Mailrelaying

Konfiguration von institutseigenen Mailservern für Mailempfang aus dem Internet


Der direkte Empfang von E-Mails aus dem Internet ist nur für wenige, gut gepflegte und spam-sichere Mailserver möglich. Dieser Artikel beschreibt, was Sie als Betreiber:in eines institutseigenen Mailservers tun müssen, um E-Mails aus dem Internet indirekt empfangen zu können.

Sperrung von Port 25 (SMTP)

Der direkte Empfang von E-Mails ist am X-WiN-Übergang vom Internet ins Münchner Wissenschaftsnetz (MWN) für die meisten Mailserver gesperrt (Sperrung des SMTP-Ports 25; siehe Richtlinien für die LRZ-Mailserver). Dies geschieht, um den Missbrauch von Mailservern als Spam-Relays zu verhindern. Ein solcher Missbrauch hätte zur Folge, dass das MWN (oder Teile davon) auf schwarzen Listen landen und von anderen Mailbetreibern blockiert werden würde.

Für Mailserver, die E-Mails direkt aus dem Internet empfangen können sollen, muss die IP-Adresse am X-WiN-Router eingetragen werden. Dies geschieht nur in begründeten Ausnahmefällen.

Alle anderen Mailserver können E-Mails aus dem Internet nur indirekt empfangen, indem die E-Mails zuerst von einem freigeschalteten Server stellvertretend entgegen genommen und dann an den eigentlichen Mailserver weitergeleitet werden. Das LRZ betreibt hierzu dedizierte Server (Mailrelays). Dazu muss der Weg, den eine E-Mail aus dem Internet zu einem der lokalen Mailserver nimmt, im Domain Name Service (DNS) geeignet konfiguriert werden. An den Mailservern selbst ist in der Regel nichts zu tun.

Anforderungen an Mailserver im MWN

Institutseigene Mailserver im MWN müssen einige Voraussetzungen erfüllen, um für den Empfang über die LRZ-Mailrelays freigeschaltet zu werden. Diese lauten wie folgt:

  • Annahme von Verbindungen mindestens aus den LRZ-Servernetzen 129.187.254.0/23 und 2001:4ca0:0:103::/64 .
  • E-Mails dürfen unter keinen Umständen angenommen und dann mit einer Unzustellbarkeitsnachricht (Delivery Status Notification, DSN) zurückgeschickt werden (Backscatter, siehe http://de.wikipedia.org/wiki/Backscatter_(E-Mail)).
    • Die LRZ-Mailserver prüfen bereits vor der Annahme einer E-Mail, ob die Empfängeradresse zustellbar ist. Zu diesem Zweck wird eine Anfrage an den Zielserver am Lehrstuhl über SMTP durchgeführt (SMTP Callout). Unbekannte Empfänger müssen bereits in der RCPT-Phase des SMTP-Dialogs mit einem Fehler (550 User unknown oder ähnlich) abgewiesen werden.
    • Spam- und Virenfilter dürfen die Mails auch nicht bereits im SMTP-Dialog (DATA-Phase) abweisen, da die LRZ-Mailrelays zu diesem Zeitpunkt die E-Mail bereits angenommen haben und nun ihrerseits Backscatter generieren würden. Diese müssen daher deaktiviert werden, lediglich eine Quarantäne oder Markierung der E-Mails ist erlaubt.
    • Die maximale Mailgröße beim Empfang muss bei mindestens 50 MiB liegen (siehe Richtlinien für die LRZ-Mailserver).
  • Um die Annahme und Weiterleitung der Mails nicht zu beeinflussen, müssen alle weiteren Einschränkungen (Rate-Limits, Greylisting, ...) deaktiviert oder die benannten LRZ-Servernetze in die Ausnahmeliste eingetragen werden.
  • Der Mailserver sollte STARTTLS mit einem vertrauenswürdigen X.509-Zertifkat für SMTP auf Port 25 unterstützen.

Was ist also zu tun?

Um Mails über die LRZ-Mailrelays zu empfangen, können Sie folgendermaßen vorgehen:

  1. Konfigurieren Sie Ihren Mailserver gemäß den Anforderungen.
  2. Öffnen Sie einen Service Request beim LRZ Servicedesk. Dabei werden folgende Informationen benötigt:
    1. Ansprechpartner:in (E-Mail-Adresse und Telefonnummer),
    2. DNS-Name des institutseigenen Mailservers,
    3. Domain(s), für die der Relaydienst freigeschaltet werden soll,
    4. pro Domain mindestens eine existierende und eine nicht-existierende Mailadresse zum Test der Empfängerverifikation (SMTP-Callout).
  3. Sobald eine entsprechende Rückmeldung des LRZ vorliegt, können die MX-Einträge im DNS konfiguriert werden. Verwenden Sie hierzu die Server mailrelay1.lrz.de und mailrelay2.lrz.de mit der gleichen Priorität. Der eigene Server kann bei Bedarf mit einer niedrigeren Priorität ebenfalls gelistet werden, sofern er über eine offizielle IPv4-Adresse verfügt. Dies führt allerdings zu Verzögerungen bei der Mailzustellung und wird daher nicht empfohlen. 
     
    domain.example.com. 86400   IN  MX  10  mailrelay1.lrz.de.
    domain.example.com. 86400   IN  MX  10  mailrelay2.lrz.de.