Hi,

die Einstellungen sehen in Ordnung aus. Hast du zufällig mal ein NDR zur Hand, bzw. kannst du mal einen posten?

Gruß,

Frank

Hallo,

gerne, die IP von mir und Mailadressen habe ich rausgelöscht. Ich hatte ATP oder AV der Firewall noch in Verdacht, dort liegt die Grenze bei 10 MB, das ist aber nur der Wert bis zu welcher Größe die Datei gescannt wird, bzw. werden kann. Im default sind, glaube ich, 1500KB eingetragen.
Frage an dich: Wenn eine Firewall Dateien nur bis 1500KB scannt, wäre es ein Ansatz Schadsoftware in große Datenen zu packen und die ersten 2000KB mit harmlosen Daten zu füllen? Ja, der MX hat auch eine AV Software bei mir aber der Schutz in der Firewall wäre ausgehebelt. Oder habe ich an der Stelle einen Knoten im Gedanken?

Vielen Dank, auch für das Forum! Ich wünsche dir möglichst viele gute User und keine Trolle.

Frank

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es)
failed:

Mailadresse von mir gelöscht:
Message size exceeds capabilities of MX responsible for the recipient

--- The header of the original message is following. ---

Received: from Mailadresse von mir gelöscht ([111.111.111.111]) by mrelayeu.kundenserver.de (mreue107
[212.227.15.183]) with ESMTPA (Nemesis) id 1N6LIF-1hjMHa1cUb-016drt for <Mailadresse von mir gelöscht>; Tue, 03 Dec 2019 21:53:30 +0100
From: "Frank" <Mailadresse von mir gelöscht>
To: "'Frank'" <Mailadresse von mir gelöscht>
Subject: Testmail 15MB
Date: Tue, 3 Dec 2019 21:53:14 +0100
Message-ID: <003b01d5aa1b$ae60dc40$0b2294c0$@xxxxxxxx.de>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_003C_01D5AA24.10278E30"
X-Mailer: Microsoft Outlook 16.0
Thread-Index: AdWqG6u76/cLUKmXRqyJWcBJ1tvP1w==
Content-Language: de
X-Provags-ID: V03:K1:ZYtns1IICmaP2Owj2prf/VYvcOl8kIlQfQAXl6RlOSvmzU4BOT2
hvnv83EB4QyNBHLM7UUBB4Lx+srtXvnpmR777YPaGoxbjcM5T62hirhT7BgvxI5OJz8Pyni
o+U5ingN2pURzZpMI6WF0TD6fHtyjF/R+cwsV0YgQaqDXBw3h4H/kDtLX425kMejCW4t8Ow
WJAeBDQa4QqC+bVYkxSFA==
X-Spam-Flag: NO
X-UI-Out-Filterresults: notjunk:1;V03:K0:Lewye9pI+gQ=:gIGX59veo94T1vHg8zXbNS
l7H8jUjM4WPrGps2Yb9fRwFq6GiMDUNxWICdts4SHTYDhQbsqyQfzDWXTDYdVrVjtuwSPL77H
2tWMDzMvgMXONJSb6jgCLRLlWU8oM7En2eMFnYajXuxtOolIXIVoUEE49uVKN5zOdo/WDZRVI
aUVzMh2FkbMo+7bJSq4lhvC9mUB4JJgO3v08rmmiZGYelJCdVF18p2p2/m+fbhF4kAuXp3La9
YiLw/COiXHSe6qCgb2KKXPfcCCzzoZnhCUAa6nAuesDT5ffRxGbxUuiqQK0EIqOmuyUB1HfUX
wKIlJLG/jafNZbneH3H65KzdwX7ODk9baQLPPjC69VW2m8P/C7DHV3v2O/Lh+Ip/1hBQJbpeZ
NkyJa6QEZ+d9AIqw0oFtTC65/4LakEWgiKW6y3QZMXmql2kB68YlyDaZC/wu3VBMKZFfattQt
qFBFzHZJ6i8eomVRUsyKWhfwNrfYKWeKSOJqrOh55WZsK7xez652LUCNdtt6DiNQqWavDlGVy
Munq/H3qLgJCUU5QSm+Xaybenngq7qjmdsEQ3QBajfO2jAD+Q70ZuNn0/jBcJL+iL6e5NCp3l
9UqDyEuVAPqie6zYNV5mdzJE+w3LbIAGI4EXhgcxUc7BQ3HwLZBF6lmTQBAhICx72P9FfJbBw
MBH8hlgx4JThnSTiU9ozZbvo+s7WGAnivvhcRnmYw3qxMfwl9oUC1HJIUwwB10A+1rK31x95z
6i2WJcK8/QCLvJI5DiIQb5QUaJQx+I7zaWaM8JPvR3GWUoUj+hBkccwbLgA=

Servus,

ich würde behaupten, dass hier nicht Exchange das Problem ist:

A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es)
failed:

Mailadresse von mir gelöscht:
Message size exceeds capabilities of MX responsible for the recipient

Exchange würde einen Fehlercode mitliefern, dieser fehlt hier aber. Ich vermute du hast versucht eine Mail von extern an einen internen Empfänger zu schicken. Exchange scheint hier aber nicht das System zu sein, welches die Mail empfängt. Ich vermute daher das Problem bei dem System, welches als MX für die Domain eingetragen ist. 

Ich würde daher mal die vorgelagerten Systeme prüfen.

Gruß,

Frank

Hallo

danke, ja, die Vermutung hatte ich auch schon, weshalb ich dort auch gesucht habe. Die IP des MX geht zur Firewall, Proxy mit AV Scan, dann zum SME, der sie entgegen nimmt und wieder über die Firwall zum MX leitet. Dort habe ich nichts geändert, weshalb ich den Fehler aber dort nicht ausschließe. Das der NDR so aussieht liegt am SME, da habe ich schon mal gesucht bis ich festgestellt habe, dass er (der SME) den NDR verändert. Ich werde ihn die Tage aus der Kette rausnehmen und testen, dazu will ich aber etwas Zeit und Ruhe haben.

Was ist deine Meinung zu SME, noch zeitgemäß oder kann darauf verzichtet werden?

Ich schreibe ob es der Fehler war, vielen Dank!

Grüße, Frank

Hi,

ich muss gestehen, ich weiß nicht was SME ist.

Gruß,

Frank

@_frank_

Hi Frank, alle Achtung wenn du noch einen SME im Einsatz hast. Ist aber nicht mehr zeitgemäß. Der wird vermutlich eigene Limits haben, daher das Problem hier. Franky zeigt auch, dass das Thema nicht an den Limits vom Exchange liegt.

SME ersetzen durch was neues oder abschaffen?

Hallo,

der SME war es, ich habe die Werte erneut gesetzt und es ging (was ich nicht verstehe, ich hatte regelmäßig größere Anhänge).

Aber gerne die Diskussion um den SME Server, ich habe darüber verschiedene Aussagen. Die Frage zum Sinn wurde die Tage noch mit einem klaren "Ja, lassen" beantwortet. Der Aussage von ihm vertraue ich auch, ich halte ihn in Security Fragen für fit und reflektiert. Ein neues Thema? Wie geht ihr mit dem Exchange in kleinen Umgebungen (bis 500 PF/Usern) um?

Vielen Dank, Grüße, Frank

Veröffentlicht von: @_frank_

Ein neues Thema? Wie geht ihr mit dem Exchange in kleinen Umgebungen (bis 500 PF/Usern) um?

Hi Frank,

die Frage ist sehr allgemein gehalten.

Was meins du genau?

lg Roman

Hallo,

entschuldigung die späte Antwort, ich bin etwas eingespannt zur Zeit.

Meine Frage ist, wie ich den Exchange am besten ins Internet bringe. Ich habe oft den Konstrukt das es nur ein kleines Netzwerk ist, einige unter 50 Postfächer.

Ich sehe oft:
- an die Firewall, per SNAT an den Exchange, er empfängt direkt (manchmal ist die Regel ist ein Proxy mit Scan für Schadsoftware)
- OWA und ActiveSync auch per SNAT direkt zu dem Exchange

Ich habe es meist so gemacht:
- an die Firewall, per SNAT mit AV Proxy an den SME Server, der reicht sie weiter über die Firewall zum Exchange
- OWA und ActiveSync über den Kemp zum Exchange (früher über den MS TMG FF Server)

Dabei höre ich aber oft von anderen Admins das es egal wäre, der Exchange kann direkt ins Internet, wenn ich etwas Aufwand betreiben möchte eine zweiter Exchange in die DMZ. SME, TMG FF und Kemp kann man sich nach deren Aussage sparen. Was ist eure Meinung? Warum ist SME überholt und bringt er wirklich keinen Mehrgewinn an Sicherheit?

Danke und Grüße

@_frank_

Hi Frank,

wow, was du da schreibst sind alles Aufwände und eigene Systemwelten.

Ich fand das alles früher mal gut. Und technisch lustig. 

Mittlerweile genügt ein Router davor, der per NAT Port 80+443 an den Exchange weitergibt. Ein SSL-Zertifikat auf eigenen Domainnamen bekommst du mit Frankys Lets-Encrypt Zertifikats-Skript auf den Exchange.

Der Exchange kann mit einer GeoFirewall und diesem Programm Cyberarms Intrusion Detection ausgestattet werden. mit CID wird eine IP-gesperrt nach X Loginversuchen beim Exchange. und die Geofirewall blockt alles, was nicht von den Ländern deiner Benutzer kommt. Meistens nur 1 oder 2. Bei Urlauben manchmal andere Länder, aber die nur temporär. So blockst du mal 99% aller Hackangriffe, kommt mir vor.

Da der Port25 nicht weitergeleitet wird, kommen auch keine Emails an den Exchange heran. Daher installiere ich gern beim Exchange-Server sofern möglich ein POPCON Programm, das per Pop/Imap Emails von einem Email-Account abholt und die letzten X-Tage am Pop/Imap-Server behält. Somit weiß auch kein externer, dass dein Exchange-Server unter einer IP-Adresse bzw. Hostnamen aufrufbar ist. 

Natürlich müssen die Emails irgendwohin. Daher gibt es einen Webhosting-Account, der für eine Domain alle Emails empfängt, per Catchall-Emailpostfach. Der Webhoster sollte 100MB pro Email versenden und empfangen erlauben und natürlich per SSL arbeiten. 

Mehr als 100MB pro Email ist noch (Jahr2020) nicht üblich, aber bis zu 100MB kann es schon vorkommen. Alles über 100MB wird eher per Wetransfer oder eigenen Cloud-Portalen weitergegeben.

Das Catchall-Postfach wird per PopCon abgerufen und so an die internen User korrekt verteilt.

Diese Pop-Exchange-Geflecht ist nix neues und früher haben wir das abgelehnt, weils eine hinkende Konstruktion ist.
Mit dem richtigen Webhoster allerdings und Catchall-Postfächern, funktioniert es super wie geschmiert. Und noch etwas: Ist mal der Exchange-Server down, weil das Internet weg ist oder das Netzteil ausfällt oder welches Problem auch immer besteht - externe Emails kommen zuerst zum Webhosting-Account und werden dann nur vom Exchange abgerufen. Das heißt eine Wartungszeit mit Exchange blockiert nicht das Empfangen der Emails. Erreichbarkeit zu 100% gegeben (beim richtigen Hoster wohlgemerkt). 

Das Versenden von Emails aus dem Exchange muss ebenso über den Webhoster erlaubt sein. 

Alternativ zur Absicherung mit Popcon, ist es möglich einen Emailproxy zu verwenden. Sowas wie einen Webhoster, aber professionell wie zB Hornetsecurity. Die empfangen Emails zuerst, checken auf Emails und leiten es dann zum Exchange weiter. Damit benötigt der Exchange Port25 weitergeleitet, aber nur gesperrt auf ein paar IP-Adressen von Hornetsecurity. Die Methode ist kostenpflichtig pro Email-Adresse bzw. Postfach aber professionell mit Support.

Die Methode mit Pop-Exchange ist ein Jahresbeitrag und Spamabwehr nur mit gegebenen Webhosting-Mitteln.

Ohne groß Werbung machen zu wollen, aber unsere Firma bietet so ein Catchall-Exchange-Hosting auf Servern in Deutschland für 100 Eur netto jährlich an, aber es gibt sowas auch sicher schon billiger im Internet zu finden.

Sorry, die Antwort ist vielleicht etwas ausgeweitet. Hoffe das sie hilfreich ist.

Hast du deine Exchange-Umgebung schon erreichtet?

lg Roman