PMG, Telekom, Mail-Relay, nicht ankommende E-Mail und diverse Fragen...

[whiterabbit]

Hallo.
Leider komme ich hier bei einer Sache nicht weiter und frage daher hier in die Runde, ob mir jemand weiterhelfen kann:

Unser Aufbau sieht so aus:
Wir haben hier einen Schulserver, der ca 1200 (kleine) Postfächer verwaltet. Jedes Jahr verlassen ca 120 Schüler die Schule und es kommen etwa genau so viele neue dazu. Diese ganzen E-Mail-Konten werden automatisch vom Schulserver verwaltet, angelegt, gelöscht (der Punkt wird später nochmal wichtig).

Dieser Schulserver schickt alle E-Mails zunächst an ein PMG (DKIM ist dank der Hilfe hier aus dem Forum richtig eingestellt; die Vertrauensstellung ist also gewährleistet). Die Domain selbst wird von einem Server bei HostEurope (mit Plesk) verwaltet. Dort befinden sich also auch alle DNS-Einträge, die hier relevant sind.

Von dem Mailserver in der Schule wurden E-Mails an die unterschiedlichsten Empfänger verschickt. Dabei wurde bisher der Weg gewählt, dass das PMG die E-Mails direkt zugestellt hat. In den allermeisten Fällen hat das auch funktioniert, doch alle E-Mails, die an @t-online.de-Adressen gingen, sind (neuerdings???) nicht übergekommen bzw. nach ein paar erfolglosen Versuchen zurückgekommen.

Eine Information ist noch wichtig: Unser Internetprovider (e.ON) bietet uns zwar einen "Highspeed Internetzugang" aber erschreckenderweise keine feste IPv4-Adresse (und noch nicht mal eine IPv6-Adresse) an. Daher müssen wir mit DynDNS leben und haben daher unter einem DynDNS-Namen eine immer mal wieder wechselnde IP-Adresse hinterlegt.

Nach meinem Verständnis sollte es eigentlich so sein, dass man den Plesk-Server ist so einem Fall als Mail-Relay-Server konfigurieren muss, der alle E-Mails vom PMG annimmt und dann weiterschickt. Somit würde anschließend auch der Telekom-Server die weitergeleiteten E-Mails akzeptieren, da die DNS-Einträge des HostEurope-Servers stimmen und es sich da um eine feste IP-Adresse handelt. Stimmt das soweit?

Ich habe dieses Szenario jetzt mit der Telekom und dem HostEurope Support diskutiert und habe diese Antworten erhalten:

Die Telekom schreibt dazu:

Spoiler

Die IP-Adresse 91.... mit dem Hostnamen
"...-091.ip-addr.vsenet.de" gehört nicht zu Host Europe.
Mutmaßlich handelt es sich um die Dialup-IP des verwendeten
Internetzugangs.

Wenn Sie von der IP-Adresse 91.... aus E-Mails versenden
möchten, ist es aus unserer Sicht notwendig, dass Sie Ihren Provider
dazu veranlassen, den PTR-Record (rDNS) für Ihre IP-Adresse auf einen
Hostnamen in einer Ihrer Domains zu ändern. Denken Sie bitte daran,
dass der reverse Lookup (der PTR-Record) auch tatsächlich der Hostname
des Systems sein muss. Ob die Änderung dann vollzogen wurde, können Sie
unter http://bgp.he.net/ip/91....#_dnsrecords prüfen. Bitte
melden Sie sich dann nochmals bei uns.

Voraussetzung für eine Rücksetzung der Reputation ist eine
Konfiguration, die sich nach den in unserer "Postmaster-FAQ" unter
<https://postmaster.t-online.de> beschrieben Punkten richtet. Bitte
beachten Sie dort den Abschnitt 4.1 ("Voraussetzungen für einen
reibungslosen Zugang zu unseren Mail-Exchanges").

Mit freundlichen Grüßen
Telekom E-Mail Team

Ich kann so einen rDNS-Eintrag nach meinem Verständnis aufgrund der nicht vorhandenen festen IP-Adresse aber nicht machen -- höchstens einen CNAME-Eintrag auf unseren dyn. DNS-Namen, richtig?

Der HostEurope-Support schreibt dazu, dass so ein Aufbau zunächst gar nicht vorgesehen ist und stattdessen alle Postfächer direkt auf dem Plesk-Server angelegt werden sollten, damit es diese Probleme erst gar nicht gibt. Das wäre einfach, wenn es sich um dauerhaft statische Postfächer handeln würde, doch da wir als Schule nunmal eine so eine hohe Fluktuation haben, ist das für uns unmöglich auf diesem Weg machbar. Es gibt jedoch von HE selbst diese Seite: https://www.hosteurope.de/faq/server/virtual-server/vs-mail-relay -- und ich denke, dass das genau der Weg ist, den ich gehen müsste, um dem HostEurope-Server beizubringen, dass er die E-Mails vom PMG annimmt und dann (als vertrauenswürdiger Server) weiterleitet. Sehe ich das richtig oder gibt's da irgendwelche Bedenken Eurerseits?

Der HostEurope-Support hat übrigens auch noch einen anderen Weg vorgeschlagen: Scheinbar ist es auch möglich, dass man direkt sowas wie einen "Sammel-Account" auf der HostEurope-Seite erstellt und dessen Zugangsdaten auf der PMG-Seite verwendet, um immer alle E-Mails über den HostEurope-Server weiterzuleiten. In dem Fall wäre das PMG doch nur noch eine "Zwischenstation" und man müsste lediglich die Credentials von diesem Mail-Account auf der PMG-Seite eintragen, richtig?

Ist das korrekt so? Falls ja: Wo kann ich das auf dem PMG so einstellen, dass das funktioniert? Über einen guten Tipp würde ich mich freuen.
Vielen Dank.

 

[Johannes S]

Ich würde generell die Finger davon lassen Mails selbst zu hosten ( man muss einfach zu viel beachten um nicht auf Antispamlisten zu landen siehe https://media.ccc.de/v/clt26-387-warum-kommt-meine-mail-nicht-an-ein-uberblick/playlist ), insbesondere bei DynDNS ohne statische IP. Entweder die Mailadressen auf einen managedservice umziehen oder wenn man sich den Schmerz unbedingt antun möchte auf einen Mietserver mit fester IP und richtigen DNS.

 

[a.woll]

Der Kollege hat nicht gänzlich Unrecht.

Wenn Du einen Mailserver selbst hosten willst, muss Dein "Mailausbruch" bestimmten Kriterien standhalten:

- statische und dezidierte IP
- statische PTR-, MX-, A-, SPF-, DKIM-, DMARC-Einträge

DynDNS ist für Mailversand ungeeignet, da PTR Dir in die Quere kommt. Es gibt viele DNSBL-Listen, die genau solche IPs blocken, wenn ein E-Mailserver in einem Dial-UP-Netzwerk steht.

Selbst wenn Dein Internetprovider Dir eine statische IP anbieten kann, bedeutet das keinesfalls, dass die nicht aus einem Dial-Up-Segment stammt. Das kann einfach nur eine statische DHCP-Lease sein.

E-Mails selbst hosten geht am besten über einen guten Provider und/oder zumindest mit einem geeigneten Business-Anschluss. Wenn Du magst, versuche ich mal einen Kontakt zu vermitteln zu unserem.

Der nimmt halt nur ausgewählte Kunden, aber wenn Du magst, probiere ich es.

 

[whiterabbit]

Der Kollege hat nicht gänzlich Unrecht.

Wenn Du einen Mailserver selbst hosten willst, muss Dein "Mailausbruch" bestimmten Kriterien standhalten:

Ok, dass die dyn. IP das größte Problem ist, hatte ich ja schon vermutet. (Mich wundert trotdzem, dass die anderen Provider wie z.B. web.de, gmx usw die Mails von unserem Mailserver problemlos annehmen. Im Moment wüsste ich es nur von der Telekom, dass die in dieser Sache pingeliger ist?!?)

Ich sehe natürlich ein, dass es viel einfacher wäre, die ganzen Postfächer in unserem Fall "einfach" direkt auf dem Plesk-Server laufen zu lassen.
In dem Fall wäre der HostEurope-Server (mit statischer IP direkt im Internet) auch der Versender und das Problem wäre (zumindest theoretisch) erledigt.

Aber leider gibt es dann den Automatismus nicht mehr, der dafür sorgt, dass jeder User auf dem Schulserver (solange es ihn gibt) auch genau ein Postfach (mit Quota) besitzt. Das wäre dann also wieder Handarbeit, was bei dieser Menge an Postfächern keine gute Idee ist.
Daher wäre der Weg über SMTP-Auth und ein Versandpostfach vielleicht in diesem Fall die richtige Alternative?? Kann man das mit dem PMG hinkriegen?

 

[a.woll]

Ok, dass die dyn. IP das größte Problem ist, hatte ich ja schon vermutet. (Mich wundert trotdzem, dass die anderen Provider wie z.B. web.de, gmx usw die Mails von unserem Mailserver problemlos annehmen. Im Moment wüsste ich es nur von der Telekom, dass die in dieser Sache pingeliger ist?!?)

Ich sehe natürlich ein, dass es viel einfacher wäre, die ganzen Postfächer in unserem Fall "einfach" direkt auf dem Plesk-Server laufen zu lassen.
In dem Fall wäre der HostEurope-Server (mit statischer IP direkt im Internet) auch der Versender und das Problem wäre (zumindest theoretisch) erledigt.

Aber leider gibt es dann den Automatismus nicht mehr, der dafür sorgt, dass jeder User auf dem Schulserver (solange es ihn gibt) auch genau ein Postfach (mit Quota) besitzt. Das wäre dann also wieder Handarbeit, was bei dieser Menge an Postfächern keine gute Idee ist.
Daher wäre der Weg über SMTP-Auth und ein Versandpostfach vielleicht in diesem Fall die richtige Alternative?? Kann man das mit dem PMG hinkriegen?

Im Sinne eines Catch-All-Postfaches zum Weiterversand?
Theoretisch per Weiterleitung. Ist aber nicht schön.
Du darfst nicht vergessen, dass DKIM in der letzten Instanz angewendet werden sollte. Das müsste also auf dem Smarthost passieren.

Spräche den etwas gegen den Wechsel des ISPs?

 

[whiterabbit]

Spräche den etwas gegen den Wechsel des ISPs?

Wir sind hier im ländlichen Raum ... der "einzige" (?) Anbieter, der hier Glasfaser mit 1GBit/s anbietet, scheint momentan e.ON zu sein. Dass die keine feste IPv4 für Schulen anbieten, finde ich auf alle Fälle schwach. Es ist ja schon ein "Wunder", dass man für +3€/Monat überhaupt eine "richtige IP" (nicht Carrier-Grade) dazu buchen kann.
Aber ansonsten wäre der Wechsel auf einen anderen ISP vermutlich der beste Weg, um das Problem umgehen zu können.

Was ist an einem Catch-All-Postfach so unschön? Einfach die Tatsache, dass alle E-Mails gebündelt über ein einziges Postfach laufen?? Oder hat das noch andere Nachteile? Auf dem HostEurope-Server kann ich DKIM / DMARC usw ja ebenfalls einstellen. Der Server hat ja eine feste IP und dem würde auch vertraut werden. Wenn also alle E-Mails zunächst an den HostEurope-Server geschickt werden und von dort aus weitergeleitet werden, wäre das Problem vermutlich auch gelöst. Mir sind aber die Nachteile von so einem Catch-All-Postfach noch nicht ganz klar.

 

[cwt]

Alternative zum ISP-Wechsel wäre ein Anbieter für Mail-Relays. Das Relay wird dann im Gateway eingetragen und der SPF record entsprechend angepasst. Ist natürlich mit monatlichen Kosten verbunden. Kunden von uns nutzen solche Dienste. 1.000 Mails pro Stunde kosten dann monatlich 8,xx € netto. Dafür hat man dann keinen Ärger mehr mit de-listing u.ä. Die Anbieter für sowas sehen schon zu, dass ihre ASN sauber bleiben.

 

[whiterabbit]

1.000 Mails pro Stunde kosten dann monatlich 8,xx € netto.

Ok, das ist für 1000 Mails pro Stunde vielleicht ein angemessener Preis ... aber hier gehen ja bei weitem nicht so viele E-Mails raus. Ob sich das für uns lohnt, steht daher auf einem anderen Blatt.

 

[cwt]

Ja klingt viel, ist aber schon unterste Paket- bzw. Preiskategorie. Ist halt die Frage, was für Euch auf Dauer der einfachste und budgetfreundlichste Weg ist.

Mails empfangen ist mit dynamischer IP jetzt nicht das Problem, das Senden hingegen schon, wie die Vorredner schon anmerkten. rDNS & Co. mit statischer IP sind dann einfach Pflicht - und das in einem sauberen ASN. Und selbst da kann es passieren, dass ein einziger Idiot oder Spammer den ganzen Block auf eine der großen Listen katapultiert. Das de-listing geht dann nur vom ISP aus (und da rühren sich die meisten nicht, zumindest im Endkundenbereich).

 

[ivenae]

Wo liegt denn euere Domain und euer Webhosting?
Der Anbieter hat i.d.R. auch ein Mailpaket, den du als Smarthost auf dem Mailserver oder dem PMG einträgst.
Dann ist die client_ip versendeter E-Mails dieser Anbieter.

Smarthost heißt: Du legst dir eine Dummy E-Mail Adresse bei diesem Hosting-Anbieter an, die tatsächliche Sender E-Mail darf dann beliebig sein (soll ja die E-Mail des jeweiligen Schüler oder Lehrer rein), Hauptsache der Login erfolgt über diese Dummy Adresse und die Domain passt zu eben jener Adresse. Hast du mehrere Absenderdomains wird zumindest auf dem PMG etwas komplizierter, weil du nur einen Smarthost eintragen kannst, dann muss man sich das in Postfix reinfrickeln. Geht aber auch.

Auf der anderen Seite: Wenn ich höre, das 8 € monatlich verteilt auf 1000 Schüler jegliche Budgetgrenzen sprengen, dann hab ich eine ungefähre Vermutung über den Qualitätsstandard der Schule.

 

[a.woll]

Wir sind hier im ländlichen Raum ... der "einzige" (?) Anbieter, der hier Glasfaser mit 1GBit/s anbietet, scheint momentan e.ON zu sein. Dass die keine feste IPv4 für Schulen anbieten, finde ich auf alle Fälle schwach. Es ist ja schon ein "Wunder", dass man für +3€/Monat überhaupt eine "richtige IP" (nicht Carrier-Grade) dazu buchen kann.
Aber ansonsten wäre der Wechsel auf einen anderen ISP vermutlich der beste Weg, um das Problem umgehen zu können.

Was ist an einem Catch-All-Postfach so unschön? Einfach die Tatsache, dass alle E-Mails gebündelt über ein einziges Postfach laufen?? Oder hat das noch andere Nachteile? Auf dem HostEurope-Server kann ich DKIM / DMARC usw ja ebenfalls einstellen. Der Server hat ja eine feste IP und dem würde auch vertraut werden. Wenn also alle E-Mails zunächst an den HostEurope-Server geschickt werden und von dort aus weitergeleitet werden, wäre das Problem vermutlich auch gelöst. Mir sind aber die Nachteile von so einem Catch-All-Postfach noch nicht ganz klar.

Auch da kann man was machen mit dem Bestands-Zugang.
Wenn Du magst, kontaktiere doch mal https://jd-group.io/ (Verweise auf meinen Namen, den ich Dir per DM geschickt habe. Man kennt mich dort.)
Mit SD-WAN verschiebst Du Deinen Ausbruch in ein Rechenzentrum und in ein IP-Netz, das von Blacklists für Server gesehen wird und somit wohlwollender behandelt. Wir sind ebenfalls Kunde dort. Einfach gut, sag ich Dir. Ich spreche aus Erfahrung!

 

[whiterabbit]

Wo liegt denn euere Domain und euer Webhosting?
[...]
Auf der anderen Seite: Wenn ich höre, das 8 € monatlich verteilt auf 1000 Schüler jegliche Budgetgrenzen sprengen, dann hab ich eine ungefähre Vermutung über den Qualitätsstandard der Schule.

Hi. Wie oben schon geschrieben: Der Anbieter ist HostEurope und der Webserver (Virtual Server 10+) hat Plesk mit an Bord. Natürlich kann man dort alle DNS-Einträge vornehmen aber auch Postfächer direkt vor Ort anlegen. Ob und wie das aber dort auch als Smarthost funktioniert, weiß ich bisher nicht.

Was den Qualitätsstandard angeht: "Don't judge too quickly"... die 8,-€/Monat wären nicht das Problem. Es ist für mich im Moment eher die Frage, ob man mit den Servern, die wir eh schon haben, das Problem bereits lösen kann.

 

[cwt]

Mit den Servern an sich kannst Du das nicht lösen. Das Problem ist der ISP ohne statische IP und rDNS-Eintrag.

Wenn Ihr bei HostEurope Mail aktiviert und soz. als Smart-Host nutzen wollt, wird afaik automatisch deren MX als Mailserver in der Domain gesetzt. Das wiederum würde Euren Server außer Kraft setzen. Ob das mittlerweile anders ist, weiß ich nicht.

 

[ivenae]

Mit den Servern an sich kannst Du das nicht lösen. Das Problem ist der ISP ohne statische IP und rDNS-Eintrag.

Wenn Ihr bei HostEurope Mail aktiviert und soz. als Smart-Host nutzen wollt, wird afaik automatisch deren MX als Mailserver in der Domain gesetzt. Das wiederum würde Euren Server außer Kraft setzen. Ob das mittlerweile anders ist, weiß ich nicht.

Ich will mich nicht zu weit aus dem Fenster lehnen, aber bei allen mir bekannten Anbietern kann man die DNS Einträge des Providers überschreiben.
Man sollte nur genau wissen, was man tut. Denn ein Tippfehler sorgt dafür, dass E-Mail komplett lahmgelegt ist.

D.h. wenn die MX Einträge auf HostEurope zeigen, wird HostEurope zurückmelden, dass die Postfächer nicht existieren.
Das macht man also üblicherweise Nachts, prüft sofort die gesetzten MX Einträge und wenn man kontrolliert und überarbeitet hat, schickt man am Besten im Anschluss noch von mind. 2 verschiedenen Freemail Anbietern eine Testmail.

 

[whiterabbit]

Ja, die DNS Einstellungen sind über Plesk alle überschreibbar. Und das habe ich natürlich auch schon gemacht, um die Mails an unser PMG und darüber weiter an den schulinternen Mailserver weiterleiten zu können. Das Annehmen der E-Mails ist (wie oben ja auch schon geschrieben wurde) nie das Problem ... (in den meisten Fällen reicht das für die Schülerkonten sogar fast aus, wenn der Empfang schon mal funktioniert.)

Beim Senden hatte ich das bisher so verstanden, dass auf dem HostEurope-Server ein (weiterer) Zugang unter der Domain für die Schul-E-Mail angelegt wird und zusätzlich "Smarthost" aktiviert werden muss.

https://docs.plesk.com/de-DE/obsidi...sts.80030/#configuring-smarthost-for-a-domain

Aber danach ist es doch so, dass man im PMG den Plesk-Server unter Configuration -> Mail Proxy -> Relaying eintragen muss, oder?
Sehe ich das so richtig:

• der schulinterne Mail-Server würde dann die ausgehenden E-Mails an das PMG schicken.
• das PMG schickt weiter an den HostEurope-Server und
• ... der verschickt es erst endgültig in die weite Welt?

Auf diese Weise würde doch jeder Server dem nächsten in der Kette vertrauen und die E-Mails könnten rausgeschickt werden --- oder übersehe ich da was?

 

[ivenae]

Smarthost heißt, dass du dich mit validen Zugangsdaten am HostEurope authentifizierst, deshalb akzeptiert der Smarthost deine Mail als valide.
Da der Smarthost zusätzlich unter der gleichen Absender Domain sendet und als SPF eingetragen werden muss, bekommst du auch kein Problem mit SPF.
DKIM wird durchgereicht, d.h. DKIM signiert den nachträglich nicht mehr veränderten Mailbody, bleibt also auch erhalten, bzw. müsste man prüfen, ob HostEurope ohnehin eigenes DKIM macht und dann im Proxmox / Mailserver ggf. ausschalten.

Meine damalige Frage zu dem Thema war: Warum müssen es denn die Zugangsdaten einer beliebigen E-Mail der Domain sein und nicht die zu deiner E-Mail zugehörigen, wie bei einem klassischen Mailclient. Die Antwort ist erschreckend: Weil es Branchenstandard ist, das zuzulassen.
Kann denn dann ein Schüler unter seinen Zugangdaten eine Mail versenden, die als Absenderadresse die eines Lehrers oder Direktors hat? Antwort: Ja, meist geht das (bei jedem Anbieter), aber im Zweifel ist der Betrug in den Logdaten ersichtlich.

Ich erinnere mich seinerzeit an meine Schülertage, an denen ich (selbstständig) herausgefunden hatte, dass ich meine GMX E-Mails mit beliebiger Absenderadresse schicken kann (auch z.B. t-online), wenn ich die statt am mail.gmx.net stattdessen am damaligen mx0.gmx.net abliefere. Ich hatte damals GMX dazu angeschrieben, die meinte: Ja, ist normal.

Zurück zum Thema:
Proxmox vertraut allem, der auf Port 26 einliefert. Deshalb sollte der Port 26 nur für deinen Mailserver erreichbar sein und nicht für die Öffentlichkeit.
HostEurope vertraut aufgrund der Zugangsdaten.

Wo du das einstellst, hab ich gerade nicht im Kopf, bitte in der Anleitung gegenprüfen. Gibt ggf. einen Unterschied zwischen Relaying für Port 25 (zum Mailserver) und Relaying Port 26 (vom Mailserver ins Internet). Hab ich nicht im Kopf und so auch noch nicht benutzt. Aber geht mit Sicherheit.

Tipp: Wenn HostEurope nicht versenden will, weil er glaub, er sei nicht der zuständige MX (sowas gibts schonmal), dann mach einen zweiten MX Eintrag mit einer höheren Prioritätszahl (= niedrigere Priorität). Aber Achtung: Wenn der Proxmox dann mal ausfällt, wird da tatsächlich etwas hingeliefert. Bei dynamischer IP-Adresse könnte das problematisch sein!

 

[whiterabbit]

Ok ... das hatte ich so nicht geahnt und das sollte natürlich wenn möglich verhindert werden.
Ich denke allerdings, dass die Schüler mit E-Mails eh immer weniger anfangen können und ihre E-Mails wirklich nur zu dem Zweck nutzen, zu dem wir es eingerichtet haben. Alles andere wird über andere Plattformen abgewickelt, denke ich.

Aber dann müsste das mit dem Smarthost auf dem Plesk-Server ja doch relativ einfach auf diese Weise umsetzbar sein.

 

[ivenae]

Ok ... das hatte ich so nicht geahnt und das sollte natürlich wenn möglich verhindert werden.
Ich denke allerdings, dass die Schüler mit E-Mails eh immer weniger anfangen können und ihre E-Mails wirklich nur zu dem Zweck nutzen, zu dem wir es eingerichtet haben. Alles andere wird über andere Plattformen abgewickelt, denke ich.

Aber dann müsste das mit dem Smarthost auf dem Plesk-Server ja doch relativ einfach auf diese Weise umsetzbar sein.

Wenn du das senden unter fremdem Absender meinst: Das kannst du nicht verhindern, denn das Thema hast du bei jedem Anbieter so.
Als ich damals den ersten Mailserver (MDaemon) in der Wartung übernommen hab, war das genau mein Thema: Wir haben 8 Adressen, warum kann ich nur einen Smarthost eintragen, ich benötige 8. Ich konnte es auch nicht fassen.