Mailinglistenserver hinter NoSpamProxy

[JensK]

Wir setzen gerade einen Mailinglistenserver mit mailman für ein paar Mailinglisten auf. Geplant ist, dass die Mailinglisten auf einer Subdomain liegen, z.B. ml.company.de, so dass wir uns nicht mit den Exchange-Adressen in die Quere kommen. Wir sind uns noch unschlüssig, ob wir den Server direkt ans Internet hängen oder den Mailverkehr über den vorhandenen NoSpamProxy laufen lassen. Das hängt auch von folgenden Fragen ab:

Falls wir es über den NoSpamProxy laufen lassen, würden wir die Subdomain vermutlich als weitere Unternehmensdomäne anlegen müssen und über einen zweiten eingehenden Sendekonnektor den Verkehr für diese Domain auf den Server mit mailman schicken. Mit höheren Kosten würde per Default weiterhin alles andere zu Exchange gehen. Soweit wäre uns die Konfiguration klar.

Allerdings müssten wir in der Konstellation wohl auch die Mailinglisten als Unternehmensbenutzer anlegen. Mailman erfordert darüber hinaus auch einige zusätzliche Adressen pro Mailingliste, in regulären Ausdrücken sehen die Adressen so aus:

/^mailingliste@ml\.company\.de$/
/^mailingliste-bounces(\+.*)?@ml\.company\.de$/
/^mailingliste-confirm(\+.*)?@ml\.company\.de$/
/^mailingliste-join@ml\.company\.de$/
/^mailingliste-leave@ml\.company\.de$/
/^mailingliste-owner@ml\.company\.de$/
/^mailingliste-request@ml\.company\.de$/
/^mailingliste-subscribe@ml\.company\.de$/
/^mailingliste-unsubscribe@ml\.company\.de$/

Vermutlich werden die -bounces* und -confirm* Adressen aufgrund der varibalen Endung Probleme machen, da sie nicht genau festgelegt werden können.

Gibt es hierfür Lösungen oder wäre NoSpamProxy nicht geeignet, um einen Mailinglistenserver dahinter zu hängen?

Ich freue mich über einen kleinen Denkanstoß!

Vielen Dank im Voraus,
Jens

 

[Sören]

Ihr müsst die Adressen nicht als Unternehmensbenutzer anlegen im NSP.

Sender oder Empfängerprüfung passiert ja auf der inbound oder outbound Regel. Da könnte man regeln für die sub domain anlegen und es in den Regeln deaktivieren.

Ich hätte eher bedenken, dass ihr die Public IP des nsp verbrennt weil ihr vlt auf Spam Listen landet.

 

[869288141]

Wir sind uns noch unschlüssig, ob wir den Server direkt ans Internet hängen oder den Mailverkehr über den vorhandenen NoSpamProxy laufen lassen

Mailinglisten würde ich niemals über die selben E-Mail-Server laufen lassen, wie die Unternehmens E-Mails. Da hast du früher oder später Ärger mit Blacklists, etc. Und dann ist auch die Unternehmen Kommunikation gestört. Nimm dazu einen dedizierten Server, der nichts mit eurer bisherigen E-Mail-Infrastruktur zu tun hat. Am Besten bei einem Webhoster, wegen der Bandbreite oder falls doch mal ein IP Wechsel erforderlich ist.

Falls wir es über den NoSpamProxy laufen lassen, würden wir die Subdomain vermutlich als weitere Unternehmensdomäne anlegen müssen und über einen zweiten eingehenden Sendekonnektor den Verkehr für diese Domain auf den Server mit mailman schicken

Eine Subdomain würde ich auch hier immer nutzen, unabhängig ob dedizierte oder shared Infrastruktur. Um zum einen eine logische Trennung vorzunehmen, aber auch bei evtl. Missbrauch keine weiteren Schäden in der Unternehmenskommunikation zu haben.

Dazu eine kl. Geschichte aus meinem Berufsleben:
Solch ein ähnliches Konstrukt habe ich vor 14 Jahre von meinem Vorgänger geerbt. Es hat mich fast 3 Jahre gekostet, bis alles gerade gezogen war. Es musste sozusagen die komplette E-Mail Infrastruktur neu aufgebaut werden. Die öffentliche IP-Adressen waren so verbrannt, dass sogar die Jungs der DTAG freiwillig einen Tausch vorgeschlagen haben. Teilweise ein offenes Relay auf einem SMTP Relay eingerichtet. Für Mailing und Kundenkommunikation die selbe Domain, was mehr und mehr DNS Blacklisting nach sich zog. Keine Techniken wie SPF und DKIM/DMARC, keine Rate Limits, etc. Es war eine lehrreiche Zeit, viel zu SMTP gelernt aber brauche ich kein zweites Mal.


Gruß,
Daniel

 

[JensK]

Ihr müsst die Adressen nicht als Unternehmensbenutzer anlegen im NSP.

Sender oder Empfängerprüfung passiert ja auf der inbound oder outbound Regel. Da könnte man regeln für die sub domain anlegen und es in den Regeln deaktivieren.

vielen Dank für den Hinweis. Ich hatte nur an die Standardregel "all other inbound" gedacht, die ja Unternehmensbenutzer prüft. Aber natürlich kann ich hier eine Kopie mit Adressmustern für die Subdomain des Mailinglistenservers anlegen. Das war wohl das berühmte Brett vorm Kopf...

Ich hätte eher bedenken, dass ihr die Public IP des nsp verbrennt weil ihr vlt auf Spam Listen landet.

Ja, die Bedenken haben wir auch. Daher hatten wir aktuell geplant, die abgehenden Mails des Mailinglistenservers mit eigener IP direkt (ohne NSP) ins Internet zu senden. Die Überlegungen oben betrafen die eingehenden Nachrichten (MX für Mailinglistendomain), damit wir die Mails vorgefiltert an mailman weiterreichen. Oder denkt ihr, dass auch die MX-IP mitverbrannt werden könnte?
[Es sind übrigens keine öffentlichen Mailinglisten, dennoch kann natürlich ein Provider beim Empfang von ~100 gleichartigen Mails mal fälchlicherweise Spam annehmen]

Jens

 

[Sören]

Oder denkt ihr, dass auch die MX-IP mitverbrannt werden könnte

Nein, das sollte dann nicht passieren