ISA Server und mehrere externe IP-Adressen

In meinem Blogeintrag vom 18. Februar habe ich ja versprochen, über dieses Thema hier zu schreiben.

Stellt euch vor, ihr habt eine Internetanbindung mit mehreren öffentlichen IP-Adressen. Daran hängt ein ISA Server, dem ihr alle nutzbaren IPs (zum Beispiel 207.46.232.180-184) vergeben habt. 

Für Veröffentlichungen nutzt ihr folgende IP-Adressen:

  • 207.46.232.180 -> OWA
  • 207.46.232.181 -> VPN
  • 207.46.232.182 -> Mail1
  • 207.46.232.183 -> Mail2
  • 207.46.232.184 -> Intranet

Das ist soweit ja ganz einfach zu realisieren. Ihr könnt auf den beiden veröffentlichten IPs problemlos E-Mails empfangen. Wenn ihr jetzt darüber auch E-Mails versendet, werdet ihr früher oder später feststellen, dass manche Mailserver eure Mails nicht annehmen. Warum? Der gegnerische Mailserver bekommt die E-Mail mit der IP-Adresse 207.46.232.180 zugestellt. Viele Mailserver prüfen mittlerweile, ob sie wiederum eine Verbindung zum einliefernden Mailserver herstellen können und ob die einliefernde IP-Adresse mit den MX-Records in der DNS-Zone für die Absenderdomain übereinstimmt. In beiden Fällen habt ihr leider erstmal verloren. Beide Prüfungen werden fehlschlagen.

Was kann man in so einem Fall tun, außer den Kopf in den Sand zu stecken?

Da es keine Lösung gibt, dieses Problem mit dem ISA Server zu lösen, bleibt nichts anderes übrig, als das gesamte Konzept zu verändern. Folgende Lösungen stehen zur Debatte:

  • Ihr müsst dafür sorgen, dass bei solch kritischen Veröffentlichungen die betreffende IP-Adresse als Standard-IP in den Windows Server TCP/IP-Eigenschaften konfiguriert ist. Da das natürlich nur mit einer IP geht, könnt ihr auf diese Weise keine zwei unterschiedlichen Mailserver veröffentlichen.
  • Ihr verändert die MX-Records und fügt die ausgehende IP hinzu. Dann habt ihr das SPF-Problem gelöst, nicht jedoch den OpenProxy-Test.
  • Ihr verwendet mehrere ISA Server…..

Wie auch das Problem mit mehreren Internetanbindungen steht das schon seit Jahren auf der Wunschliste von uns MVPs, die dem ISA Server Produktteam vorliegt. Ob und wann es eine ISA Server Version geben wird, die wenigstens das kann ist unklar.

Viele Grüße
Dieter


Dieter Rauscher
MVP Forefront