Bei uns läuft ein mittelgroßer Sophos UTM HA-Cluster vor "dem Exchange*" als MTA und Antispam-MX.
Das kann man aber natürlich nur machen, wenn man genügend Bandbreite, Netzwerke, usw. auf den Leitungen dafür hat und wenn man eine oder mehrere Internetleitungen hat, bei der man vom Provider die entsprechenden Reverse-DNS Einträge vornehmen lassen kann und die nicht gerade im "Endkunden-IPv4-Bereich" angesiedelt sind (wegen Netzwerk-Blocklisten, usw.).
Ansonsten sollte man "das" (MTA, Antispam-MX) bei einen Provider als Service einkaufen.
Die Sophos prüft unter anderem auch im Active Directory, dass wir nur Mails für vorhandene E-Mail-Empfänger annehmen (und SPF und Reverse DNS mit EHLO Abgleich usw.). Leider prüft die die Adressen nur auf einen einzigen AD-Server bzw. ich muss einen einzelnen Server gezielt dafür angeben. Da gibt es also auch durchaus auch Verbesserungspotential und sicherlich auch bessere Lösungen für größere Systeme.
Wenn "Sophos" (oder eine ähnliche, andere Lösung, gibt es ja auch sicherlich noch von Fortinet, Palo Alto, Sonicwall, usw.) in dem Bereich muss das übrigens eine Hochverfügbarkeitslösung mit Failover, bei der Sophos heißt das HA-Cluster, sein, ansonsten fällt euch ständig bei Updates von der Firewall das komplette Mailbackend für ggf. "unbestimmt" aus. Das wäre nicht so gut.
An der Stelle kann man auch einfach sehr schnell am falschen Ende sparen. E-Mail ist leider bei den meisten Firmen ziemlich wichtig und das stellen die dann fest, wenn es mal ein paar Stunden nicht funktioniert.
*Das steuerrelevante Daten einer Archivierungspflicht unterliegen und man dadurch quasi Grundsätzlich alle angenommenen E-Mail-Aufträge, -Angebote, -Rechnungen, uvm. in einen entsprechenden System unveränderlich archivieren muss habt ihr auf dem Schirm?
Das wäre nämlich das nächste Glied in der Kette "E-Mail-Systeme miteinander verbinden".
Ich frage nur so doof, weil meine Erfahrung ist, dass das kaum eine Firma ordnungsgemäß betreibt, bis es dann mal zu spät ist, danach betreiben sie es dann (widerwillig). Das Archivsystem muss nämlich "zwischen" bzw. "neben" (technisch ist es eher zwischen) den "MX" und den "Exchange" geschaltet werden.