Mit meinem schon bekannten Zertifikate-Skript habe ich problemlos ein neues Zertifikat für den Exchange ausgestellt

Jetzt aber muss das Zertifikat in ein für den Exchange lesbares Format gewandelt werden. Dazu exportieren wir den privaten wie auch den öffentlichen Teil des Zertifikats als PK12

openssl pkcs12 -export -in /etc/ssl/cert.pem -inkey /etc/ssl/private/key.pem -out /etc/ssl/windows.p12

Und natürlich muss auch das neue Zertifikat der Root-CA mit. Dazu reicht es aber das schon erstellte PEM-File zu kopieren.

Nachdem wir beide Dateien auf den Exchange kopiert habe müssen diese als Zertifikate importiert werden. Dazu öffnen wir die Microsoft Management Console (MMC) und laden das Snap-In Zertifikate

Bei den weiteren Abfragen bitte wie auf den Screenshots zu sehen ist vorgehen.

Zuerst werden die beiden Zertifikate als eigene Zertifikate importiert.

Dazu auf der rechten Seite mit einem Rechtsklick und dann Alle Aufgaben/Importieren… beide Zertifikate einladen.

Dann muss das Zertifikat der Root-CA noch in die Vertrauenswürdigen Stammzertifizierungsstellen verschoben werden.

Damit hat man den Grundstock geschaffen. Anschließend kann dann das Zertifikat an den entsprechenden Stellen in den Exchange eingebunden werden.

Zuerst für SMTPs im Exchange System-Manager

Analog dazu trägt man das neue Zertifikat auch in IMAPs ein.

Zuerst habe ich einen neuen Service in /etc/services definiert

# Local services
exchange        12345/tcp                       # Hilfsport für Exchangeeinlieferung

Anschließend wird ein neuer Transportweg in /etc/postfix/master.cf definiert

exchange inet n    -       n       -       -     smtpd
        -o content_filter=
        -o smtpd_delay_reject=no
        -o smtpd_helo_restrictions=
        -o smtpd_sender_restrictions=
        -o smtpd_recipient_restrictions=permit_tls_clientcerts,reject
        -o smtpd_data_restrictions=reject_unauth_pipelining
        -o smtpd_end_of_data_restrictions=
        -o smtpd_restriction_classes=
        -o mynetworks=127.0.0.0/8
        -o smtpd_error_sleep_time=0
        -o smtpd_soft_error_limit=1001
        -o smtpd_hard_error_limit=1000
        -o smtpd_client_connection_count_limit=0
        -o smtpd_client_connection_rate_limit=0
        -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters
        -o local_header_rewrite_clients=
        -o smtpd_milters=
        -o local_recipient_maps=
        -o transport_maps=hash:/etc/postfix/transport
        -o relay_recipient_maps=

Damit haben wir den Weg für den Exchange-Server auf dem Mail-Gateway geebnet. Nun müssen wir noch den Exchange-Server konfigurieren. Zuerst müssen wir den Smarthost  definieren, also den Server, an den der Exchange alle Mails schicken soll, für die er selber nicht zuständig ist. Das ist in unserem Fall das Mail-Gateway. Definiert wird das Ganze im Default-SMTP-Connector, in meinem Fall heißt dieser Smallbusiness-SMTP-Connector und ist zu unter Administrative Gruppen/Erste administrative Gruppe/Routinggruppen/Erste Routinggruppe/Connectors. Auf der Reiterkarte Allgemein gibt man entweder den FQDN an oder aber, wie in meinem Falle,  die IP in eckigen Klammern an.

Im SMTP-Connector wird der Smarthost definiert

Weitere Informationen findet man in der Microsoft Knowledgebase.

Anschließend muß man noch festlegen, an welchen Port der Exchange-Server für seine ausgehende SMTP-Kommunikation benutzt. Dies definiert man in Administrative Gruppen/Erste administrative Gruppe/Server/SERVERNAME/Protokolle/SMTP. Hier legt der Server nach der Grundinstallation den Virtueller Standardserver für SMTP an. In der Reiterkarte Übermittlung gibt es Ausgeh. Verbindungen und dort findet man den TCP-Anschluß.

Im virtuellen Standardserver für SMTP wird der ausgehende Port definiert

Weitere Infos zum ausgehenden Port findet man in der Microsoft Knowledgebase.

Weiter gehts im schnellen Lauf, denn der Teddy gibt nicht auf

Hier der versprochene zweite Teil zum Thema postfix und relay_recipient_maps vom Exchange.

Nachdem wir nun nahezu automatisch die Liste aller gültigen Empfänger auf das Mail-Gateway kopieren können, müssen wir nun die Liste so aufbereiten, das postfix damit etwas anfangen kann.

Bisher sieht die Liste in etwa so aus:

dn: CN=Administrator,CN=Users,DC=example,DC=de
changetype: add
proxyAddresses: SMTP:Administrator@example.de
proxyAddresses: X400:c=DE;a= ;p=EXAMPLE;o=Exchange;s=Administrator;

So kann man die Liste natürlich nicht an postfix geben. Wenn man sich dann die Liste genau anschaut, dann findet man viele Einträge von EMail-Adressen, die der Exchange selber benötigt und die man nicht über das Mail-Gateway erreichbar machen muß. Es müssen also folgende Dinge gemacht werden:

1. Löschen der unnötigen Zeilen.
2. Aufbereiten der Textdatei
3. Hinzufügen des Kommandos OK zu jeder Zeile
4. Löschen der unbenötigten Emailadressen

Dazu verwenden wir das Script von postfix-buch.com. Leider hat sich in dem Script ein kleiner Fehler eingeschlichen . Das Original-Script sieht so aus:

#!/bin/bash
# Extract all Adresses that start with SMTP or smtp from
# an Active Directory export, but omit those that are listed in blacklist
cat $1 | tr -d \" | tr , \\n| tr \; \\n | awk -F\: '/(SMTP|smtp):/ {printf("%s\tOK\n",$2)}' |
grep -v -f blacklist > $2

Wenn man sich das Script aus dem Buch anschaut, dann findet man schnell den Fehler — nach der Korrektur sieht das Script so aus:

#!/bin/bash
# Extract all Adresses that start with SMTP or smtp from
# an Active Directory export, but omit those that are listed in blacklist
cat $1 | tr -d \" | tr , \\n| tr \; \\n | awk -F\: '/^proxyAddresses: (SMTP|smtp):/ {printf("%s\tOK\n",$3)}' |
grep -v -f blacklist > $2

Die Email-Adressen, welche man nicht in der Tabelle haben möchte, schreibt man in eine Datei blacklist. Meine blacklist sieht so aus:

SystemMailbox
Administrator
Default
exchangeV1
globalevents
internal
KontaktevonEXAMPLE
EXAMPLE
EXAMPLE-Archiv
OABVersion2
OABVersion3a
Offlineadressbuch-firstadministrativegroup
PublicFolder08275515@example.de
PublicFolder94568143@example.de
schema-root

Wenn man jetzt das Script ausführt

./extract_valid_recipient /home/exchange/recipient.txt /home/exchange/relay_recipient

So sieht das Ergebnis (less /home/exchange/relay_recipients) dann so aus:

user1@example.de^M OK
useruser2@example.de^M OK
user2@example.de^M OK
Administrator@example.de^M OK

Wie man sieht hat debian Probleme mit dem DOS-Zeilenumbruch. Um diesen Unix-Konform geradezubiegen installiert man sich das Paket tofrodos, welches den Befehl dos2unix mit sich bringt.

Mit einem
dos2unix relay_recipients
wandelt man die Liste um und Voilá!

Das ist natürlich falsch. Man muß die DOS-Zeilenumbrüche in der Original-Datei recipient.txt schon löschen und kann anschließend die Datei durch den Filter schicken.

(Wer es komplizierter mag, der nehme den Befehl flip. Eine Erklärung dazu findet er hier.)

Jetzt wandeln wir die Datei in eine Postfix-Datenbank um

postmap hash:/home/exchange/relay_recipients

und kopieren wir die Datei in das postfix-Verzeichnis

mv /home/exchange/relay_recipients.db /etc/postfix/relay_recipients.db

Wichtig ist der Hinweis im Buch, das die Datenbank-Datei im Home-Verzeichnis unseres exchange-Users erstellt und anschließend kopiert wird, da es beim Fehlschlagen des postmap–Befehls ansonsten keine relay_recipients.db im postfix-Verzeichnis geben und Postfix seinen Betrieb einstellen würde.

Eingebunden in postfix wird es mit einem Eintrag in der /etc/postfix/main.cf

relay_recipient_maps = hash:/etc/postfix/relay_recipients

Jetzt kann man, wenn man es möchte, natürlich das Ganze noch automatisieren und in Scripte packen, dazu noch als Taskplaner/cron ausführen lassen. Aber das kommt später.

Jetzt aber zur Realisierung:

Zuerst muß auf dem Exchange die aktuelle Email-Adressenliste generiert werden. Die Daten sind schon alle im Active Directory vorhanden, man muß sie da nur rausbekommen. Das geht mit Boardmitteln, aber der Reihe nach. Als Erstes lohnt es sich für den Austausch der Listen ein eigenes Verzeichnis anzulegen:

mkdir c:\mailgw

Dann wird die Liste extrahiert:

ldifde -m -n -g -f "C:\Mailgw\recipient.txt" -r "(mailnickname=*)" -l proxyAddresses

Ein kurze Erklärung zu den Parametern:

–g Deaktiviert die seitenweise Suche.
–m Aktiviert die SAM-Logik beim Export.
–n Exportiert keine Binärwerte.
–f Dateiname Dateiname für die Eingabe bzw. Ausgabe.
–r Filter LDAP-Suchfilter (Standard: »(objectClass=*)«).
–l Liste Liste der Attribute (durch Komma getrennt), nach denen bei
der LDAP-Suche gesucht wird.

Das Komplizierteste ist nun der Datenaustausch vom Exchange-Server zum Mail-Gateway. Um dies zu bewältigen muß man dem Exchange-Server zuerst beibringen, wie man per Secure Copy (kurz SCP) Dateien verschicken kann. Es gibt verschiedene Programme dafür, am bekanntesten ist aber als Kommandozeilentool PuTTYs PSCP. Wir benötigen die beiden Programme pscp.exe und puttygen.exe.

Nun legen wir zuerst auf dem debian-Server einen neuen Benutzer an, der nur für den Transfer der Listen auf das Mail-Gateway verantwortlich ist:

useradd -d /home/exchange/ -m exchange

Im Gegensatz zu den Angaben im Buch mußte ich bei debian Lenny das Homeverzeichnis explizit mit angeben, da Lenny anscheinend das nicht selbstständig anlegt.

Nachdem der Benutzer existiert geben wir ihm zuerst einmal ein Passwort:

passwd exchange

Anschließend generieren wir ein SSH-Schlüsselpaar, damit der Dateitransfer ohne die Eingabe von Passwörtern erfolgen kann:

su - exchange
cd ~
ssh-keygen -t rsa

Bei der Nachfrage nach einer Passphrase bitte nix eingeben. Nur wenn hier kein Passwort eingegeben wird, kann der Dateiaustausch wirklich vollautomatisch erfolgen.

Generating public/private rsa key pair.
Enter file in which to save the key (/home/exchange/.ssh/id_rsa):
Created directory '/home/exchange/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/exchange/.ssh/id_rsa.
Your public key has been saved in /home/exchange/.ssh/id_rsa.pub.
The key fingerprint is:
ba:90:03:e8:06:20:5f:30:00:52:a9:11:c6:2e:ae:10 exchange@example.de
The key's randomart image is:
+--[ RSA 2048]----+
|&+..             |
|=*.              |
|.o+              |
|.+ +             |
|. o +   S        |
|E. . . o         |
|..    =          |
|o      +         |
|.     .          |
+-----------------+

Es werden nun zwei neue Dateien im Unterverzeichnis .ssh erstellt: id_rsa und id_rsa.pub

Damit der Server weiß, das der Benutzer exchange mit Hilfe von Schlüsseln auf den Server zugreifen darf, muß man noch den Inhalt der Datei id_rsa an die Datei ~/.ssh/authorized_keys angehängt werden. Dazu gibt man

cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys

ein und gibt mit

chmod 644 authorized_keys

der Datei die richtigen Rechte.

Nun muß der private Schlüssel des Paares auf einem sicheren Weg zum Exchange-Server kommen. Dazu nutzen wir gleich die pscp.exe.

pscp exchange@mail.example.de:/home/exchange/.ssh/id_rsa .

Ich denke der Syntax ist klar. Natürlich müssen wir uns jetzt mit einem Passwort authentifizieren — genau mit dem, welches wir oben vergeben haben.

Um die Schlüsseldatei nutzen zu können müssen wir sie in ein PuTTY-verträgliches Format wandeln. Dazu nutzen wir die von PuTTY mitgelieferte puttygen.de

puttygen c:\mailgw\id_rsa

es öffnet sich eine GUI

Nach eine Klick auf OK öffnet sich der PuTTY Key Generator-Dialog:

Hier kann man im Feld Key comment dem konvertierten Schlüssel einen Namen wegen und anschließend Save private key drücken.

Aufgrund der leeren Passphrase wird hier eine Warnung ausgegeben, was aber ok ist.

Nun können wir mit dem eben erstellten/konvertierten Key eine verschlüsselte Verbindung zu unserem Mail-Gateway aufnehmen

pscp -i mail.example.de.ppk recipient.txt exchange@mail.example.de:/home/exchange/

Nachdem das geklappt hat, können wir dem Benutzer exchange auf dem Mail-Gateway das Passwort wegnehmen — dann ist ein einloggen nur noch mit dem Key möglich.

usermod -L exchange

Weiter geht es im zweiten Teil, der demnächst erscheint.