E-Mail Gateway für eigenen Exchange Server

rzmuc_MessageGate_Produktdatenblatt_previewOft haben wir uns gefragt, was wir am besten mit Exchange Servern unserer Kunden machen. Stellen wir sie offen ins Netz? So dass jeder, der sich ins Hacken einlernen möchte, damit herumspielen kann?

Wenn man bei Google danach sucht findet man ziemlich schnell das eine oder andere Tool, was selbst einem Nicht-Fachmann schnell unverschlüsselt übertragene Passworte ausspäht, WLAN Verbindungen knackt oder eben mit einer DoS oder anderen Attacke Mail- und Webserver außer Betrieb nimmt. Deswegen vermeidet man es eigentlich, Server ins Internet zu stellen.

Nur was tun mit einem Mailserver? Sei es nun ein Microsoft Exchange, ein Small Business Server mit Exchange Feature, oder auch ein Blackberry Enterprise Server, Lotus Domino oder ein einfacher Linux IMAP Server. Eine Internetanbindung benötigen diese Systeme auf jeden Fall. Sonst sind sie nutzlos.

Nun gibt es nur zwei Möglichkeiten: komplett ins Netz mit der Kiste und für die E-Mail Domain konfigurieren. Resultat: Unentwegte Attacken auf das System, immense Not an hochqualifiziertem Personal falls doch etwas schief geht. Für den Betreuer bedeutet dies auch ein immenses rechtliches Risiko, schließlich hat er meist einen Servicevertrag mit dem Kunden und steht dafür gerade, dass kein Spammer durch ein Open Relay beispielsweise auf die Kosten des Kunden Mailbomben los zu schießen. Das heisst, man benötigt nicht nur einem Virenscanner auf allen Rechnern sondern auch eine in aller Regel unerschwinglich teure Firewall, Anti-Spam Technologie, eigentlich auch alles redundant, … das kostet.

Das riesengroße Problem: Während Wartungsarbeiten, bei Störungen oder einem einfachen Neustart des Servers ist dieser nicht erreichbar, E-Mails können verloren gehen, Absender bekommen vielleicht sogar gleich die Antwort, dass der Empfängerserver nicht erreichbar ist. Würden Sie als Kunde bei so einem Unternehmen eine zweite E-Mail hinschicken? Die wahrscheinlich gleich wieder zurück käme, weil die meisten Menschen einfach auf Weiterleiten klicken und das Ding 20 Sekunden später zum zweiten Male verschickt haben werden. Also keine wirkliche Option.

Ach ja, es gab ja noch eine zweite Möglichkeit. Man nehme sich einen günstigen Webhoster, die Domain muss sowieso irgendwo registriert werden. Der Hoster kostet keine zehn Euro im Jahr und übernimmt dafür neben der Domainkonnektierung auch Services wie verteilte DNS Server, Spamfiler, Greylisting und vielleicht sogar für ein paar Euro mehr im Jahr sogar einen Virenscan auf den Mailboxen. Freilich, den Unternehmensvirenscanner kann das nicht ersetzen, alleine schon weil dieser keine Dateien auf der Festplatte prüft. Aber es macht die Arbeit des Admins leichter und der Kunde kann sich etwas beruhigter fühlen. Das dumme an dieser Variante: Man muss die Benutzer und damit die Mailadressen nicht nur im Exchange Server pflegen, sondern auch auf dem Hosting selber. Das ist nicht nur doppelte Arbeit sondern kostet richtig Zeit und nerven, wenn man sich auch nur irgendwo einmal vertippt hat sich Benutzernamen ändern (Mitarbeiter heiraten auch mal ganz gerne und lassen sich wieder scheiden). Und man benötigt ein Tool, dass die Mails auf dem Hosting permanent abruft und in die Mailboxen let. Das kostet Ressourcen, ist eine massive Fehlerquelle, verzögert naturgemäß die Zustellung im Bereich von mehreren Minuten und kostet damit – ebenfalls – einfach nur sinnlos Geld.

…ist wohl ein notwendiges Übel.

Top Gear würde sagen „or is it?“. Nein ist die Antwort. Nunja, doch, eigentlich schon. Wir haben uns etliche Produkte angesehen, getestet, unter Last probiert und haben nichts passendes gefunden. Wir können im RZ (Rechenzentrum) derzeit locker 700 Millionen E-Mails monatlich aus Datenbanken generieren, jede einzeln elektronisch signieren und verschicken, während diese auch noch zeitgleich getrackt und Bounces ausgewertet werden. In Spitzenzeiten versenden unsere Server um die drei Millionen E-Mails in der Stunde, das muss man sich erst einmal vorstellen welche Dimension das hat.

Zurück zum Thema: Was für Produkte setze ich ein? Eine GFT? Eine Redoxx? Oder gar eine managed Lösung von einem der bekannten, großen, Anbieter wie Symantec? Nun, wir haben wie gesagt viel ausprobiert, denn Lösungen gibt es viele.

Irgendwie waren wir aber nicht zufrieden mit dem, was wir bekamen. Allen professionellen Tools ist etwas gemein. Man kauft entweder eine teure Box, die man jedem Kunden in den Schrank stellen muss. Macht ein Elektrotechniker diese auf ist er entsetzt. Billigste Desktop Hardware von vor drei bis vier Jahren, neu verpackt und bunt angemalt. Dazu muss das konfiguriert und eingerichtet werden, eine Schulung soll her und der Hersteller schickt vielleicht gleich noch Consultant zur Einrichtung vorbei. Verpflichtend versteht sich.

Okay, da gab es doch etwas, das nannte sich Managed Service, oder auch Software as a Service namens SaaS. Stimmt, gibt es da auch Anbieter, bei denen ich trotzdem Support bekomme? Und das auf deutsch, am besten in meiner Nähe? Ich hätte gerne persönliche Beratung, eine Compliance Erklärung inklusive der Gewissheit, dass ich allen datenschutzrechtlichen Bestimmungen nachkomme und unterschreiben soll er auch noch dafür, der Anbieter. Hm…

Stimmt, da war etwas. Da brauche ich gar nicht weiter überlegen, denn alleine schon wenn der Anbieter nach amerikanischem Recht handelt, oder nach irischem, oder nach was auch immer Richtung östlich von uns… dann haben sich sämtliche andere Fragen erledigt.

Also was tun? Ehrlich gesagt, ich weiß es nicht, was andere Anbieter machen. Das ist fast ein Thema für die Diskussion in den Posts zu diesem Artikel (die hoffentlich zahlreich erscheinen werden). Ich habe immer für Unternehmen gearbeitet, die entweder gar keinen Exchange anboten, oder aber das Glück hatten, selber Systeme im Rechenzentrum zu betreiben und das zumindest irgendwie hinpfuschen konnten. Mehr schlecht als recht aber immerhin, ich habe nie eine erfolgreiche Attacke auf einen Exchange Server miterleben müssen.

Nun sind wir aber nicht bei einem meiner ehemaligen Arbeitgeber, sondern bei meiner eigenen Firma pr itk solutions GmbH und unserem eigenen Projekt Rechenzentrum München gelandet. Keine Zeit für Kompromisse.

Wir haben gesucht und nicht gefunden. Woas mocht der Moa? Schreibt sich alles selber und zwar so, wie er es haben will. Ich will hier keine explizite Werbung machen, daher gibt’s für interessierte ein Datenblatt genau hier. Mich würde einfach mal interessieren, was man macht, wenn man nicht dieses Produkt einsetzt?

Was macht ihr? fetchmailer oder Pullution? Und die Tools alle Tage neu starten weil sie sich aufgenäht haben oder einen extra Linux Server dafür installieren? Oder MX Record umbiegen, Daumen drücken und hoffen wenn der Exchange meint, er muss jetzt neu starten? Es wird schon keine Mail in der Zeit kommen…

 

patrick.ruppelt