SMTP-Relay-Server, bzw Smarthost

  • Hallo Netcup-Forum,


    bin zwar schon seit 2016 bei Netcup, habe bis jetzt aber kein Problem oder Fragen gehabt, die ich klären wollte.

    Kurz zu meiner Person, ich bin ITK-Dienstleister und betreue einige Kundensysteme im Bereich ITK, speziell Server,

    Clients und NAS-Systeme.


    Aufgrund einer in die leere laufende Diskussion mit dem Support, wollte ich mich hier zu dem Thema Mail-Relay-Server

    bei Euch erkundigen.


    Problem:

    Vor ein paar Monaten versagte der Mailversand bei einem meiner Kunden von heute auf morgen. Dieser Kunde war

    vorher über 5 Jahre bei HostEurope. Zu dieser Zeit habe ich ihm eine Synology-NAS als Mailserver eingerichtet, da seine

    Internetanbindung grausam war und er viele Mails auch nur intern versendet hat. Dieser Mailserver wurde als Relay-Server

    eingerichtet, so dass der Versand der Mails über ein Konto xyz@meinedomaen.de erfolgte. Es war egal, von welchem Konto

    versendet wurde, authentifiziert hat sich der "SMTP-Account" immer über diese Mail. Hat alles super geklappt. Dann ist

    der Kunde auf mein Anraten hin zu Netcup umgezogen. Dort richtete ich das gleiche System wieder ein und auch hier klappte

    das auch sauber und fehlerfrei. Dann kam der besagte Tag X und der Versand klappte nicht mehr. Immer wieder Auth.-Fehler,

    spricht Konto abgelehnt. Der Support wollte mir dann weiß machen, dass das noch nie geklappt haben kann. Tja, 6 Monate

    sprechen aber eine andere Sprache. Nach einer endlosen Diskussion kam ich dann im Wiki auf die Einstellung zum Smarthost

    https://www.netcup-wiki.de/wiki/Email_als_smarthost Auch wenn mir dieses System nicht vertraut war, habe ich das so umgestellt

    und es funktioniert. Ich benutze nun anstatt die xyz@meinedomaen.de nun die smarthost@meinedomaen.de. Empfindlicher

    Nachteil ist jetzt aber nur, dass ich auf diesem Konto Tonnen an Spammails oder falsch adressierte Mails erhalte, anstatt

    das diese abgewiesen werden und ich sukzessive die Mails prüfen oder löschen muss. Für mich ein ganz klarer Rückschritt

    und auch nicht nachvollziehbar.


    Frage:

    Hat jemand eine solche Konstruktion im Einsatz und einen besseren Weg?


    Viele Grüße und danke im Voraus,


    Michael

  • Die falsch adressierten Mails, Bounces sowie Spam hast du vorher doch genauso auch erhalten? Oder wie hast du mitbekommen, dass ein Empfänger nicht existiert?

    "Security is like an onion - the more you dig in the more you want to cry"

  • Hay,

    Die falsch adressierten Mails

    damit sind vermutlich Mails gemeint, welche an die Domain falsch adressiert waren (spam aufgrund geratener Empfänger), also an dummdreist@kundendomain.tld, wobei dummdreist nicht als account auf kundendomain.tld existiert - das ist ein Problem bei catchall. Genausogut werden auch schlaunclever@kundendomain.tld akzeptiert, obwohl nur schlauclever (ohne n) akzeptiert und der Absender merkt nichts davon. Noch ein catchall-Problem.


    Leider kann ich nur die Probleme aufzeigen, da ich kein Webhosting habe, sondern einen root-Server, mit dem solche Schwierigkeiten lokal nicht auftreten (vorausgesetzt, der Server und der DNS sind richtig konfiguriert).


    Ich würde allerdings das relay-Dinges vermeiden. Alternativ dort einen kompletten mx aufzusetzen und die mx-records des DNS-Eintrages auf die Synology-Box zu setzen. Der Hinweis ist freilich nur sehr oberflächlich...


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Hallo,


    der bessere Einsatz ist natürlich kein Catch-All bereit zu stellen.

    Vorher war das Postfach nur über eine Adresse zu erreichen? Ist das richtig?


    Catchall wird hier nur missbraucht um für mehrere Adressen E-Mails in das System zu bekommen (inbound).

    Wenn also vorher inbound nur die xyz@example.com vorgesehen war - so deaktiviere bitte catchall.


    Ich habe für mein Monitoring ein Smarthost als lokalen MTA laufen, der alle sendmail Aufrufe einsammelt und per SASL Auth an Google weiterleitet.


    Wenn es deine Fähigkeiten zulassen, kannst du natürlich auf einen Server mieten und darüber den Mailbetrieb abwickeln.


    Ich denke der Support bezieht sich bei dir auf Inbound-Probleme (Netcup -> Mailrelay / Postfach) während du Outbound Probleme hast (Relay -> Netcup)

  • Hallo,


    sorry, mir ist die Zeit weggelaufen!


    vmk

    Das ist richtig, ich habe diese aber dann an die jeweils "richtige" benutzte Adresse erhalten. CmdrXay hat es aber in dem nächsten Thread richtig erkannt.


    @CmdrXay

    Dieser Ansatz ist für einen "hot" betriebenen Mailserver wohl richtig, aber schießt hier um Längen am Ziel vorbei. Die elegante Version, die in den Synology NAS-System integriert ist, ist einfach und bietet eine Menge Vorteile. 1. Einfache Verwaltung ohne Risiko 2. Kpl. Mailarchivierung auf dem eigenen System 3. Auch bei schwacher Internetverbindung (ja, das gibt es 2018 noch ;-)) kann eine große Anzahl an Mails genutzt werden (mein größter Kunde verarbeitet über eine 325 kb Upload-Leitung ca. 500 Mails pro Tag ohne Probleme und via DomainFactory, wo mein oben beschriebenes System ebenfalls einwandfrei funktioniert)


    H6G

    Leider klappt das Deaktivieren des CatchAll nicht! Deaktiviere ich es, dann lehnt der Mailserver (Netcup) meine Mail mit Fehler 553 (Sender address rejected: not owned by user) ab. Für das Inbound brauch ich diese Adresse auch nicht. Bei Synology gibt es die Mailsation. Diese nimmt via POP eingehende Mails entgegen und hält sie dann via IMAP für den netzinternen Nutzer bereit. Der Mailserver der Synolgy (konfiguriert als Relay) schickt die Mails von allen Mailkonten dann über die oben erwähnte Smarthost-Adresse weiter. Der letzte Satz spiegelt auch meine Meinung wieder. Aber das Weglassen des CatchAll führt (gerade probiert) dazu, das meine Outbound Mails abgelehnt werden.


    So ganz verstehe ich die Thematik nicht, da ich nicht den Sinn hinter dem CatchAll begriffen habe. Ich brauche den Smarthost bei Netcup nur zum Versenden aus dem Synology Mailserver als Relay. Die oben verlinkte Anleitung gibt Netcup ja für diesen Fall vor, das man einen Exchange-Server nutzt und der hat nochmal ein paar "Spezialitäten", die man berücksichtigen muss. Benutze ich hier aber nicht. Der letzte Satz der Anleitung besagt:


    "Sie können sich jetzt über den Nutzer der Smarthost-Adresse am SMTP-Server anmelden und mit diesem auch von anderen E-Mailadressen der Domain E-Mails verschicken..." (bis hierher will ich das ja auch) "...und per IMAP oder POP3 empfangen." (Und das brauche ich nicht)


    Hat den niemand hier eine ähnliche oder gleiche Konfiguration laufen und könnte mir ein paar Tipps geben?


    Viele Grüße,


    Michael

  • Wirklich helfen kann ich dir auch nicht, da das bei mir über einen Root server läuft.


    Das "Problem" bei Netcup ist, dass viele verschiedene (Nutzer)Accounts und dazugehörige Domains über den gleichen Server laufen. Deshalb muss der Server prüfen, ob der (SMTP)Account, der gerade eingeloggt ist, überhaupt Mails von der angegebenen Adresse verschicken darf. Meistens (und anscheinend auch bei Netcup) wird geprüft, ob die angegebene Absenderadresse bei eingehenden Mails an den gleichen Account liefern würde. Bei einer eingerichteten Catch-All ist das der Fall, andernfalls nicht.


    Böses Szenario: Du hast bei deiner Domain zwei Accounts: A und B. B loggt sich über den Smarthost ein und verschickt eine Mail mit der Absenderadersse von A. Der Netcup Server würde die Mail ordnungsgemäß signieren, da er ja zuständig für die Domain ist.

    Damit das nicht passiert, prüft der Server, ob dem Absender die angegebene Adresse auch tatsächlich gehört.


    Du musst also entweder für jede benutzte Absenderadersse eine entsprechende Mailadresse bei Netcup einrichten, oder die Catchall-Krücke benutzen.

    Prinzipiell kannst du aber über Filterregeln auch die falschen Adressen, die an die Catch-all gehen rausfiltern. Ist die Frage, was mehr Aufwand ist o_O

  • Du musst also entweder für jede benutzte Absenderadersse eine entsprechende Mailadresse bei Netcup einrichten

    Hallo Steini,


    und genau da liegt mein Problem. Alle eMail-Adressen haben einen entsprechenden Account bei Netcup. Ich versuche, da der Synology-Mailserver als Relay wohl ein Exot ist, noch mal zu erklären, wie das technisch klappt:


    1. Die Mailstation (Teil der Mailserverarchitektur von Synology für eingehende Mails via POP) nimmt Mails wie ein ganz normaler Client (z. B. Thunderbird) entgegen. Hierzu muss beim Provider ein Mailaccount mit entsprechenden Zugangsdaten existieren. Diese werden dann bei dem entsprechenden User im Home-Verzeichnis abgelegt und können im internen Netzwerk via POP oder IMAP abgefragt werden.


    2. Der Mailserver (Teil der Mailserverarchitektur von Synology für ausgehende Mails via SMTP) nimmt per SMTP versendete Mails über die Zugangsdaten der intern eingerichteten User entgegen und leitet diese dann über den Relay (hier wird ein Account, dass ebenfalls kpl. bei dem Provider eingerichtet sein muss, genommen z.B. info@meine_domaene.tld). Aber eben nicht mit den Versandeinstellungen und der Authentifizierung des User-Account, sondern des für den Relay genutzten Accounts.


    Alle Accounts bestehen also bei Netcup. Wenn ich mich also an deren Mailserver authentifiziere, dann existiert dieses betreffende Konto da auch. Folglich liegt das Problem nur darin, dass: Account A nicht mit der Authentifizierung des Account B (obwohl gleiche Domäne) die Mails via SMTP einliefern kann. Was aber der Catch-All (der mich tierisch nervt) dabei sucht, verstehe ich halt nicht. Wie geschrieben, Account existiert zur Prüfung ja. Und noch eine Anmerkung. Bis Februar funktionierte das ohne ein Problem und ab da eben nur mit dieser CatchAll-Krüke.


    Liebe Grüße,


    Michael

  • Nur mal gefragt: kann es sein, daß daß bei der Übergabe an den SMTP von netcup f. alle Absenderadressen die selbe Authentication (UserId + Password) verwendet wird, obwohl jeder f. sich ein Postfach (UserId + Password) hat?

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Wenn ich dich richtig verstehe, nervt dich an dem Catchall-Konto ja nur, dass du dort jede Menge Spam-Mails bekommst und du die dann löschen musst. Warum richtest du nicht einfach in dem Catchall-Konto nen Filter ein, der alle Mails ablehnt oder löscht?

  • Vermutlich hat Netcup umgestellt, dass der Relay-Zugang nicht mehr für die gesamte Domain Mails versenden darf, sondern nur noch für den aktuellen Benutzer. Soll er für alle Mails verschicken können, muss er ein Catchall-Benutzer sein.

    Da kann dir aber nur der Support weiterhelfen.


    Möglichkeiten, die ich sehe:

    1)

    (kenne mich mit synology nicht aus, aber wenn du da Zugriff auf die Configfiles hast). Man kann im Postfix für jeden Benutzer einen anderen relayhost einstellen:

    transport_maps = hash:/etc/postfix/transport in main.cf

    Code
    #/etc/postfix/transport
    domain1.com     local:
    user1@domain2.com       smtp:smart.host1.com:25
    domain2.com             local:
    user1@domain3.com       smtp:smart.host1.com:25
    user2@domain3.com       smtp:smart.host2.com:25
    domain3.com             local:


    2) Catchall Adresse einrichten, und die Mails filtern/ignorieren? Da kommen ja theoretisch nur Mails an, für die kein Konto existiert, ist also alles Müll.

  • bzw. zum Thema Postfix, eine absenderabhängige authentication am Smarthost


    in der main.cf


    smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd

    smtp_sender_dependent_authentication = yes


    Code
    #/etc/postfix/sasl_passwd
    alias1@domain.com    userid1:passwd1
    alias2@domain.com    userid2:passwd2
    ...


    das verwende ich z.B. bei mir zu Hause um die Mails auf den entsprechenden Smarthost zu übergeben;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)