De-Mail Rewrite Agent für direkte Exchange Anbindung

Diese Seite beschreibt eine Idee zur möglichen Anbindung von Exchange an De-Mail.
Es gibt weder eine fertige Software noch ein Proef of Concept. Meine eigene DE-Mai-Adresse wird über NoSpamProxy Encryption abgeholt und zugestellt.

De-Mails sieht als Firmenanbindung die Nutzung eines Gateways vor, welches die Mails per POP3 von De-Mail Provider bezieht und nach einer umschreibung an das interne Mailsystem weiter leitet. Umgekehrt sendet das interne Mailsystem alle Mail an "SMTP:*.de-mail.de" einfach per Smarthost an dieses Gateway, welches dann die Absender wieder umschreibt und per SMTP an den Provider übermittelt.

Allerdings ist es nicht für jede Firma akzeptabel, ein Firmenrelevantes Gateway auf Windows XP als "Server" zu betreiben, welches in JAVA programmiert ist und zumindest Anfang 2010 noch nicht als "Produkt" mit Support o.ä. angeboten wird. Ich konnte zum damaligen Zeitpunkt nicht erkennen, dass die Funktion des Gateways effektiv überwacht werden konnte. Es fehlen z.-B: Performance Counter als auch Eventlogs, die eine Überwachung durch entsprechende Produkte ermöglichen würde. Persönlich stört mich hier auch der POP3 "Sammelgedanke", den ich schon auf POP3 Probleme beschrieben habe. Die Zeitverzögerung durch periodisches Abholen statt Zustellen und die Ablage von Junk-Mails in einem Ordner beim Provider, der nicht durch das Gateway geleert wird, sind weitere Einschränkungen.

Wenn eine Firma für die Anbindung einfach nur Exchange nutzen möchte, dann ist es heute schon technisch möglich, dass der Provider die Mails an SMTP:firma.de-mail.de per Smarthost mit erzwungener Verschlüsselung (TLS) an den Kundenserver sendet. In Exchange ist es sehr einfach, jedem legitimen Empfänger zusätzlich auch eine "%s.%g@firma.de-mail.de" zu verpassen, so dass eingehende Mails zugestellt werden. Aber beim Versand muss getrickst werden. Sie können natürlich die De-Mail-Adresse zur primären Adresse machen und ab sofort alle Mails an den De-Mail-Provider senden, welcher dann bei Mails an Nicht-De-Mail-Adressen die Absenderadresse umschreibt und weiter leitet. Schön ist dies aber nicht und nicht jeder De-Mail-Provider wird dies unterstützen.

Exchange kann ja abhängig von der Zieladresse Nachrichten auf verschiedenen Wegen versenden. Allerdings kann er dabei nicht die Absenderadresse "drehen". Dies kann aber z.B. ein Transport Agent. Voraussetzung ist natürlich, dass Provider den Versand von Exchange mit passender Absenderadresse zulassen und vor allem auch das eingehende Routing per SMTP zukünftig unterstützen. Wenn Sie als Firma weiterhin das POP3-Sammelgateway für eingehenden Traffic benötigen, dann können Sie dieses Gateway auch für den Versand nutzen.

Funktionsweise Empfang

Natürlich darf eine Mail vom De-Mail-Provider nicht einfach unverschlüsselt und ungeschützt über das Internet empfangen werden. Daher sollten Sie für die Kommunikation mit De-Mail einen eigenen Kanal öffnen und sicherstellen, dass diese IP-Adresse z.B.: nur von den Systemen ihres De-Mail-Providers erreicht werden. Das kann durch die Firewall geschehen oder einfach über einen Receive Connector. Seit Exchange 2007 kann man einen entsprechenden Receiveconnector mit passenden Daten einrichten:

  • Name: Incoming De-Mail
    Local: any:25
    Remote: <ipadressen des Providers>
    Permission: Authenticated User oder anonym
    Absicherung: TLS

Durch die Angabe der IP-Adressen der einliefernden Mailserver ihres De-Mail-Providers ist sichergestellt, dass dieser Connector nicht von anderen Systemen missbraucht werden kann. Dies trifft natürlich nur zu, wenn Exchange direkt per NAT die Mails annimmt, also eher kleinere Firmen. Wenn Sie ein Relay zwischen Exchange und Internet betreiben, dann muss natürlich dieses Relay zumindest TLS-tauglich sein. Wenn ihr Gateway dies nicht unterstützt, dann können Sie parallel zum regulären Weg ihres Empfangs natürlich auch einen eigenen Transferweg an diesem Relay vorbei für De-Mail einrichten, so dass die normalen anonymen Internet Traffic über die gewohnten Schutz und Filtersysteme leiten während der authentifizierte De-Mail-Verkehr daran vorbei zum Exchange kommt.

Allerdings sollten Sie dennoch prüfen, welche Mehrwertfunktionen ihr bisheriges Gateway noch mitgeliefert hat, z.B. Virenschutz, Spamschutz, Journalarchivierung, weitergehende Crypto-Funktionen (S/MIME) etc.

Funktionsweise Versand

Ausgehend können Sie ja schon länger die Exchange SendConnectoren, über welche die ausgehenden Verbindungen gesteuert werden können. Über den Adressraum kann damit wunderbar kontrolliert werden, welchen Weg Mails an bestimmte Empfänger nehmen. Allerdings können Sie hier nicht nach dem Absender filtern. Aber für den Versand ist genau dies der interessante Weg. Alle Mails an normale Internetempfänger werden wie bisher versendet. Aber alle Mails, die an eine "*.de-mail.de"-Adresse gehen, werden über einen besonderen Weg weiter geleitet. Und hierzu ist ein eigener Send-Connector der richtige Weg.

  • Name: "Outgoing De-Mail"
    Adressraum: "SMTP:*.de-mail.de"
    Smarthost: <ip-adresse ihres Providers>
    Sicherung: TLS required
    Anmeldung: Benutzername/Kennwort des De-Mail Zugangskontos

Wenn Exchange nicht direkt mit ihrem De-Mail-Provider kommunizieren darf, dann muss Exchange die Mail an ein entsprechend kompatibles Relay weitergeben, welches dann seinerseits die Mails an De-Mail-Empfänger zum De-Mail-Provider per TLS verschlüsselt und nach erfolgter Anmeldung versenden kann. Da viele Relays aber weder TLS noch Authentifizierungen unterstützen, werden viele Firmen auch hier einen Hinterausgang per NAT zum De-Mail-Provider konfigurieren.

Aber auch hier ist zu prüfen, welche Mehrwertfunktionen ihr bisheriges Gateway noch mitgeliefert hat, z.B. Virenschutz, Spamschutz, Journalarchivierung, weitergehende Crypto-Funktionen (S/MIME) und vor allem auch Disclaimer etc.

Absender beim Versand umschreiben

Eingehend ist es relativ einfach, eine De-Mail-Adresse auch dem Postfach zuzuordnen, indem Sie dem Exchange Postfach einfach die De-Mail-Adresse zusätzlich vergeben (Manuell oder per Empfängerrichtlinie). Aber ausgehend muss die Mailadresse des Absenders immer dann "angepasst" werden, wenn das Ziel im De-Mail-Adressraum liegt.

  • Eingehend
    Absender *@*de-mail.de
    Empfänger *@firma.de-mail.de
    KEINE Änderung wenn Mitarbeite rauch De-Mail als sekundäre Adresse hat
  • Ausgehend
    Absender *@firma.de
    Empfänger *@*.de-mail.de
    Absender umschreiben, z.B. über folgende Logik:
    1. Suche User im AD
    2. hole De-Mail aus Proxy Addresses
    3. ändere FROM_Adresse auf De-Mail-Adresse

Zu berücksichtigen ist eine Mail, die von einem Absender an mehrere Empfänger geht, von denen ein Empfänger eine De-Mail-Adresse und ein anderer Empfänger eine "normale" Mailadresse enthält. Der Transport Agent darf die Mail erst nach der Auftrennung umschreiben.

Limitierung Signatur und Verschlüsselung

Die Anbindung an einen De-Mail-Provider per SMTP mit TLS und Authentifizierung ist die Mindestkonfiguration, damit Sie bei De-Mail mitspielen dürfen. Die Mails selbst sind aber weder signiert noch verschlüsselt, es sei denn Sie tun dies auf dem Client. Aktuell kenne ich noch keine Transportagenten für Exchange 2010, welcher z.B. auch die Mails mittels SMIME digital signiert oder sogar verschlüsselt. Es gibt sehr wohl einen "Right Management Agent", welcher Mails anhand verschiedener Kriterien mittels Rights Management Server schützt, aber das hilft bei De-Mail nicht weiter. Allerdings gibt es Gateways (siehe Signieren und Verschlüsseln auf dem Gateway), die zwischen dem internen Mailserver und De-Mail sitzen können. Sofern diese TLS und SMTP mit Authentifizierung unterstützen, wären Sie sogar mögliche Kandidaten für eine De-Mail-Anbindung. Allerdings bleibt da noch einiges mehr zu tun.

Weitere Links