Verständnisfragen zur Dokumentation

T

Turnschuh

New Member
Jan 22, 2020
2
0
1
37
Hallo,

ich habe vor in unserem Unternehmen Proxmox Mailgateway zu nutzen. Allerdings habe ich noch zwei Verständnisfragen, die mich in der Dokumentation verwirren oder nicht angesprochen werden.

1. So wie ich die Dokumentation verstanden habe, ist der Versand über PMG optional und kein Muss?
2. Ein signiertes und vertrauenswürdiges Zertifikat muss nur bei optionalem Versand hinterlegt werden bzw. wenn die Weboberfläche keine Fehlermeldung werfen darf?

Mein Test-Szenario würde nun so aussehen, dass ich am Exchange ein Empfangs-Connector für die IP des PMG und den Port 26 konfiguriere und dann folgende Einstellungen an der Firewall ändere:

Internet (Port 25) to Proxmox (Port 25)
Proxmox (Port 26) to Exchange (Port 26)

Die Einstellungen des sendenden Exchange würde ich unangetastet lassen, wenn obige Frage 1 optional ist.

Habe ich alles soweit richtig verstanden oder fehlt noch etwas?
 
Hallo Turnschuh,

zu Punkt 1: Grundsätzlich sollten deine Exchange-Server keine Nachrichten direkt an das Internet senden (ausgenommen Office 365 bzw. Exchange Online). Die Funktion sollte in der Regel schon eine Security Appliance wie Exchange Edge Server oder auch PMG für dich erledigen.

Wenn du PMG zum Versenden von Nachrichten in Richtung Internet verwenden möchtest, solltest du deinen Sende-Konnektor via PowerShell ändern, sodass dieser Port 26 verwendet:
Firewall:
  • Inbound: Erlaube Port 25 Internet -> An Port 25 PMG
  • Sofern PMG in der DMZ bzw. in einem eigenem Netz-Segment steht und nicht im selben Netz wie deine Exchange-Server - dann:
    • Outbound: Erlaube IP Exchange 1 + 2 -> An Port 26 PMG
Zu Punkt 2: Die Frage habe ich nicht ganz verstanden. Geht es dir darum, dass die Weboberfläche keine Zertifikatswarnung ausgeben soll?

Ich hoffe diese Informationen helfen dir weiter.

Gruß
Eddie
-------
https://exchangeblogonline.de
 
Hallo Techeddie,

vielen Dank für die Aufklärung.

Zu Frage 2: Aktuell ist auf dem Exchange das Zertifikat für die DIenste IIS und SMTP installiert. Für den Versand hinterlege ich das Zertifikat auch auf dem PMG? Soweit ich das noch in dunkler Erinnerung habe, ist Port 25 (oder neu 26) doch ohne irgendeine Zertifikatsimplementierung nutzbar bzw. handhabt der Exchange 2016 das ebenfalls noch so?

IIS ist klar, das wird für OWA, ActiveSync und Co. verwendet.
 
Hallo Turnschuh,

du möchtest die ausgehende Verbindung von Exchange zu TMG via TLS absichern? Wenn ja, findest du hier analog eine schöne Anleitung für den Eingang:
Für den Ausgang habe ich folgende Settings via PowerShell gesetzt:
$Cert = Get-ExchangeCertificate -Thumbprint AB90A1B015A596D2461E3F9BF808BD43B5385F45​
$TLSCertificateName = "<i>$($Cert.Issuer)<s>$($Cert.Subject)"​
$TLSCertificateName​
Set-SendConnector "Internet" -TlsCertificateName $TLSCertificateName​
Set-SendConnector "Internet" -RequireTLS $true​
Get-SendConnector | fl name,*tls*​

1580161072001.png

Bedenke bitte, dass Änderungen sofort gezogen werden! Zum Testen empfehle ich dir einen neuen Sende-Konnektor mit einer Target-Domain anzulegen und anschließend mit diesen Tests durchzuführen:
Auf der PMG habe ich lediglich TLS aktiviert und es funktioniert ab Werk:

1580161841971.png

Mail an GMAIL:

1580161954991.png

Gruß
Eddie
-------
https://exchangeblogonline.de
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom