Incoming / Outgoing Server je Domain unterschiedlich hanhaben?

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
6 messages Options
Reply | Threaded
Open this post in threaded view
|

Incoming / Outgoing Server je Domain unterschiedlich hanhaben?

Heiner Mueller
Hi,
 
kann man (vermutl. ja) und wie folgendes Abbilden:
 
- Auf einem Mailserver sind diverse Domains gehostet, die zu unterschiedl. Besitzern/Kunden gehören
- Für manche dieser Domains, soll nun ein externer Anti-Spam/AV-Service genutzt werden
 
d.h. - für die betroffenen Domains, wird der MX-Record auf den Dienstleister gelegt und dieser schickt die sauberen Mails an den bisherigen Mailserver. Soweit funktioniert es.
 
Ich würde aber nun noch gerne zwei Dinge erreichen:
 
1. Für o.g. Domains, sollen nur noch Mails angenommen werden, die von o.g. DL bzw. dessen Systemen stammen (sonst könnte ja Jemand den MX einfach umgehen)
2. Ausgehende Mails von o.g. Domains, sollen ebenfalls über den DL verschickt werden (quasi so ne Art Smart Host)
 
Kann man vermutl. mit irgendwelchen Maps machen? Aber evtl. gibts da ja gute/bessere Wege und schlechtere?
 
Danke!
Reply | Threaded
Open this post in threaded view
|

AW: Incoming / Outgoing Server je Domain unterschiedlich hanhaben?

Uwe Drießen
Im Auftrag von Heiner Mueller

>
> - Auf einem Mailserver sind diverse Domains gehostet, die zu unterschiedl.
> Besitzern/Kunden gehören
> - Für manche dieser Domains, soll nun ein externer Anti-Spam/AV-Service
> genutzt werden
>
> d.h. - für die betroffenen Domains, wird der MX-Record auf den Dienstleister
> gelegt und dieser schickt die sauberen Mails an den bisherigen Mailserver.
> Soweit funktioniert es.
>
> Ich würde aber nun noch gerne zwei Dinge erreichen:
>
> 1. Für o.g. Domains, sollen nur noch Mails angenommen werden, die von o.g.
> DL bzw. dessen Systemen stammen (sonst könnte ja Jemand den MX
> einfach umgehen)

Ja wo ist denn der MX ?
Liegt der MX beim Dienstleister oder bei dir
In dem Moment wo dein Mailserver lt. DNS nicht als MX genannt wird schickt keiner an deinen Mailserver für die Domain Mails


> 2. Ausgehende Mails von o.g. Domains, sollen ebenfalls über den DL
> verschickt werden (quasi so ne Art Smart Host)

Relaymaps

Und warum sollen die Mails dann überhaupt noch über deinen Server laufen ?
Kann der Kunde dann doch gleich bei seinem "Maildienstleister" abholen und einkippen.

Schneller einfacher, weniger Aufwand

Und warum will der Kunde das ? kommt zu viel durch ?


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045



Reply | Threaded
Open this post in threaded view
|

Re: Incoming / Outgoing Server je Domain unterschiedlich hanhaben?

Igor Sverkos-2
>> 1. Für o.g. Domains, sollen nur noch Mails angenommen werden, die von o.g.
>> DL bzw. dessen Systemen stammen (sonst könnte ja Jemand den MX
>> einfach umgehen)
>
> Ja wo ist denn der MX ?
> Liegt der MX beim Dienstleister oder bei dir
> In dem Moment wo dein Mailserver lt. DNS nicht als MX genannt wird schickt keiner an deinen Mailserver für die Domain Mails

Im Normalfall. Ein Angreifer der wie auch immer in Erfahrung gebracht
hat dass Mails eingekippt bei 1.2.3.4:25 ohne Mailfilterung beim
gewünschten Angriffsziel ankommen wird diesen Vektor nutzen. Insofern
macht es bei einem ordentlichen Setup schon Sinn sicherzustellen, dass
wirklich nur autorisierte Quellen Mails einkippen können.


--
Ich Grüße,
Igor
Reply | Threaded
Open this post in threaded view
|

AW: Incoming / Outgoing Server je Domain unterschiedlich hanhaben?

Uwe Drießen
Im Auftrag von Igor Sverkos

>
> >> 1. Für o.g. Domains, sollen nur noch Mails angenommen werden, die von
> o.g.
> >> DL bzw. dessen Systemen stammen (sonst könnte ja Jemand den MX
> >> einfach umgehen)
> >
> > Ja wo ist denn der MX ?
> > Liegt der MX beim Dienstleister oder bei dir
> > In dem Moment wo dein Mailserver lt. DNS nicht als MX genannt wird
> schickt keiner an deinen Mailserver für die Domain Mails
>
> Im Normalfall. Ein Angreifer der wie auch immer in Erfahrung gebracht
> hat dass Mails eingekippt bei 1.2.3.4:25 ohne Mailfilterung beim
> gewünschten Angriffsziel ankommen wird diesen Vektor nutzen. Insofern
> macht es bei einem ordentlichen Setup schon Sinn sicherzustellen, dass
> wirklich nur autorisierte Quellen Mails einkippen können.
>
>
Relativ unwahrscheinlich
Die Frage war auch nicht warum und was sondern wie

Eigene IP auf dem Empfänger, die absender IP in mynetworks und dann reject

Kann in Master.cf definiert werden.

Ich spar mir den Aufwand wenn mailfiltersystem extern dann bitte auch alles andere an Mail dort.
Außerdem gäbe es auch die Möglichkeit Mail vom Kunden nach extern über eigene weil die in der Regel nicht so stark gefiltert werden müssen
 und den Empfang übernimmt der Externe Dienstleister und der Kunde holt die Mails auch dort ab.  
Weil wenn was nicht ankommt dann stehen die Kunden bei dir wieder auf der Matte und machen mimimi warum ist da eine Mail nicht durchgegangen
Bringt nur Ärger, Aufwand den im Zweifel keiner zahlt.
Entweder eigenes Setup so das Spam usw. erträglich ist oder wenn Kunde mail extern möchte dann soll er komplett extern Mail machen.


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045



Reply | Threaded
Open this post in threaded view
|

Aw: AW: Incoming / Outgoing Server je Domain unterschiedlich hanhaben?

Heiner Mueller
In reply to this post by Uwe Drießen
Hi,
 
der MX/Domain liegt bei uns dh wir können den beliebig setzen. Im Moment zeigt er auf unseren Mailserver, künftig auf den DL.
 
Auch ohne MX-Eintrag spricht technisch ja nichts dagegen einfach mal nachzusehen, ob unter <domain.de> evtl. auch ein Mailserver antwortet, der Mails für die Domain annimmt.
Außerdem kann die Info auch irgendwo in einer Spammer-DB stecken, dass in der Vergangenheit da SPAM erfolgreich war.
 
Nein - der Kunde kann nicht direkt über den DL abholen - das ist kein Postfach sondern nur ein Filter-Dienst. Direkt versenden ebenfalls nicht. Es wäre nur möglich, dass es ausgehend eben nicht Unter Mailserver > DL geht, sonder Unser Mailserver > direkt raus. Und ja - kommt zuviel durch - und bei Test mit DL - praktisch 0. Außerdem ist da auch das AV-Thema besser abgedeckt (zB ATD)
 
Ralymaps ist dann für ausgehend?
Und eingehende Richtung war glaube ich etwas mit recipient_access oder so?
 
 
 

Ja wo ist denn der MX ?
Liegt der MX beim Dienstleister oder bei dir
In dem Moment wo dein Mailserver lt. DNS nicht als MX genannt wird schickt keiner an deinen Mailserver für die Domain Mails


> 2. Ausgehende Mails von o.g. Domains, sollen ebenfalls über den DL
> verschickt werden (quasi so ne Art Smart Host)

Relaymaps

Und warum sollen die Mails dann überhaupt noch über deinen Server laufen ?
Kann der Kunde dann doch gleich bei seinem "Maildienstleister" abholen und einkippen.

Schneller einfacher, weniger Aufwand

Und warum will der Kunde das ? kommt zu viel durch ?
 
Reply | Threaded
Open this post in threaded view
|

Re: AW: Incoming / Outgoing Server je Domain unterschiedlich hanhaben?

Igor Sverkos-2
Hallo,

im Prinzip stimme ich Uwe zu. So etwas will man vermeiden,
denn langfristig wird das Ärger geben: Kunde erwartet eine
Mail die nicht da ist und wird erst einmal bei Dir nachfragen.

Du kannst dann nur mit den Schultern zucken und auf den Anti-
SPAM-Dienstleister verweisen...


Ansonsten ist das ein traditionelles Backup MX Setup mit dem
Unterschied dass nicht jeder für besagte Domain bei Dir einkippen
können soll.

Habt ihr geklärt ob Ihr weiterhin filtern sollt? Das könnte
dann dazu führen, dass Ihr den Anti-SPAM-Dienstleister zum
Backscatter macht. ¯\_(ツ)_/¯

Was ich machen würde: Diese Mails über einen eigenen SMTPd
entgegen nehmen (eigener Port). Dann muss euer Haupt-MX
nichts von der Domain wissen, d.h. es gibt keine Gefahr dass
trotzdem jemand direkt bei Euch versucht Mails vorbei am
filternden Dienstleister einzukippen und gleichzeitig kann der
dedizierte SMTPd so konfiguriert werden, dass hier nur der
Dienstleister rein kann. Bonus: Du hast diese Mails dann
automatisch "gekennzeichnet" (durch den Eintrittspunkt in Deinem
System) und kannst sie bequem am eigenen SPAM-Filter etc.
vorbeischaufeln.


--
Ich Grüße,
Igor