Exchange 5.5 a antivirová ochrana na linux firewallu

[Tantalos]

Nazdárek, mám tu takový problém. Mám tu Exchange server 5.5 v mé správě a VPN-firewall-router v cizí správě. Nyní mi společnost spravující VPN-firewall-router nabízí antivirovou ochranu příchozích emailů. Protože se mi zdá výhodné prosívat "odpad z internetu" ještě před Exchange serverem, rád bych nabídky využil. Bohužel člověk z oné společnosti po mě chce jakýsi zásah v nastavení Exchange serveru, aby údajně mohli zpracovávat antivirem naši poštu. To je problém, protože vůbec nechápu o jaký zásah má jít, resp. si nejsem vědom potřeby takového zásahu. Podle mého prostě nainstalují na jejich firewallu antivirový program a je vyřešeno, nebo se pletu? Ještě dodám, že nyní jsou emaily z internetu směrovány na jejich VPN-firewall-router s veřejnou IP přes port 25 a zde je port 25 směrován na port 25 mého Exchange serveru s neveřejnou IP. Díky

[Tantalos]

Nikdo? Docela by mi pomohlo, kdyby mi alespoň někdo potvrdil, že pokud prochází pošta přes router nebude sebemenší problém ji na něm rovnou scanovat antivirem a že je tudíš nesmysl měnit nastavení exchange, aby se snad "otevřela" možnost scanovat antivirem příchozí poštu.

[steelman]

Skus zistit viac podrobnosti o tych zasahoch, o antivire aky bude pouzity, o tom ako to bude fungovat. Mne to pripada tak ze ti ten bordel z inetu bude aj tak chodit na exchange a antivir ti to bude priamo na exchangy triedit.

Inak pokial ti mozem odporucit tak na tvojom mieste by som pouzil trend scanmail for exchgange 5.5, ktory naozaj cisti velice dobre

[jan555]

Netuším, co by bylo potřeba na Exchsrvr měnit ... Tyhle AV fungujou klasicky jako další front-end SMTP konektor/relay. Prostě se předsadí stroj s AV před Exchsrvr, na něm se dá natvrdo route na SMTP konektor, nebo Exchange a je to, Exchange nic nepozná ...

Jinak front-end řešení AV je mnohem mnohem lepší, než AV přímo nad databází Exchange - ten zpomaluje engine i databázi a velice často jsou s tím různé "unspecified" problémy. Obykle se jedná o omezení na jednu in-time operaci nad databází, atd. - tohle řešení nedoporučuju nikde (někde může docela dobře fungovat jako doplněk k front-end AV s omezenou funkčností), ale nad 5.5tkou vůbec ...

Ještě mě napadá - pokud je Exchange nastavenej, na příjem pouze z konkrétního IPčka a ten AV nebudou přidávat na stávající SMTP konektor, ale na novej stroj, tak bude potřeba překonfigurovat odkud přijímá a kam posílá, ale co dál ...?

Nejlepší by bylo, kdybys napsal, co to konkrétně je a schéma Exchange Site/Org, resp. cesty mailu v rámci Org ...

[Tantalos]

Díky za odpověď, AV se přidá nad existující firewall-router, tj. nainstalují AV na současný SMTP konektor. Nevím co je to za typ AV, ale ten kašpárek s kterým jednám po mě chce, abych donutil Exchange přímat sám na sebe () případně na "neveřejnou doménu" ().
Skutečně nevím co tímhle myslí a hlavně proč bych měl měnit tímto způsobem nastavení exchange, jen aby mi oni zajistili AV ochranu. Připadá mi totiž, že naznačuje (ale velmi nezřetelně), že se současným nastavením by AV ochrana na routeru-firewallu nefungovala...

[jan555]

Tohle spolu musíte probrat a ať Ti objasní, co je to za soft a proč chce to, co chce. Nedává mi to moc smysl, resp. nevím o tom, že by bylo něco takového potřeba ...

[davpav]

Nevím co je to za typ AV, ale ten kašpárek s kterým jednám po mě chce, abych donutil Exchange přímat sám na sebe () případně na "neveřejnou doménu" ().

Jestli tím třeba nemyslí, že se v mailu po průchodu AV z nějakého důvodu změní (sub)doména v adrese příjemce a je proto potřeba překonfigurovat EXCH aby tyto maily neodmítal ale "spolknul je".

Jinak u nás v práci máme podobné řešení s AV předsunutým na linuxu a na EXCH 5.5 jsem nic překonfigurovávat nemusel.

[Tantalos]

Pošlu vám sem přepis co píše konkrétně:

zmenite nastaveni exchange (resp. pridate do konfigurace nekolik
dalsich drobnosti - aby prijimal postu pro sebe sama dle ip nebo postu
pro nejakou interni neverejnou domenu) - tim padem muzeme na routeru
lokalne postu zpracovat a znovu ji poslat (pokud projde pravidly)

[jan555]

IPčko budiž, ale co s tou doménou Princip věci je v tom, že Exchange s front-end AV řešením nepozná odkud to jde - jestli přímo z Internetu, nebo s předsazeného konektoru (doména je samozřejmě jedna, ta samá). Vůbec nechápu, co a jak chce udělat - zeptej se ho ...

[Tantalos]

IPčko budiž, ale co s tou doménou Princip věci je v tom, že Exchange s front-end AV řešením nepozná odkud to jde - jestli přímo z Internetu, nebo s předsazeného konektoru (doména je samozřejmě jedna, ta samá). Vůbec nechápu, co a jak chce udělat - zeptej se ho ...

Potíž je v tom, že pan "inženýr" je velmi arogantní člověk, který sežral Šalamounovo *****, takže komunikace ve smyslu, o co přesně jde a proč vyzněla naprázdno a na odpovědi "vy snad neznáte SMTP protokol" apod nejsem zvědavý. Navrhuji šéfům firmy, aby se s ním velmi rychle rozloučili, nemám chuť, čas ani náladu s někým řešit týden AV ochranu pošty... Díky za reakce chlapi!

[jan555]

Eh, to je interní zaměstnanec, nebo externí dodavatel

[Tantalos]

Eh, to je interní zaměstnanec, nebo externí dodavatel

)

Externí dodavatel. Jen chování tomu neodpovídá..

[jan555]

Tak to je hustota Hoď mi pls do SZka, co je to za firmu, celkem by mě zajímalo, kdo si tohle ještě dneska dovolí

[Tantalos]

Tak to je hustota Hoď mi pls do SZka, co je to za firmu, celkem by mě zajímalo, kdo si tohle ještě dneska dovolí

Máš to tam. Před chvílí mi kámoš napsal, že možná po mě chtějí "...dostat dva DNS nazvy pro postu, aby Linux prijmul, ale zaroven komunikoval s NT serverem, coz pokud oboje bude mit stejny nazev je v celku problem, protoze servery to nechteji chapat"

[jan555]

Tomu moc nerozumím ... Co to je "DNS název pro poštu" Předpokládal bych MX záznam v DNSce pro ten router, ale to pořád nemá co dělat s Exchangí. Rozuměl bych tomu tak, že chtějí 2 MX záznamy s různou prioritou na DNSce, kdy primárně to půjde přes ten router a v případě výpadku rovnou na Exchange ... (v reálu velice problematické a zdaleka ne nejlepší řešení) To by z pohledu Exchsrvr znamenalo přidat IPčko (pokud teď jde pošta "na přímo") toho routeru jako akceptovaného pro inbound, toť vše. Řešení by to bylo imho blbý, pořád ale nechápu, co s tou mail doménou a spol.

[Tantalos]

Tomu moc nerozumím ... Co to je "DNS název pro poštu" Předpokládal bych MX záznam v DNSce pro ten router, ale to pořád nemá co dělat s Exchangí. Rozuměl bych tomu tak, že chtějí 2 MX záznamy s různou prioritou na DNSce, kdy primárně to půjde přes ten router a v případě výpadku rovnou na Exchange ... (v reálu velice problematické a zdaleka ne nejlepší řešení) To by z pohledu Exchsrvr znamenalo přidat IPčko (pokud teď jde pošta "na přímo") toho routeru jako akceptovaného pro inbound, toť vše. Řešení by to bylo imho blbý, pořád ale nechápu, co s tou mail doménou a spol.

Jasně, pro mě není problém přidat router jako inbound, jen jsem se od nich chtěl dozvědět nějaké další nabídky, řešení a hlavně proč takto? Ale jak už jsem psal, marně. Asi dělají jen jeden jediný způsob a další vylučují.

[jan555]

Tohle není vhodné řešení, asi tak. Hlavně nechat si udělat ve svém produkčním prostředí něco, co ani nejsou schopný popsat, je holej nesmysl. Možná to dělají poprvé? No co už, budiž jim země lehkou

[Tantalos]

Tohle není vhodné řešení, asi tak. Hlavně nechat si udělat ve svém produkčním prostředí něco, co ani nejsou schopný popsat, je holej nesmysl. Možná to dělají poprvé? No co už, budiž jim země lehkou

Asi si vydělávají zbytečně moc peněz a zákazník se stává obtížným hmyzem. Naznačím jim výpovědí jak se mýlí