Installation von NoSpamProxy auf einem Cloud-Dienst
How Can We Help?
Hinweis: Im Rahmen von Änderungen in der Infrastruktur kommen neue IP-Adressen und ein neuer FQDN zum Tragen. Damit Sie den TCP Proxy für NoSpamProxy weiter verwenden können, wurde dieser Artikel erweitert. Stellen Sie sicher, dass Sie alle Änderung vollständig vornehmen.
Bei einigen cloudbasierten Systemen – zum Beispiel in Microsoft Azure – kann es vorkommen, dass der Port 25 ausgehend vom Anbieter blockiert wird. Port 25 wird aber zum Versand von E-Mails benötigt, was einen Betrieb von NoSpamProxy auf einem solchen System behindert.
Hierzu bieten wir eine Alternative an, um solche Systeme trotzdem zu nutzen: unseren “TCP-Proxy”. Dieses System kann auf unten beschriebene Weise in NoSpamProxy aktiviert werden. Dabei wird jede ausgehende Verbindung an eine routing-fähige IPv4-Adresse auf TCP-Ebene durch den TCP Proxy für NoSpamProxy geroutet. Die E-Mails werden dann vom Server aus über Port 443 an den TCP-Proxy gesendet und von dort dann über Port 25 weiter zum Empfängersystem geleitet.
Im Rahmen von Änderungen in der Infrastruktur kommen neue IP-Adressen und ein neuer FQDN zum Tragen. Um den TCP Proxy für NoSpamProxy weiter verwenden zu können, sind die folgenden Änderungen notwendig.
Einbinden des TCP-Proxy
- Stoppen Sie den Dienst der Gatewayrolle über die NoSpamProxy-Konsole oder die Windows-Dienste
- Öffnen Sie als Administrator einen Texteditor auf dem System, auf dem die Gatewayrolle installiert ist.
- Öffnen Sie die Konfigurationsdatei Gateway Role.config aus dem Verzeichnis C:\ProgramData\Net at Work Mail Gateway\Configuration\.
- Suchen Sie in der Datei nach “
<smtpServicePointConfiguration
“. Dort ändern/fügen Sie die Werte “isProxyTunnelEnabled="true" proxyTunnelAddress="proxy.nospamproxy.com
” als Attribute hinzu.
Falls “<smtpServicePointConfiguration
” nicht zu finden ist, suchen Sie bitte alternativ nach “<netatwork.nospamproxy.proxyconfiguration
” und fügen die folgende Zeile direkt unter diesem Wert hinzu:
<smtpServicePointConfiguration isProxyTunnelEnabled="true" proxyTunnelAddress="proxy.nospamproxy.com" />
- Speichern Sie die Datei ab und schließen Sie den Editor.
- Legen Sie das Root CA Zertifikat im Zertifikatsspeicher von Microsoft im Computerkonto unter Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate auf dem Server mit der Gatewayrolle ab.
- Bearbeiten Sie in der NoSpamProxy-Konsole unter Konfiguration > NoSpamProxy Komponenten > Gatewayrollen die entsprechende Gatewayrolle und ändern Sie den Wert für SMTP Servername auf den Wert “
outboundproxy.nospamproxy.com
“. - Starten Sie den Gatewayrollen-Dienst wieder
- Öffnen Sie die Datei Gateway Role.config erneut und prüfen Sie, ob der Wert beim Start erhalten geblieben ist.
Anpassen des SPF-Eintrags
- Wenn der TCP-Proxy implementiert ist, tritt dieser als absendendes System auf. Somit muss der TCP-Proxy auch mit in Ihrem SPF-Eintrag aufgenommen werden. Wir empfehlen dringend, folgenden Eintrag in Ihren SPF-Eintrag hinzuzufügen:
include:_spf.proxy.nospamproxy.com
Importieren des Root-CA-Zertifikats
- Laden Sie das oben erwähnte Zertifikat herunter und importieren Sie es auf das System mit der NoSpamProxy-Gatewayrolle als “Vertrauenswürdiges Stammzertifikat” in die Microsoft Zertifikatsverwaltung des Computerkontos.
Ändern des SMTP-Servernamens in den Eigenschaften der Gatewayrolle
- Gehen Sie in der NoSpamProxy-Managementkonsole zu Konfiguration > NoSpamProxy-Komponenten.
- Editieren Sie unter Gatewayrollen alle Gatewayrollen, die in Microsoft Azure betrieben werden wie folgt:
- Doppelklicken Sie den entsprechenden Eintrag für die Gatewayrolle.
- Tragen Sie unter SMTP Servername den Wert outboundproxy.nospamproxy.com ein.
- Klicken Sie Speichern und schließen.
Gegebenenfalls: Anpassen von Office 365
Falls Sie aus Azure heraus E-Mails an eine eigene Office-365-Instanz schicken, bei der ein Konnektor auf die IP-Adressen gebunden ist, aktualisieren Sie bitte die IP-Adressen passend zum Namen outboundproxy.nospamproxy.com. Da bei Office 365 die TLS-Zertifikate gegen die HELO-Domain geprüft werden, ist es nur mit deutlich erhöhtem Aufwand möglich, dies entsprechend umzusetzen. Wir empfehlen daher eine Validierung anhand des Namens.