E-Mails von SMTP-Server weiterleiten lassen
ClaudiusL
Hallo zusammen,
ich möchte auf einem Server E-Mail-Forwarding einrichten bzw. würde gerne wissen, ob was ich vorhabe mit vertretbarem Aufwand machbar ist. Allerdings scheine ich nicht Forwarding im üblichen Sinne zu meinen. Daher hier zunächst das vorliegende Problem, dann die von mir vermutete Lösung:
Ich studiere und arbeite an einer Universität und muss über meine dortige E-Mail-Adresse oft Mails versenden, auch von außerhalb des Campus. Der SMTP-Server der Uni nimmt Mails aber nur aus dem Intranet an, d.h. ich muss immer, wenn ich von außerhalb des Campus Mails versenden möchte, zunächst eine VPN-Verbindung herstellen. Genau diesen Arbeitsschritt würde ich mir gerne sparen. Gründe:
Die Lösung stelle ich mir wie folgt vor: Ich richte auf meinem Server eine Art SMTP-Relay ein. Beim Versand einer Mail verbinden sich meiner Mail-Clienten mit dem eigenen SMTP-Server, authentifizieren sich dort durch ein Passwort, der SMTP-Server nimmt die Mail entgegen und reicht sie an den SMTP-Server der Uni weiter. Dabei muss die VPN-Verbindung hergestellt werden oder permanent hergestellt sein.
Ich hoffe, es ich möglich, dass dieser Prozess völlig „transparent“ abläuft, also dass es für den SMTP-Server der Uni ist, als würde irgendein Mail-Client eine E-Mail einliefern. Spätestens der finale Empfänger soll jedenfalls nicht mitbekommen, dass eine Weiterleitung vorgenommen wurde. (Es geht nicht darum, die Tatsache zu verschleiern oder die Mail-Header zwingend zu verändern, sondern darum, dass beim Empfänger der korrekte Absender angezeigt wird und Antworten an diesen gesendet werden.)
Nun zu den spannenden Fragen:
Und falls die ersten drei Fragen mit „ja“ zu beantworten sind, jetzt die zentralen Fragen:
Zum Schluss noch ein paar Informationen zu den Rahmenbedingungen:
Ich bin gespannt auf alle Ratschläge und Ideen. Danke und viele Grüße,
Claudius
Heißt das eigentlich, ich kann nicht nur im Namen von ich@uni.example.org sondern auch im Namen von präsident@uni.example.org Mails versenden? ↩︎
Hallo ClaudiusL,
- Ist was ich mir vorstelle überhaupt möglich?
Hängt davon ab, ob es für dein Server-System einen VPN-Client für das Hochschul-VPN gibt. Wenn ja, dann ist das gut machbar.
- Ist es mit vertretbarem Aufwand möglich?
Siehe erster Punkt, wenn ja: ja, kein grösserer Aufwand.
- Wie ich vermutlich schon bewiesen habe, sind meine Kenntnisse zum Theme Mail-Server eher rudimentär. Wäre das Beschriebene mit diesen Kenntnissen eine Kamikaze-Aktion (Stichwort Spam-Schleuder) oder sollte es auch für mich machbar sein, den Server so zu konfigurieren, dass er nur von mir und mit Passwort Mails annimmt?
Prinzipiell sind die Mailserver heutzutage so ausgelegt, dass es schwer ist, ein Open Relay zu konfigurieren. Es ist IMHO durchaus möglich für einen Einsteiger, eine von dir beschriebene Konfiguration zu implementieren. Suche im Manual deines MTAs nach den Stichwörtern Smarthost und SMTP-Auth.
- Wie ist das möglich?
With ease ;-)
Ich bin vor allem interessiert an Stichworten (Gibt es einen Namen für das, was ich vorhabe?), Software-Empfehlungen, Hinweisen zur Konfiguration und allem, was es sonst zu wissen gibt.
Du möchtest deine Mail an einen Smarthost forwarden. Dazu musst du deinen Mailserver entsprechend konfigurieren, bei Postfix wäre das z.B. hier beschrieben. Das ganze willst du dann noch absichern mit SMTP-Auth. Natürlich willst du verschlüsselt kommunizieren...
- Sollte ich das Beschriebene überhaupt tun oder gibt es Gründe, die dagegen sprechen?
Ich sehe nichts, was prinzipiell dagegen spricht, so etwas zu tun - sofern du das sinnvoll absicherst.
LG,
CK
Hallo Christian,
danke für deine Tipps!
- Ist was ich mir vorstelle überhaupt möglich?
Hängt davon ab, ob es für dein Server-System einen VPN-Client für das Hochschul-VPN gibt. Wenn ja, dann ist das gut machbar.
Hm, dieses Problem war mir bisher nicht bewusst. Ich hatte erwartet, VPNs würden gemäß einem festen Standard aufgebaut und dass der Server das schon von Haus aus mitbringt.
Ist aber nicht so. Bevor ich mich also mit der Mailserver-Problematik beschäftige, versuche ich erstmal, ob die VPN-Verbindung klappt.
Du möchtest deine Mail an einen Smarthost forwarden. Dazu musst du deinen Mailserver entsprechend konfigurieren, bei Postfix wäre das z.B. hier beschrieben. Das ganze willst du dann noch absichern mit SMTP-Auth. Natürlich willst du verschlüsselt kommunizieren...
Danke für die Stichwörter & Links!
Ich melde mich hier wieder, wenn es Neuigkeiten gibt, allerdings läuft das Projekt aktuell nur auf Sparflamme und zuerst ist die VPN-Baustelle dran. Kann also etwas dauern …
Viele Grüße
Claudius
Tach,
Ich studiere und arbeite an einer Universität und muss über meine dortige E-Mail-Adresse oft Mails versenden, auch von außerhalb des Campus.
hast du schon probiert das einfach zu tun? Wenn deine Uni nicht auf eine Technik wie SPF setzt (das kannst du im DNS abfragen), sollte das problemlos gehen.
Natürlich, E-Mail-Absenderangaben sind etwa so vertrauenswürdig wie die Absenderangaben auf Briefen (bei unsignierten/unverschlüsselten Mails); es steht halt da, was da jemand hingeschrieben hat.
mfg
Woodfighter
Hallo Woodfighter,
Ich studiere und arbeite an einer Universität und muss über meine dortige E-Mail-Adresse oft Mails versenden, auch von außerhalb des Campus.
hast du schon probiert das einfach zu tun? Wenn deine Uni nicht auf eine Technik wie SPF setzt (das kannst du im DNS abfragen), sollte das problemlos gehen.
Nein, auf die VPN-Verbindung kann ich leider nicht einfach verzichten, das habe ich schon jahrelang „getestet“. Das System ist etwas eigen. An Adressen derselben Uni kann ich immer auch ohne VPN senden, an Empfänger mit Nicht-Uni-Adressen nur mit VPN-Verbindung. Versuche ich es dennoch, erhalte ich in Thunderbird eine Fehlermeldung (Text gerade nicht parat). Outlook ist da wesentlich fieser; die Mail ist dann „weg“ kommt beim Empfänger aber erst mit mehreren Tagen Verzögerung, evtl. beim nächsten Herstellen der VPN-Verbindung an. Was da genau abläuft kann ich nicht nachvollziehen, da ich selbst Outlook nicht nutze.
Natürlich, E-Mail-Absenderangaben sind etwa so vertrauenswürdig wie die Absenderangaben auf Briefen (bei unsignierten/unverschlüsselten Mails); es steht halt da, was da jemand hingeschrieben hat.
Das weiß ich im Prinzip. Ich dachte aber, dass „gute“ Mailserver i.d.R. überprüfen, ob der Absender etwas draufschreibt, das er auch draufschreiben darf. Ist nicht das der/ein Grund, warum vom eigenen Server versandte E-Mails von vielen Providern abgewiesen werden?
Viele Grüße
Claudius
Tach,
hast du schon probiert das einfach zu tun? Wenn deine Uni nicht auf eine Technik wie SPF setzt (das kannst du im DNS abfragen), sollte das problemlos gehen.
Nein, auf die VPN-Verbindung kann ich leider nicht einfach verzichten, das habe ich schon jahrelang „getestet“.
äh ich war nicht klar genug; ich meinte, verschicke die Mails über einen anderen SMTP-Server statt den von der Uni.
Natürlich, E-Mail-Absenderangaben sind etwa so vertrauenswürdig wie die Absenderangaben auf Briefen (bei unsignierten/unverschlüsselten Mails); es steht halt da, was da jemand hingeschrieben hat.
Das weiß ich im Prinzip. Ich dachte aber, dass „gute“ Mailserver i.d.R. überprüfen, ob der Absender etwas draufschreibt, das er auch draufschreiben darf.
Woran sollte der empfangende Mailserver wissen können, wer Mails mit diesem Absender verschicken darf? Der weiß ja nichtmal wer die Mail verschickt hat (also außer die Information, die im Absender steht) sondern weiß nur sicher, mit welchem anderen Rechner er gerade spricht.
Ist nicht das der/ein Grund, warum vom eigenen Server versandte E-Mails von vielen Providern abgewiesen werden?
Nein, ich wüsste keinen Provider, der Mails von meinen Mailservern kategorisch ablehnen würde.
mfg
Woodfighter
Hallo woodfighter,
Das weiß ich im Prinzip. Ich dachte aber, dass „gute“ Mailserver i.d.R. überprüfen, ob der Absender etwas draufschreibt, das er auch draufschreiben darf.
Woran sollte der empfangende Mailserver wissen können, wer Mails mit diesem Absender verschicken darf? Der weiß ja nichtmal wer die Mail verschickt hat (also außer die Information, die im Absender steht) sondern weiß nur sicher, mit welchem anderen Rechner er gerade spricht.
So ganz so einfach ist das nicht, es gibt durchaus Konfigurationen in denen ein MX-Lookup gemacht wird und dann via Reverse-Lookup der Host geprüft wird. Das FreeBSD-Projekt dürfte hier eine der prominenteren Installationen sein, da bin ich damals[tm], als ich noch Patches für das Ports-System schreiben wollte, drüber gestolpert ;) (verdammt ist das lange her, das muss so 2001 gewesen sein). Als besonders häufig schätze ich diese Konfiguration allerdings nicht ein. Öfter anzutreffen dürften allerdings DKIM und SPF sein; ob die Hochschule derartige Techniken nutzt kann ich nicht beurteilen, da ich nicht weiss um welche es sich handelt. Aber dass man aus dem internen Netz ohne SMTP-Auth Mails verschicken kann, lässt mich daran zweifeln (und an den Admins dort verzweifeln).
LG,
CK
Tach,
So ganz so einfach ist das nicht, es gibt durchaus Konfigurationen in denen ein MX-Lookup gemacht wird und dann via Reverse-Lookup der Host geprüft wird.
ja, das ist relativ üblich, aber dadurch findest du nur heraus, ob der im DNS stehende Name zum Namen passt mit dem sich der Server im SMTP HELO gemeldet hat. Ob der Server mail.example.org dazu berechtigt ist Mails für die Domain example.com zu versenden, kannst du nur herausfinden falls für example.com SPF oder ähnliches konfiguriert ist.
Aber dass man aus dem internen Netz ohne SMTP-Auth Mails verschicken kann, lässt mich daran zweifeln (und an den Admins dort verzweifeln).
Das ist eine übliche Konfiguration, solange man da dann passende Limits und ein Auge drauf hat und das lokale Netz so weit im Griff, dass du eine faire Chance hast, einen spammenden User zu finden, ist das noch tragbar.
mfg
Woodfighter
Hallo woodfighter,
So ganz so einfach ist das nicht, es gibt durchaus Konfigurationen in denen ein MX-Lookup gemacht wird und dann via Reverse-Lookup der Host geprüft wird.
ja, das ist relativ üblich, aber dadurch findest du nur heraus, ob der im DNS stehende Name zum Namen passt mit dem sich der Server im SMTP HELO gemeldet hat.
Nein. Ich weiss, wer mein Remote-Partner ist. Wenn ich auf die IP einen Lookup mache, dann finde ich den Hostnamen dazu. Und das ist es, was die FreeBSD-Installation zumindest damals getan hat.
Aber dass man aus dem internen Netz ohne SMTP-Auth Mails verschicken kann, lässt mich daran zweifeln (und an den Admins dort verzweifeln).
Das ist eine übliche Konfiguration, […]
In einem Hochschulnetz? Das bezweifle ich.
LG,
CK
Tach,
Nein. Ich weiss, wer mein Remote-Partner ist. Wenn ich auf die IP einen Lookup mache, dann finde ich den Hostnamen dazu. Und das ist es, was die FreeBSD-Installation zumindest damals getan hat.
ja, das tun relativ viele SMTP-Server, aber über die erlaubten Maildomains weißt du dann immer noch nix und darum ging es hier im Thread ja.
Aber dass man aus dem internen Netz ohne SMTP-Auth Mails verschicken kann, lässt mich daran zweifeln (und an den Admins dort verzweifeln).
Das ist eine übliche Konfiguration, […]
In einem Hochschulnetz? Das bezweifle ich.
Erstens wissen wir nicht, wie groß der Laden ist und wie zentralisiert die IT da ist und wir wissen nicht, ob es nur das WLAN ist, wo du jederzeit nachvollziehen kannst welcher User, welche IP bekommen hat oder auch das LAN betrifft (letzteres ist schwer abzusichern, sofern ein Angreifer weiß, was MAC-Spoofing ist).
mfg
Woodfighter
Hallo,
Erstens wissen wir nicht, wie groß der Laden ist und wie zentralisiert die IT da ist und wir wissen nicht, ob es nur das WLAN ist, wo du jederzeit nachvollziehen kannst welcher User, welche IP bekommen hat oder auch das LAN betrifft (letzteres ist schwer abzusichern, sofern ein Angreifer weiß, was MAC-Spoofing ist).
aber ich weiß es (mehr oder weniger): Rund 12000 User, die IT ist sehr zentralisiert[1]. Das Versenden ohne Authentifizierung funktioniert meiner Erfahrung nach im WLAN (eduroam) und auch im LAN.
Wirklich dokumentiert ist das alles nicht, da man eigentlich Groupwise oder das Webinterface benutzen "soll". Wer mit POP/IMAP und SMTP einen eigenen Clienten verwendenden will, kann das tun, erwünscht ist das aber nicht (Support: "Sie können [Client] statt Groupwise verwenden, wie das funktioniert ist aber Ihr Problem").
In dem Sinne, dass alles zentral bestimmt und nichts durchdacht ist … ↩︎
Hallo Woodfighter,
äh ich war nicht klar genug; ich meinte, verschicke die Mails über einen anderen SMTP-Server statt den von der Uni.
Schönes Missverständnis. ;-)
Ich dachte nicht, dass das möglich wäre. Aber: Du hast absolut recht; das ist die Lösung, funktioniert sehr einfach und einwandfrei.
Natürlich, E-Mail-Absenderangaben sind etwa so vertrauenswürdig wie die Absenderangaben auf Briefen (bei unsignierten/unverschlüsselten Mails); es steht halt da, was da jemand hingeschrieben hat.
Das weiß ich im Prinzip. Ich dachte aber, dass „gute“ Mailserver i.d.R. überprüfen, ob der Absender etwas draufschreibt, das er auch draufschreiben darf.
Woran sollte der empfangende Mailserver wissen können, wer Mails mit diesem Absender verschicken darf? Der weiß ja nichtmal wer die Mail verschickt hat (also außer die Information, die im Absender steht) sondern weiß nur sicher, mit welchem anderen Rechner er gerade spricht.
Ich glaube, hier haben wir das zweite Missverständnis. Was ist in deiner Formulierung der empfangende Mailserver? Zur Illustration, folgendes Schema für den Versand einer Mail von mir an dich (das hoffentlich korrekt ist):
Mein E-Mail-Client --> gibt Mail per SMTP bei "meinem" Server (A) ab --> leitet Mail an "deinen" Server (B) weiter --> Du holst die Mail ab.
B kann nicht wissen, ob ich als deinchef@example.org Mails versenden darf, aber A sollte das wissen. Bei A meldet sich mein E-Mail-Client doch mit Zugangsdaten an und ich hatte erwartet, das A weiß, unter welchem Namen ich Mails versenden darf.
B kann das nicht mehr überprüfen und muss daher A vertrauen.
Ist das falsch?
Ist nicht das der/ein Grund, warum vom eigenen Server versandte E-Mails von vielen Providern abgewiesen werden?
Nein, ich wüsste keinen Provider, der Mails von meinen Mailservern kategorisch ablehnen würde.
Wenn ich also als Server A keinen "renommierten" Server verwenden, sondern einfach hier, lokal und mit dynamischer IP auf meinem Laptop, einen Mailserver installiere, wird Server B meine Mails i.d.R. anstandslos entgegennehmen?
Ich meine gelesen zu haben, genau das sei nicht der Fall; ich habe mir das immer mit der oben erwähnten Tatsache erklärt, dass B A "vertrauen" muss.
Viele Grüße
Claudius
Tach,
Schönes Missverständnis. ;-)
Ich dachte nicht, dass das möglich wäre. Aber: Du hast absolut recht; das ist die Lösung, funktioniert sehr einfach und einwandfrei.
hast du vorher geschaut, ob es SPF (o.ä.) Eintrage für deine Uni gibt? DAs ist nicht überall implementiert und dann könnte es sein, dass manche Mails ankommen und andere nicht.
Mein E-Mail-Client --> gibt Mail per SMTP bei "meinem" Server (A) ab --> leitet Mail an "deinen" Server (B) weiter --> Du holst die Mail ab.
zwischen Server A und Server B können im Prinzip noch n weitere Server liegen.
B kann nicht wissen, ob ich als deinchef@example.org Mails versenden darf, aber A sollte das wissen.
A weiß hoffentlich wer ich bin, aber A kann nicht unbedingt wissen, welche Mailadressen alle zu mir gehören.
Bei A meldet sich mein E-Mail-Client doch mit Zugangsdaten an und ich hatte erwartet, das A weiß, unter welchem Namen ich Mails versenden darf.
Man kann das implementieren, ich glaube GMail macht da Überprüfungen, aber SMTP war nie so geplant und dementsprechend ist das nicht ganz einfach.
B kann das nicht mehr überprüfen und muss daher A vertrauen.
B sollte den Teufel tun und A vertrauen, aber ja es kann sich nur auf die Informationen verlassen, die A ihm gibt (und die anderswo über die Maildomains und A verfügbar sind).
Wenn ich also als Server A keinen "renommierten" Server verwenden, sondern einfach hier, lokal und mit dynamischer IP auf meinem Laptop, einen Mailserver installiere, wird Server B meine Mails i.d.R. anstandslos entgegennehmen?
Nein, mit einer dynamischen IP wirst du wenig Glück haben (z.B. wegen des reverse Lookups, den ich in diesem Thread mit Christian diskutiert habe); weiterhin sind die dynamischen IP-Adressbereiche in diversen Blacklisten verzeichnet.
Ich meine gelesen zu haben, genau das sei nicht der Fall; ich habe mir das immer mit der oben erwähnten Tatsache erklärt, dass B A "vertrauen" muss.
Es gibt wenig echtes Vertrauensverhältnis zwischen SMTP-Servern höchstens weniger Misstrauen, wenn ich mit klar identifizierten Gegenstellen spreche.
mfg
Woodfighter