Exchange und dynamischem DNS

Siehe auch MX-Record

Viele Firmen haben aufgrund mangelnder Verfügbarkeit oder zu hohen Kosten von Standverbindungen eine Internetanbindung mit dynamischen IP-Adressen. Das Problem hierbei ist, dass andere Mailserver nicht direkt die Nachrichten zu ihrem Exchange Servern senden können.

Daher nutzen viele Firmen die Möglichkeit, per POP3 (Siehe POP3 abholen) die Nachrichten von einem Provider abzuholen. Dies ist vielfach auch die einzige Möglichkeit, wenn der Provider nur ein POP3-Postfach anbietet und sogar Weiterleitungen etc. nicht möglich sind. Seit Mai 2004 bietet aber z.B. auch 1&1 entsprechende Funktionen an. Siehe 1&1 und Exchange

Es gibt aber noch Alternativen. So können Sie die dynamische IP-Adresse z.B. im Internet bekannt geben. Firmen wie DynDNS und andere erlauben die dynamische Registrierung ihrer IP-Adresse.

Voraussetzung für die folgenden Beschreibungen ist eine permanente Verbindung zum Internet. Dies ist in der Regel eine Verbindung, die als Flatrate oder nach Volumen berechnet wird und nicht nach Verbindungszeit.

Diese Anbindung eignet sich nicht, wenn ihr Server nur manchmal "online" ist !

Für die Anbindung selbst gibt es drei Alternativen:

  • DynDNS-Provider hostet auch die Domäne
  • Domain Provider erlaubt angepassten MX-Eintrag.
  • DynDNS-Provider hostet nur den Hosteintrag.

Zum Verständnis über Mailserver, DNS und MX-Enträge sollten Sie auch Mail im Internet und besonders Mail im Internet DNS und MX gelesen und verstanden haben.

In den Musterbeispielen steht:

  • web.tld für den Webserviceprovider
  • ddns.tld für den Provider für das dynamische DNS
  • firma.de  für die Firma, die die Installation nutzt

Alle Einträge sind fiktiv. Die unterschiedlichen Lösungen im Detail:

DDNS-Provider hostet auch die Domäne

Hierbei ist ihre gesamten DNS-Domäne bei dem Provider gehostet, der auch ihre dynamischen Einträge macht. Diese Leistung ist aber meist nicht kostenfrei, d.h. sie müssen einen Vertrag abschließen. Leider bieten die "großen" wie Strato oder 1und1 noch keine dynamischen DNS-Einträge an, so dass Sie eine dort bislang betriebene Domäne erst übertragen müssen. Oftmals ist aber so ein "DynDNS"-Provider kein Webspace Provider, so dass sie woanders doch noch Platz für ihre Webseite suchen müssen und im dynamischen DNS dann den Eintrag für den Host "www" entsprechend verlinken müssen.

[ns.firma.de]
firma.de.   SOA ns.ddns.tld (041107 28800 7200 60480 86400)
firma.de.    NS ns.ddns.tld
firma.de.    MX 100 mail.firma.de
mail          A 12.34.56.67   (<- wird dynamisch gesetzt !)
www       CNAME webserver.web.tld
firma.de.   SOA ns.ddns.tld (041107 28800 7200 60480 86400)

Technisch reicht es für den Empfang von Nachrichten,  dass sich ihre Mailserver nach der Verbindung mit der dynamischen Adressen im DNS einträgt und der MX-Eintrag der Domäne auf diesen dynamischen Namen (bitte nicht die IP-Adresse) verweist.

Alle Nachrichten an ihre Domäne werden über den MX-Eintrag auf den dynamischen Namen verwiesen, welcher fast immer auf ihren Mailserver zeigt. Diese muss die Mails dann nur noch annehmen. (TCP  Port 25)

Domain Provider erlaubt angepassten MX-Eintrag

Meist haben Sie aber heute schon eine Domäne, die bei einem der "großen Provider gehostet ist. Dieser betreibt nicht nur den Webserver für ihre Domäne, sondern auch den DNS-Server. Leider unterstützen die meisten dieser müssenhoster nicht die Anpassung von DNS-Einträgen. Aber vielleicht haben Sie Glück und der Hoster erlaubt einen MX-Eintrag, der nicht auf die Mailserver des Webhosters (web.tld) verweist, sondern auf einen anderen Server.

[ns.firma.de]
firma.de.   SOA ns.web.tld (041107 28800 7200 60480 86400)
firma.de.    NS ns.web.tld
firma.de.    MX 100 firma.ddns.tld
www           A 12.34.56.67
firma.de.   SOA ns.web1.tld (041107 28800 7200 60480 86400)

Dies ist gar nicht mal so untypisch, wenn jemand eine Webseite bei WEB.TLD betreibt, aber die Mailserver wo anders stehen. Dann nämlich könnten Sie sich bei einem DynDNS-Provider einfach einen dynamischen Namen besorgen (z.B. firma.dyndns.org) und der Provider für ihre Maildomäne und DNS-Zone würde den MX-Eintrag auf "firma.dyndns.org" verweisen.

Immer mehr Provider wie z.B. 1und1 erlauben mittlerweile, dass der Kunde seine eigenen DNS-Einträge verwaltet und erlauben sogar die Umleitung auf eigene IP-Adressen oder Alias-Namen. Hier ein Bildschirmauszug von 1und1 und einem Business Pro 5.0 Paket:

Auch bei 1blu kann man den MX-Record selbst pflegen:

1blu DNS

Es ist durchaus möglich dass diese Funktion nur bei  bestimmten Paketen verfügbar ist. Insofern sollten Sie diese Funktion vor Vertragsabschluss genau prüfen, dass ihr gewünschter Vertrag die Möglichkeit erlaubt, MX-Einträge auf andere (auch dynamische) Hostnamen zu leiten. Eine Umleitung auf IP-Adressen ist nur dann geeignet, wenn Sie eine statische IP-Adresse verwenden.

Ich kann nicht bei jedem Provider selbst ein Paket unterhalten, um die Verfügbarkeit zu prüfen. Ihre Mithilfe bzw. die von Providern ist gefragt, um die Liste hier aktuell zu halten.

Provider Pakete Kosten de-Domain Funktion Stand

1und1

1&1 Mail

1,49 € / Monat

MX änderbar

Juli 08

Strato

Strato Domain

0,29 €/Monat

MX änderbar

Juli 08

1blu

1blu-Homepage Professional

1,00 €/Monat

MX auf Hostnamen änderbar

Juli 08

Host Europe

Domain Basic

0,50 €/Monat

MX änderbar

Juli 08

Diese Liste wird nie vollständig sein und jeder Provider kann ihren MX-Eintrag auf eine andere Adresse leiten lassen. Nur bieten einige Provider dies gegen Aufpreis an bzw. erlauben nicht die Pflege durch den Anwender selbst per Browser. In der Regel enthalten höherwertige Pakete auch die Funktion. Es ist also schon lächerlich günstig, sich seine "Domain zu kaufen und die Mails auf eine dynamische DNS-Adresse leiten zu lassen.

DDNS-provider hostet nur den Hosteintrag

Die großen Hoster, zu denen an erster Stelle 1und1 und Strato gehören, erlauben nur komplette Präsenzen mit Platz für die Webseite, einigen POP3-Postfächern und einer Verwaltung über eine Weboberfläche. Dies ist für tausende kleiner privaten  Webseiten sicher der einfachste und sicherste Weg. Schließlich gilt es in dem Segment die Kosten zu drücken und das geht nur durch Standardisierung. Dies bedeutet aber auch, dass Sonderwünsche nicht einfach möglich sind. Daher ist es ihnen nicht möglich, ihre dynamische IP-Adresse der Domäne zu ändern noch den MX-Eintrag zu ändern.

Aber auch hier können Sie einen Lösung finden, die zwar nicht sonderlich elegant ist,  aber funktioniert. Sie richten wie gehabt ihren Exchange Server ein, nutzen einen der kostenfreien oder günstigen Provider für die Registrierung ihres dynamischen DNS-Namens für ihren Server. Dieser ist dann unter "firma.ddns.org" erreichbar.

Jetzt muss man nur noch wissen, dass SMTP-Server eine Mail nicht nur anhand des MX-Eintrags zustellen können, sondern auch die Hostadressierung zulassen. Eine Mailadresse namens "user1@firma.ddns.org" ist also durchaus für die meisten Systeme problemlos zu erreichen. Nun muss ihr Provider nur noch eine Weiterleitung ihres Postfachs erlauben. Eine solche Weiterleitung ihres Postfachs an einen anderen Mailserver erlauben die meisten Provider. Also tragen Sie einfach ein, dass eine Mail an "user1@firma.de" einfach an "user1@firma.ddns.org" weitergeleitet wird.

Damit ihr Exchange Server darauf aber nun richtig reagiert, müssen Sie in den Empfängerrichtlinien (siehe Exchange 2000 RUS und Empfängerrichtlinien) beide Adressen hinzufügen. Dabei müssen Sie die "richtige" Adresse als primäre "fette" Adresse einstellen und die dynamische Adresse als zweite Adresse eintragen.

Damit nimmt ihr Exchange Server für beide Adressen die Mails an, auch wenn nur Adressen für "firma.ddns.org" kommen werden aber ausgehende Mails werden mit der offiziellen SMTP-Domäne versehen.

So sollte es auch möglich sein über die klassischen Provider mit der Weiterleitung eine Firma anzubinden. Etwas ärgerlich ist hierbei nur, dass Sie beim Provider alle Postfächer bzw. Weiterleitungen anlegen müssen.

Dynamisches DNS und SSL

Eine besondere Beachtung verdient der Zugriff per SSL auf einen Server, welcher nur unter einer dynamischen IP-Adresse erreichbar ist. Ein SSL-Zertifikat wird auf einen Namen ausgestellt und sehr viele Anbieter von offiziellen Zertifikaten verweigern die Ausstellung auf einen Namen eines dynamischen Anbieters. So stellt GoDaddy keine solche Zertifikate aus. Auf eine IP-Adresse kann natürlich auch kein Zertifikat ausgestellt werden, bzw. dies ist bei dynamischen Adressen schon aus Prinzip nicht sinnvoll.

Aber es gibt auch hier eine Lösung, bei denen aber der DNS-Provider mitspielen muss. Eine "eigene" Domain gehört natürlich dazu. Aber bei den geringen Kosten für eine eigene DNS-Domain wird jeder, der einen Exchange Server betreibt, auf eine Adresse bei einem Provider in der Form user@gmx.de, user@t-online.de oder anderer Mailprovider verzichten und lieber "username@meinfirmenname.de" verwenden. Dies bedeutet aber auch, dass ein Dienstleiter im Internet "ihre Domäne" betreiben muss, so dass diese Adresse auch gefunden werden kann. Weiter oben haben Sie nun schon gesehen, wie man z.B. bei 1und1 den MX-Eintrag so verbiegt, dass die Mails direkt auf dem Mailserver hinter der dynamischen IP-Adressen gesendet werden. Das gleiche kann man nun auch mit einem Host-Record machen.

owa     CNAME    meinserver.ddnsanbieter.tld.

Der Provider muss ihnen dazu natürlich die Option anbieten, nicht nur den MX-Eintrag, sondern auch einen CNAME-Eintrag zu erlauben. Damit können Sie nun einen neuen "Host" (z.B.: "OWA") anlegen, welcher auf den Namen ihrer dynamischen IP-Adresse verweist. Sie können und sollten dann auf ihrem Exchange Server ein Zertifikat mit eben diesem offiziellen Namen (owa.meinefirma.tld) beantragen und installieren können. Hier mal als Schritt für Schritt Anleitung

  1. Dynamischen Namen registrieren
    Entweder trägt ihr Router oder eine Zusatzsoftware auf ihrem Server den Namen zu ihrer dynamischen IP-Adresse beim Provider ein (z.B.: firma.dyndnsprovider.tld)
  2. SSL eingehend zulassen
    Dann müssen Sie auf dem Router meist einstellen, dass eingehende Verbindungen auf Port 443 auf den internen Server umgeleitet werden. Achtung: Ein Router ist keine Firewall. Sichern Sie daher den IIS entsprechend ab oder nutzen Sie einen eigenen virtuellen HTTP-Server für den externen Zugriff.
  3. Selbstzertifikat installieren
    Ehe wir nun Geld in die Hand nehmen, sollten Sie auf dem Webserver erst einmal ein eigenes SSL-Zertifikat installieren. Siehe auch SelfSSL bzw. IIS SSL einrichten.
  4. SSL-Zugriff testen.
    Sie können jetzt schon aus dem Internet mit einem Browser auf https://firma.dyndnsprovider.tld/owa zugreifen und sollten eine Verbindung erhalten. Zwar wird der Browser Sie warnen, dass das Zertifikat nicht gültig ist, aber sie können schon per SSL sicher OWA nutzen und wir wissen, dass die Konfiguration in Ordnung ist.
  5. CNAME in der Zone "firmenname.de" anzulegen
    Nun können Sie auch beim Provider, welcher ihre eigene Domäne verwaltet einen CNAME eintragen. Tragen Sie z.B.: ein, dass der Host "owa.firmenname.de"  auf die Adresse "firma.dyndnsprovider.org" verweist
  6. Test der DNS-Umleitung
    Nach einigen Minuten oder Stunden sollte dieser neue Eintrag auch im gesamten Internet "bekannt" sein. Versuchen Sie nun einen Zugriff auf "https://owa.firmenname.de" aus dem Internet. Ihr Browser sollte dann auf ihren Server landen und wieder die bekannte Warnung zum ungültigen Zertifikat liefern. Bestätigen Sie diese, dann können Wie nun auch mit dem offiziellen Namen OWA nutzen
  7. Zertifikat für "owa.firmenname.de" anfordern und installieren
    Nun ist es ab der Zeit, ein offizielles Zertifikat für den gewählten Namen bei einer vertrauenswürdigen Zertifizierungsstelle anzufordern und auf dem IIS zu installieren. (Siehe auch IIS SSL einrichten.)
  8. Funktion testen
    Nach der Installation sollten Sie nun problemlos auch hinter einer dynamischen IP-Adresse mit SSL die Dienste von Exchange (OWA, OMA, ActiveSync) nutzen können.

Natürlich wäre es besser, wenn eine richtige Firewall mit URL-Filterung statt nur ein NAT-Router die Verbindung absichern würde und auch eine dynamische IP-Adresse bedeutet oft auch eine schmalbandige DSL-Leistung (Upstream). Aber möglich ist es schon. 

Achtung:
Einige DNS-Provider erlauben nur die Pflege oder Änderung des "www"-Eintrags. Meist sogar nur die Umleitung auf eine andere "eigene" IP-Adresse. Das ist zwar nett, wenn Sie ihren Webserver unter einer festen IP-Adresse erreichbar machen, aber dann müssen Sie auch ihre Webseite und den Traffic selbst unterhalten. DSL-Leitungen sind zwar schnell für einen "Download" aber ein Besucher ihrer Webseite wird durch die geringe "Upload"-Geschwindigkeit doch stark gebremst.

Prüfen Sie daher den Provider, der ihren DNS-Domainname bereitstellen soll, ob er ihnen eine solche weitreichende Konfiguration der DNS-Zone erlaubt.

DDNS Provider

Folgende Auflistung ist keine Qualitätsgarantie oder Funktionsgarantie. Überzeugen Sie sich bitte selbst über die Leistungen,  Preise und Bedingungen der einzelnen Anbieter. Ein guter Dienstleister muss sich auch irgendwie finanzieren. Kostenfrei ist erst mal nett aber sobald Sie abhängig von der Leistung werden, ist ein kommerzieller Provider vielleicht interessanter

Zitat:
Unsere Windows-Aktualisierungssoftware sendet je nach Tarif alle bis zu 5
Sekunden ein "Lebenszeichen" an unsere Server. Hierüber werden nicht nur
IP-Wechsel schnellstmöglich erkannt - vielmehr können wir Ihren Account sehr
kurzfristig neutralisieren. Dies machen wir, wenn 3 HeartBeats Ausbleiben.
Das bedeutet somit, dass wir Ihren Account binnen 20 Sekunden neutralisieren
können, nachdem bei Ihnen ein InterNet-Zugangsproblem aufgetreten ist. Unser
Backup-Mailexchanger, den wir Ihnen selbstverständlich zur Verfügung
stellen, nimmt bei korrekter Account-Konfiguration nun alle an Sie
adressierten eMails an. Diese werden Ihnen automatisch zugestellt, wenn Sie
wieder online sind.

  • Heise c't Heft 14/2004 Seite 147
  • Weitere werden gerne aufgenommen
  • http://www.directupdate.net/
    Tool, um bei DynDNS die Adresse immer schön aktuell zu halten

Weitere Links