Mail Server Tipps & Tricks

Warum Sie Exchange hybrid betreiben sollten

Interview mit unserem IT-Experten Mathias.

Blog Author Jens

Jens

Customer Support
Exchange Server Online Hybrid Setup
Veröffentlicht am 29.09.2023

Systemadministrator:innen und IT-Professionals stehen vor einer drängenden Frage: On-Premises oder Cloud? Beide Optionen bieten klare Vorzüge – Unabhängigkeit und Kostenkontrolle versus Flexibilität und Skalierbarkeit. Bei JAM haben wir für uns eine klare Antwort gefunden: Hybrid-Betrieb ist die Lösung!

Doch wie integriert man dieses Konzept praktisch in die Mailserver-Infrastruktur? Unser IT-Team hat Antworten und Lösungen gefunden. Heute spricht unser Reporter Jens mit unserem Systemadmin Mathias darüber, wie wir die Herausforderungen gemeistert haben.

Folgende Fragen beantworten wir im Interview:

  • Unsere Herausforderungen mit dem alten E-Mail-System
  • Umstellungsanforderungen und -ziele
  • Einsatz der Exchange Server Toolbox und Criteria-Based Routing
  • Empfehlungen für Leser:innen

Wie sah unser bisheriges E-Mail-System aus?

Jens: Hey Mathias! Danke, dass du dir die Zeit nimmst! Kannst du uns bitte zum Einstieg einen kurzen Überblick über unser bisheriges E-Mail-System geben? Mit welchen Herausforderungen waren wir konfrontiert?

Mathias: Hi Jens! Klar, kein Problem!

Unser Mailflow lief vor dem Hybrid-Betrieb über unsere Firewall, welche die eingehenden Mails per NAT-Regel an einen Edge-Server in der DMZ, in unserem Falle eine hMail VM, leitete.

Auf der hMail VM lief auch die erste Instanz unserer Exchange Server Toolbox mit einer Viren- und Spamüberprüfung für eingehende E-Mails.

Anschließend wurden die Mails zurück an die Firewall geleitet, auf welcher erneut eine Prüfung auf Schadcode durchgeführt wurde.

Zum Schluss wurden die E-Mails auf unseren Exchange Server geleitet, auf welchem eine weitere Instanz der Exchange Server Toolbox lief.

Hier wurden die E-Mails auch rechtskonform archiviert und dabei auch nochmal automatisch auf Spam und Viren geprüft.

Welche technologischen Herausforderungen gab es im bestehenden System?

Jens: Welche technologischen Einschränkungen oder Herausforderungen gab es im bestehenden System, die eine Überarbeitung notwendig machten?

Mathias: Die Komplexität des oben beschriebenen Mailflows war eine Herausforderung. Denn es gab vieles zu beachten und bereits kleinste Änderungen konnten den Mailflow einschränken. 

Außerdem mussten Mitarbeiter:innen sich – spätestens seit der Pandemie – auch von außerhalb unseres Firmennetzwerkes sauber und mit möglichst wenig Aufwand mit unserem Exchange Server verbinden können.

In der heutigen Zeit einen Exchange Server nach außen freizugeben und abzusichern war auch eine Herausforderung, da Exchange Server in den letzten Jahren vermehrt in das Fadenkreuz von Hackern geraten sind.

Welches Ziel haben wir mit der Umstellung verfolgt?

Jens: Könntest du uns bitte die Hauptanforderungen und Ziele skizzieren, die du bei der Implementierung des Exchange Hybrid-Betriebs erreichen wolltest?

Mathias: Die Authentifizierung sollte zukünftig nicht mehr durch unsere Firewall gehen, sondern direkt in der Cloud stattfinden, um hier die von Microsoft implementierten Sicherheits- und Analysemöglichkeiten auszuschöpfen.

Ziel war es damit, die Sicherheit des Firmennetzwerkes zu erhöhen und den Anmeldevorgang für die Benutzer zu erleichtern.

Außerdem sollen langfristig die MX-Einträge auf Exchange Online umgestellt werden, sodass unter anderem der Mailflow weiter funktioniert, auch wenn alle unsere WAN-Leitungen im Firmengebäude offline sein sollten.

Welche technischen Herausforderungen gab es bei der Umsetzung?

Jens: Welche technischen Herausforderungen sind dir beim Einrichten des Hybrid Configuration Wizard (HCW) und der "Centralized Mail Transport" Funktion begegnet?

Mathias: Der Hybrid-Betrieb ist bereits seit 2016 möglich. Über die Jahre haben sich im Internet eine Vielzahl von Dokumentationen von Microsoft oder anderen Administratoren gesammelt und keine passt jemals 100% auf die eigenen Anforderungen und Wünsche.

Microsoft hat es sich auch nicht zum Ziel gesetzt, Kund:innen den Hybrid-Betrieb möglichst leicht zu machen. Hier merkt man schon, dass es Microsoft lieber wäre, gänzlich auf Exchange Online umzusteigen.

Eine große Herausforderung für den Hybrid-Betrieb und die fehlerfreie Konfiguration mit dem Hybrid Configuration Wizard ist die Konfiguration der eigenen Firewall(s).

Grundvoraussetzung für die Konfiguration des „Centralized Mail Transport“ ist es nämlich, dass Exchange Online ohne Umwege durch z.B. eine WAF (Web Application Firewall od. Reverse Proxy) mit dem Exchange Server in der eigenen Umgebung kommunizieren kann.

Was ist Criteria-Based Routing (CBR)?

Jens: Der Centralized Mail Transport hat aber auch Einschränkungen. Um diese zu Umgehen habt ihr Criteria-Based Routing (CBR) eingesetzt. Könntest du näher erläutern, wie CBR in deiner Implementierung funktioniert und welche Vorteile es bietet?

Mathias: In einem empfohlenen Szenario von Microsoft, bei dem der MX-Eintrag auf Exchange Online zeigt, müssen eingehende E-Mails über die lokale DLP-, Verschlüsselungs- und Journaling-Lösung geroutet werden, bevor sie in Exchange Online zugestellt werden.

Damit auch ausgehenden Nachrichten, die von Exchange Online ins Internet gesendet werden, über den Exchange vor Ort und damit die Exchange Server Toolbox verarbeitetet werden, gibt es den Centralized Mail Transport (CMT).

Hiermit ist es möglich, alle Nachrichten von Exchange Online-Postfächern über Exchange On-Premises zu leiten, bevor sie an das Internet zugestellt werden.

CMT hat aber einige Einschränkungen z.B. beim Versand aus Postfächern aus dem lokalen Exchange Server oder bei E-Mails zwischen zwei Cloud-Postfächern.

Hier kommt das Criteria-Based Routing ins Spiel. Hiermit lässt sich die Route, welche eine E-Mail nimmt, forcieren, und somit lassen sich die o.g. Einschränkungen lösen.

Wie habt ihr die Exchange Server Toolbox in dem Szenario eingesetzt?

Jens: Wie hat die Exchange Server Toolbox den gesamten E-Mail-Verkehr und Archivierungsprozess beeinflusst?

Mathias: Die Exchange Server Toolbox hat es uns als praktisches Plugin für den Exchange Server leicht gemacht, die rechtskonforme Archivierung trotz der Nutzung von Exchange Online zu gewährleisten.

Es musste nur sichergestellt werden, dass alle ein- und ausgehenden E-Mails einmal durch die Exchange Server Toolbox laufen.

Hast du Empfehlungen für unsere Leser:innen?

Jens: Hast du zum Schluss noch Empfehlungen für weiterführende Ressourcen oder Best Practices für jemanden, der eine ähnliche Implementierung plant?

Mathias: Ja, gern!

Zum Thema des kriterienbasierten Routings kann ich einen guten Beitrag aus der Microsoft Tech Community empfehlen, indem Criteria-Based Routing „entmystifiziert“ wird.

Wenn etwas nicht funktioniert, wie erwartet, gibt es hier auch einige Vorschläge zum Troubleshooting, die sehr hilfreich sind.

Jens: Vielen lieben Dank für die Tipps zum Schluss und natürlich auch für das Interview, Mathias!

Mathias: Gerne!

 

Möchten Sie immer auf dem neuesten Stand bleiben? Abonnieren Sie unseren Newsletter!

Hat Ihnen der Beitrag gefallen, haben Sie noch weitere Ideen oder Feedback für uns? Schreiben Sie uns, wir freuen uns auf den Austausch!