Exchange 2016 CU Update

Syagrius

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Apr. 2015
Beiträge
117
Stimmt TLS1.3 ist da, aber zumindest die PCI-Zertifizierung für den Banken-Sektor fordert das noch nicht, glaub ich. Bin da aber nicht mehr tätig in der Branche. Bei meinem alten Arbeitgeber war es tatsächlich so, dass jede Mail, die nicht TLS1.1 oder 1.2 verschlüsselt ist, hart abgeblockt wurde. Auch im Hinsicht auf die DSGVO. Da waren auch große Unternehmen dabei, wie z.b. ein TV-Sender, der genügend Gebühren von uns allen bekommt ;-)

Das ist schön, dass die Community da so zusammen hält. Wenn ich mich irgendwie erkenntlich zeigen kann, immer her damit. Der Stein war sehr groß ;-)
 

holdes

Lt. Commander
Dabei seit
Nov. 2007
Beiträge
1.479
TLS 1.3 ist auch so richtig offiziell auf den IIS noch nicht angekommen, das wird sicher noch so 1-3 Jahre dauern bis das nach und nach mal eingeführt und unterstützt wird. Ich bin aber trotzdem neugierig, wie sieht der Mailflow denn bei euch aus? Gehen die vorher durch eine UTM und werden gefiltert oder ist der Exchange nur durchgenat-tet?
 

forceafn

Ensign
Dabei seit
Juli 2007
Beiträge
179

Syagrius

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Apr. 2015
Beiträge
117
@holdes Sorry, ich hab gerade mal ne PC-Pause eingelegt ;-) Du meinst ein Email-Gateway? Ja, der erste Domainhoster filtert da nochmal. Aber das ist alles sehr undurchsichtig, weil u.a. keine TLS-Verschlüsselung. Wir wollen da eine eigene lokale Lösung einsetzen, das prüfen wir derzeit noch. Hier war das aktuelle CU der erste Schritt. Bei der zweiten Domain ist da nichts dazwischen geschaltet. Das ist einfach eine MX-Weiterleitung. Also du siehst, alles nicht so dolle. Und an dem Punkt setze ich als neuer ITler in der Firma halt auch an. In einigen Bereichen hab ich die Erfahrung und woanders ist das für mich Neuland, habe aber keinen Ansprechpartner mit mehr Know-How zur Hand. Deswegen bin ich sehr froh, hier Hilfe gefunden zu haben.
Und ich hab nicht nur die interne IT an der Backe, sondern wir implementieren auch noch e-shelf-Lösungen.

@forceafn Auch an dich nochmal direkt ein fettes Danke für die Hilfe und Geduld.
 

holdes

Lt. Commander
Dabei seit
Nov. 2007
Beiträge
1.479
Also wenn du den MX direkt auf den Exchange per Nat hast sollte man da wirklich mal was umbauen aber gut dass du das im Blick hast. Am besten auch OWA über nen Reverse Proxy nach außen leiten und nicht direkt, wenn ich in der Firewall sehe was da alles so an dubiosen IPs versucht auf dem Server zu veranstalten wird einem schlecht. Die Frage mit dem TLS wärst du dann auch los was IIS Crypto angeht, er wäre direkt von außen sowieso nicht mehr erreichbar und muss die Mails nur noch vom UTM MTA annehmen.
 

forceafn

Ensign
Dabei seit
Juli 2007
Beiträge
179
Ich schmeiße hier mal Sophos xg oder sg als Mailproxy und WAF in den Raum. Damit sichere ich meine Exchange Server gerne ab.
 
Zuletzt bearbeitet:

Matthias80

Lieutenant
Dabei seit
Sep. 2004
Beiträge
863
Speicherplatz auf jeden Fall erhöhen!
10% sind genau die Grenze. Ne Datenbank braucht Platz zum arbeiten.

Mfg
 

Syagrius

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Apr. 2015
Beiträge
117
@Matthias80 Das wirds wohl sein. Heute geht es wieder nicht. Bin gerade dabei die Platte in vSphere zu vergrößern. Und dann auch auf ThickProvisioning umzustellen. Das dauert nur leider gerade ewig...
 

holdes

Lt. Commander
Dabei seit
Nov. 2007
Beiträge
1.479
Wie gestern schon gesagt, erstell doch einen neuen Speicher und hol die Datenbank von der C Partition weg, die hat da sowieso nichts verloren ;). Wenn du ThickProvisioning machst wird’s doch dann Essig mit kleiner machen wenn die Datenbank da runter ist.

Die Exchange Diagnose müsste dir bei zu wenig Speicher sowieso den Eventlog voll werfen und man kann in der Exchange Toolbox unter der Warteschlange mangelnde Systemressourcen erkennen. BTW: bin ich gerade irgendwie froh dass dein Setup von dem CU unter den Umständen überhaupt durchgelaufen ist :).
 

forceafn

Ensign
Dabei seit
Juli 2007
Beiträge
179
Nein ich meinte das mit dem 2ten Datastore und dem Thick ;-).
 

holdes

Lt. Commander
Dabei seit
Nov. 2007
Beiträge
1.479
Wir haben ja auch thick aber das gebastel mit dem VMWare Converter hinterher wieder was kleiner zu bekommen hat dann unter allen Kollegen zur Einsicht geführt das es wohl besser wäre vorher zu überlegen wie viel Platz man wirklich belegen sollte, größer geht ja sowieso immer problemlos :).
 

ayngush

Lt. Commander
Dabei seit
Okt. 2007
Beiträge
1.652
Bei uns läuft ein mittelgroßer Sophos UTM HA-Cluster vor "dem Exchange*" als MTA und Antispam-MX.
Das kann man aber natürlich nur machen, wenn man genügend Bandbreite, Netzwerke, usw. auf den Leitungen dafür hat und wenn man eine oder mehrere Internetleitungen hat, bei der man vom Provider die entsprechenden Reverse-DNS Einträge vornehmen lassen kann und die nicht gerade im "Endkunden-IPv4-Bereich" angesiedelt sind (wegen Netzwerk-Blocklisten, usw.).
Ansonsten sollte man "das" (MTA, Antispam-MX) bei einen Provider als Service einkaufen.

Die Sophos prüft unter anderem auch im Active Directory, dass wir nur Mails für vorhandene E-Mail-Empfänger annehmen (und SPF und Reverse DNS mit EHLO Abgleich usw.). Leider prüft die die Adressen nur auf einen einzigen AD-Server bzw. ich muss einen einzelnen Server gezielt dafür angeben. Da gibt es also auch durchaus auch Verbesserungspotential und sicherlich auch bessere Lösungen für größere Systeme.

Wenn "Sophos" (oder eine ähnliche, andere Lösung, gibt es ja auch sicherlich noch von Fortinet, Palo Alto, Sonicwall, usw.) in dem Bereich muss das übrigens eine Hochverfügbarkeitslösung mit Failover, bei der Sophos heißt das HA-Cluster, sein, ansonsten fällt euch ständig bei Updates von der Firewall das komplette Mailbackend für ggf. "unbestimmt" aus. Das wäre nicht so gut.

An der Stelle kann man auch einfach sehr schnell am falschen Ende sparen. E-Mail ist leider bei den meisten Firmen ziemlich wichtig und das stellen die dann fest, wenn es mal ein paar Stunden nicht funktioniert.

*Das steuerrelevante Daten einer Archivierungspflicht unterliegen und man dadurch quasi Grundsätzlich alle angenommenen E-Mail-Aufträge, -Angebote, -Rechnungen, uvm. in einen entsprechenden System unveränderlich archivieren muss habt ihr auf dem Schirm?
Das wäre nämlich das nächste Glied in der Kette "E-Mail-Systeme miteinander verbinden".
Ich frage nur so doof, weil meine Erfahrung ist, dass das kaum eine Firma ordnungsgemäß betreibt, bis es dann mal zu spät ist, danach betreiben sie es dann (widerwillig). Das Archivsystem muss nämlich "zwischen" bzw. "neben" (technisch ist es eher zwischen) den "MX" und den "Exchange" geschaltet werden.
 

holdes

Lt. Commander
Dabei seit
Nov. 2007
Beiträge
1.479
Guter Hinweis! Wir nutzen dafür MailStore über die Journaling Funktion im Exchange. Ist recht bezahlbar und die Datenbank ist super komprimiert mit entsprechend Outlook Plugin auf den Clients auch für jeden einfach erreichbar. Hat den schönen Vorteil: ich habe den Usern relativ kleine Postfachgrößen eingestellt, da sie auf das Archiv zugreifen können. Bei der Telekom kann man zum Glück bei jedem Business Tarif eine feste IP einstellen und Reverse DNS setzen. Beim Thema HA gäbe es da noch (je nach Anzahl der Postfächer eine Bastellösung die funktioniert, ist aber Geschmacksache, daher erspar ich mal den Weg).
Die Sophos XG ist leider immer noch nicht ganz das, was die UTM war aber so langsam nähert man sich an. Ich verfluche die GUI bis heute im Vergleich zur alten.
 

morcego

Lt. Commander
Dabei seit
Aug. 2008
Beiträge
1.707
Alternativ zu Sophos mal No Spam Proxy ansehen, das läuft sehr entspannt und gibt häufig sogar bessere Fehlermeldungen aus als der Exchange. Da es nur eine VM ist, kann man im Notfall flott umschwenken. Die Preise sind auch völlig fair.
 

holdes

Lt. Commander
Dabei seit
Nov. 2007
Beiträge
1.479
Kann No Spam Proxy auch eine Web Application Firewall? Entscheidend dann, wenn man auch OWA bzw. ActiveSync von außen nutzen möchte. Es gibt zwar viele die das lediglich Nat-ten aber das mir wäre das zu heiß. Klingt ansonsten recht interessant.
 

morcego

Lt. Commander
Dabei seit
Aug. 2008
Beiträge
1.707
Es bekommt den 25 von der Firewall durchgereicht, prüft gegen den Exchange und leitete weiter oder lehnt ab.
Rausgehend wird der Exchange Connector als Smart Host auf den NSP geleitet. Heißt 25 ist von außen nicht direkt auf den Exchange geleitet.
443 schleift NSP nicht durch, der steht momentan noch direkt im Netz weil das über den Synology Reverse Proxy nur mäßig funktionierte. Wenn man jetzt Linux könnte, würde man erstmal stumpf was mit nginx davor hängen. :D
 

flatika

Cadet 4th Year
Dabei seit
Dez. 2009
Beiträge
75
Also wenn ich das richtig verstanden habe, dann ist auf dem Exchange nur noch 10% freier Speicher? Also dann wird es daran liegen so wie @holdes bereits erwähnt hat. Weniger als 10% frei auf irgendeiner Partition die mit Exchange zu tun hat, dann macht er dicht. Meine gelesen zu haben, dass man für Windows, die Logs, die Datenbank und für die eigentliche Exchange-Installation jeweils ne eigene Partition erstellen sollte bzw. eine eigene Platte in vSphere.
 

holdes

Lt. Commander
Dabei seit
Nov. 2007
Beiträge
1.479
@morcego Nur die 25? Dann könnte man noch den anderen Port ergänzen 465 (SSL/TLS) ;). Ausschließlich unverschlüsselt ist nicht ganz so pralle. Exchange IIS direkt nach außen zu feuern ist schon übel, das klappt zwar oft aber wie gesagt, da gehen Verbindungen rein bei denen man nicht sicher sein kann wie weit derjenige kommt. Schlimmstenfalls gelingt es ihm den Admin zu Bruteforcen und er geht ins ECP und fängt an deinen Exchange als Spamschleuder zu missbrauchen. Wenn deine IP dann auf einer der Blacklists landet hast du dann erst einmal verloren. Dann würde ich zumindest das ECP so im IIS sperren dass man es von außen nicht erreichen kann.

@flatika Das Problem vom TE ist schon gelöst, es lag an falscher Connector Authentifizierung, das Platzproblem wird er vermutlich/hoffentlich mittlerweile auch gelöst haben denn das fällt ihm sonst demnächst auch auf die Füße :D.
 
Zuletzt bearbeitet:
Top