FQDN und SMTP Hostname in AD-Domäne

Die Komplettlösung zum Schutz vor Angriffen
awits
Beiträge: 4
Registriert: Do 3. Apr 2008, 12:55

FQDN und SMTP Hostname in AD-Domäne

Beitragvon awits » Do 3. Apr 2008, 13:01

Hallo,
ich habe bei einem Kunden ein CSG, das u.a. als Mailproxy dient. Die extern empfangenen E-Mails werden an den internen Mailserver weitergeleitet. Funktioniert auch alles. Nun das Problem:
Das CSG authentifiziert die Benutzer gegen das ActiveDirectory und ist demnach auch Domänenmitglied und benutzt als FQDN
"csg.firma.local".
Extern ist der CSG aber erreibar unter dem mx-Eintrag der Domäne, also unter der IP-Adresse von
"mail.firma.de".
Er benutzt aber als SMTP hostname immer den internen FQDN, den ich auch nicht auf den externen Namen ändern kann, weil sonst die Domänenauthentifizierung nicht mehr klappt.
Ich möchte aber den richtigen SMTP Hostname verwenden. Wie kann ich das hinbekommen?
Danke!

Benutzeravatar
Tilman
Beiträge: 5110
Registriert: Fr 7. Mär 2003, 17:40
Spam Abwehr: 3
Kontaktdaten:

Beitragvon Tilman » Do 3. Apr 2008, 13:17

Ich muss gestehen, ich verstehe den Zusammenhang zwischen Hostnamen und Authentifizierung nicht.
Tilman Baumann
Collax

awits
Beiträge: 4
Registriert: Do 3. Apr 2008, 12:55

FQDN, Authentifizierung und SMTP Hostname

Beitragvon awits » So 6. Apr 2008, 15:06

ganz einfach: wenn ich den FQDN ändere, funktioniert die Authentifizierung gegen das AD nicht mehr. Offenbar wird der CSG dann nicht mehr als Domänenmitglied anerkannt.
Was mich interessiert: Das CSG hat drei Netzwerkinterfaces, aber nur einen FQDN. Intern ist der CSG aber unter einem anderen FQDN erreichbar (fima.local) als von aussen (mail.firma.de).
Wie kann ich diese Einträge getrennt - zumindest für den SMTP Dienst seperat - setzen?
Der Mailer-Daemon verschickt sonst auch E-Mails mit dem Inhalt "This is the Postfix program at host csg.firma.local" und authentifiziert sich bei senden von E-Mails auch so nach aussen,was zu Problemen beim Versand führt, da der SMTP Hostname nicht mit der Domain aus dem Reverse Lookup der IP übereinstimmt.

Benutzeravatar
Tilman
Beiträge: 5110
Registriert: Fr 7. Mär 2003, 17:40
Spam Abwehr: 3
Kontaktdaten:

Beitragvon Tilman » Mo 7. Apr 2008, 12:14

Verwenden Sie einen extern gueltigen Namen, der wird intern dann ja genauso gueltig sein.

Den Zusammenhang zwischen AD-Authentifizierung und Hostnamen verstehe ich immer noch nicht. Vielleicht muessen Sie die Maschine nur neu joinen?
Tilman Baumann

Collax

awits
Beiträge: 4
Registriert: Do 3. Apr 2008, 12:55

Beitragvon awits » Mo 7. Apr 2008, 22:26

die windows domäne lautet firma.LOCAL
der mailserver ist aber von extern unter mail.firma.DE zu erreichen. Um unter diesem name joinen zu können, müsste ich die ActiveDirectory Domäne in firma.DE umbenennen. das würde aber bedeuten, dass der ad server auch für die DNS Zone firma.DE verantwortlich sein müsste, was nicht der fall ist, da diese domain von einem externen internetprovider gehostet wird. die interne domäne soll also firma.LOCAL bleiben. der ad server würde einen domänenbeitritt unter anderem domänennamen nicht zulassen.
es ist doch auch naheliegend, dass intern und extern verschiedene domänennamen verwendet werden. mir geht es also darum, dass sich der smtp-server an der schnittstelle zum internen netz mit dem richtigen dns-namen "meldet", obwohl er intern für die authenthifizierung mitglied einer nur lokalen domäne ist. wenn ich auf dem windows server einen mailserver installieren würde, könnte ich auch einen "smtp hostname" angeben, der mit der internen windows-domäne nichts zu tun hat, weil er sich auf ein anderes, nämlich das öffentliche netzwerkinterface bezieht.

stefank
Beiträge: 45
Registriert: Mi 10. Nov 2004, 10:43

Re: FQDN und SMTP Hostname in AD-Domäne

Beitragvon stefank » Di 5. Mai 2009, 10:56

Hallo,

das Thema ist schon sehr alt ... aber aus meiner Sicht nicht vollständig ausdiskutiert. Ich seh's so wie awits.

Von intern sollte der CBS mit xxx.domäne.local erreichbar sein. Das ist ja auch das, was MS für sein AD vorschlägt.

Von außen sollte der CBS aber mit dem Namen xxx.domäne.de erreichbar sein. Dies hat z.B. folgenden Grund:

1. empfangende Mailserver vergleicht den Domänennamen der Absender Email-Adresse (Benutzer@domäne.de) mit dem Namen des versendenden Mailservers (cbs.domäne.local)
2. es besteht keine Übereinstimmung somit wird das Mail nicht angenommen.

Zu bedenken gebe ich - wenn ich als FQDN ein xxx.domäne.de verwende, dann ist ja der CBS-DNS ja auch automatisch auf domäne.de konfiguriert - davon gehe ich mal aus. D.h. alle internen Rechner würden domäne.de verwenden. Was aber nun, wenn es auch Hosts gibt, die bei einem Provider stehen und auch auf domäne.de hören? Diese Hosts müsste ich dann manuell in den DNS eintragen, weil ja sonst der CBS die Hosts nicht kenn ... und eigentlich für die Domäne zuständig ist.

Da wäre es mir schon lieber, dass der interne FQDN unterschiedlich zum externen FQDN wäre bzw. - EIGENTLICH JA NUR - dass sich der CBS per SMTP extern eben mit einem "öffentlichen" FQDN (xxx.domäne.de) meldet.
Das gibt der Postfix ja auch her. Allerdings möchte ich ungern in den config-Dateien manuell rumpfuschen. Zudem werden die Änderungen sicherlich auch nach einer Konfig-Änderung über die Oberfläche überschrieben. Soweit ich das beurteilen kann wäre der entsprechende Parameter in der Postfix-Konfig folgender:

/etc/postfix/main.cf:
myhostname = host.local.domain (machine name is not FQDN)
myhostname = host.virtual.domain (virtual interface)
myhostname = virtual.domain (virtual interface)

Vielleicht kann man die Sache doch noch mal überlegen/diskutieren und die Konfig in die Oberfläche mit aufnehmen.

Stefan

Benutzeravatar
Skipper
Site Admin
Beiträge: 2987
Registriert: Mi 14. Jun 2006, 10:04
Spam Abwehr: 7
Kontaktdaten:

Re: FQDN und SMTP Hostname in AD-Domäne

Beitragvon Skipper » Di 5. Mai 2009, 11:07

Von intern sollte der CBS mit xxx.domäne.local erreichbar sein. Das ist ja auch das, was MS für sein AD vorschlägt.

das ist interne DNS Einstellung. Du musst dazu einfach nur eine DNS Zone "domäne.local" anlegen und ggf. den host dann noch.
Von außen sollte der CBS aber mit dem Namen xxx.domäne.de erreichbar sein. Dies hat z.B. folgenden Grund:

da musst du deinem provider dann bescheid sagen, dass dieser a-record hinterlegt iwrd. das eine widerspricht dem anderen ja nicht.
1. empfangende Mailserver vergleicht den Domänennamen der Absender Email-Adresse (Benutzer@domäne.de) mit dem Namen des versendenden Mailservers (cbs.domäne.local)

der empfangende mailserver macht meist einfach nur einen dns lookup für die maildomain. dein provider muss also den MX record auf die IP des CBS legen, wenn dieser direkt versendet.
Christian Forjahn
Senior IT Consultant

www.acontech.de

stefank
Beiträge: 45
Registriert: Mi 10. Nov 2004, 10:43

Re: FQDN und SMTP Hostname in AD-Domäne

Beitragvon stefank » Di 5. Mai 2009, 11:58

OK,

1. Netzwerk - DNS - Allgemein:
FQDN= gateway.domäne.org
Domain-Suchliste= de.domäne.local

2. Netzwerk - DNS - Vorwärtszone:
Domain: de.domäne.local
Dieses System ist: Forwarder
Ip-Adresse des primären DNS-Servers: xxx.xxx.xxx.240

3. Netzwerk - DNS - Rückwärtszone
Netzwerk: LocalNet
Dieses System ist: Forwarder
Primärer DNS-Server: xxx.xxx.xxx.240


4. Serverdienste - SMB-/CIFs-Server - Für ADS vorbereiten

Name des Systems: gateway (wird aus den DNS-Einstellungen übernommen; Änderungen hier wirken sich wieder auf den DNS FQDN aus)

Domäne: domäne.org (wird aus den DNS-Einstellungen übernommen; Änderungen hier wirken sich wieder auf den DNS FQDN aus)

Ip-Adresse des Domänencontrollers: xxx.xxx.xxx.240

DC ist WINS-Server: Aktiv

Report:
DNS-Server: OK
DNS-Suchliste: domäne.org fehlt in DNS-Suchliste
DNS-Zone: Eine DNS-Zone für klasche.org vom Typ weiterleiten sollte angelegt werden
Systemname: OK
Windows-Unterstützung: OK
WINS: OK
Arbeitsgruppe/Domäne: passt nicht zu domäne.org
Kerberos-Server: OK
Kerberos-Realm: de.domäne.local passt nicht zu Domäne domäne.org
ADS-Authentifizierung: OK

Der Report sagt mir, dass da wahrscheinlich einiges nicht zusammenpassen wird. Verwende ich als FQDN gateway.de.domäne.local ... dann passt alles.

Das Problem scheint doch - wenn der CBS sauber in die ADS Domäne eingefügt werden soll muss der FQDN der internen DNS-Domäne (und das ist eben domäne.local) entsprechen. Dann hat man wieder das Problem, dass der Server nach außen sich mit einem "falschen" FQDN meldet.

Natürlich existiert ein MX-Record für die Domäne domäne.org und ein A-Record (gateway.domäne.org). Dumm nur, dass der CBS (wenn man für ADS korrekt konfigurieren möchte) der FQDN gateway.de.domäne.local ist ... und schon passt es nicht mehr zusammen.

Es scheint auch so, dass man an Mailserver die Annahme von ich zitiere mal den Provider "... unbekannte Endungen abzulehnen (Bsp. .local), ...". Das läuft aber auf das gleiche Problem hinaus - wenn für ADS sauber konfiguriert wird, dann ist der FQDN des CBS "immer" eine "unbekannte Endung" (z.B. .local, .loc, .private).

Ich hoffe, Sie verstehen nun wies gemeint ist.

Danke schon mal für die schnelle erste Antwort.

Stefan

Benutzeravatar
Skipper
Site Admin
Beiträge: 2987
Registriert: Mi 14. Jun 2006, 10:04
Spam Abwehr: 7
Kontaktdaten:

Re: FQDN und SMTP Hostname in AD-Domäne

Beitragvon Skipper » Di 5. Mai 2009, 12:42

die einfachste variante wäre die verwendung einer subdomain. z.b. home.domäne.org
damit hast du dann eine "echte" tld und der mailserver sollte die mails annehmen. auch intern sollte es mit so einer domain keine probleme geben. die domain domäne.org bleibt dennoch extern verwaltet.
Christian Forjahn
Senior IT Consultant

www.acontech.de

awits
Beiträge: 4
Registriert: Do 3. Apr 2008, 12:55

Re: FQDN und SMTP Hostname in AD-Domäne

Beitragvon awits » Di 5. Mai 2009, 23:34

...also mal schnell die Windows-Domäne komplett umstrukturieren, nur weil sich der SMTP Hostname im CBS nicht konfigurieren lässt?
Ich hab die Hoffnung aufgegeben. CBS ist nun nicht mehr in die Domäne integriert und funktioniert so wenigstens einigermaßen zuverlässig als MailGateway und Proxy.. Wenn die Lizenz abgelaufen ist, kommt endlich was anderes her.

Benutzeravatar
Skipper
Site Admin
Beiträge: 2987
Registriert: Mi 14. Jun 2006, 10:04
Spam Abwehr: 7
Kontaktdaten:

Re: FQDN und SMTP Hostname in AD-Domäne

Beitragvon Skipper » Mi 6. Mai 2009, 09:17

der fqdn ist der hostname des systems. dort kannst du den namen wählen den du willst. du kannst auch mehrere dns zonen anlegen (auch hidden primarys). dadurch kannst du also auch den hostnamen in mehreren dns zonen haben. wie deine windowsdomäne letztlich heisst kannst du selbst entscheiden. den namen für einzelne dienste lässt sich leider nicht anpassen.
ich verstehe leider nicht ganz, warum der cbs sich bei deinem provider überhaupt mit dem lokalen namen meldet. hast du die option "Absenderdomain auf Maildomain umschreiben" aktiviert? das findest du in den SMTP Optionen. bei den domains (sofern lokal verwaltet) kannst du die subdomains noch maskieren.
wenn es weiterhin ein echtes problem bleibt, kannst du dich an den support wenden. die können dir sicher eine lösung bieten.

ich würde es so machen:
fqdn: der name mit der echten domain. z.B. cbs.collax.com
dann legst du die interne domain als dns zone an. du definierst einen host mit dem alias in dieser zone.

wenn ich jetzt nicht etwas vergessen habe, dann sollte das schon ausreichen.
Christian Forjahn
Senior IT Consultant

www.acontech.de


Zurück zu „Collax Security Gateway“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast

cron