Exchange Server: Umstellung von POP Abruf zu MX Record

Mich erreichen immer noch Mails zur Umstellung von POP3 Abruf zu direkten Empfang der Mails via MX-Eintrag in Verbindung mit verschiedenen Exchange Versionen. Ich habe eigentlich gedacht, dass der Abruf von Mails von einem Provider via POP3 und die Zustellung an lokale Exchange Server schon längst der Vergangenheit angehört, aber dies scheint es noch häufiger zu geben als ich gedacht habe. Daher mal ein kleiner Artikel zu dem Thema.

Vorgehensweise zur Umstellung von POP3 Abruf zu Empfang via MX

Die Vorgehensweise ist recht simpel und schnell durchgeführt, es gibt allerdings ein paar Voraussetzungen, damit es reibungslos läuft:

  1. Es sollte eine feste IP Adresse vorhanden sein (IPs aus dynamischen Adressbereichen werden in der Regel von den meisten Empfängern geblockt)
  2. Der Hoster der Domain (Beispielsweise frankysweblab.de) muss das Ändern des MX Eintrags zulassen
  3. Der Provider des Internetanschlusses (Beispielsweise Telekom) muss das setzen eines PTR-Records erlauben
  4. Es wird ein Zertifikat benötigt, Let’s Encrypt bietet diese kostenlos an. SMTP ohne Verschlüsselung ist böse
  5. Es muss sich selbst um einen entsprechenden Schutz gekümmert werden (AntiSPAM, AntiVirus)

Damit bei der Umstellung nichts schief geht und es nicht zum Verlust von Mails kommt, muss vor der Umstellung geprüft werden, ob alle E-Mail Adressen entsprechend am Exchange Server existieren. Ich hatte vor Jahren mal eine ganz unglückliche Konfiguration in einer Umgebung gesehen. Beim Hoster der Domain war nur ein Catch-All Postfach angelegt, im POP Connector waren dann unzählige Redirects definiert, in etwa so:

  • info@domain.de zustellen an benutzera@domain.de
  • benutzera@domain.de zustellen an benutzera@domain.de
  • bestellung@domain.de zustellen an benutzerb@domain.de
  • irgendwas@domain.de zustellen an benutzera@domain.de
  • usw, usw, usw
  • alles unbekannte zustellen an benutzerb@domain.de

In solch einem Fall darf man zunächst einmal alle Redirects auflösen, hier könnte man zum Beispiel mit Verteilergruppen oder Shared Mailboxes arbeiten. Besonders blöd ist es, wenn es einen Redirect von allen unbekannten Adressen zu einem Benutzer gibt, denn dieser Benutzer ist theoretisch unter zig Mailadressen erreichbar. Hier hilft die Nachrichtenverfolgung weiter um benutze Adressen zu finden.

Für eine Umstellung von POP Abruf zu Empfang via MX, gehe ich daher wie folgt vor:

  1. HOST-A Eintrag für den MX anlegen (Beispielsweise mail.frankysweblab.de mit Verweis auf die feste IP)
  2. PTR (Reverse Pointer) für den HOST-A Eintrag anlegen (Beispielweise Feste IP mit Verweis auf mail.frankysweblab.de)
  3. Exchange Server oder AntiSPAM Gateway unter der festen IP mit Port 25 TCP (SMTP) aus dem Internet erreichbar machen (Beispielweise per NAT)
  4. Testen ob eine SMTP Verbindung möglich ist (MXToolbox SMTP Check)
  5. Prüfen ob die feste IP auf keiner Blacklist steht (MXToolbox Blacklist Check)
  6. Wenn es der Hoster der Domain zulässt, kann der TTL des MX-Records vor der Umstellung verringert werden, beispielsweise auf eine Stunde. Dies ist aber nicht zwingend nötig, Geduld funktioniert genauso.
  7. Ändern des MX-Eintrags auf den HOST-A Eintrag (beispielsweise mail.frankysweblab.de)
  8. 24 Stunden warten und immer mal wieder Tests durchführen (MXToolbox MX Test)
  9. POP Connector deaktivieren / deinstallieren
  10. POP Postfächer beim Hoster löschen

Das ist auch schon alles. Im Normalfall eine völlig schmerzfreie Umstellung.

Kurzes Beispiel anhand von Strato und Telekom

Hier mal ein einfaches Beispiel der Vorgehensweise anhand der Domain frankysweblab.de (meine neue Testdomain). Hoster der Domain ist Strato, Internetprovider mit der festen IP ist die Telekom.

Beim Hoster Strato sind die Strato Mailserver als MX für frankysweblab.de eingestellt, von den Strato POP Servern werden die Mails via POP3 und POP Connector abgeholt und an den Exchange Server zugestellt:

Exchange Server: Umstellung von POP Abruf zu MX Record

Zunächst wird daher ein HOST-A Eintrag angelegt, bei manchen Hostern handelt es sich dabei auch um eine Subdomain mit einem HOST-A Eintrag, dies ist von Hoster zu Hoster verschieden. Bei Strato muss zunächst eine Subdomain angelegt werden, hier im Beispiel also mail.frankysweblab.de:

Exchange Server: Umstellung von POP Abruf zu MX Record

Für die Subdomain wird dann der HOST-A auf die feste IP konfiguriert:

Exchange Server: Umstellung von POP Abruf zu MX Record

Nachdem der Host-A angelegt wurde, sieht es in etwa so aus:

Exchange Server: Umstellung von POP Abruf zu MX Record

Der PTR Eintrag wird wiederum beim Provider des Internetanschlusses erstellt (dort wo die feste IP herkommt). In diesem Fall die Telekom:

Exchange Server: Umstellung von POP Abruf zu MX Record

Hier wird nun die Rückwärtsauflösung konfiguriert, feste IP zu Namen. Im Screenshot steht mail.frankysweb.de, für dieses Beispiel müsste es also mail.frankysweblab.de lauten, aber ich wollte den PTR meiner festen IP jetzt nicht ändern:

Exchange Server: Umstellung von POP Abruf zu MX Record

Sobald die restlichen Schritte der oben genannten Liste abgearbeitet sind, muss der MX beim Hoster geändert werden (in diesem Fall Strato):

Exchange Server: Umstellung von POP Abruf zu MX Record

Jetzt heißt es 24 Stunden warten. In der Regel sollten nach 24 Stunden keine Mails mehr in den POP Postfächern landen.

12 Replies to “Exchange Server: Umstellung von POP Abruf zu MX Record”

  1. Man kann allerdings z. B. bei 1&1 einen mx record auf eine dyndns Adresse legen, ein catchall Postfach belassen und dieses im Exchange Send connector eintragen. Nicht schön funktioniert aber.

  2. Stephan’s Methode funktioniert mit Strato auch einwandfrei. Die dynamische IP ist nur beim Senden ein Problem, dafür nimmt man dann eben den Provider-Mailserver als Senderelay. Für zu Hause oder Testumgebung ist das doch OK.

  3. Frank, du hast meiner Meinung was wichtiges vergessen, was die meisten vergessen und oft zu Spam- oder sogar Virenangriffen sorgt.

    Die Leute vergessen heute immer noch den SPF Record zu setzen, der einem selbst bei entsprechender FW aber auch andere Kunden schützt.

  4. Optional kann ausgehend und eingehend eine Endian Firewall Community Version schützen.
    Diese kann als SMTP Proxy dienen sich um Viren und Spam kümmern.
    Mit ein paar kleinen eingriffen lässt sich hier auch ein eigenes Zertifikat hinterlegen,
    Let’s Encrypt vielleicht weniger, das wird ja alle xx Tage Automatisch aktualisiert und müsste ja direkt in die EFW eingebunden werden.

  5. @Sebastian:

    Ha, gerade gestern das Problem gehabt. Musste den SPF-Check am Spamfilter abschalten weil es so viele Firmen gibt die entweder nicht wissen wie ihr SPF-Eintrag lauten soll, oder sich einfach nicht drum kümmern. Da werden Smarthosts genutzt und was nicht alles, grausam.

    Selber setzen sollte man ihn aber, da hast du Recht.

  6. Der Artikel ist gut. Vielen Dank!

    Kleiner Tip: Wenn möglich, sollte man den alten MX-Record als Backup-MX während der Umstellung beibehalten und den Pop-Abruf vorübergehend aktiviert lassen. Sollte nach einiger Zeit wirklich nichts mehr zum alten Mailserver zugestellt werden, kann der Backup-MX weg.

  7. Ich habe zwar auf Offic365 migriert, aber ein Pop3-Tool à la Popbeamer war meines Erachtens immer nützlich. Erstens wird so beim Provider bereits SPAM gefiltert, zweitens gehen keine Mails verloren falls man nur einen Exchangeserver hat und diesen neustarten oder ein Disaster Recovery durchführen muss und drittens steht man bezüglich Security etwas besser da, da man nur Port 443 fürs OWA öffnen muss.

    Also obwohl angestaubt, finde ich die POP-Anbindung von Exchangekonten gar nicht so schlecht.

    Gruss Dave

  8. Für den Fall das Mails verloren gehen, hilft einen BackupMX falls der Primär Anschluss ausfällt.
    Aber nur dann wen der Anschluss weg ist, davor macht das die Sophos, die nimmt die Mails noch an und wartet ne weile mit der Zustellung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.