Eigener MX -Mailexchange- & Smarthost mit fester IP

Share

Mail Exchange Resource Record & Smarthost

Diese Anleitung stellt einen einfachen und sicheren Aufbau für einen
eigenen MX mit SMTP-Proxy/Mailproxy und Smarthost

vor. POPcon & Co sind keine Alternative, wenn man einen Internetanschluss mit fester IP Adresse hat.

Wer selber einen Aufbau von MX und Smarthost entwerfen und alle Möglichkeiten in Betracht ziehen will, findet hier alle benötigten Informationen:
Headerfaq

.
MX:

Der MX Resource Record (kurz MX) oder Mail Exchange Resource Record (kurz MX-RR) einer Internetdomain ist der DNS-Eintrag, der den für diese Domain zuständigen SMTP Server (bzw. Mailproxy) in Form einer Subdomain angibt. Die Subdmain muss nicht der Maildomain entsprechen, der MX von MeineDomain.de kann auch mail.IrgendeineDomain.de sein. An den/die Server im MX Eintrag werden alle der Domain Mails gesendet, ohne MX Eintrag keine Mails. Eine Trennung nach E-Mail Adressen ist nicht möglich, alle Mails an @MeineDomain.de werden an den/die Server gesendet, der im MX eingetragen ist.

Es gibt keine Notwenigkeit, dass andere DNS Einträge (z.B. Subdomains, also www.) identisch mit dem MX sind oder die gleiche IP Adresse haben, dann bräuchte man einen solchen Eintrag auch gar nicht.

Auch hat der MX mit dem Versand von Mails, also der Smarthost-Funktion nichts zu tun. Man kann also ohne Probleme seine Website auf dem Server des Internetprovider lassen und seinen eigenen Mailproxy direkt zum Empfangen (und ggf Senden) nutzen, der Webseitenprovider bleibt dann beim Mail Empfang und Versand außen vor. Benötigt wird lediglich ein Internetanschluss mit fester/static IP und ein SMTP/Mail Proxy (z.B. Email Protection Sophos UTM Astaro), der an diesem Anschluss läuft. Ein RDNS ist für die MX Subdomain nicht nötig, wird aber empfohlen.

.
Smarthost:

Ein Smarthost ist für den Mailversand notwendig und ist idR eine Subdomain mit einem RDNS. Der Smarthost kann, aber muss nicht identisch mit dem MX sein. Der Smarthost muss auch nicht eine Subdomain der Maildomäne sein. Viele Spamfilter bewerten es aber positiv, wenn  Smarthost = MX ist. Ein Smarthost benötigt eine feste IP; der SMTP Banner des Smarthostes sollte mit der Subdomain und der DNS Auflösung der IP identisch sein. In dieser Beschreibung ist der Smarthost gleich dem MX.

Ein Exchange Server kann zwar Mails direkt empfangen, aber ohne weitere Sicherheitsfeatures wie Greylisting, RBL, DKIM Prüfung etc. Versenden kann das Exchange Mails nicht selber (erst ab 2013 CU3) , er benötigt einen Smarthost (auch SMTP-Relay-Server, Mail-Relay-Server genannt). Einige Produkte können beide Funktionen, also SMTP-Proxy zum Empfang und Smarthost zum Versand (u.a. Sophos UTM Astaro).

.
Ein Beispiel:

Wenn jetzt Client A über GMX.de eine Mail an @neise.de sendet, sieht das so aus:

Eigener MX -Mailexchange- & Smarthost mit fester IP
Enlarge Image

Mails an @neise.de werden nicht bei einem Provider zwischengespeichert, sondern erreichen direkt den SMTP-Proxy unter der Subdomain utm.neise.de.  Entscheidend dafür ist der DNS MX Record, also ein MX Eintrag. Zusätzlich versende ich meine Mails auch über diese IP, nutze also die Smarthost-Funktion der Sophos UTM Astaro.

.
.
Voraussetzungen:

- Internetanschluss mit fester IP IPv4 (IPv6 wird bei SMTP zunehmend unterstützt) für den Mailproxy // Konstruktionen mit DynDNS und CNAME funktionieren nicht gut
-- Telekom, UnityMedia etc

- Einen DNS Eintrag für eine Subdomain für die feste IP zB mail., utm. oder mx.meineDomain.de // Der Name ist egal Der MX (also die Subdomain) muss nicht die gleiche Domain haben wie die Maildomaine, es müssen nur SMTP Banner, Subdomain <-> RDNS passen. Einen MX auf eine IP-Adresse zu setzten ist nicht zulässig.
-- Bei dem Provider der Internetdomain erstellen lassen

- Einen MX DNS Record zu der Internetdomain, der auf die bestehende Subdomain mit der festen IP zeigt
--  Bei dem Provider der Internetdomain eintragen lassen

- Einen RDNS Record analog dem der MX-Subdomain für die feste IP
-- bei dem DSL/Internetprovider zu beantragen, siehe Links

- Einen Mailproxy/SMTP-Proxy
-- z.B. Sophos UTM V9 Astaro

- Einen Mailserver
-- z.B. Exchange 2013

 

Optional, aber sinnvoll:
- DNS SFP Eintrag
Domainkey DKIM
- DMARC DNS
- IPv6 Adresse für den MX
.
.

Grundlegendes:
Der MX DNS Record besteht aus einer Subdomain (z.B. utm.neise.de = 92.50.88.102) und einer Priorät (z.B. 10) zu dem Eintrag.
Ein Smarthost hat eine Subdomain mit feste IP, passend zu der festen IP muss ein RDNS (PTR) erstellt werden, ansonsten wird man fast immer als Spammer behandelt. Jeder Provider, der feste IP Adressen vergibt, bietet das an.
Bei der Sophos UTM wird die erste öffentliche IPv4 Adresse zum SMTP-Relay genutzt, diese sollte also für MX und Smarthost konfiguriert werden.
"Additional Addresses" kann man nicht für den MX/Smarthost nutzen.

Als Beispiel:
Maildomain: @neise.de
Website: www.neise.de
Subdomain: utm.neise.de = 92.50.88.102
RDNS (PTR) 92.50.88.102 = utm.neise.de
MX: utm.neise.de
SMTP Banner = utm.neise.de (auch SMTP Hostname genannt)

MX = utm.neise.de = IP  92.50.88.102 = RDNS IP = utm.neise.de = Smarthost SMTP Banner   

[Der SMTP Banner wird z.B. der Sophos UTM in der Email Protection angegeben und heißt dort 'SMTP hostname' ]

Mit dieser Konfiguration lehnt die Sophos UTM die Mail auch nicht ab, wenn 'Do strict RDNS checks'  gemacht werden.

 

Mit dem Tool nslookup (Start -> Ausführen -> nslookup)  kann man sich alle DNS Einträge zu jeder Internetdomain anzeigen lassen:

set querytype=MX [= Nur die MX Einträge anzeigen lassen]   // set querytype=ALL [= Alle DNS Einträge]
neise.de [Die abzufragende Domain]
neise.de        MX preference = 10, mail exchanger = utm.neise.de [die Antwort]
Exit [Beenden]

Der MX der Internetdomain neise.de ist also utm.neise.de
Ping utm.neise.de ergibt 92.50.88.102

Abfrage RDNS, nslookup, neu gestartet:

92.50.88.102 [Abzufragende IP]
Name:    utm.neise.de Address:  92.50.88.102 [Antwort]

So kann man alle relevanten Informationen für einen eingerichteten MX abfragen und prüfen, ob alles paßt.

- Alle DNS Record immer mit TTL von 3600 Sekunden =(60 Minuten) erstellen lassen, wenn möglich
- Wohin die Mail gesendet wird, liegt an der angegebenen Priorität des MX Eintrages, die Niedrigste wird zuerst angesprochen. Dringend empfohlen sind  10 und 20,  10 und 100 führt oft zu falschem Ergebnis wg der Sortierung. Bei Ausfall des MX mit niedriger Priorität wird dann der nächst Höhere genommen.

.
.
Beispiel für mehrere MX für einer Domain

.
.

Folgende Vorgehensweise ist empfohlen:
- Beantragen Anschluss mit fester IPv4  (UnityMedia, Telekom, Kabel BW etc.)
- Einrichtung Subdomain zu der festen IP (z.B. mail.MeineDomain.de oder mx.meineDomain.de)
- Einrichtung RDNS zu der festen IP auf die gewählte Subdomain // DNS Replizierung RDNS kann 3 Tage oder länger dauern
- Installation Sophos UTM Astaro Mailproxy, Internetzugang über die feste IP
- Einrichtung Email Protection (Mail -SMTP-Proxy und Smarthost) in der UTM
- Ergänzung des bestehenden MX Eintrages um den neuen (Subdomain der eigenen festen IP) mit höherer Priorität // 10 und 20 nehmen
- Abschalten des alten Mailserver des Providers und löschen des alten MX Eintrages, alleiniger MX ist die neue Subdomain mit der festen IP // erst nach ca 14 Tagen "doppeltem" Betrieb

 

Beachten: MX DNS Records und RDNS werden nicht besonders zeitnah repliziert.

 

Wenn man mehrere Internetdomains besitzt, kann man den fertigen  MX Eintrag einfach übernehmen, so wie ich bei utmfaq.de [ v=spf1 mx:neise.de -all ]

 

 

Wenn Sie Standortvernetzung (Site to Site VPN) konfiguriert haben und mehrere Sophos UTM Astaro mit fester IP haben, gibt es auch interessante Lösungen weitere MX an verschiedenen Standorten zu nutzen, um so das Ausfallrisiko zu minimieren.

.
.

Hilfe gefunden? Laden Sie mich auf ein Bier ein! (click on Beck's)

.
.

Münster AD 2013 

Share