Mailversand Smarthost Exchange 2010

[csg]

Hallo zusammen,

folgende Anfrage habe ich gestern an den Support gestellt, aber leider (vermutlich wegen Urlaubszeit) noch keine Antwort erhalten.
Vielleicht kann mir das Board ja helfen.

Wir installieren aktuell bei einem Kunden mit fester IP an einem ADSL-Anschluss einen Exchange 2010.
Zum Versand soll ein SmartHost verwendet werden.
Tragen wir den Smarthost im Exchange ein und erlauben dem Server in der Securepoint SMTP & DNS in das Internet, so wird die Mail korrekt versendet.
Tragen wir die Smarthostdaten in der Securepoint ein und erlauben dem Server DNS in das Internet und SMTP an das interne Interface der Securepoint, so ist kein Versand möglich.
Testweise haben wir im Exchange 2010 bereits als SmartHost ohne Authentifizierung die IP der Securepoint angegeben, leider ohne Erfolg.
Auch mit der Standardeinstellung des Exchange-Sendeconnectors "MX-Datensätze des DNS zum automatischen Weiterleiten von E-Mails verwenden" funktioniert der Versand über den in der Securepoint eingetragenen Smarthost nicht.
Die Smarthost- & MailRelay-Konfiguration erfolgte gemäß des Securepoint-HowTo.
Sicherlich habe ich etwas übersehen. Können Sie mir einen Tipp geben?

[Erik]

Gibt es Logs von der Firewall? Vom Server?

[csg]

AdHoc leider nicht, da ich gerade bei mir im Büro bin und das System am Standort gerade wegen Umbaumaßnahmen offline ist.
Aber vielleicht kannst Du mir ja sagen, wie die korrekte Konfiguration aussehen soll, wenn der versand wie folgt funktionieren soll:

Exchange 2010 -> SMTP -> Securepoint -> SMTP -> ext. SmartHost -> SMTP -> Zielserver

Danke im Voraus.

[Erik]

Regeln:
Mailserver -> FW_Interface -> smtp -> ACCEPT

Anwendungen -> Mail-Relay -> Relaying -> IP des Mailservers eintragen

Anwendungen -> Mail-Relay -> Allgemein -> ext. Smarthost eintragen.

Alles weitere ist ohne Log nur Orakelei.

[csg]

Muss ich beim Exchange die Securepoint auch als Smarthost (ohne Authentifizierung) eintragen? Oder beliebt der Exchange so eingestellt, als würde er direkt mit dem Internet via SMTP sprechen?

[csg]

Konnte mich gerade wieder aufschalten.
Der Exchange versendet jetzt nicht mehr erfolgreich.

Exchange meldet:
451 4.4.0 Primary target IP address responded with: "421 4.2.1 Unable to connect."

Im SOC sehe ich folgenden Eintrag (Wann kann man das endlich mal kopieren?):
DROP(default) IN=eth1 firewall.foo.bar OUT=ppp0 SRC=192.168.1.2 DST=IP-ZIEL-MAILSERVER LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=12095 DF PROTO=TCP SPT=20074 DPT=25 WINDOW=8192 RES=0x00 SYN UGP=0

[csg]

rage ich die Securepoint im Exchange als Smarthost via IP ohne Authentifizierung ein, so erhalte ich im SOC LiveLOG folgende Meldung:
Milter: to=, reject=451 4.3.0 Please try again later

[Erik]

Die erste Fehlermeldung rührt daher, dass die Firewall aufgrund fehlender bzw fehlerhafter Regeln die Pakete verwirft. Soll der Mailserver die Pakete direkt zustellen, muss eine Regel her:

Mailserver -> Internet -> smtp -> ACCEPT

Und ein HideNAT (das wird aber vermutlich sowieso vorhanden sein).
Mailserver -> ppp0 -> Internet -> Include

Log-Eintrag Nummer 2 kommt vermutlich vom Greylisting. Kann mir irgendwie nicht vorstellen, dass ein Smarthost Mails ohne Authentifizierung annimmt.

[csg]

OK. Ich möchte ja NICHT, das der Mailserver direkt mit dem Internet verbunden ist, sondern die Securepoint nutzt und diese mit den SmartHost-Einstellungen dann die Mail an den SmartHost übergibt. (direkt versenden in das Internet ist ja kein Problem ... aber eben nicht die gewünschte Lösung)

Was muss ich also tun, damit es wie folgt aussieht:

Mailserver lokal -> Securepoint -> SmartHost -> Mailserver Ziel

[Erik]

Ja Sie müssen Ihrem Mailserver schon mitteilen, wem er die Mails zustellen soll. Aus der Log-Zeile mit dem DROP schließe ich, dass da eine direkte Zustellung an den Ziel-MX erfolgen soll. Wenn Sie wollen, dass die Firewall als Smarthost verwendet werden soll, muss das da eingestellt werden. Eine Funktion wie den transparenten HTTP-Proxy gibts für SMTP nicht.

[csg]

OK. Ich habe im Mailserver als Smarthost die IP der Securepoint eingetragen. Ohne Authentifizierung. Im Portfilter habe ich SMTP vom Mailserver an das interne Interface freigegeben. Greylisting etc. habe ich vorsichtshalber einmal abgeschaltet.

Das LiveLog sagt mir jetzt allerdings folgendes:
Invalid rcpt:
p7KGiGUE015053: Milter: to=, reject=451 4.3.0 Please try again later

Die Empfängeradresse ist jedoch korrekt. der MX wird auf Mailserverseite auch korrekt aufgelöst.

Eine Idee, was ich jetzt übersehe?

[Erik]

Haben Sie die SMTP-User-Validierung an? Sollten Sie nicht tun, wenn Sie die Firewall als Smarthost verwenden. Wählen Sie stattdessen LDAP bzw. lokale Datei aus.

[csg]

Der Tipp war Gold wert.
Kannst Du mir das ggf. auch kurz erklären - also den Zusammenhang?
Sollte vielleicht mit in das Handbuch hinein?

Jetzt warte ich auf den Umzug der Domain um den MX anzupassen. Dann schauen wir mal, ob eingehende Mails mit LDAP ebenso gut klappen wir mit SMTP-Verify. Kann ich in der SP prüfen ob sie korrekt mittels LDAP auf den DC zugreifen kann?

Danke nochmal und schönes Wochenende.

Gruss

Jan

P.S. Sorry. "Du" ok?

[Erik]

Der Zusammenhang... öhm... naja... ich sag mal so: in der 10.6 wird das auch mit SMTP-Validierung funktionieren.

Und testen kannst du das ganz einfach, indem du von aussen eine Mail an die Firewall schreibst. Entweder über telnet oder die externe IP der Firewall mal als SMTP-Server in deinem Mail-Client eintragen. Kommt im Log dann eine Meldung "ldap_bind/init failed" kann sich die Firewall nicht per LDAP mit dem Server verbinden.

[csg]

Ein weiterer Server, eine weitere SP, und wieder Probleme mit der Authentifizierung an der AD.
SP 10.6.1. sagt mir, das die Credentials für den LDAP-Abgleich fehlerhaft sind. Ich nutze hierfür den Domänen-Admin. Prüfe ich vom Exchnage-Server auf den DC mittel "ldp" die LDAP-Abfrage, so funktioniert sie.
Eingetragen habe ich in der externen Authentifierzung:
ldap://IP-DC
domäne.local
Administrator
Administratorkennwort mit Groß-/Kleinschreibung, Zahlen und einem Sonderzeichen

Parallel dazu die Frage, ab wann die Funktion "Validiere E-Mail Adresse mit Mailserver über SMTP:" genutzt werden kann und wie diese konfiguriert wird. Ist ja vielleicht die Alternative zu LDAP.

Gruß

Jan

[Erik]

Die Firewall sucht an genau einer Stelle nach dem User:

Code: Alles auswählen

cn=IHR_BENUTZER,dc=domain,dc=local

Befindet sich der User an einer anderen Stelle im Baum, müssen Sie das Template
/etc/mail/sendmail.mc anpassen.
Die relevante Zeile ist:

Code: Alles auswählen

define(`confLDAP_DEFAULT_SPEC', `-h ${GLOB_LDAP_URI,,s@ldap[s]?://@@} -b DC=${GLOB_AD_DOMAIN,,s@\\.@,DC=@g} -d cn=${GLOB_LDAP_USER},dc=${GLOB_AD_DOMAIN,,s@\\.@,dc=@g} -w 3 -M simple -P /etc/mail/ad_password')

Zum Bleistift:
Ich habe eine OU "extern", in der ich den User mit der CN "securepoint" angelegt habe. Dann sieht die Zeile wie folgt aus:

Code: Alles auswählen

define(`confLDAP_DEFAULT_SPEC', `-h ${GLOB_LDAP_URI,,s@ldap[s]?://@@} -b DC=${GLOB_AD_DOMAIN,,s@\\.@,DC=@g} -d cn=${GLOB_LDAP_USER},ou=extern,dc=${GLOB_AD_DOMAIN,,s@\\.@,dc=@g} -w 3 -M simple -P /etc/mail/ad_password')

Der Benutzername ("cn=") und die Domain ("dc=") kommt weiterhin aus dem Webinterface und wird beim Starten des Mailrelays in die Datei geschrieben.

Validierung über SMTP funktioniert seit 10.6 auch für ausgehende Mails, wenn die Firewall der Smarthost ist. Und konfiguriert wird das auf der Firewall so: "Haken setzen". Es muss natürlich dann noch sichergestellt werden, dass Ihr Mailserver die Empfänger auch validiert.