Mailserver (SBS2k8) Setup (MX Einträge und Co)

hi

bin ein wenig am spielen mit SBS2k8 und versuch jetzt grad (nur in der theorie - versuchen werd ichs im laufe der woche) meinen sbs auch im netz zu verwenden (exchange).

wenn ichs richtig verstanden habe:

ich setze zuerst den A-Eintrag und schaffe meinem mailserver eine eigene subdomain... zB:

mail.mydomain.tld .... 80.109.127.154

dann setz ich den MX eintrag entsprechend... dH als priorität 10, und server is dann mail.mydomain.tld

der exchangeserver lauscht dann am SMTP port (25) ob was reinkommt... der muss natürlich bei der firewall offen sein.

das einzige was ich nicht durchschaue: im webtool von meinem domain service provider (TA) gibts noch einen wert zwischen 300 und 10800 der die überschrift "TTL" hat - was ist das?


mfg
Probmaker

Time To Live. Das ist ein fuer DNS-Eintraege allgemein gueltiger Wert (nicht nur auf einen MX record beschraenkt also), der die Zeit (in Sekunden) angibt, die ein cachender Nameserver die diesem Record zugehoerige IP-Adresse vorhalten soll.

Wenn du Änderungen am MX Record vornehmen magst ist es sinnvoll den Wert niedrig zu setzen (z.B. 3600), nach 1, 2 Tagen ist des dann ratsam den Wert hoch zu wählen (am besten ansich eh 10800), um den Traffic möglichst gering zu halten.

reverse entry für laien: ;-)
machmal in deiner windows-konsole "nslookup overclockers.at" -> hier bekommst du die dazugehörige ip. aber wenn du die "nslookup 77.224.250.18" machst, solltest du - wenn ein reverse entry vorhanden ist - overclockers.at zurückbekommen. tust du aber nicht, den overclockers.at hat keinen reverse dns eintrag.

(am mac könnt ich es dir besser erklären: (host -a overclockers.at und host -a 77.224.250.18)

die idee des reverse entrys ist: spammer haben es schwerer. sie müssen von einem mailserver verschicken, der einen eintrag hat, und den vergibt i.d.r. der domainprovider. denn ein gehackter pc hat normal ja keinen reverse eintrag.

hoffe, es ist verständlich.

//edit
es heißt Reverse DNS Pointer

muss der domainprovider machen. also entweder gibts bei der telekom sowas im kundenbereich oder du musst bei der hotline anrufen. hast du vielleicht einen sachbearbeiter, mit dem du in kontakt stehst? das sollte schneller gehen.

bei der telekom weiß ich es nicht, ich arbeit für eine konkurrenz der TA

greylisting funktioniert grundsätzlich immer nach dem selben prinzip: 3 eigenschaften werden geprüft: absenderemail, absender ip und empfängeremail. wird dieses 3er gespann das erste mal in die datenbank gespeichert wird es gegreylistet, beim nächsten mal nicht mehr. ein spammer verschickt mails nicht zweimal an den gleichen empfänger vom gleichen gehackten rechner, das wäre zu aufwendig. anstatt 10.000 mails könnte er dann nur 5000 empfänger erreichen und das ist nicht effektiv. also riskieren, dass ein paar untergehen, dafür hast ein größeres gebiet abgedeckt.

wenn ein mailserver einen mailserver greylisted, der einen reverse ptr hat, dann finde ich das sehr schlecht - unter der bedingung, dass non-ptr-server nicht greylisted werden -> imo schlechte einstellung

und ein mailserver hat einen ptr zu haben, wozu gibts ihn denn bitte sonst!

//edit: ein mailserver sollte schon eine realtime blacklist wie spamhaus und greylisting haben. idealerweise soll der kunde es selber aussuchen können, ob greylisting und rlb aktiv sind oder nicht. aber man sollte den kunden alle optionen bieten - welche er nimmt, kommt auf den kunden, dessen vorlieben etc an. hier muss man ja auch individuell handeln können

so, den reverse-dns eintrag hab ich jetzt auch setzen lassen. gibts jetzt sonst noch irgendwas wichtiges was ich evtl vergessen hab?

vielleicht kennt sich damit auch jemand aus: wenn ich auf den OWA (outlook web access) geh kommt die fehlermeldung mit dem zertifikat - eh klar, ist self-signed. wo am besten ein "richtiges" kaufen?


mfg
Probmaker

Ich wuerd einfach die eigene CA auf den Clients als vertrauenswuerdig importieren.

Sonst: http://www.rapidssl.com/