Exchange Relay als Smarthost für Postfix

Um mich ein wenig mehr mit dem Thema Exchange auseinander zu setzen, habe ich bei Microsoft einen Exchange angemietet. Nach der Einrichtung ergibt sich allerdings folgendes Problem:

Der Exchange besitzt nur mich als einzigen Benutzer. Die bisher angelegten Konten auf meinem Postfix-Server können allerdings nicht einfach umgezogen werden bzw. sollen es auch nicht, da jedes weitere Konto eben Geld kostet. Daher soll der Exchange lediglich meine E-Mails verwalten und alle anderen Adressen sollen weiterhin über Postfix laufen.

Dazu muss aber zum Einen der Exchange wissen, dass er bestimmte Mails weiterleiten soll und zum Anderen muss Postfix seine Mails über den Exchange raus schicken.

1. Verwalten akzeptierter Domänen in Exchange Online

Zunächst definiert man im Exchange, die Domäne, die von ihm akzeptiert werden soll. Dabei gibt es zwei unterschiedliche Typen von akzeptierten Domänen: autorisierende und interne relayakzeptierte Domänen, die wie folgt definiert werden.

Autorisierend: Wenn man diese Option auswählt, werden E-Mails an E-Mail-Adressen zugestellt, die in Office 365 für Empfänger für diese Domäne aufgeführt sind. E-Mails für unbekannte Empfänger werden abgelehnt.

Internes Relay: Wenn man diese Option auswählt, bedeutet dies, dass sich Empfänger für diese Domäne in Office 365 oder auf dem eigenen E-Mail-Server befinden können. E-Mails werden an bekannte Empfänger in Office 365 zugestellt oder an den eigenen E-Mail-Server geleitet, wenn die Empfänger Office 365 unbekannt sind.

Der Exchange muss also als Relay fungieren und alle unbekannten Empfänger, die er nicht kennt, weiterleiten. Postfix ist dann die letzte Instanz und gibt einen NDR zurück, falls auch er das Postfach nicht kennt.

Anschließend müssen zwei Konnektoren erstellt werden, die die Mails weiterleiten und von Postfix als Relay empfangen können.

2. Wie funktionieren Office 365-Konnektoren mit meinem eigenen (lokalen) Server?

Um den Nachrichtenfluss in beide Richtungen zu ermöglichen, müssen Konnektoren eingerichtet werden.

Die nachstehende Abbildung zeigt, wie die Konnektoren mit dem eigenen E-Mail-Server funktionieren.

In diesem Beispiel sind John und Bob Mitarbeiter in Ihrem Unternehmen. John hat ein Postfach auf einem E-Mail-Server, den Sie verwalten, und Bob verfügt über ein Postfach in Office 365. John und Bob tauschen E-Mails mit Sun aus, einem Kunden mit einem Internet-E-Mail-Konto:

  • Zum Senden von E-Mails zwischen John und Bob sind Connectors erforderlich.

  • Zum Senden von E-Mails zwischen John und Sun sind Connectors erforderlich. (Sämtliche Internet-E-Mails werden über Office 365 übermittelt.)

  • Zum Senden von E-Mails zwischen Bob und Sun ist kein Connector erforderlich.

Quelle: Microsoft

3. Einrichten eines Konnektors von Office 365 zum E-Mail-Server

Unter “Nachrichtenfluss – Connectors” können die Konnektoren angelegt werden.

Anschließend kann der MX Record auf die Office365 DNS Einstellungen geändert werden.

4. Einrichten eines Konnektors vom E-Mail-Server zu Office 365

Es wird ein weiterer Konnektor angelegt:

Anschließend muss man Postfix so vorbereiten, dass er die ausgehenden Mails auch über Office365 als Relay verschickt.

Dazu genügt prinzipiell der Eintrag “relayhost” in der main.cf:

relayhost = [tjbraun.mail.protection.outlook.com]

Dienst neustarten und fertig.

Ab jetzt sollten alle ausgehenden Mails über das Relay verschickt werden und eingehende Mails landen beim Exchange und werden bei Bedarf weitergeleitet.

Problem beim Versand vom Mailserver

Das Problem ist nun allerdings, dass zwar externe Domains problemlos von Postfix angesprochen und erreicht werden können, allerdings wird eine Mail an das Exchange Konto immer lokal in Postfix zugestellt und nicht an den Exchange weitergeleitet. Ebenfalls können Mails an unbekannte Adressen der eigenen Domain nicht verschickt werden.

Das liegt daran, dass Postfix seine eigene Domain natürlich versucht lokal zuzustellen. Daher muss man ihm klar machen, dass manche Adressen nicht lokal vorhanden sind bzw. diese Mails so oder so über das Relay gehen, damit sie den Exchange überhaupt erreichen.

Dazu gibt es die Transport Lookup-Tabelle. In diese Lookup-Tabelle wird für jede Zieladresse (vollständige Emailadresse oder Domain) der sogenannte Next Hop eingetragen.

Die Tabelle kann z. B. so aussehen:

xyz@tj-braun.de smtp:[tjbraun.mail.protection.outlook.com]
abc@tj-braun.de smtp:[tjbraun.mail.protection.outlook.com]

Die Tabelle hat das Format: Adresse Transporttyp:Next Hop. Adresse kann sowohl eine vollständige Emailadresse als auch nur der Domainteil sein. Der Transporttyp ist beim Weitertransport an einen anderen Mailserver immer smtp. Der Next Hop ist der neue Zielhost. Für den Zielhost kann eine IP-Adresse, ein Hostname oder eine Domain eingetragen werden. Wird ein Host- oder Domainname eingetragen, dann wird auf diesen Namen eine MX-Abfrage durchgeführt. Soll keine MX-Abfrage durchgeführt werden, muß der Name in eckige Klammern gestellt werden. Generell bedeutet ein Eintrag in der Transport Lookup-Tabelle immer eine Art Ausnahme von dem normalen Zustellweg den Postfix sonst versuchen würde.

Würde hier die Domäne an sich angegeben werden, würden sich Postfix und Exchange die Mails bis in alle Ewigkeiten hin und her schieben. Daher werden fixe Adressen definiert, die der Exchange auch kennt und aufgrund der Domänen Regelung von vorhin auch nicht weiterleiten wird.

Nun muss noch die neue Lookup-Tabelle in Datenbanken umgewandelt werden:

postmap transport

Danach muß die main.cf noch geändert werden:

transport_maps = hash:/etc/postfix/transport

Und der Dienst neugestartet werden.

Ab jetzt werden Mails von Postfix an das Relay weitergeleitet, wenn die Adresse in der Transport Tabelle steht. Alle anderen werden lokal zugestellt.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s