Suche

Mailgateway nutzen

Wenn Sie das zentrale, vom HRZ betriebene Mailgateway der Technischen Universität für Ihren eigenen dezentralen Mailserver nutzen möchten, sind folgende Schritte notwendig.

Bitte beachten Sie, dass die komplette folgende Dokumentation immer sich auf eine Server-zu-Server-Kommunikation (beziehungsweise Gerät-zu-Server) bezieht.
D.h. der Übertragungsweg ist ausschließlich der Port 25 - ohne Authentifizierung (d.h. mittels Namen und Passwort).

Details zur E-Mailkommunikation finden Sie hier E-Mail-Kommunikation

Verschlüsselung

Ab dem 15.07.2019 werden wir nur noch E-Mails annehmen, die auch verschlüsselt sind. Bitte verwenden Sie hierzu möglichst die modernsten Verschlüsselungsverfahren (derzeit TSL 1.2) die verfügbar sind.

Die Aktivierung der Verschlüsselung bedeutet für den E-Mailtransfer folgendes:

  • Der Port 25 bleibt unverändert!
  • Eine Authentifierung und Authorisierung ist nicht erforderlich. D.h. es muss kein Name und Passwort hinterlegt werden. Eine Authentifizierung/Authorisierung erfolgt bei manchen Servern, z.B. MailOut, über die TrustedServerList (s.u. die Tabelle).
  • Die Verschlüsselung erfolgt über das Kommando STARTTLS, welches der sendende Server/Gerät zur Einleitung an den Server sendet. Danach verhandeln Sender und Empfänger die konkrete Verschlüsselungsmethode und die entsprechenden Cypher aus. Erst wenn das erfolgreich ware, sendet der Sender entsprechend verschlüsselt.

Hinweise zur Verschlüsselung von MailTransferAgents finden Sie hier:

Wenn Sie keinerlei Verschlüsselung aktivieren können, dann finden Sie Hinweise zur Benutzung des Mailgateways auch nach dem 15.07.2019 hier unter MailOut-Unsecure.

Passender MX-Record

Der derzeitige Anti-Viren/AntiSpam-Schutz ist beim DFN. Dieser wurde auf Datenschtz-Konformität und EUDSGVO geprüft.
Der wesentliche Unterschied besteht darin, dass die bisherige Zustellung von E-Mails der TU Darmstadt nun nicht mehr über die MX-Records erfolgt, sondern ausschließlich über entsprechende Einstellungen im MTA.

Das heißt konkret, dass der MX-Record nun wie folgt lauten muss:

IN MX 10 a2681.mx.srv.dfn.de
IN MX 10 b2681.mx.srv.dfn.de
IN MX 10 c2681.mx.srv.dfn.de

Diese Einstellung nimmt das HRZ für Sie vor.
Nur wenn Sie eine eigenständige DNS-Server-Infrastruktur betreiben, müssen Sie selbst die Änderung vornehmen.

Umzug einer bestehenden E-Maildomain

Wenn die E-Maildomain bereits besteht, dann sollten Sie am besten die folgenden Schritte langsam durchführen damit keine E-Mail gebounced werden:

  • Setzen Sie die entsprechenden MX-Records wie oben beschrieben ein und setzen Sie zusätzlich (!) noch einen niedrigen der auf den bisherigen Server verweist (beispielsweise: 5 eichornkunde.org)
  • Gehen Sie auf die Webseite https://www-cgi.hrz.tu-darmstadt.de/mail/antrag-maildomain.php und tragen Sie die E-Maildomain ein
  • Sobald Sie von uns die Rückmeldung erhalten, dass die E-Maildomain bei uns und im DFN eingetragen ist, müssen Sie den niedrigensten MX-Record wieder entfernen
  • Denken Sie daran, bevor Sie den ursprünglichen E-Mailserver abschalten, dass die DNS-Umstellung weltweit eine Weile braucht bis alle umgestellt haben

Eigene Firewallregeln

Damit Sie die E-Mails auch empfangen können, müssen Sie E-Mailübertragungen auf Port 25 aus folgenden Netzen des Mailgateways zulassen:

130.83.156.224/27
130.83.252.128/26
sowie
2001:41b8:83f:1610::/64
2001:41b8:83f:1611::/64

Diese Regeln gelten sowohl für den Empfang, als auch für das Versenden von E-Mails über Port 25.

Für das Senden an mailout-intern.hrz.tu-darmstadt.de müssen Sie noch folgende IP-Adressen ausgehende frei schalten:
130.83.157.89
2001:41b8:83f:1608::25:3

Hinweis zu Linux-Betriebssystemen Mailgateway nutzen mit Linux.

SPF-/DMARC Einträge

Wenn man SPF bzw. DMARC einrichten möchte, muss man daran denken, dass man dort auch die ausgehenden (und am besten eingehenden) IP-Adressen des Mailgateway einträgt. D.h. bei dem "SPF-Record" (eigentlich ein TXT-Record) muss man folgendes ergänzen:

eichhoernchenkunde.tu-darmstadt.de descriptive text "v=spf1 ip4:130.83.156.224/27 ip4:130.83.252.128/26 ip6:2001:41b8:83f:1610::/64 ip6:2001:41b8:83f:1611::/64 [...]"

Oder besser noch, man bindet mittels "include" die bestehenden IP-Adressen ein. Dann braucht man sich nicht mehr bei einer Änderung seitens des HRZ darum zu kümmern.

eichhoernchenkunde.tu-darmstadt.de descriptive text "v=spf1 include:_spf.tu-darmstadt.de ?all"

Näheres zu dem SPF-Thema findet man u.a. bei Wikipedia.

Oder auf der Seite SPF

Fallstricke

Beim Senden an das zentrale Mailgateway ist darauf zu achten, dass die folgenden Header-Felder immer gesetzt sind:
Message-ID
Date

Sollte dies nicht der Fall sein, gibt es u.U. Komplikationen, da verschiedene End-Server E-Mails ablehnen, wenn die Felder nicht korrekt und einmalig gesetzt sind.

Unterschied für das Mailgateway

Zum Senden von E-Mails von dem eigenen Server/Gerät können folgende Server verwendet werden.

Server wohin VerschlüsselungEintrag Nutzung
mailout.hrz.tu-darmstadt.de überall ja in TrustedServerList und Whitelist E-Mails die auch nach außen gehen
mailout-intern.hrz.tu-darmstadt.de nur nach TU-intern ja kein Eintrag notwendig E-Mails die nur nach intern gehen, z.B. von Testgeräten
mailout-unsecure.hrz.tu-darmstadt.denur nach TU-intern nein in MailOut-Unsecure-ListeFür Geräte die bisher noch keine Verschlüsslung unterstützen

Grundsätzlich muss der Server in den zentralen DNS eingetragen werden, und die Vorwärts- und Rückwärtsauflösung sollte funktionieren (IP-Adresse muss zu Gerätenamen auflösen und umgekehrt). Ebenso muss die absendende Adresse auch angenommen werden, da ansonsten das Mailgateway auf Dauer verstopft wird.

Damit Ihr MTA über einen der Server sendet, müssen Sie folgendes (als Beispiel) eintragen:
Postfix (in "main.cf"): relayhost = mailout.hrz.tu-darmstadt.de

Eintrag der E-Mailadressen in die Whitelist (WL)

Damit wir von vornherein nur rein interne Adressen (wie beispielsweise root@) und auch nicht zustellbare Adressen am zentralen Mailgateway ablehnen können, müssen alle E-Mailadressen einer Maildomain, die von außerhalb ansprechbar sein sollen, in die zentrale Whitelist eingetragen werden.

Eintrag, Zugang und Voraussetzungen für die Administration der Whitelist siehe unten.

Eintrag des Servers in die TrustedServerList (TSL)

Die TrustedServerList ermöglicht es den dezentralen Servern (und nur Servern!) E-Mails über das Mailgateway als Smarthost zu versenden. Hierzu muss dann im Server der E-Mailtransport via Smarthost eingetragen werden. Die Smarthostadresse lautet dazu: mailout.hrz.tu-darmstadt.de

Bitte beachten Sie, dass der E-Mailversand direkt von einer installierten Software via mailout.hrz.tu-darmtadt.de u.U. Probleme verursachen kann. Wir unterstellen bei der Verwendung des MailOut dass die E-Mails von Servern mit einem MTA eingeliefert werden. Bei Fragen dazu kontaktieren Sie bitte uns per E-Mail unter [[service@hrz.tu-darmstadt.de?subject=[Mailgateway Nutzung]|service@hrz.tu-darmstadt.de]]

Eintrag, Zugang und Voraussetzungen für die Administration der TrustedServerList siehe unten.

Wenn der dezentrale Server (bzw. das Netzwerkfähige Gerät) lediglich E-Mails an Adressen im Campus senden soll, dann kann man sich den Aufwand der Registrierung in der TSL ersparen und stattdessen den Smarthost "mailout-intern.hrz.tu-darmstadt.de" nutzen. Mehr dazu siehe mailout-intern

Unterscheidung von Whitelist und TrustedServerList

Die TrustedServerList ist gedacht für Server die ohne Authentifizierung E-Mails auch nach außerhalb der Universität senden wollen und sollen. Diese Maßnahme war dafür gedacht um u.a. Personen dazu zu zwingen mittels Authentifizierung (z.B. am smtp.tu.darmstadt.de) zu versenden.

Die Whitelist hingegen soll verhindern, dass E-Mails von außerhalb der Universität in das Mailgateway und die Universität gelanden, die nach dem Mailgateway aber nicht zugestellt werden können. Um dies von vornherein zu verhindern, benutzen wir die WL als Kontrollmechanismus nach außen hin. E-Mails die von Servern der Universität ans Mailgateway gesendet werden, werden nicht gegen die Whitelist geprüft, da wir den Versand an ausschließlich TU-interne Adressen (wie beispielsweise root@www-cgi.hrz.tu-darmstadt.de) komplett zulassen wollen. Oder vereinfacht gesagt: Ist eine E-Mailadresse nicht in der Whitelist eingetragen, dann kann man von außerhalb der Universität dorthin keine E-Mail senden. Innerhalb gibt es aber keine Einschränkungen.

Administration der Whitelist und TrustedServerList

Die Administration erfolgt über das zentrale Mail-Webinterface:
https://www-cgi.hrz.tu-darmstadt.de/mail/

Folgende Informationen sind Voraussetzung für den initialen administrativen Eintrag in die Whitelist und TrustedServerList:

  • Name der Institution
  • TU-ID(s) des/r AdministratorInnen (es sollten mindestens immer 2 angebeben werden - siehe unten)
  • E-Mailadresse für technischen Kontakt oder zentrale Informationen
  • E-Maildomain(s) (muss in den Campus-zentralen DNS-Servern bereits registriert sein):

* für der Whitelist: Die E-Maildomain die verwaltet werden soll * für die TrustedServerList: E-Maildomains unter denen das Gerät/der Server E-Mails versenden (nur die Absendeadressen)

  • nur für die TrustedServerList (TSL): FQDN und IPv4-Adresse des Servers

Interne Adressen, d.h. die nicht von außerhalb der Universität erreichbar sein sollen (wie beispielsweise root@mailserver.hrz.tu-darmstadt.de) müssen nicht in der Whitelist eingetragen werden!

Benutzen Sie bitte folgende Webformulare
TrustedServerList-Eintrag: https://www-cgi.hrz.tu-darmstadt.de/mail/antrag-tsl.php
WhiteList-Eintrag: https://www-cgi.hrz.tu-darmstadt.de/mail/antrag-wl.php

Bitte bachten Sie: Sollte ein Eintrag für eine Whitelist oder TSL keine gültigen TU-IDs der Administration mehr vorweisen, werden wir diesen Eintrag binnen kurzer Zeit entfernen. Ebenso entfernen wir E-Maildomains die keine gültigen Einträge in den zentralen DNS besitzen.

Weitere Personen und Änderungen können in der Regel dann über das Webinterface vorgenommen werden. Wünsche und Fehler können Sie direkt beim zentralen Postmaster der TU Darmstadt ([[postmaster@hrz.tu-darmstadt.de?subject=Mailinterface]]) melden.

Umzug eines E-Mailservers

Wenn Sie einen dezentral betriebenen E-Mailserver umziehen müssen oder wollen, dann beachten Sie, dass Sie folgende Schritte vornehmen sollten:

  • Eintrag des neuen E-Mailservers in der TSL (sofern sich der Name oder die IP-Adresse sich ändern)
  • Anpassung der Firewallregeln für den neuen Servers
  • Die Whitelisteinträge müssen nicht angepasst werden, da diese (außer bei Änderungen der E-Maildomain) sich nicht ändern
  • Nach Eintrag des Servers in die TSL, Test des E-Mailgateway des HRZ (via "telnet" etc.)
  • und nach dem Umzug natürlich:
    Entfernen des alten Servers aus der TSL

Hinweis zu Absendeadressen

Bitte benutzen Sie unbedingt E-Mailadressen zum Senden (Envelope-From) die auch erreichbar sind d.h. die E-Mails empfangen, da ansonsten fehlerhafte E-Mails nicht zugestellt werden können, und im E-Mailgateway auflaufen und dort alles verstopfen. Mehr Hinweise hier zu [[Absendeadressen (From vs. Envelope-From)]]

[zurück zum Index]

^