Vergleich der Postausgangsserver
Je nach Anwendungsfall bietet des LRZ verschiedene Postausgangsserver für den Mailversand an:
- Versand von Benutzern mit üblichen Mailprogrammen: postout.lrz.de
- Versand von Mailservern (MTA): mailout.lrz.de
- Versand von Applikationen: appout
Weiter zu
Grundregeln für den Mailversand
Jeder, der größere Mengen an E-Mails versenden möchte, muss sich an Grundregeln halten, um nicht als Spam-Versender eingestuft zu werden.
Zu diesen Grundregeln gehören:
- Verwenden Sie keine fremden Adressen als Absender. Der Empfänger würde diese als Fälschungen einstufen.
- Schreiben Sie nur Empfänger an, die Ihre E-Mails auch haben wollen. Vor allem bei Newslettern, Umfragen, etc. müssen die Empfänger per Rückbestätigung (double-opt-in) explizit zugestimmt haben.
- Halten Sie die Standards zum Aufbau einer E-Mail ein: RFC 5322
- Verwenden Sie keine URL-shortener. Eine E-Mail darf auch mehr als 300 Zeichen lang sein. Verwenden Sie einfach die original URL.
- Bei Webformularen: Erzeugen Sie keine E-Mails, die an Adressen versandt werden, die über das Formular eingegeben werden können. Das lädt zum Missbrauch ein!
- Werten Sie Fehlermeldungen (bounces) aus und deaktiveren bzw. löschen Sie Empfängeradressen, die nicht zustellbar sind.
Service Postout
Der Versand von E-Mails von Mailclients (Mail User Agent = MUA) ist über den Mailserver postout.lrz.de möglich, entweder mit
- SSL/TLS und Port 465 oder
- STARTTLS und Port 587
Postout ist optimiert
- auf den Versand von E-Mails mit wenigen Empfängern,
- auf Überprüfungen, die sich in kurzer Zeit durchführen lassen,
- auf die manuelle Reaktion des Nutzers auf die Fehler der Überprüfung.
Der Nutzer soll somit in der Lage sein, einen Tippfehler in einer Empfängeradresse möglichst sofort korrigieren zu können, anstatt über eine Fehlermail
(Delivery Service Notification = DSN) zu einem späteren Zeitpunkt informiert zu werden, dass seine E-Mail nicht weitergeschickt wurde.
Direkt beim Versand einer E-Mail finden eine Reihe von Überpüfungen statt:
- Ist die SMTP-Verbindung mit TLS verschlüsselt?
- Hat sich der sendende Nutzer mit Benutzernummer und zugehörigem Passwort authentifiziert?
- Befindet sich die Benutzernummer in der Liste der gesperrten Accounts (in der Regel wurden diese Accounts gehackt)?
- Ist der authentifizierte Nutzer berechtigt, die angegebene Absenderadresse im Umschlag der E-Mail zu nutzen?
- Existiert die Domain des Empfängers im DNS (MX- oder A-Record)?
- Existiert die Mailadresse des Empfängers? Überprüfung nur, wenn es zu der Mailadresse auf einem der Mailserver des LRZ eine Mailbox gibt und die Mailadresse damit im LDAP-Directory des Mailsystems verzeichnet ist.
- Hat der authentifizierte Nutzer das Limit an Empfängern erreicht? Das Default-Limit beträgt 250 Empfänger pro 24 Stunden und kann in zwei Schritten maximal auf 1.000 erhöht werden.
Momentan wird die Absenderadresse im Header, die dem Empfänger als Absender angezeigt wird, noch nicht überprüft. Dies wird aber in Zukunft
erfolgen. Auch hier muss der authentifizierte Nutzer berechtigt sein, die Adresse zu verwenden, um Fälschungen der Adresse zu verhindern (Phishing).
Service Mailout
Der Versand von Mailservern (Mail Transfer Agent = MTA) im Münchner Wissenschaftsnetz (MWN) ist über den Mailserver mailout.lrz.de möglich (Port 25).
Mailout ist optimiert
- auf den Versand von E-Mails mit beliebig vielen Empfängern pro E-Mail,
- auf Überprüfungen, die auch länger dauern können und evtl. zu temporären Fehlern führen,
- auf die Fähigkeit des MTAs sowohl mit temporären als auch permanenten Fehlern umgehen zu können. Dies setzt voraus, dass der sendende MTA ein Queueing-System hat, um bei temporären Fehlern periodische Retrys durchführen zu können. Bezüglich der permanenten Fehler setzt dies voraus, dass DSNs generiert werden können, die an die Absenderadresse im Umschlag der E-Mail geschickt werden.
Mailout macht die folgenden Überprüfungen direkt beim Versand der E-Mail:
- Handelt es sich um einen MTA aus dem Münchner Wissenschaftsnetz (MWN)?
- Befindet sich der MTA in der Sperrliste, z.B. wegen Spamversands?
- Ist die SMTP-Verbindung mit TLS verschlüsselt? Dies wird zwar überprüft, ein Verstoß führt aber noch nicht für alle Bereiche des MWN zu einer Ablehnung.
- Existiert die Domain des Empfängers im DNS (MX- oder A-Record)?
- Handelt es sich bei der Absenderadresse im Umschlag der E-Mail um eine gültige Mailadresse aus dem LRZ oder MWN? Eine gültige Mailadresse ist eine Adresse zu der es einen Mailserver gibt, der E-Mails an diese Adresse annimmt und entweder in eine Mailbox ausliefert oder an eine andere Adresse weiterleitet. Die Überprüfung von Mailadressen, die zu einem MTA im MWN gehören, ist zeitaufwendig und kann daher zu einem temporären Fehler führen.
- Handelt es sich bei der Empfängeradresse um eine Adresse bei der der Absender sich authentifiziert haben muss, z.B. Verteilerlisten in Exchange?
- Hat die sendende IP-Adresse das Limit an Empfängern erreicht? MTAs ohne korrekten Eintrag im DNS sind auf 1.000 Empfänger pro 24 Stunden, solche mit korrektem Eintrag auf 10.000 Empfänger pro 24 Stunden limitiert.
E-Mails mit Absenderadressen, für deren Domain die LRZ-Mailsysteme authoritativ sind, z.B. lmu.de oder tum.de, werden in Zukunft nur noch angenommen,
wenn die E-Mail von einem LRZ-Mailsystem mit einer DKIM-Signatur versehen, d.h. entweder über Exchange oder Postout verschickt wurde.
MTAs im MWN haben ihre eigene Maildomain und dürfen auch nur diese als Absender verwenden.
Service Appout
Für den Mailversand aus Applikationen mit hohem Sendevolumen sind die Postausgangsserver appout vorgesehen:
| Mandant | appout Servername |
|---|---|
| BAdW, LRZ | appout-ba.mail.lrz.de |
| HM | appout-hm.mail.lrz.de |
| LMU | appout-lm.mail.lrz.de |
| TUM | appout-tu.mail.lrz.de |
Für die Nutzung des Dienstes ist erforderlich:
- eine gültige Funktionskennung mit zugehöriger Absenderadresse
- Freischaltung dieser Funktionskennung für den Dienst per Incident (servicedesk.lrz.de) und Vereinbarung eines Sendelimits für die Absenderadresse
- für sehr hohe Sendelimits zusätzlich eine Einschränkung auf bestimmte IP-Adressen/-Bereiche
- im Standardfall ist der Dienst nur aus dem MWN benutzbar
- die Applikation muss den Mailversand via SMTPS (Port 465) oder SMTP+StartTLS (Port 587) und Authentifizierung per Funktionskennung+Passwort unterstützen
Appout prüft direkt beim Versand in einer ersten Stufe:
- Ist die SMTP-Verbindung mit TLS verschlüsselt?
- Hat sich der sendende Nutzer mit Benutzernummer und zugehörigem Passwort authentifiziert?
- Befindet sich die Benutzernummer in der Liste der gesperrten Accounts (in der Regel wurden diese Accounts gehackt)?
- Ist der authentifizierte Nutzer berechtigt, die angegebene Absenderadresse im Umschlag der E-Mail zu nutzen?
- Befindet sich der Client im erlaubten IP-Adressbereich?
Sind die Prüfungen der ersten Stufe erfolgreich, wird die Mail von der Applikation angenommen und weiter verarbeitet. Es folgen:
- Überprüfung auf Spam und Viren
- Prüfung der Zustellbarkeit der Empfängeradressen
- Prüfung des Sendelimits der benutzten Absenderadresse. Das Sendelimit je Absenderadresse wird individuell bei der Freischaltung der Kennung/Absenderadresse vereinbart.
Sind auch diese Prüfungen alle erfolgreich, werden die Mails zugestellt. Sollten bei diesen Prüfungen permanente Fehler auftreten (ungültige Empfänger, Virus/Spam erkannt) gehen entsprechende Fehler-Meldungen an die Absenderadresse. Bei temporären Fehlern (Überschreiten des Sendelimits, Prüfung der Empfängeradressen gestört) verbleiben die Mails in der ersten Stufe und die Prüfungen bzw. die Zustellung wird zu einem späteren Zeitpunkt wiederholt. Dies wird so lange wiederholt, bis es entweder zu einem permanenten Fehler kommt, die Zustellung ausgeführt werden kann oder 5 Tage seit dem ursprünglichen Versand vergangen sind.
Sie müssen nun anhand der Eigenschaften Ihrer Applikation entscheiden, ob eine der drei Versandmöglichkeiten für Sie infrage kommt. Wenn nein, dann
haben Sie nur die Möglichkeit einen eigenen lokalen MTA mit einer eigenen Versanddomain aufzubauen.