Hallo Zusammen
Wir haben einen neuen Exchange 2019 installiert und wollen spaeter die Mailboxen ueber mehrere Wochen darauf verschieben.
Der alte Exchange 2016 wird also noch mit allen Mailboxen paralell weiter laufen.
Der 2016 Server hat ein AV/Anti Spam Produkt (SMEX) drauf, der neue derzeit nicht, da wir dieses wechseln moechten und dies erst
naechsten Monat zur Verfuegung steht. Generell moechten wir sowieso erstmal das raussenden neu ueber SMTP Authentifizierung ueber
den neuen 2019 Server machen, dies umzustallen braucht etwas Zeit, da viele Geraete (Drucker mit Mailversand) derzeit ja die alte SMTP Adresse verwenden.
Jetzt haben wir aber das Problem das reingehende Mails, manchmal ueber beide Server gehen, obwohl Mail von Extern nur nach wie vor an den
alten Server per IP geht. Sobald dies geschieht, wird die Mail nicht gescannt und kommt ungefiltert beim User an, obwohl die Mailbox
nach wir vor noch auf dem alten Server liegt.
Wir haben dann mal 10 Mails zum Test versandt und die Header angeschaut, davon sind 8 nur ueber den alten Server gegangen und der Testanhang wurde geblockt.
2 Mails sind dagegen ungefiltert beim User angekommen und dort sieht man das der alte Server, die Mail am Ende kurz zum neuen Server schickt und der dann wieder zurueck.
Kann man dies irgendwie verhindern, das der neue Server da bei eingehenden Mails mit reinspielt, zumindest solange die Mailbox noch auf den alten Server liegt oder ist
es evtl. moeglich das die Mail erst gescannt wird und dann weiter geleitet wird?
Wir moechten eigentlich ungern das alte AV Produkt auf den neuen Server installieren, wenn wir in ein paar Wochen sowieso ein anderes bekommen, das nicht direkt auf dem Exchange laeuft.
Nur ungefilterte Mails durchlassen, waere natuerlich fatal. Derzeit haben wir den neuen Server in Maintenance versetzt, nur so koennen wir natuerlich nicht migrieren und verlieren viel Zeit.
Danke und Gruss
Marc
Header von einer Testmail von gmail.com die bei einen User ungefiltert ankam:
| 1 | * | mail-qt1-f180.google.com | SMTP | 8/5/2022 2:11:07 PM | ||
| 2 | 0 seconds | mail-qt1-f180.google.com IP | mr.domain.com | cipher AEAD-AES128-GCM-SHA256 (128/128 bits)) (No client certificate requested) | 8/5/2022 2:11:07 PM | |
| 3 | 1 Second | mr.domain.com IP | AlterEx.domain.com IP | Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) | 8/5/2022 2:11:08 PM | |
| 4 | 0 seconds | AlterEx.domain.com IP | NeuerEx.domain.com IP | Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) | 8/5/2022 2:11:08 PM | |
| 5 | 0 seconds | NeuerEx.domain.com IP | AlterEx.domain.com IP | Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) |
Bei denen die gefiltert wurden, fehlt der Schritt mit dem Neuen Exchange und wir verstehen nicht, warum der neu Exchange manchmal im Spiel ist (wie eine Extra Schleife) und manchmal nicht.
Generell moechten wir sowieso erstmal das raussenden neu ueber SMTP Authentifizierung ueber
den neuen 2019 Server machen, dies umzustallen braucht etwas Zeit, da viele Geraete (Drucker mit Mailversand) derzeit ja die alte SMTP Adresse verwenden.
Gib dem neuen Exchange die IP des bisherigen Servers. Schon hast du alle auf einmal erledigt. ;) Und zukünftig einfach nicht IP Adressen sondern den "generischen" Namen in den Geräten und Programmen eintragen, dann braucht man nur im DNS die IP wechseln.
Wir moechten eigentlich ungern das alte AV Produkt auf den neuen Server installieren, wenn wir in ein paar Wochen sowieso ein anderes bekommen, das nicht direkt auf dem Exchange laeuft.
Dann aktivier doch einfach den Malware TransportAgent (per Default ist der sogar aktiv) und sorg dafür, dass er seine Update bekommt. Dann ist da nix ungescannt.
Hallo NorbertFe
Erstmal danke fuer deine Antwort.
Ja wir verwenden fuer SMTP relay, ja schon auch ein mail.domain.com alias. Es gibt aber ein paar geraete, die nur die IP als Eingabe annehmen.
Zudem wollen wir ja eine Verbesserung erreichen, da der alte nur anonym war (mit Absicherung der IP Adressen als Scope).
Dies ist aber auch nicht wirklich unser Problem, dies koennen wir einfach noch nicht durchfuehren, solange SMEX manchmal nicht scannt, wenn der neue Server in der Coexistence aktiv ist.
Verstehen immer noch nicht, warum das Mail manchmal direkt geht (nur ueber den alten) und manchmal nicht (der alte gibt kurz an den neuen und dieser wieder zurueck) und da die Postfaecher noch auf den alten sind, ist ja der alte Server am Ende sowieso immer im Spiel, trotzdem wird dann aber das Mail nicht gescannt.
Das mit dem Malware Transport Agent waere eine kleine Absicherung, wir blocken aber dann doch auch so sachen wie .html oder passwort geschuetzte ZIP Archive,
die in Qurarantaene gehen. Da kommt der default sicherlich nicht ganz mit. Aber trotzdem danke, fuer die Anregung.
Gruss
Marc
solange SMEX manchmal nicht scannt, wenn der neue Server in der Coexistence aktiv ist.
Dann scannt eben der Malware Agent auf dem neuen Server. Wo ist das Problem?
wir blocken aber dann doch auch so sachen wie .html oder passwort geschuetzte ZIP Archive,
Hmm, dann wärs sinnvoller, sowas vor dem Exchange abzufangen, oder mit geeigneter Software zu agieren. Einfach warten bis eure neue Software da ist. ;)
wir blocken aber dann doch auch so sachen wie .html oder passwort geschuetzte ZIP Archive,
Hmm, dann wärs sinnvoller, sowas vor dem Exchange abzufangen, oder mit geeigneter Software zu agieren. Einfach warten bis eure neue Software da ist. ;)
Ja wenn wir nicht doch noch was von Trend Micro hoeren, wird uns auch nichts anderes uebrig bleiben.
Das verhalten vom Exchange in Coexistence scheint wohl normal zu sein und laesst sich anscheinend auch nicht beeinflussen, oder?
Wäre mir nicht bekannt.