MESO Products

...because Business matters

  • Increase font size
  • Default font size
  • Decrease font size

Flatrate SMTP Empfang mit Exchange und dynamischer IP-Adresse

Dieses Whitepaper erläutert,  wie unter Verwendung einer Flatrate mit dynamischer IP Adresse der Einsatz von Exchange zusammen mit SMTP möglich ist.

Image

Emails senden und empfangen mit SMTP unter Berücksichtigung eines Flatrate Accounts mit dynamischer IP Adresse und Microsoft® Exchange 2000.

Whitepaper - Captain MESO [Dipl.-Ing. Markus Ehrl]
Senior Consultant / Escalation Engineer
MESO Products Unternehmensberatung

Veröffentlicht: 15. April 2001
Last Reviewed: 10. September 2005
© 2001 MESO Products. Alle Rechte vorbehalten.
Die in diesem Whitepaper enthaltenen Informationen stellen die behandelten Themen aus der Sicht von Dipl.-Ing. Markus Ehrl zum Zeitpunkt der Veröffentlichung dar. Dies stellt keine Verpflichtung seitens Dipl.-Ing. Markus Ehrl dar. Die Richtigkeit der hier dargelegten Informationen wird nicht garantiert. Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Personen und Ereignisse sind frei erfunden. Jede Ähnlichkeit mit tatsächlichen Firmen, Organisationen, Produkten, Personen oder Ereignissen ist rein zufällig. Dieses Whitepaper dient nur zu Informationszwecken. DIPL.-ING. MARKUS EHRL SCHLIESST FÜR DIESES DOKUMENT JEDE GEWÄHRLEISTUNG AUS.

Das BackOffice-Logo, Microsoft, Outlook, Win32, Windows und Windows NT sind entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Weitere in diesem Dokument aufgeführte Produkt- und Firmennamen können geschützte Marken ihrer jeweiligen Inhaber sein.

MESO Products • Residenza Orizzonte Blu • 6575 San Nazzaro / Vairano • Switzerland
  

Inhalt und Zweck dieses Dokuments

In diesem Dokument möchte ich erläutern wie unter Verwendung einer Flatrate mit dynamischer IP Adresse der Einsatz von Exchange unter Verwendung von SMTP möglich ist.

 

Einführung

Fast täglich erreicht mich wohl die häufigste Frage, „Wie hole ich mit Exchange meine Nachrichten via POP3 ab?“. Warum kauft man sich ein so professionelles Produkt wie Exchange und degradiert es durch den Einsatz von POP3? Exchange Server ist ein Server, Server, Server. Server senden über SMTP und empfangen über SMTP. POP3 ist ein Clientprotokoll. Verwendet man nun ein Transformer Tool, um einen POP3 Abruf zu SMTP zu wandeln, entsteht neben einem administrativen Overhead auch eine nicht zu unterschätzende Sicherheitsgefährdung. Stichworte hierfür sind doppelte Verwaltung von Mailaccounts (Exchange + externe POP3 Postfächer) und Übertragung von leicht lesbarer Übertragung von Benutzernamen und Kennwörtern im Klartext.
 
Die häufigste Ursache liegt erfahrungsgemäß in der Unwissenheit des Anwenders, gewohnt durch den Einsatz Mailclients wie Outlook Express und ähnlichen, entschließt man sich zum Kauf eines Mailservers, um eine zentrale Abwicklung zu gewährleisten. Ein weiteres Gerücht ist auch, dass der Einsatz von POP3 kostengünstiger sei. Im Detail möchte ich an dieser Stelle nicht weiter auf die Differenzierung und Vorteile wie sofortige Zustellung einer Nachricht usw. bei Verwendung von SMTP eingehen.
 

Voraussetzungen

  • SMTP Mailserver (hier Microsoft Exchange)
  • Internet Flatrate mit dynamischer IP Adresse z.B. www.t‑online.de, www.arcor.de, www.green.ch usw.
  • Dynamisches DNS Registrierungstool z.B. DynSite www.noeld.com (Shareware) oder Router mit Unterstützung von dynamischen DNS
  • Backup Provider (optional empfohlen)

Funktionsweise

Wichtig ist es zunächst das Grundprinzip zum Empfang einer Nachricht via SMTP zu verstehen. Stellen wir uns vor, ein User im Internet versendet eine Nachricht an This e-mail address is being protected from spambots. You need JavaScript enabled to view it . Im Detail ergeben sich daraus folgende Schritte (Figure 1):

  1. Der sendende SMTP Server fragt im Internet einen DNS Server im Internet nach dem zuständigen Mailserver für MESOProducts.de und dessen IP Adresse an.
  2. Der Server versucht die Nachricht an den mit höchster Priorität eingetragenen Mailserver zu übertragen, schlägt dies fehl, versucht er die Zustellung an einen Mailserver von MESOProducts.de mit niedriger Priorität zu übertragen.
Image
Figure 1

Wie wir erkennen können, ist es wichtig, dass der Mailserver stets unter einem festen Namen erreichbar ist. Gewöhnlich erstellt ein Provider hierzu Einträge für die Domain am Namensserver. Hierfür z.B. 

  • MX10 = server.mesoproducts.de
  • MX20 = relay.provider.de
Steht der Server (server.mesoproducts.de) nicht zur Verfügung, werden Emails zunächst am Server des Providers (relay.provider.de) in einer Queue gehalten und bei erneuter Verfügbarkeit an server.mesoproducts.de zugestellt. Neben dem MX Record, der den Namen des Mailservers bestimmt, trägt ein Provider einen so genannten A-Record ein. Damit ordnet der Provider dem Namen eine feste Adresse zu. Hierfür z.B.
 
  • A   server.mesoproducts.de    123.222.111.123
 

Verwendung von dynamischen IP Adressen

An dieser Stelle können wir erkennen, dass für die Verwendung von SMTP in der Regel eine feste (statische) IP Adresse notwendig ist. Diese Voraussetzung ist in der Regel bei „Flatrate“ Accounts nicht erfüllt, da hierbei meist eine dynamische Adresse bei der Einwahl zugeordnet wird.

Um das Problem zu umgehen kann man an dieser Stelle auf dynamische DNS Server im Internet zurückgreifen, die diesen Service kostenfrei anbieten. Hierfür benötigt man ein Tool, welches automatisch die hergestellte Verbindung zum Internet erkennt und dynamisch den Namen der aktuellen IP Adresse im Internet auf einen DNS Server veröffentlicht.

Ein Programm, das dies ermöglicht, ist z.B. DynSite www.noeld.com (Shareware), welches zugleich auch verschiedene kostenfreie dynamische DNS Dienstanbieter enthält. Die Vollversion des Produktes betrug zum Zeitpunkt der Erstellung dieses Whitepapers $15. Eine weitere Möglichkeit (empfohlen) ist die Verwendung eins Routers, welcher DDNS von vonherein unterstützt. Dies ist bei den meissten Routern inzwischen standard.

Nach der Einrichtung des Programms haben wir erreicht, dass unser Server trotz dynamischer IP Adresse stets unter einem festen Namen im Internet erreichbar ist, sobald eine Verbindung durch die Flatrate besteht.

Freischaltung von Port 25

Im nächsten Schritt sollten wir gewährleisten, dass unser SMTP Server vom Internet über Port 25 erreichbar ist. Dies kann man durch Eingabe von „TELNET name.ddns-anbieter.net 25“ (Figure 3, Figure 4) von außen (Internet) überprüfen.
 
Image
Figure 3
 
Image
Figure 4
 
Beachten Sie bitte stets die Sicherheitsrisiken beim Aufbau von Internetverbindungen. Der Einsatz einer Firewall ist empfehlenswert. Eine Schnellprüfung Ihrer Internetverbindung ist z.B. mit ShieldsUp unter http://grc.com möglich.

 

Änderung an der Domain

Im nächsten Schritt müssen Sie dafür sorgen, dass der dynamische DNS Name auch als Mailserver bekannt gemacht wird. Hierzu sollte man sich mit seinem Provider, welcher für die Verwaltung der Domain verantwortlich ist, in Verbindung setzen und diesen bitten, die Anpassung der MX-Records vorzunehmen. In der Regel unterstützen die meisten Provider die beliebige Anpassung der DNS Records. Sollte Ihr Provider dies nicht unterstützen, ist gegebenenfalls ein Providerwechsel zu überdenken. Diese könnten z.B. folgendermaßen aussehen:
  • MX10 = firma.name.ddns-anbieter1.net
  • MX20 = relay.provider.de
Ab diesem Zeitpunkt ist der SMTP Empfang von Emails möglich.

Versenden von Nachrichten

Achten Sie beim versenden von Nachrichten über eine dynamische IP Adresse immer darauf, dass Sie ausgehende Nachrichten über den Smarthost Ihres Providers versenden. Viele Unternehmen sind dazu übergegangen, Nachrichten von dynamischen IP Adressen nicht mehr zu akzeptieren. Die Verwendung des Mailhosts Ihres Provider löst dieses Problem.

Backup Provider (optional)

Optional kann zusätzlich ein Backup-Provider mit statischer IP- Adresse und Einwahl zur Verfügungung gestellt werden. Mit dem Backup-Provider wird gewährleistet, dass bei Ausfall der Flatrateverbindung oder bei Aktualisierungsproblemen der kostenfreien dynamischen DNS Servern der Email Empfang weiterhin realisierbar ist.

Sobald eine Email nicht über den Flatrate Account zugestellt werden kann, baut der Provider eine Verbindung zum Exchange Server auf. Daraus ergibt sich eine angepasste Konfiguration der MX-Records. Dies könnte dann folgendermaßen aussehen.

  • MX10 = firma.name.ddns-anbieter1.net
  • MX20 = mail.firma.de
  • MX30 = relay.provider.de
  • A    statische-IP-Adresse mail.firma.de (siehe Backup Account)

Anmerkung zur Sicherheit

Beachten Sie, dass der Nachrichtenaustausch im Internet, ohne Ver­wendung einer verschlüsselten Umgebung (PKI) stets unsicher ist. Dies betrifft den Empfang mit statischer IP, dynamischer IP und POP3 Postfächer. POP3 stellt dabei das höchste Gefahrenpotential, wegen des durch Brute-Force Attacken anfälligen Anmeldesystems, dar. Per Design erfordert POP3 eine Anmeldung mit Benutzernamen und Kennwort.
 
Windows 2000 und höher bietet Ihnen die Möglichkeit des Aufbaus einer eigenen CA (Certification Authority) bzw. die Verwendung als untergeordnete CA eines Trustcenters wie VeriSign, Tele-Sec, TCTrust und weiteren. Beachten Sie hierzu auch die Informationen in der Dokumentation zu Exchange 2000 und dem Schlüssel Verwaltungsserver. Exchange 2003 und höher verwenden hierzu die in Windows Server integrierten X.509 CA Dienste.
 

Was passiert während der Trennung eines Dial-Up Accounts und der Neueinwahl beim Provider mit meiner alten IP Adresse (Vergleich statische IP / dynamische IP / POP3)?

Bei einem korrekt eingerichteten Dial-Up (Recall if line is dropped) oder Router, liegt die Aktualisierung unter 3 Sekunden (3 Sek stellt bei ISDN den Maximalwert dar). Das „Nicht Vorhandensein“ des SMTP Servers liegt dabei statistisch unter 0,003%. Um die Zustellung an eine falsche Adresse zu verursachen, würde es erfordern, dass während diesen Zeitrahmens (Neueinwahl)
a.)   diese Adresse sofort durch den Provider neu vergeben wird.
b.)   unter dieser neu vergebenen IP-Adresse ein SMTP Server verfügbar ist.
Das Aufeinandertreffen aller genannten Kriterien ist theoretisch möglich, praktisch hingegen nicht realistisch.
Um bei ungewollten Verbindungsabbrüchen dennoch Fehlverbindungen zu vermeiden, bieten Anbieter von dynamischen DNS Server, wie z.B. DTdns.net zusätzliche Dienste an. Unter der Bezeichnung „Heartbeat Monitor“ existiert hierbei ein Dienst, welcher kontrolliert, ob der Dial-Up Account noch Online ist. Ist dies nicht der Fall, wird die Adresse aus Sicherheitsgründen auf 0.0.0.0 zurückgesetzt. Im Detail siehe http://www.dtdns.com/info/hosts.cfm.
In der Regel resultiert durch die Verwendung einer dynamischen SMTP Verbindung eine “höhere Sicherheit“ im Vergleich zur Verwendung von POP3 Postfächern. Sicherheit in diesen Zusammenhang gilt als „relativ“. POP3 Postfächer werden durch die meist unverschlüsselte Anmeldung durch „Man-in-the-middle-Attacken“ und POP3 Postfächern durch Brute-Force Attacken (ermöglicht es technisch POP3 Postfächer zu räumen oder zu duplizieren) gefährdet.

Bei längeren zu erwartenden offline-Zeiten Ihres Mailservers, sollten Sie eine manuelle Trennung der DFÜ/Router Verbindung vornehmen und zuvor bei DynSite die Rücksetzung der dynamisch registrierten IP Adresse gewährleisten (Figure 5 – Offline Adresse vor dem Trennen der Verbindung einstellen).

Image
Figure 5

Hiermit ist es möglich, Fehlverbindungen auszuschließen.
 
Wer Nachrichten *nicht* verschlüsselt, sollte auch keine vertraulichen Nachrichten transportieren. Verschlüsselte Nachrichten mit Hilfe von X509V3 Zertifikaten können nur von einem autorisierten Empfänger gelesen werden, unabhängig davon, auf welchem Weg die Nachricht transportiert wurde.

 

Zusammenfassung

Mit der hier beschriebenen Vorgehensweise ist es möglich auch unter Verwendung von dynamischen IP Adressen eine SMTP Serveranbindung zu realisieren.

Im professionellen Einsatz von Exchange sollte stets eine Standleitung mit statischer IP Adresse verwendet werden oder auf eine Dial-In Lösung seitens des Providers zurückgegriffen werden. Das hier geschilderte Szenario positioniert sich als Alternative zur Verwendung von externen POP3 Postfächern. Als Vorteile resultieren eine vereinfachte Administration des Exchange Servers, sofortige Nachrichtenzustellung und die Entgegenwirkung der per Design entstehenden Probleme bei Verwendung eines nach RFC definierten Clientprotokolls (POP3).
   

Leserbemerkungen

Erst einmal die Anmerkung, dass dieses Dokument sehr hilfreich für mich war. Danke für die kostenlose Bereitstellung. Ich wollte Sie nur darauf hinweisen, dass im Zuge der Möglichkeit mittlerweile günstig an feste IP Adressen über T-Online Zugänge zu kommen ist. Es wäre sinnvoll, dies in das Dokument mit aufzunehmen. ViaNetworks zum Beispiel bietet für umgerechnet 25 Euro im Monat eine Flatrateleitung 6000/576 an http://www.vianetworks.de/page753.aspx. - Stephan Biegel (17.01.2006) -


Nachwort

Über eine Beurteilung des erstellten Whitepapers, der Nützlichkeit und Verbesserungsvorschläge freuen wir uns über die Zusendung einer Nachricht an This e-mail address is being protected from spambots. You need JavaScript enabled to view it .
 
Sollten Sie Fragen haben oder Hilfe bei der Umsetzung, Optimierung und Anpassung Ihrer IT-Umgebung haben, stehen wir Ihnen gerne jederzeit zur This e-mail address is being protected from spambots. You need JavaScript enabled to view it kostenpflichtig unter This e-mail address is being protected from spambots. You need JavaScript enabled to view it zur Verfügung.