Mich erreichen immer noch Mails zur Umstellung von POP3 Abruf zu direkten Empfang der Mails via MX-Eintrag in Verbindung mit verschiedenen Exchange Versionen. Ich habe eigentlich gedacht, dass der Abruf von Mails von einem Provider via POP3 und die Zustellung an lokale Exchange Server schon längst der Vergangenheit angehört, aber dies scheint es noch häufiger zu geben als ich gedacht habe. Daher mal ein kleiner Artikel zu dem Thema.
Vorgehensweise zur Umstellung von POP3 Abruf zu Empfang via MX
Die Vorgehensweise ist recht simpel und schnell durchgeführt, es gibt allerdings ein paar Voraussetzungen, damit es reibungslos läuft:
- Es sollte eine feste IP Adresse vorhanden sein (IPs aus dynamischen Adressbereichen werden in der Regel von den meisten Empfängern geblockt)
- Der Hoster der Domain (Beispielsweise frankysweblab.de) muss das Ändern des MX Eintrags zulassen
- Der Provider des Internetanschlusses (Beispielsweise Telekom) muss das setzen eines PTR-Records erlauben
- Es wird ein Zertifikat benötigt, Let’s Encrypt bietet diese kostenlos an. SMTP ohne Verschlüsselung ist böse
- Es muss sich selbst um einen entsprechenden Schutz gekümmert werden (AntiSPAM, AntiVirus)
Damit bei der Umstellung nichts schief geht und es nicht zum Verlust von Mails kommt, muss vor der Umstellung geprüft werden, ob alle E-Mail Adressen entsprechend am Exchange Server existieren. Ich hatte vor Jahren mal eine ganz unglückliche Konfiguration in einer Umgebung gesehen. Beim Hoster der Domain war nur ein Catch-All Postfach angelegt, im POP Connector waren dann unzählige Redirects definiert, in etwa so:
- info@domain.de zustellen an benutzera@domain.de
- benutzera@domain.de zustellen an benutzera@domain.de
- bestellung@domain.de zustellen an benutzerb@domain.de
- irgendwas@domain.de zustellen an benutzera@domain.de
- usw, usw, usw
- alles unbekannte zustellen an benutzerb@domain.de
In solch einem Fall darf man zunächst einmal alle Redirects auflösen, hier könnte man zum Beispiel mit Verteilergruppen oder Shared Mailboxes arbeiten. Besonders blöd ist es, wenn es einen Redirect von allen unbekannten Adressen zu einem Benutzer gibt, denn dieser Benutzer ist theoretisch unter zig Mailadressen erreichbar. Hier hilft die Nachrichtenverfolgung weiter um benutze Adressen zu finden.
Für eine Umstellung von POP Abruf zu Empfang via MX, gehe ich daher wie folgt vor:
- HOST-A Eintrag für den MX anlegen (Beispielsweise mail.frankysweblab.de mit Verweis auf die feste IP)
- PTR (Reverse Pointer) für den HOST-A Eintrag anlegen (Beispielweise Feste IP mit Verweis auf mail.frankysweblab.de)
- Exchange Server oder AntiSPAM Gateway unter der festen IP mit Port 25 TCP (SMTP) aus dem Internet erreichbar machen (Beispielweise per NAT)
- Testen ob eine SMTP Verbindung möglich ist (MXToolbox SMTP Check)
- Prüfen ob die feste IP auf keiner Blacklist steht (MXToolbox Blacklist Check)
- Wenn es der Hoster der Domain zulässt, kann der TTL des MX-Records vor der Umstellung verringert werden, beispielsweise auf eine Stunde. Dies ist aber nicht zwingend nötig, Geduld funktioniert genauso.
- Ändern des MX-Eintrags auf den HOST-A Eintrag (beispielsweise mail.frankysweblab.de)
- 24 Stunden warten und immer mal wieder Tests durchführen (MXToolbox MX Test)
- POP Connector deaktivieren / deinstallieren
- POP Postfächer beim Hoster löschen
Das ist auch schon alles. Im Normalfall eine völlig schmerzfreie Umstellung.
Kurzes Beispiel anhand von Strato und Telekom
Hier mal ein einfaches Beispiel der Vorgehensweise anhand der Domain frankysweblab.de (meine neue Testdomain). Hoster der Domain ist Strato, Internetprovider mit der festen IP ist die Telekom.
Beim Hoster Strato sind die Strato Mailserver als MX für frankysweblab.de eingestellt, von den Strato POP Servern werden die Mails via POP3 und POP Connector abgeholt und an den Exchange Server zugestellt:
Zunächst wird daher ein HOST-A Eintrag angelegt, bei manchen Hostern handelt es sich dabei auch um eine Subdomain mit einem HOST-A Eintrag, dies ist von Hoster zu Hoster verschieden. Bei Strato muss zunächst eine Subdomain angelegt werden, hier im Beispiel also mail.frankysweblab.de:
Für die Subdomain wird dann der HOST-A auf die feste IP konfiguriert:
Nachdem der Host-A angelegt wurde, sieht es in etwa so aus:
Der PTR Eintrag wird wiederum beim Provider des Internetanschlusses erstellt (dort wo die feste IP herkommt). In diesem Fall die Telekom:
Hier wird nun die Rückwärtsauflösung konfiguriert, feste IP zu Namen. Im Screenshot steht mail.frankysweb.de, für dieses Beispiel müsste es also mail.frankysweblab.de lauten, aber ich wollte den PTR meiner festen IP jetzt nicht ändern:
Sobald die restlichen Schritte der oben genannten Liste abgearbeitet sind, muss der MX beim Hoster geändert werden (in diesem Fall Strato):
Jetzt heißt es 24 Stunden warten. In der Regel sollten nach 24 Stunden keine Mails mehr in den POP Postfächern landen.
Hallo Frank,
danke für den Artikel. Hätte mal eine Frage….vielleicht macht das nicht unbedingt Sinn für einen „produktiven“ Kunden, hierbei gehts jedoch lediglich um mich privat, da ich gerne mit Exchange arbeite und auch etwas rumspiele.
Bei mir ist es so, dass ich aktuell einen Hosting Anbieter habe, wo auch meine Mails ankommen. Dort hole ich die dann mit „POPcon“ als POP3 Connector ab und stelle die Mails zu in meine Exchange Konten. Da ich aber nur nen kleinen Server im Keller stehen habe kann es durchaus mal vorkommen, dass der in selteneren Fällen nicht erreichbar ist.
Wie würdest du vorgehen? Ich möchte den ungern komplett In- / Out über MX Einträge betreiben, da ich bedenken habe, dass Mails verloren gehen. Würde gerne den Empfang mit POP und Catch-All beibehalten, jedoch möchte/muss ich den Versand auf MX umstellen. Sende derzeit auch über einen Smarthost raus. Mein Problem ist jedoch:
Ich habe inzwischen 3 verschiedene Domains in meinem Exchange.
kontakt@domain1.com
info@domain2.de
privat@domain3.de
Mit den Smarthosts scheint das aber nicht möglich zu sein die pro Konto zu hinterlegen? Es kommen also alle E-Mails im richtigen Postfach bei mir an, aber es wird von allen 3 Konten derzeit mit nur einer E-Mail Adresse rausgeschickt.
Hast du da vielleicht nen praktikablen Lösungsansatz?
Danke und LG
Hallo,
ich habe ein Problem bei einem Kunden. Bestand:
– Deutschland-LAN bei der Telekom mit fixer IP
– Sophos-Firewall
– Exchange 2016
– POP-3-Postfächer bei Domainfactory
– POP-Con als Mailabholer
Konfiguration wie folgt:
Popcon holt bei den Postfächern per POP3 die Mails ab, überträgt diese an die IP der Sophos und leert dann die Postfächer. Die Sophos leitet die Mails dann an den Exchange weiter.
Beim Senden überträgt Exchange die Mails an die Sophos (Sophos ist als Smart-Host im Sendeconnector eingetragen). Die Sophos überträgt die Mails ins Internet (komischerweise habe ich keinen Smart-Host des Mailproviders in der Sophos eingetragen. Funktioniert trotzdem.).
Es ist eine Subdomain outlook.domain.de angelegt und zeigt mittels A-Record auf die feste IP. Die Sophos macht mit WAF und den gekauften Zertifikaten dann die Weiterleitung an OWA. Funktioniert auch. Intern verbinden sich alle Outlooks der Arbeitsplätze brav mit dem Exchange und es gibt nirgendwo Zertifikatsfehlermeldungen.
Nun aber:
Es werden einige Mails, die von den Mitarbeitern geschrieben werden, abgelehnt. Z.B. werden alle Mails, die mit @t-online enden, nicht zugestellt.
Ich sprach dann mit der Telekom und die sagten, daß ich einen Reverse-DNS setzen muß. Ich habe dann im Kundencenter einen Reverse-DNS auf outlook.domain.de gesetzt. Und in den Einstellungen der Sophos den eigenen Hostnamen auch auf outlook.domain.de gesetzt.
Ein Test mit mxtoolbox.com schlägt aber mit einer SMTP-Banner-Fehlermeldung fehl. Ich nehme an, daß auch weiterhin keine mails an einige Empfänger so nicht rausgehen werden.
Wo mag hier der Fehler liegen?
Gruß
Christoph
Mein Tipp:
Mit Postfix einen Exchange Frontend bauen, (oder gleich 2 :) )
Für die Umstellung auf MX erstmal alles zum alten Provider relayen.
MX Eintrag auf das Frontend umbiegen
24h – 48h warten so sollte der DNS Eintrag überall verteilt sein.
und dann am Tag X einfach auf dem Frontend das Relay Ziel ändern.
Funktioniert auch, wenn der Exchange eine dynamische Adresse benutzt. (Sendeconnector = Exchange Frontend)
Weiter Vorteile: Es gehen keine Mails verloren, wenn mal die eigene Internetverbindung ausfällt, da das Frontend die Mails behält und weiterhin versucht diese zuzustellen,
Weitere Interessante Vorteile:
Direktes „Aussortieren von SPAM / Viren“ möglich, noch _BEVOR_ die Mails auf dem Exchange landen.
Direktes Prüfen der Empfänger, d.h. alle Mails direkt Ablehnen (reject) für die es eh kein Postfach gibt.
Hallo,
hast du evtl. eine Anleitung wie ich Postifx als Frontend einrichte?
Für den Fall das Mails verloren gehen, hilft einen BackupMX falls der Primär Anschluss ausfällt.
Aber nur dann wen der Anschluss weg ist, davor macht das die Sophos, die nimmt die Mails noch an und wartet ne weile mit der Zustellung.
Ich habe zwar auf Offic365 migriert, aber ein Pop3-Tool à la Popbeamer war meines Erachtens immer nützlich. Erstens wird so beim Provider bereits SPAM gefiltert, zweitens gehen keine Mails verloren falls man nur einen Exchangeserver hat und diesen neustarten oder ein Disaster Recovery durchführen muss und drittens steht man bezüglich Security etwas besser da, da man nur Port 443 fürs OWA öffnen muss.
Also obwohl angestaubt, finde ich die POP-Anbindung von Exchangekonten gar nicht so schlecht.
Gruss Dave
Der Artikel ist gut. Vielen Dank!
Kleiner Tip: Wenn möglich, sollte man den alten MX-Record als Backup-MX während der Umstellung beibehalten und den Pop-Abruf vorübergehend aktiviert lassen. Sollte nach einiger Zeit wirklich nichts mehr zum alten Mailserver zugestellt werden, kann der Backup-MX weg.
Steht ganz unten in dem Artikel, warum MX auf dyn doof ist.
Ich habe nie von einem Cname gesprochen.
Soviel zum Thema dyndns: https://www.sult.eu/2017/05/05/mx-record-zeigt-auf-cname-keine-gute-idee/
@Sebastian:
Ha, gerade gestern das Problem gehabt. Musste den SPF-Check am Spamfilter abschalten weil es so viele Firmen gibt die entweder nicht wissen wie ihr SPF-Eintrag lauten soll, oder sich einfach nicht drum kümmern. Da werden Smarthosts genutzt und was nicht alles, grausam.
Selber setzen sollte man ihn aber, da hast du Recht.
Optional kann ausgehend und eingehend eine Endian Firewall Community Version schützen.
Diese kann als SMTP Proxy dienen sich um Viren und Spam kümmern.
Mit ein paar kleinen eingriffen lässt sich hier auch ein eigenes Zertifikat hinterlegen,
Let’s Encrypt vielleicht weniger, das wird ja alle xx Tage Automatisch aktualisiert und müsste ja direkt in die EFW eingebunden werden.
Frank, du hast meiner Meinung was wichtiges vergessen, was die meisten vergessen und oft zu Spam- oder sogar Virenangriffen sorgt.
Die Leute vergessen heute immer noch den SPF Record zu setzen, der einem selbst bei entsprechender FW aber auch andere Kunden schützt.
Stephan’s Methode funktioniert mit Strato auch einwandfrei. Die dynamische IP ist nur beim Senden ein Problem, dafür nimmt man dann eben den Provider-Mailserver als Senderelay. Für zu Hause oder Testumgebung ist das doch OK.
Man kann allerdings z. B. bei 1&1 einen mx record auf eine dyndns Adresse legen, ein catchall Postfach belassen und dieses im Exchange Send connector eintragen. Nicht schön funktioniert aber.