Sender Rewriting Scheme mit Postfix und mehreren Domains

  • Hallo!
    Ich habe einen V-Server mit Froxlor und Postfix. Darauf wird in ein paar Tagen auch eine Domain eines Vereines, für den ich die Mails verwalte, umziehen.
    Nun mein Problem: Leider hat United Internet in den letzten Tagen den SPF-Filter scharfgeschaltet (United Internet verschärft Spam-Bekämpfung | heise online ) und der Verein wünscht eine Art Verteiler.
    Soll heißen: Es gibt die Adresse vorstand@example.com, die an alle Vorstandsmitglieder weitergeleitet wird. Diese haben ihrerseits ihre Privatadressen natürlich bei web.de oder gmx. :S
    Für Postfix und SRS habe ich auch bereits Lösungen gefunden, jedoch nicht für mehrere Domains. Da mein Server noch ein paar weitere Domains, über die auch Mailverkehr läuft, beherbergt, würde ich das System natürlich gerne für alle verwenden.


    Hat jemand bereits mit einem solchen Szenario Erfahrung oder einen Lösungsvorschlag?


    Danke und Viele Grüße!
    margau

  • Du sprichst vom Paket postsrsd? Was meinst Du mit "nicht für mehrere Domains"? Normalerweise reicht es, wenn Du in der Datei /etc/default/postsrsd bei SRS_DOMAIN eine allgemeine Subdomain für SRS angibst. Diese wird dann für alle Umschreibungen genutzt. Unter SRS_EXCLUDE_DOMAINS kannst Du die auf dem Server verwalteten Domains eintragen, da für diese keine Umschreibung notwendig ist. Das könnte man auch mit einem Script automatisch befüllen.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Hallo margau,


    Ist die im Heise-Artikel zitierte Beschränkung "Angenommen werden nur noch Mails, bei denen Absenderadresse und tatsächliche Versand-Domain übereinstimmen." tatsächlich so zu lesen, daß es nicht ausreicht, den SPF-Eintrag der Domäne "example.org" um die IPv4/IPv6-Adressen Deines VHosts zu ergänzen? Das hast Du schon (erfolglos) ausprobiert?

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • Hallo!

    Du sprichst vom Paket postsrsd? Was meinst Du mit "nicht für mehrere Domains"? Normalerweise reicht es, wenn Du in der Datei /etc/default/postsrsd bei SRS_DOMAIN eine allgemeine Subdomain für SRS angibst. Diese wird dann für alle Umschreibungen genutzt. Unter SRS_EXCLUDE_DOMAINS kannst Du die auf dem Server verwalteten Domains eintragen, da für diese keine Umschreibung notwendig ist. Das könnte man auch mit einem Script automatisch befüllen.



    MfG Christian

    Genau, postsrsd. Danke für den Hinweis, ich habe das jetzt so erfolgreich konfiguriert, stört ja auch keinen wenn die "falsche" Domain im Header steht.

    Hallo margau,


    Ist die im Heise-Artikel zitierte Beschränkung "Angenommen werden nur noch Mails, bei denen Absenderadresse und tatsächliche Versand-Domain übereinstimmen." tatsächlich so zu lesen, daß es nicht ausreicht, den SPF-Eintrag der Domäne "example.org" um die IPv4/IPv6-Adressen Deines VHosts zu ergänzen? Das hast Du schon (erfolglos) ausprobiert?

    Für Mails von dem eigenen Server ist mit einem ganz normalen SPF-Record zu verfahren, dass funktioniert auch bei United Internet. Problematisch wird es nur, wenn ein alias als Weiterleitung/Verteiler/Mailing-Liste konfiguriert ist, in meinem Fall für die Vorstandsmitglieder. Weil dann steht als Absender der ursprüngliche Absender drin, der mir logischerweise nicht erlaubt von meinem Server in seinem Namen zu senden. Dafür braucht man SRS, nun ändert Postfix den Absender auf meine Domain, die das gemäß SPF wieder darf.


    Nochmal Danke und Viele Grüße!
    margau

  • stört ja auch keinen wenn die "falsche" Domain im Header steht.


    Ist auch egal, das ist quasi wie der Hostname oder PTR zu sehen. Der gehört auch nicht zur jeweiligen E-Mail Adresse. Das ist in der derzeitigen Implementierung nicht anders möglich.


    Lustig werden könnte es maximal, wenn jemand DMARC für seine Absenderdomain so scharf schaltet, dass SPF und DKIM auf "strict" stehen und beides validiert werden muss. Dann müsste nämlich auch der From-Header dazu passen.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)