Notwendige Konfigurationen für den Betrieb in Microsoft Azure

Einbinden des TCP Proxy

HINWEIS: Sie müssen über einen gültigen Vertrag über Softwarewartung verfügen, um den TCP Proxy nutzen zu können.

Bei einigen cloudbasierten Systemen – zum Beispiel in Microsoft Azure – kann es vorkommen, dass der Port 25 ausgehend vom Anbieter blockiert wird. Port 25 wird aber zum Versand von E-Mails benötigt, was einen Betrieb von NoSpamProxy auf einem solchen System behindert.

Hierzu bieten wir eine Alternative an, um solche Systeme trotzdem zu nutzen: unseren TCP Proxy. Dieses System kann auf unten beschriebene Weise in NoSpamProxy aktiviert werden. Dabei wird jede ausgehende Verbindung an eine routing-fähige IPv4-Adresse auf TCP-Ebene durch den TCP Proxy für NoSpamProxy geroutet. Die E-Mails werden dann vom Server aus über Port 443 an den TCP Proxy gesendet und von dort dann über Port 25 weiter zum Empfängersystem geleitet.

1. Stoppen Sie den Dienst der Gatewayrolle über das NoSpamProxy Command Center oder die Windows-Dienste
2. Öffnen Sie als Administrator einen Texteditor auf dem System, auf dem die Gatewayrolle installiert ist.
3. Öffnen Sie die Konfigurationsdatei Gateway Role.config aus dem Verzeichnis C:\ProgramData\Net at Work Mail Gateway\Configuration\.
4. Suchen Sie in der Datei nach <smtpServicePointConfiguration> und ändern/fügen Sie den Wert
   isProxyTunnelEnabled="true" proxyTunnelAddress="proxy.nospamproxy.com"
   als Attribute hinzu. Falls <smtpServicePointConfiguration nicht vorhanden ist, suchen Sie nach <netatwork.nospamproxy.proxyconfiguration und fügen Sie
   <smtpServicePointConfiguration isProxyTunnelEnabled="true" proxyTunnelAddress="proxy.nospamproxy.com" />
   direkt unter diesem Wert hinzu.
5. Speichern Sie die Datei ab und schließen Sie den Editor.
6. Legen Sie das Root CA Zertifikat im Zertifikatsspeicher von Microsoft im Computerkonto unter Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate auf dem Server mit der Gatewayrolle ab.
7. Bearbeiten Sie im NoSpamProxy Command Center unter Konfiguration > NoSpamProxy Komponenten > Gatewayrollen die entsprechende Gatewayrolle und ändern Sie den Wert für SMTP Servername auf den Wert outboundproxy.nospamproxy.com.
8. Starten Sie den Gatewayrollen-Dienst wieder
9. Öffnen Sie die Datei Gateway Role.config erneut und prüfen Sie, ob der Wert beim Start erhalten geblieben ist.

Anpassen des SPF-Eintrags

• Wenn der TCP-Proxy implementiert ist, tritt dieser als absendendes System auf. Somit muss der TCP-Proxy auch mit in Ihrem SPF-Eintrag aufgenommen werden. Wir empfehlen dringend, folgenden Eintrag in Ihren SPF-Eintrag hinzuzufügen:
  include:_spf.proxy.nospamproxy.com

Gegebenenfalls: Anpassen von Microsoft 365

Falls Sie aus Azure heraus E-Mails an eine eigene Microsoft-365-Instanz schicken, bei der ein Konnektor auf die IP-Adressen gebunden ist, aktualisieren Sie bitte die IP-Adressen passend zum Namen outboundproxy.nospamproxy.com. Da bei Microsoft 365 die TLS-Zertifikate gegen die HELO-Domain geprüft werden, ist es nur mit deutlich erhöhtem Aufwand möglich, dies entsprechend umzusetzen. Wir empfehlen daher eine Validierung anhand des Namens.

Gegebenenfalls: Anpassen der Firewall

• Falls Sie ausgehende Verbindungen gezielt blockieren, sollten Sie die Ausnahme für den TCP Proxy so anpassen, dass Verbindungen zum IP-Netz 193.37.132.0/24 erlaubt sind.

Einrichten einer statischen IP-Adresse

Wenn Sie NoSpamProxy oder Teile davon in einer virtuellen Maschine in einer Microsoft-Azure-Umgebung betreiben möchten, benötigen Sie eine IP-Adresse, die auch nach dem Neustart der Maschine erhalten bleibt. Um dies zu erreichen, müssen Sie eine statische IP-Adresse (Reserved IP Address) einrichten. Ansonsten ist es möglich, dass nach dem Neustart der Maschine eine andere IP-Adresse zugewiesen wird.

HINWEIS: Diese Einstellung nehmen Sie auf dem virtuellen Computer in Microsoft Azure vor, auf dem NoSpamProxy installiert ist.

1. Öffnen Sie die Webseite portal.azure.com.
2. Klicken Sie unter Home > Virtuelle Computer auf den virtuellen Computer, auf dem NoSpamProxy installiert ist.
3. Gehen Sie zu Netzwerk > Netzwerkschnittstelle > IP-Konfigurationen und wählen Sie die für NoSpamProxy relevante Konfiguration.
4. Aktivieren Sie die Option Öffentliche IP-Adresse und klicken sie danach Neu erstellen.
5. Geben Sie einen Namen ein und wählen Sie die Option Statisch aus.
6. Klicken Sie OK.

Die IP-Adresse wird nun unter dem angegebenen Namen angezeigt.

HINWEIS: Beachten Sie beim Einrichten einer statischen IP-Adresse die Informationen von der entsprechenden Seite der Microsoft-Dokumentation.

Anpassen des Reverse-DNS-Eintrags für den NoSpamProxy-Server

1. Öffnen Sie portal.azure.com.
2. Gehen Sie zu Dashboard > Ressourcengruppen > [DieRessourcengruppeZuDerDerVirtuelleComputerGehoert] > [IhrVirtuellerComputer] > Eigenschaften.
3. Geben Sie unter DNS-Namensbezeichnung einen Namen für die öffentliche IP-Adresse an.
4. Starten Sie die Azure Shell.
5. Geben Sie den folgenden Befehl ein und ersetzen Sie dabei die vorhandenen Platzhalter:
   az network public-ip update --resource-group [Ressourcengruppe] --name [NameDerIPAdresse] --reverse-fqdn [VollstaendigerDNSName] --dns-name [DNSName]

HINWEIS: Beachten Sie auch die Anweisungen auf der entsprechenden Seite der Microsoft-Azure-Dokumentation.