zu verstehen (z.B. beim Kunden intern steht irgendein ururalt-Multifunktionsgerät und man will dem erlauben, dass es ev. ohne Authentifizierung mit Benutzername / Kennwort sondern Authentifizierung anhand der öffentl. IP des Kunden an O365 schickt).

Den Namen von diesen Konnektor reiche ich noch nach - sollte nun ohnehin O365 für den nächsten Kunden einrichten.

E-Mail und dynamische IPs: Nur zum Wegschicken eventuell (muss sich das Multifunktionsgerät um beim Beispiel zu bleiben eben bei O365 authentifzieren oder man jagt die Mails durch´s Mailrelay der Securepoint und das leitet die an O365 als Smarthost weiter) aber spätestens beim empfangen über eine dyn. IP wirds Probleme geben - man will ja nicht, dass die Mails wenn vielleicht auch nur kurzfristig bei sonstwem landen.

csg
Beiträge: 193
Registriert: Di 08.03.2011, 10:55
Kontaktdaten:

Beitrag von csg »

Eingehende Mails Steuern über IP in O365: Doch, das geht über Regeln und Empfangskonnektoren zuverlässig. Machen wir seit Jahren mit unseren aktuellen Filterlösungen. Nur Mails welche von deren Servern an O365 eingeliefert werden, nimmt O365 auch an. Alles andere wird abgelehnt.

Mich würde aber, wie gesagt, interessieren, wie ich das ganz nun mit der UTM umsetze. Lassen wir mal das Thema dyn-IP etc. außen vor. Das sind ja Parameter, die einem Admin klar sein sollten. Aber mir will der Weg nicht gelingen:
  • MX = fixe IP mit UTM
  • Annahme/Ablehung durch UTM
  • nach Annhame weiterg. Prüfung und ggf. Quarantäne oder ...
  • ... Weitergabe an O365-MX
Grüße,
Jan

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

MX auf die IP der Firewall biegen. Die Firewall normal mit Mailrelay einrichten. Bei der smtp route halt nicht die interne IP angeben sondern die IP/Namen die bei Office 365 dazu gehört. Beispiel: bjoern-securepoint.office365.com

Gruß Björn

csg
Beiträge: 193
Registriert: Di 08.03.2011, 10:55
Kontaktdaten:

Beitrag von csg »

@Björn:
Man glaubt es kaum, aber es funktioniert.
Ich hatte es unter 11.7 bereits versucht, damals war ich jedoch nicht erfolgreich.
Hatte jedoch die Einstellungen für eine Testdomain noch an genau den stellen, in welchen ich jetzt die Einstellungen für eine andere Testdomain nochmal vorgenommen habe.
Und siehe da, mit der neuen Testdomain klappt das!
Super.
Danke.

csg
Beiträge: 193
Registriert: Di 08.03.2011, 10:55
Kontaktdaten:

Beitrag von csg »

Und hier, falls es von Interesse ist, die Regel für ExchangeOnline/O365 um nur Zustellungen von der WAN-IP der UTM zu akzeptieren (über den Connector geht es übrigens auch): Hardcopy 

ThiFoX
Beiträge: 1
Registriert: Mi 08.01.2020, 12:04

Beitrag von ThiFoX »

Moin Zusammen,

funktioniert das Ganze bei dir csg jetzt nur mit einer festen IP?
Oder würde das auch mit einer SPDYN-Adresse funktionieren?

LG
Thimo

Eikel.edv
Beiträge: 82
Registriert: Sa 03.04.2021, 10:22

Beitrag von Eikel.edv »

Darf ich mich nochmal einklinken?
Ich bin mit einer Domain bei Domainfactory:
Nameserver-Einstellungen:
A Record:
Hostname hugo.domäne -> Ziel: feste IP der Firewall
MX Record
Name mx.domaine Ziel: hugo.domäne

Auf der UTM die SMTP Routen:
Die MX Einträge von M365 Komisch ist, dass er da so eine komische "0" vorsetzt.

Beim senden einer testmail bekomme ich als Fehler: The domain xy doesn't exist...
Wo ist der Bock?

OK, ein bisschen Weiter: Bei Domainfactory darf bei Mx kein Name angegeben werden!
Un dnun meckert Microsoft, dass es für die SMTP-Route, also den 365 MX keinen Eintrag geben würde. Der ist aber in der UTM definitiv eingetragen.

Eikel.edv
Beiträge: 82
Registriert: Sa 03.04.2021, 10:22

Beitrag von Eikel.edv »

Und wieder etwas weiter. Domain raus geschmissen und mit den Microsoft Angaben neu registriert. Domain erfolgreich in M365 übernommen.
Dann den MX umgebogen, so dass die UTM dazwischen geschaltet wird und Schwups bekomme ich wieder den Fehler, "Die Adresse wurde nicht gefunden". Komischerweise geht es bei einer anderen Domain beim selben Provider.

Björn vom Support mit den 4 Punkten abgearbeitet. Regel ist erstellt. DNS ist 24 h her, als daran liegt es auch nicht...

Der Weg ist doch Provider -> UTM -> M365. Wenn ich den Host Abfrage zeigt er die korrekte öffentliche IP. Im Log finde ich Receipent Adress rejected, undeliverable Adress. Address verification failed. Also scheint der Rückweg doch irgendwie defekt zu sein, also die Rückfrage, ob die E-Mail defekt ist.

Antworten