Mehrere externe IP’s am ISA Server

#server, #security edit this page

Stellt euch folgende Situation vor:

Ihr habt einen ISA Server als Firewall und mehrere öffentliche IP Adressen zur Verfügung. Die Adressen werden dem externen Interface des ISA Servers zugewiesen.
Beispiel:

200.200.200.1 –> VPN
200.200.200.2 –> OWA
200.200.200.3 –> Veröffentlichte Webseite
200.200.200.4 –> Sonstiges

Der MX-Reccord der Domäne leitet Mails der IP Adresse 200.200.200.2 weiter. Von der 200.200.200.2 werden die Mails dem internen Mailserver zugestellt. Der Zielverkehr für das externe Netzwerk wird über die erste IP Adresse am externen Interface geleitet. Folglich wird Internetverkehr, sowie Mails über die öffentliche IP 200.200.200.1 geleitet (nach Standardkonfiguration).

Wenn eurer Mailserver selbst die DNS-Auflösung vornimmt und Mails dem Ziel zustellt, tut er das mit der 200.200.200.1

Mailserver führen vermehrt ein Reverse-DNS-Lookup durch, um den Versender zu verifizieren. In dieser Konfiguration stellt das aber ein Problem dar, da die Mails über die 200.200.200.1 versendet werden, der MX aber auf die 200.200.200.2 zeigt. Folglich kann es passieren, dass Mails nicht angenommen werden oder man landet gleich direkt auf der Blacklist.

Um dieses Problem zu beheben hat man 2 Möglichkeiten:

  1. Mails über einen Smarthost senden
  2. Die öffentliche IP Adresse des Mail Servers am externen Interface des ISA Servers als erste Adresse eintragen

 

ISA Server unterstützt bis jetzt (aktuelle Version 2006) nicht die Anbindung mehrerer öffentlicher IP Adressen.

Grüße, dn