• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Einbindung externer Webserver für Versand von Kontaktformular

mabu

Well-known member
Hallo.

Es geht um einen Webserver, der u.a. Einträge in einem Kontaktformular per Mail ausliefern soll.

Noch ist die Konfig so, dass der Webserver von der Domäne (anonymisiert) testtest.de mit einer längeren kryptischen Mailadresse schickt. testtest.de ist unsere Hauptmaildomain. Diese Mail wird nur vom Webserver an unsere eigene info@-Adresse geschickt (also ansonsten keine weiteren Empfänger irgendwo auf der Welt).

Im SPF-Record sind die drei DNS-Namen, die der Webauftritt insgesamt inkl. Failover nutzen kann, mit enthalten.

Seit Einführung des NSP haben wir dies so gelöst, dass die drei Server unter "E-Mail-Server des Unternehmens" mit eingetragen sind. Zusätzlich gibt es dann eine Regel, die Mails von genau diesem einen Absender an *@testtest.de zulässt.

Ich möchte nun davon weg, dass der externe Webserver unter unserer Hauptdomäne Mails verschickt (auch, um die Einträge bei "E-Mail-Server des Unternehmen" weg zu bekommen).

Idee 1: da wir die Domäne testtest.org auch registriert haben, passe ich DNS-Konfig soweit an, dass die Webserver für diese Domain versenden können. Die Mails werden dann von ... @testtest.org an info@testtest.de geschickt. Muss nur NSP so anpassen, dass diese Mails auf jeden Fall angenommen werden.

Idee 2: ich richte einen "eingehenden Sendekonnektor" ein.
  • Unter Smarthost die drei externen Server mit Port 25
  • Unter Authentifizierung dann einen Benutzer mit starkem Passwort
  • "Verlange StartTLS", damit nur TLS-Verbindung möglich ist
  • "DNS-Routingeinschränkungen" muss ich evtl. anpassen (obwohl der Konnektor ja eigentlich nur von den 3 Servern genutzt werden sollte) ???
Damit sollte der Webserver ja eine direkte SMTP-Verbindung zum NSP-GW aufbauen können. Der Webserver kann bei 250er Response die Nachricht wegschmeißen und bei anderen Fehlern entweder neu versuchen oder (je nachdem wie lange die SMTP-Verbindung dauert) dem Nutzer, der da gerade das Kontaktformular abschickt, vielleicht sogar noch anzeigen, dass Übertragung nicht funktioniert hat. Hier müsste man in der Praxis schauen, was man bei Problemen in der SMTP-Übertragung da abfeiern kann.


Mir fehlt hier komplett die Praxis, wie man das am besten baut. Die Webserver stehen halt beim Hoster, so dass mir hier auch keine andere Verbindung als sicherer Mailversand einfällt.

Wie würdet Ihr das lösen? Bin mir nicht sicher, mit welchen Vorschlägen die Werbeagentur für den Internetauftritt nächste Woche so kommen wird.
 
Guten Morgen Martin,

Idee 1:
Würde super funktionieren, dann wird die E-Mail als von extern betrachtet und kann ganz normal behandelt werden.
Je nach dem was gewünscht ist evtl. die einfachste und unabhängigste Lösung, grade wenn es nur E-Mails nach intern sind.

Idee 2:
Das funktioniert nicht ganz so wie du dir das vorstellst.
Der "eingehenden Sendekonnektor" wir benutzt um empfangene E-Mails weiter zu leiten. Wenn hier als Smarthost die Adressen des Webserver angegeben werden würden also eingehende E-Mails an den Webserver weitergeleitet werden.

Das gewünschte Verhalten aus Idee 2 kannst du aber mit SMTP AUTH umsetzen. Dieses wurde mit 13.1 im NSP implementiert und ist bei den "E-Mail Servern des Unternehmens" zu finden.
Damit dies überhaupt genutzt werden kann muss zwingend TLS genutzt werden.
Diesen Weg nutzen wir z.B. auch selbst um E-Mails vom Forum an die Benutzer oder uns intern zu senden.

Aktuell gibt es noch ein kleines Problem weshalb sich nicht alle Systeme per SMTP AUTH verbinden können, dies ist aber schon behoben so dass es mit dem kommenden Update reibungslos klappt. Ausprobieren könntest du es aktuell dennoch.


EDIT:
Beim SMTP AUTH ist evtl. eine Regel für die eingehenden E-Mails nötig um eine Verschlüsselung nach intern zu vermeiden.

Gruß,
Jan
 
Guten Abend Martin,
Wie würdet Ihr das lösen? Bin mir nicht sicher, mit welchen Vorschlägen die Werbeagentur für den Internetauftritt nächste Woche so kommen wird.
ich habe bei uns lange mit derselben Thematik beschäftigt. Schlussendlich habe ich mich dafür entschieden einen separaten E-Mail-Server bei einem Webhoster aufzusetzen. Dieser basiert auf Postfix und agiert völlig autark von unseren eigentlichen E-Mail-Servern. Weil das System zu 99% versendet halte ich an der Stelle eine NSP Instanz für unwirtschaftlich. Natürlich muss dafür Sorge getragen werden, dass evtl. Bounces auch beim Postmaster (=dir) ankommen. Das ist aber mit Hilfe Weiterleitungen und SRS natürlich möglich.

Der Hauptgrund ist die vermeidliche Sicherheitslücke im CMS, eine Spam-Attacke über ein Formular, etc.... In den meisten Fällen landet dann erst einmal die IP-Adresse des externen E-Mailsystems auf den DNSBL. D.h. unser eigentliches E-Mailsystem ist weiterhin (un)eingeschränkt nicht betroffen. Das nimmt bei uns einen hohen Stellenwert ein.

Wir gehen aktuell sogar noch einen Schritt weiter. Auf dem externen E-Mail-Server erhält jede Internetpräsenz ein eigenes Benutzerkonto für den E-Mailversand. Somit können integrierte Funktionen von PHP wie mail() oder Linux Sendmail ohne Zugangsdaten keinen Schaden anrichten. Zudem ist bei einem Vorfall einfacher und schneller einzugrenzen, welcher Internetauftritt der Verursacher ist. Das ist natürlich alles mit Aufwand und Planung verbunden.


Gruß,
Daniel
 
Zurück
Oben