Moin!

Da wir mit unserem derzeitigen E-Mail Anbieter nicht zufrieden sind (zuviel Spam, wichtige Mails werden rausgefiltert, TLS/SSL geht oft nicht) und uns die PIM Funktionen von Thunderbird/Lightning nicht ausreichen, habe ich nun einen Zimbra Groupware-Server eingerichtet.
Der E-Mail Versand klappt intern schon wunderbar und auch der webbasierte Client den ich mit Mozilla Prism als "Desktop-Anwendung" starte ist doch weitaus funktionaler als Thunderbird.

Nun will ich in den nächsten Monaten unseren Zimbra-Server ans Netz bringen und unseren alten E-Mail Provider kündigen.
Die Frage ist nun: Wie bringt man so einen Zimbra Server übrhaupt ans Netz?
Wie und wo müssen DNS Einträge geändert werden usw.

Habe bisher nur DNS mit Bind im LAN genutzt, die Anbindung eines Mail/Groupware-Servers an das Web ist für mich absolutes Neuland.
Interessant wäre auch was für Sicherheitsvorkehrungen ich treffen sollte.
Der Server läuft derzeit in einer Virtuellen Maschine und hat natürlich noch vollen Zugriff aufs LAN, was sicherlich nicht sinnvoll ist.

Vielen Dank für ein paar Tipps!

willst Du den aktuell installierten Server nutzen oder planst Du dann, einen neuen auf einem ded. Server aufzusetzen? Wie ist denn die Anbindung an's Internet? Wer verwaltet die Mail-Domains?

Ich würde folgendes Setup empfehlen:

Den Groupware-Server in's Intranet, vom Intranet aus den Port 25 dicht machen.
In die DMZ ein Mailrelay was Spam- und Virenfilterung übernimmt.
Port 25 aus dem Intranet nur zwischen dem Groupware-Server und dem Mailrelay freigeben.
Auf dem Groupware-Server das Mailrelay als Smarthost/Relayhost angeben.

Das Mailrelay mit fester öffentlicher IP ausstatten.

Für eure Domain(s) (im Internet) einen MX-Record (beispielsweise mail.example.com) setzen und für mail.example.com einen A-Record auf die fixe IP setzen.
Für die fixe IP bei eurem Zugangsanbieter einen PTR-Record mit dem Hostnamen des Mailrelays setzen.

Wirklich wichtig sind konsistente DNS-Records, ein sauberer PTR und die fixe IP. Wenn Du das nicht richtig einstellst, dann bekommen eure Mails auf einigen Servern einen schlechteren Spam-Score oder werden gar nicht erst angenommen.

@marce
Ich wollte eigentlich die mit Zimbra bereits eingerichtete Virtuelle Maschine dafür nutzen. In der VM wird ausser CentOS + Zimbra nichts anderes laufen.
Meine Idee wäre gewesen für die VM eine seperate Netzwerkkarte zu nutzen und diese dann mit dem DMZ Port unseres Routers zu verbinden. Die Mitarbeiter sollen sich dann aus dem LAN sowie aus dem Internet an das Webinterface von Zimbra anmelden können.
Ich möchte eigentlich nicht, daß sich jemand von ausserhalb über Pop3 oder IMAP anmelden kann. Es soll wirklich nur die Zimbra-Oberfläche genutzt werden können.

Wir haben derzeit einen 16.000er DSL Zugang mit fester IP, ich denke die 1000Mbit Upload sollten dafür ausreichen. Die jetzige Mail Domain verwaltet eine von uns beauftragte Firma die auch unsere Webseite betreibt. Soweit ich weis nutzt man dafür einen gemieteten Root-Server bei Hetzner.

@Thovan
Was spricht dafür den Zimbra Server vom Mail Relay zu trennen? Zimbra liefert ja selbst den Server als "all in one" Lösung aus. Da ist Postfix, Cyrus, LDAP, Amavis, ClamAV und Zimbra komplett vorkonfiguriert.

Das mit den DNS Records ist der interessante Punkt für mich.
Wer muss denn den MX-Record auf meinen Mail Server setzen? Macht das mein ISP der Webseite und Domain derzeit verwaltet oder muss ich in meinem DNS im LAN auch etwas herumkonfigurieren?

Mein DNS im LAN sieht derzeit folgendermaßen aus:
Es gibt eine Master Zone namens ".bla", die entsprechenden A-Records lauten dann also "<Rechnername>.bla".
Als MX Record habe ich in der Webmin Bind Config folgendes stehen:
Name: intranet.bla
Mail Server: zimbra
Priorität: 1

Für "zimbra" gibt es einen entsprechenden A-Record der auf dessen IP verweist.
Damit kann ich nun intern Mails von horst@intranet.bla zu heinz@intranet.bla versenden.
Wie würde der MX Record später aussehen wenn meine Domain beispielsweise "mydomain.de" lautet?

@marce
@Thovan
Was spricht dafür den Zimbra Server vom Mail Relay zu trennen? Zimbra liefert ja selbst den Server als "all in one" Lösung aus. Da ist Postfix, Cyrus, LDAP, Amavis, ClamAV und Zimbra komplett vorkonfiguriert.

Das mit den DNS Records ist der interessante Punkt für mich.
Wer muss denn den MX-Record auf meinen Mail Server setzen? Macht das mein ISP der Webseite und Domain derzeit verwaltet oder muss ich in meinem DNS im LAN auch etwas herumkonfigurieren?


Für eine saubere Trennung und gegen einen "Brückenserver" zwischen Intranet und DMZ steht ein ordentliches Netzwerkdesign.
Der Sinn einer Firewall wird teilweise ad absurdum geführt, wenn ein Server mit einem NIC in der DMZ und mit dem anderen im Intranet hängt.
Bei so einem Sicherheitsleck per Design kannst Du auch gleich Deine Clients in der DMZ betreiben.
Außerdem blockiert diese Lösung gleichzeitig E-Mail versendende Würmer und Viren auf verseuchten Clients.
Auf jeden Fall muss der vorgeschaltete Relay-Server die komplette Spam- und Viren-Überprüfung übernehmen, die nicht nur zu Tagging sondern auch zu Rejects führen kann.
Ansonsten wird Dein Netz zur Backscatter-Quelle und Du landest ziemlich schnell auf Blacklisten.

DSL-Anschlüsse mit fixer IP schön und gut.
Solange Dein ISP keinen ordentlichen PTR für die IP schalten kann ist das wertlos.
Sofern Dein DSL-Anschluss nach außen hin anhand der IP oder des PTR-Hostnamens als solcher erkennbar ist, wird man bei deinem Mailserver immer eine Spammer-Quelle vermuten.
Als Resultat bekommst Du dann einen höheren Spamscore oder wirst komplett geblockt auf einigen Systemen.

Was die DNS-Einstellungen der Domain betrifft: Für wen sind die denn relevant? Für alle die Dir E-Mails schicken wollen, ergo haben die wenig mit Deinem lokalen Netzwerk zu tun (da ist's ja nur für die Client-Rechner interessant) sondern die müssen auf dem für Deine Domain zuständigen offiziellen Nameserver (also im IntERnet) vorgenommen werden.

Da Du hier jedoch scheinbar noch nicht erfahren bist, solltest Du in Erwägung ziehen einfach nur den E-Mail-Provider zu wechseln.
Ich würde Dir das sehr anraten, da beim Betrieb von Mailservern im Internet auch rechtliche Konsequenzen große Relevanz haben.

Am Besten mietest Du Dir einen Smarthost/Relayserver bei jemandem, der auch vernünftig mit Dir zusammenarbeitet und Dich beratend unterstützt.

Edit:
Wenn Deine Domain "mydomain.de" wäre:

Für mydomain.de einen MX Record der Priorität 10 (üblicher Wert) auf "mail.mydomain.de." setzen.
Für "mail.mydomain.de" einen A-Record auf xxx.xxx.xxx.xxx (Deine fixe IP setzen).
Für die fixe IP einen PTR-Record auf "mail.mydomain.de." setzen.
Dem Mailrelay die fixe IP und den Hostnamen "mail.mydomain.de" zuweisen, damit er sich innerhalb der SMTP-Kommunikation beim HELO/EHLO auch als mail.mydomain.de "vorstellt".

Die Idee mit dem externen Smarthost gefällt mir!
Damit könnten wir ja eigentlich weiterhin unseren E-Mail Provider nutzen und hätten zusätzlich einen Spam-Filter den ich auf unsere Bedürfnisse anpassen könnte. Jetzt ist nur noch die Frage wie ich Zimbra entsprechend einrichte.
Muss ich dabei sonst noch etwas beachten?

BTW: Danke für die vielen Tipps, du hast mir bisher sehr weiter geholfen.

Die Idee mit dem externen Smarthost gefällt mir!
Damit könnten wir ja eigentlich weiterhin unseren E-Mail Provider nutzen und hätten zusätzlich einen Spam-Filter den ich auf unsere Bedürfnisse anpassen könnte.

Nein, dann hast Du mich falsch verstanden - oder ich verstehe Dich falsch.
Ein Smarthost ist ein Relayserver, der nur ausgehende Kommunikation betrifft. Also alle Mails die Du versendest werden von Deinem Server an diesen Smarthost übermittelt, der sie dann nur weiterreicht.
Sinn des Ganzen ist es vor allem bei Netzwerken mit dynamischen IP-Adressen oder statischen IP-Adressen, die aber auf Grund des Netznereiches in dem sie liegen wie dynamische behandelt werden, einen für Dich schlechteren Spamscore zu vermeiden.
Eingehend lässt sich natürlich auch ein Relayserver verwenden, der als MX für die jeweilige Domain eingetragen wird und der dann auch die komplette Spam- und Virenfilterung übernimmt.

Beides (Relayserver für eingehende und ausgehende Mails) lässt sich natürlich kombinieren.

In beiden Fällen muss es zwischen den Servern eine Vertrauensstellung geben - etwa über einen VPN-Tunnel, verschlüsselte Kommunikation oder einfach nur Authentifizierung.
D.h. Dein lokaler Mailserver in der DMZ oder im Intranet muss einem Relayserver für eingehende Mails alle Mails abnehmen, die dieser versucht zuzustellen.
Wird auf dem lokalen Mailserver noch eine weitere E-Mail-Filterung auf Spam oder Viren durchgeführt, dann darf diese lediglich zu einem Tagging (Zustellung mit Markierung) oder einem Verwerfen (Discard) der E-Mail führen.
Keinesfalls darf eine Ablehnung der Annahme der Mail (Reject) erfolgen.
Dies' würde den Relayserver zu einem Bouncer und/oder einer Backscatterquelle machen und dazu führen, dass er auf RBLs auftaucht, was wiederum zu einem schlechteren Spamscore führen wird oder dazu dass andere Mailserver generell keine Mails mehr von diesem Server annehmen.

Zusätzlich muss sichergestellt werden, dass Dein lokaler Mailserver Mails ausschließlich vom Relayserver für eingehende Mails annimmt.
(Mit entsprechend komplexeren Setup geht das aber auch anders.)

Bei einem Relayserver für ausgehende Mails authentifiziert sich Dein lokaler Mailserver beim Relayserver (VPN, SSL, Authentifizierung) und übergibt ihm alle zu versendenden Mails, damit er sie dann zustellt.

In jedem Fall ist sicherzustellen, dass der Relayserver über alle aktuellen E-Mail-Adressen/Domains "informiert" ist.

Dein alter E-Mail-Provider wäre damit also überflüssig, sofern er Dir nicht die Funktion des Relayservers im geforderten Umfang zur Verfügung stellt.



Jetzt ist nur noch die Frage wie ich Zimbra entsprechend einrichte.
Muss ich dabei sonst noch etwas beachten?

Dein Zimbraserver muss nur so konfiguriert werden, dass er jede Mail des Relayservers annimt (siehe oben) und alle ausgehenden Mails an den Relayserver weitergibt.
(Vorausgesetzt Du nutzt den Relayserver in beiden Richtungen - was aber die sinnvollste Variante ist.)

Sofern Du eine ausreichend dimensionierte Anbindung (synchron: Upstream=Donwstream) und eine fixe IP hast für die Du denn PTR-Record selbst festlegen kannst, kannst Du den Relayserver einfach in Deine DMZ stellen.
Andernfalls wie beschrieben bei einem Anbieter im Internet einmieten.



BTW: Danke für die vielen Tipps, du hast mir bisher sehr weiter geholfen.

Kein Problem - ich nehm's als Bestätigung, dass ich die letzten Jahre keinen Mist gemacht habe :)