Exchange 2016 Migra...
 
Benachrichtigungen
Alles löschen

Exchange 2016 Migration zu Exchange 2019 - Empfang nur ueber einen Server?

7 Beiträge
2 Benutzer
1 Reactions
645 Ansichten
(@marc_exc)
Active Member
Beigetreten: Vor 2 Jahren
Beiträge: 3
Themenstarter  

Hallo Zusammen

Wir haben einen neuen Exchange 2019 installiert und wollen spaeter die Mailboxen ueber mehrere Wochen darauf verschieben.
Der alte Exchange 2016 wird also noch mit allen Mailboxen paralell weiter laufen.

Der 2016 Server hat ein AV/Anti Spam Produkt (SMEX) drauf, der neue derzeit nicht, da wir dieses wechseln moechten und dies erst
naechsten Monat zur Verfuegung steht. Generell moechten wir sowieso erstmal das raussenden neu ueber SMTP Authentifizierung ueber
den neuen 2019 Server machen, dies umzustallen braucht etwas Zeit, da viele Geraete (Drucker mit Mailversand) derzeit ja die alte SMTP Adresse verwenden.

Jetzt haben wir aber das Problem das reingehende Mails, manchmal ueber beide Server gehen, obwohl Mail von Extern nur nach wie vor an den
alten Server per IP geht. Sobald dies geschieht, wird die Mail nicht gescannt und kommt ungefiltert beim User an, obwohl die Mailbox
nach wir vor noch auf dem alten Server liegt.
Wir haben dann mal 10 Mails zum Test versandt und die Header angeschaut, davon sind 8 nur ueber den alten Server gegangen und der Testanhang wurde geblockt.
2 Mails sind dagegen ungefiltert beim User angekommen und dort sieht man das der alte Server, die Mail am Ende kurz zum neuen Server schickt und der dann wieder zurueck.

Kann man dies irgendwie verhindern, das der neue Server da bei eingehenden Mails mit reinspielt, zumindest solange die Mailbox noch auf den alten Server liegt oder ist
es evtl. moeglich das die Mail erst gescannt wird und dann weiter geleitet wird?
Wir moechten eigentlich ungern das alte AV Produkt auf den neuen Server installieren, wenn wir in ein paar Wochen sowieso ein anderes bekommen, das nicht direkt auf dem Exchange laeuft.
Nur ungefilterte Mails durchlassen, waere natuerlich fatal. Derzeit haben wir den neuen Server in Maintenance versetzt, nur so koennen wir natuerlich nicht migrieren und verlieren viel Zeit.

Danke und Gruss
Marc

Header von einer Testmail von gmail.com die bei einen User ungefiltert ankam:

1 *   mail-qt1-f180.google.com SMTP 8/5/2022 2:11:07 PM  
2 0 seconds mail-qt1-f180.google.com IP mr.domain.com cipher AEAD-AES128-GCM-SHA256 (128/128 bits)) (No client certificate requested) 8/5/2022 2:11:07 PM  
3 1 Second mr.domain.com IP AlterEx.domain.com IP Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) 8/5/2022 2:11:08 PM  
4 0 seconds AlterEx.domain.com IP NeuerEx.domain.com IP Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) 8/5/2022 2:11:08 PM  
5 0 seconds NeuerEx.domain.com IP AlterEx.domain.com IP Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256)

Bei denen die gefiltert wurden, fehlt der Schritt mit dem Neuen Exchange und wir verstehen nicht, warum der neu Exchange manchmal im Spiel ist (wie eine Extra Schleife) und manchmal nicht.

 


   
Zitat
Schlagwörter für Thema
NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1476
 
Veröffentlicht von: @marc_exc

Generell moechten wir sowieso erstmal das raussenden neu ueber SMTP Authentifizierung ueber
den neuen 2019 Server machen, dies umzustallen braucht etwas Zeit, da viele Geraete (Drucker mit Mailversand) derzeit ja die alte SMTP Adresse verwenden.

Gib dem neuen Exchange die IP des bisherigen Servers. Schon hast du alle auf einmal erledigt. ;) Und zukünftig einfach nicht IP Adressen sondern den "generischen" Namen in den Geräten und Programmen eintragen, dann braucht man nur im DNS die IP wechseln.

Veröffentlicht von: @marc_exc

Wir moechten eigentlich ungern das alte AV Produkt auf den neuen Server installieren, wenn wir in ein paar Wochen sowieso ein anderes bekommen, das nicht direkt auf dem Exchange laeuft.

Dann aktivier doch einfach den Malware TransportAgent (per Default ist der sogar aktiv) und sorg dafür, dass er seine Update bekommt. Dann ist da nix ungescannt.


   
Marc_Exc reacted
AntwortZitat

(@marc_exc)
Active Member
Beigetreten: Vor 2 Jahren
Beiträge: 3
Themenstarter  

Hallo NorbertFe

Erstmal danke fuer deine Antwort.

Ja wir verwenden fuer SMTP relay, ja schon auch ein mail.domain.com alias. Es gibt aber ein paar geraete, die nur die IP als Eingabe annehmen.
Zudem wollen wir ja eine Verbesserung erreichen, da der alte nur anonym war (mit Absicherung der IP Adressen als Scope).
Dies ist aber auch nicht wirklich unser Problem, dies koennen wir einfach noch nicht durchfuehren, solange SMEX manchmal nicht scannt, wenn der neue Server in der Coexistence aktiv ist.
Verstehen immer noch nicht, warum das Mail manchmal direkt geht (nur ueber den alten) und manchmal nicht (der alte gibt kurz an den neuen und dieser wieder zurueck) und da die Postfaecher noch auf den alten sind, ist ja der alte Server am Ende sowieso immer im Spiel, trotzdem wird dann aber das Mail nicht gescannt.

 

Das mit dem Malware Transport Agent waere eine kleine Absicherung, wir blocken aber dann doch auch so sachen wie .html oder passwort geschuetzte ZIP Archive,
die in Qurarantaene gehen. Da kommt der default sicherlich nicht ganz mit. Aber trotzdem danke, fuer die Anregung.

Gruss
Marc

 

 

 


   
AntwortZitat
NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1476
 
Veröffentlicht von: @marc_exc

solange SMEX manchmal nicht scannt, wenn der neue Server in der Coexistence aktiv ist.

Dann scannt eben der Malware Agent auf dem neuen Server. Wo ist das Problem?


   
AntwortZitat

NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1476
 
Veröffentlicht von: @marc_exc

wir blocken aber dann doch auch so sachen wie .html oder passwort geschuetzte ZIP Archive,

Hmm, dann wärs sinnvoller, sowas vor dem Exchange abzufangen, oder mit geeigneter Software zu agieren. Einfach warten bis eure neue Software da ist. ;)


   
AntwortZitat
(@marc_exc)
Active Member
Beigetreten: Vor 2 Jahren
Beiträge: 3
Themenstarter  
Veröffentlicht von: @norbertfe
Veröffentlicht von: @marc_exc

wir blocken aber dann doch auch so sachen wie .html oder passwort geschuetzte ZIP Archive,

Hmm, dann wärs sinnvoller, sowas vor dem Exchange abzufangen, oder mit geeigneter Software zu agieren. Einfach warten bis eure neue Software da ist. ;)

Ja wenn wir nicht doch noch was von Trend Micro hoeren, wird uns auch nichts anderes uebrig bleiben.
Das verhalten vom Exchange in Coexistence scheint wohl normal zu sein und laesst sich anscheinend auch nicht beeinflussen, oder?


   
AntwortZitat

NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1476
 

Wäre mir nicht bekannt.


   
AntwortZitat
Teilen: