Probleme bei abweichender Maildomäne (wegen Reverse Lookup)?

[blob 10]

Hallo Zusammen,

 

ich diskutiere gerade mit einem Exchange Fachmann.

 

Wir halten es in der Firma so, dass bei kleinen Unternehmen ein Exchange 2003 auf einer Maschine installiert wird, und dann mit eMails mittels PopCon oder PopBeamer versorgt wird, welcher die Mails natürlich erst vom Provider abruft. Mails versendet der Exchange dann über den Provider als Smarthost.

 

Nun gibt es ja die Sicherheitsabfrage, ob die Mail die mir gesendet wird auch tatsächlich von einem authorisierten Server innerhalb der Absenderdomäne stammt, Stichwort (?) "Reverse Lookup".

 

Bei unseren kleinen Konstellationen ist die Firmendomäne zb. firma.loc, beim Provider zB 1&1 wird die gemietete Domäne firma.de gehostet. Der Exchange hat natürlich dann die Domäne firma.de eingetragen, obwohl der Exchange Server im LAN der Firma steht. Folglich müsste ja die ausgehende Mail mit dem Server Exchange.firma.loc "gelabelt" werden, wenn diese dann über den Smarthost gesendet wird. Größere Provider müssten dann also folglich die Mail ablehen, da der Absender "Mitarbeiter@firma.de" ist aber der Serveri m Quellcode "Exchange.firma.loc" heisst.

 

Das wäre für mich logisch, aber ich habe bis jetzt noch keinerlei Probleme diesbezüglich gehabt und bei der SBS - Exchange Variante geht es ja auch nicht anderst (ausser ich nenne meine interne Domäne = externe Domäne und füge beim Provider einen Mail X Changer hinzu).

 

Jetzt weiss ich nicht ob ich bei den Kunden doch (trotz das MS es nicht empfiehlt) die interne gleich der externen Domäne bennen soll oder (zum Beispiel) die versendete eMail dann nicht vom Exchange im LAN, sondern vom Smarthost über den es gesendet wird, gelabelt wird. <= Das wäre meine Vermutung warum es trotzdem funktioniert.

 

Weiss jemand Näheres?

[blob 10]

Nun auch alle ratlos? :-)

[NorbertFe 2.032]

Wir halten es in der Firma so, dass bei kleinen Unternehmen ein Exchange 2003 auf einer Maschine installiert wird, und dann mit eMails mittels PopCon oder PopBeamer versorgt wird, welcher die Mails natürlich erst vom Provider abruft. Mails versendet der Exchange dann über den Provider als Smarthost.

 

OK.

 

Nun gibt es ja die Sicherheitsabfrage, ob die Mail die mir gesendet wird auch tatsächlich von einem authorisierten Server innerhalb der Absenderdomäne stammt, Stichwort (?) "Reverse Lookup".

 

Naja, wenn du zum Smarthost deines Providers schickst (normalerweise authentifiziert), dann ist deine Domain eigentlich überflüssig, da dein Provider dann für die korrekte DNS/SMTP Konfig verantwortlich ist.

 

 

[Quoe]Bei unseren kleinen Konstellationen ist die Firmendomäne zb. firma.loc, beim Provider zB 1&1 wird die gemietete Domäne firma.de gehostet. Der Exchange hat natürlich dann die Domäne firma.de eingetragen, obwohl der Exchange Server im LAN der Firma steht.

 

Logisch.

 

Folglich müsste ja die ausgehende Mail mit dem Server Exchange.firma.loc "gelabelt" werden, wenn diese dann über den Smarthost gesendet wird.

 

Wird sie auch, wenn du es nicht anders konfigurierst.

 

Größere Provider müssten dann also folglich die Mail ablehen, da der Absender "Mitarbeiter@firma.de" ist aber der Serveri m Quellcode "Exchange.firma.loc" heisst.

 

Warum sollten "größere" Provider das tun? Du authentifizierst dich zum Relayen bei deinem Provider. Damit ist das normalerweise gegessen. Wenn du direkt "per DNS versenden" würdest, dann müßtest du dafür sorgen, dass dein EHLO String korrekt aufgelöst würde. Allerdings halte ich persönlich diese Filterung für wenig bis gar nicht effektiv.

 

 

Das wäre für mich logisch, aber ich habe bis jetzt noch keinerlei Probleme diesbezüglich gehabt und bei der SBS - Exchange Variante geht es ja auch nicht anderst

 

Warum nicht?

 

(ausser ich nenne meine interne Domäne = externe Domäne und füge beim Provider einen Mail X Changer hinzu).

 

Neee. Irgendwie verwechselst du da jetzt ne Menge.

 

Jetzt weiss ich nicht ob ich bei den Kunden doch (trotz das MS es nicht empfiehlt) die interne gleich der externen Domäne bennen soll

 

Nicht notwendig, aber möglich. Wo steht, dass MS es nicht empfiehlt?

 

oder (zum Beispiel) die versendete eMail dann nicht vom Exchange im LAN, sondern vom Smarthost über den es gesendet wird, gelabelt wird. <= Das wäre meine Vermutung warum es trotzdem funktioniert.

 

Exact. Dein Smarthost (provider) ist dafür verantwortlich, sobald er deine Mail von dir bekommen hat.

 

Bye

Norbert

[blob 10]

Im SMTP Header von einer solchen Nachricht steht folgendes:

 

Return-path: <Peter.Tester@abc-versicherungen.de>Delivery-date: Tue, 07 Oct 2008 12:13:03 +0200

Received: from mi025.mc1.hosteurope.de ([80.237.138.230])

by gonzo.webpack.hosteurope.de running ExIM using esmtp

id 1Kn9Yt-0004H0-O7; Tue, 07 Oct 2008 12:13:03 +0200

Received: from wp038.webpack.hosteurope.de ([80.237.132.45])

by mx0.webpack.hosteurope.de (mi025.mc1.hosteurope.de) using esmtp id 1Kn9Ys-0002kU-D1 for blob@xyz.de; Tue, 07 Oct 2008 12:13:03 +0200

Received: from pd95b77f0.dip0.t-ipconnect.de ([217.XXX.XXX.XXX] helo=ex1.abc.de); authenticated

by wp038.webpack.hosteurope.de running ExIM using esmtpa

id 1Kn9Yr-0006HZ-GG; Tue, 07 Oct 2008 12:13:02 +0200

 

In Rot erkennt man die Absenderadresse, weiter unten dann aber den Namen vom Exchange Server, der die Mail über den Smarthost von Hosteurope (mit authentifizierung) an mich gesendet hat. Interpretiere ich den Header so, dass es sich um die Sende-Historie handelt, also welcher Mailserver die in den Händen hielt?

[NorbertFe 2.032]

authentifizierung) an mich gesendet hat. Interpretiere ich den Header so, dass es sich um die Sende-Historie handelt, also welcher Mailserver die in den Händen hielt?

 

Ja genau. Nennt sich Header ;) Jeder Mailserver der die Mail relayed sollte sich dort verewigen. Man könnte auch Header-Filterung in x-facher Tiefe aktivieren, aber wie gesagt, die Filterung auf dieses Kriterium halte ich für fragwürdig.

 

Bye

Norbert

[blob 10]

"Fragwürdig" in der Hinsicht, das es so oder so nichts bringt also kein Schutz bietet? Wie sieht es in der Praxis aus? Wer macht so ein Reverse Lookup als Sicherheitsfilterung, bzw kennt jmd einen Provider wo das so gehandhabt wird?

 

Weil meine Mailadresse als mustermann@firma.de kommt von einem Mailserver mit FQDN exchange.firma.loc, so dass es als nicht vertrauenswürdig eingestuft werden könnte. Möchte eigentlich nur wissen, ob mir das mal Probleme bereiten würde :-)

[NorbertFe 2.032]

"Fragwürdig" in der Hinsicht, das es so oder so nichts bringt also kein Schutz bietet?

 

Fragwürdig, weil das für mich ein unsinniges Filterkriterium ist. Siehst du ja an deinem Beispiel. ;)

 

Wie sieht es in der Praxis aus? Wer macht so ein Reverse Lookup als Sicherheitsfilterung, bzw kennt jmd einen Provider wo das so gehandhabt wird?

 

Sicher machen das viele, nur ob die auch alle dahingehend rejecten ist eine andere Frage :)

Ich zitier mal meine Hilfe Datei:

"The "Blacklist if the HELO/EHLO domain... is not an FQDN" option

Blacklists the email if the domain is not a Fully Qualified Domain Name (FQDN). Email transmission standards require the HELO/EHLO domain to be an FQDN, but many servers, mostly Exchange servers, violate this requirement. Use this option as a policy enforcement tool only."

 

Weil meine Mailadresse als mustermann@firma.de kommt von einem Mailserver mit FQDN exchange.firma.loc, so dass es als nicht vertrauenswürdig eingestuft werden könnte. Möchte eigentlich nur wissen, ob mir das mal Probleme bereiten würde :-)

 

Wer oder was hindert dich denn deinen HELO String anzupassen? ;)

 

Bye

Norbert

[blob 10]

wie passe ich den an? ;-)

[NorbertFe 2.032]

wie passe ich den an? ;-)

 

faq-o-matic.net SMTP richtig eingerichtet unter Windows 200x

 

Bye

Norbert

[blob 10]

Vielen Dank!