Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 4 subscribers
  • Views 298 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

eMail-Protection im MTA-Mode für 2 Mail-Domänen

Jürgen Grundmann

Hallo,

XG-135 mit aktueller Firmware, externe IPs IP1 ... IP5, eigener Mail-Server (Server1) für die Domäne firma1.de (mail.firma1.de), MX-Record definiert auf externe IP2

Die Firewall ist im MTA-Mode für die Mail-Domäne firma1.de auf die externe Adresse IP2 konfiguriert und funktioniert:

- SMTP-Policy für Domäne firma1.de mit Static Host Server1

- relay settings: Allow relay from Host/networks Server1

- Firewall Policy: SMTP[S], SMTP erlaubt

Es existiert eine 2. Mail-Domäne firma2.eu mit eigenem Mail-Server Server2. Der MX-Record ist auf die externe IP3 (mail.firma2.eu) definiert.

Frage: Wie konfiguriere ich die eMail-Protection im MTA-Mode für beide Mail-Server bzw. -Domänen?

Eigene SMTP-Policy für Domäne firma2.eu mit Static Host Server2 und Erweiterung Relay settings um Server2?

Doch bei eMail-Protection - General settings kann ich unter SMTP settings - SMTP-hostname ja nur einen Mail-Server eintragen. Das wäre dann ja für eine der beiden Domänen definitiv der Falsche. Was natürlich bei der Sicherheitsüberprüfung beim Empfänger unweigerlich zu Problemen führt.

Das ganze setzt sich bei der SMTP TLS configuration fort: 2 Mail-Domänen, 2 Mail-Server --> 2 unterschiedliche Zertifikate

DKIM verification: beide Records eintragen?

Vielleicht kann mir jemand helfen.

Danke

Jürgen



This thread was automatically locked due to age.
Parents
  • 0

    Hallo Jürgen,

    ich hoffe, ich liege hier nicht falsch ...

    Ich denke, der sendende Server muss nicht zwingend zur E-Mail-Domäne passen.

    Mails meiner privaten Domain sendet auch irgendein 1und1-Mailserver und Microsoft hat auch bei o356 nicht für jede Domänen einen Server ...

    Servername+Zertifikat+RDNS usw müssen dann natürlich zum Server passen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • 0

    Hallo Jürgen,

    ich hoffe, ich liege hier nicht falsch ...

    Ich denke, der sendende Server muss nicht zwingend zur E-Mail-Domäne passen.

    Mails meiner privaten Domain sendet auch irgendein 1und1-Mailserver und Microsoft hat auch bei o356 nicht für jede Domänen einen Server ...

    Servername+Zertifikat+RDNS usw müssen dann natürlich zum Server passen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
  • 0 in reply to dirkkotte

    Hallo Dirk,

    Hintergrund meines Problems ist, dass anscheinend t-online vor einiger Zeit ihre Sicherheitseinstellungen angehoben haben. Seit dem werden unsere Mails mit einem nichtssagenden Error-Code abgewiesen. Mails an andere Server (gmail, gmx, web und viele unserer Kunden) erhalten die Mails. Ausschließlich t-online-Postfächer bzw. bei t-online gehostete Mail-Domänen machen Probleme.

    Mit mxtoolbox habe ich unseren Mail-Server geprüft: SPF, DKIM sind OK. DMARC ist nicht gesetzt (ist ja auch nicht zwingend). Das einzige Problem, was ich sehe, ist die Nutzung eines selbstsignierten Zertifikats.

    In der alten Konfiguration war der interne Mailserver über NAT-Regeln direkt erreichbar (fungiert als MTA für die Domäne). Sein interner Name server1.lokal.firma1.de (der auch als Absender im Header der Mail steht) kollidierte natürlich mit dem MX-Record mail.firma1.de. Selbst ein öffentliches Zertifikat, was ja auf server 1.lokal.firma1.de ausgestellt wäre, bringt ja nichts.

    Deshalb will ich auf MTA-Mode umstellen. Dann kann ich für mail.firma1.de ein öffentliches Zertifikat beschaffen und auf der Firewall hinterlegen.

    Mein Verständnis geht davon aus, dass dann MX-Record, Header-Information und Zertifikats-Infos korrespondieren und das t-online-Problem gelöst ist.

    Nun habe ich aus historischen Gründen (Firmenzusammenlegung) noch 2 weiter Domänen (altefirma1.de und altefirma2.de) mit jeweils einem eigenem Mail-Server.

    Meine Frage ist also: Wie konfiguriere ich den MTA-Mode für diese Konstellation? Welche öffentlichen Zertifikate für die 3 Mail-Server muss ich beschaffen (mail.firma1.de oder server1.lokal.firma1.de; analog die anderen beiden Server) und wie binde ich diese Zertifikate in der Firewall ein?

    Oder muss ich in den SPF-Record als zulässige Sender für die Domäne firma1.de neben mail.firma1.de auch mail.altefirma1.de und mail.altefirma2.de aufnehmen (analog bei den anderen beiden Domänen)?

    Aber vielleicht bin ich auch völlig auf dem Holzweg.

    Jürgen

  • 0 in reply to Jürgen Grundmann

    Das t-online / telecom Problem hatte ich auch schon mehrfach.

    Die akzeptierten einen Mailserver erst, wenn er gewhitelistet ist.

    Das hatten wir schon bei nem einfachen IP-Wechsel. Alle anderen spielten wieder mit unserem Kunden, nur die T.xxx Empfänger nicht.

    Evtl. ist es das gleiche Problem..?

    Ich glaube wir sind über die Fehlermeldung drauf gekommen. Was kommt denn da genau?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo Dirk,

    entschuldige, dass ich mich erst jetzt zurück melde.

    Das t-online-Problem konnte ich anscheinend lösen.

    Im spf-Record hatte ich nur die IP, die zum mx-Record gehört, aufgelistet. Eine entsprechende SNAT-Regel ist auf der Firewall konfiguriert. Im Header der gesendeten Mail steht auch die richtige IP.

    Received: from mail.firma.de ([aaa.bbb.ccc.xxx]) by mailin89.mgt.mul.t-online.de with

    Die Mails kamen nicht an.

    Dann habe ich im spf-Record als erlaubte IPs nicht nur die eine externe IP (aaa.bbb.ccc.xxx) angegeben, sondern den gesamten mir "gehörenden" IP-Bereich:

    v=spf1 mx a:mail.firma.de ip4:aaa.bbb.ccc.ddd/29 -all

    statt

    v=spf1 mx a:mail.firma.de ip4:aaa.bbb.ccc.xxx -all (aaa.bbb.ccc.xxx ist die IP, auf die der 
                                                        mx-Record verweist)

    und siehe da, es funktionierte. Warum auch immer.

    (Ich kam über die Fehlermeldung auf diese Lösung. Allerdings erst bei einer Fehlermeldung von einer Mail an eine private t-online-Adresse. Die Fehlermeldungen von bei t-online gehosteten Mail-Domänen führte völlig in die Irre.)

    Das hilft mir aber bei der grundsätzlichen Frage. wie konfiguriere ich den email-Schutz im MTA-Mode bei mehr als einem internen Mail-Server / mehreren Mail-Domänen, nicht weiter.

    Hast du da einen Ansatz?

    Jürgen

Unfiltered HTML