2. eigener Mailserver

[mkoch]

Hallo Forum,

wir nutzen noSpamProxy für unsere Office365-Instanz. Klappt soweit.

Wir haben zusätzlich noch einen weiteren Mailserver auf einer anderen .com-Domain bei einem anderen Provider. Über diesen Server verschicken wir ganz normal per SMTP Mails an externe Empfänger und eben auch an unsere Office365-Domain.

Frage: wie stelle ich am sicher, dass beim Mailverkehr vom 2. eigenen Server an die Office365-Empfänger eine möglichst niedrige SPAM-Schwelle eingestellt ist (der 2. Mailserver verschickt oft nur kurze Statusmeldungen oder Logfiles oder ähnliches was gerne Mal fälschlich als Spam erkannt wird), aber dennoch sichergestellt ist, dass die Mail auch wirklich von unserem 2. Server kommt und nicht einfach nur ein die Absenderadresse danach aussieht.

DNS-Einträge am 2. Mailserver können angepasst werden, nur der MX soll nicht auf noSpamProxy umgestellt werden.

Viele Dank
Markus

 

[JanJäschke]

Hallo Markus,

könntet ihr denn am zweiten Server auch das Routing generell splitten?

Ansonsten wäre es von Vorteil wenn Ihr eine feste IP Adresse habt, dann könnt ihr einfach eine Regel erstellen. Dies wäre definitiv der einfachste und schnellste weg

 

[mkoch]

Hi Jan,

vielen Dank für Deine Antwort.

Eigene IP haben wir da leider nicht...
Was genau meinst Du mit Routing splitten? Am anderen Server kann ich leider technisch nicht über 0365 verschicken, da kann ich nur ganz klassisch SMTP

 

[JanJäschke]

Dann hast du nur wenig spiel:
- E-Mail Adresse (wie schon festgehalten nicht sehr sicher
- SMTP Auth (schätzungsweise nicht machbar)
- TLS Zertifikat
- falls ihr ein eigenes/auf euch gemünztes TLS Zertifikat hättet könnte man darüber gehen
- SPF Record
- falls es eine eigene Domäne ist wäre das hier denkbar, jedoch hätte das auch Einfluss auf andere E-Mails von der Domäne

 

[mkoch]

einen SPF Record könnte ich hinterlegen. Muss ich in NoSpamProxy dann eine weitere Unternehmensdomain mit diesem SPF anlegen (ohne die weiteren DNS-Einträge für MX, CNAME usw).? In der NoSpamProxy-Regel kann ich soweit ich das gesehen habe ja nur nach Emailadresse prüfen und nicht direkt nach SPF

 

[JanJäschke]

Ja du musst dann die Domäne im NSP hinterlegen und bei den E-Mail Servern des Unternehmens den für SPF, dort dann bitte auf die Domäne beschränken.

Danach wirst du noch eine "intern" an "intern" Regel brauchen, diese kannst du dann noch zusätzlich (wenn gewollt) auf die E-Mail Adresse münzen um das ganze möglichst strickt zu handhaben. (Durch den SPF "Server" wird die E-Mail als intern betrachtet)

 

[mkoch]

d.h. eine Regel anlegen bei der die Benutzergruppe für "MAIL FROM" die Emailadressen des 2. Mailservers hinterlegt sind und bei "Empfänger" die Benutzergruppe der 0365-Benutzer? Wäre das eine "intern" zu "intern" Regel oder wie kennzeichne ich diese?


denn die bestehende "Internal communication" kann ich ja nicht verändern

 

[JanJäschke]

Argh da habe ich beim schreiben vergessen, dass du Cloud Kunde bist :S

Dein Regelbeispiel sollte prinzipiell dennoch greifen denn deine eigenen Regeln werden vor den Standardregeln verarbeitet.
Sollte sie es nicht würde dann die "intern" Regel greifen und du könntest die Regel selbst nicht weiter einschränken, dies ist derzeit eine Limitierung der Cloud.

 

[mkoch]

genügt es, wenn ich den SPF-Eintrag im DNS anlegen oder brauche ich die TXT und CNAME auch noch?

 

[JanJäschke]

Die TXT Validierung musst du machen, damit prüfen wir, dass du auch Inhaber der Domäne bist =)
SPF brauchst du nur falls unsere Systeme jemals auch E-Mails nach extern im Namen dieser Domäne verschicken sollten. Falls du das nicht ausschließen kannst solltest du den ebenfalls mit setzen.
Ansonsten ist natürlich wichtig, dass in dem SPF auch zusätzlich das externe System drin steht

 

[mkoch]

alles klar, TXT habe ich angelegt, jetzt meckert er CNAME an, aber die brauche ich wohl nicht.

die externe Domain liegt beim Provider "Mittwald" und dessen Mailserver steht im SFP bereits drin, sollte also passen.

Muss ich dann überhaupt noch eine Regel anpassen oder wird damit der Mailverkehr schon als "intern" erkannt?

 

[JanJäschke]

Prinzipiell sollte das nun auch schon direkt funktionieren =)

 

[mkoch]

irgendwo muss ich noch einen Fehler haben, denn wenn ich die Domain als Unternehmensdomain ohne CNAME und ohne MX hinterlege, bekomme ich beim Mailversand vom 2. Mailserver an den noSpamProxy-Mailserver folgende Meldung im Empfängerpostfach:

 

[869288141]

irgendwo muss ich noch einen Fehler haben

Was steht denn in NSP in der Nachrichtenverfolgung. Da sieht man in der Regel mehr als in der E-Mail die an den Absender verschickt wird.

Abgesehen davon halte ich es für gefährlich ein Shared E-Mail-Server wie der Genannte, mehr oder weniger auf deinem NSP Instanz auf Durchzug zustellen. Weil du hast keinerlei Kontrolle was bei Mittwald geschieht. Da hab ich leider auch bereits mehrfach böse Erfahrungen gemacht.

 

[JanJäschke]

Die Nachrichtenverfolgung wäre hier wirklich recht interessant, ggf. gibt es auch noch einen Grund, dass die Regel nicht greift ....
(Direkt sehen was los ist würden wir im Log, dafür müsstest du aber ein Ticket eröffnen)

 

[mkoch]

Guten Morgen und vielen Dank,

ich habe eben https://www.nospamproxy.de/de/support/supportanfrage ein E-Mail über das Kontaktformular mit weiteren Infos dazu geschickt.