• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

  • Zertifikate vom Deutschen Forschungsnetz beziehen (Harica CA)? Klick

SMTP-Versand von Webserver über NSP mit "SMTP AUTH"

M

mabu

Well-known member
Registriert
19 Dezember 2019
Beiträge
347
Reaktionspunkte
26
Hallo.

Evtl. habe ich das schon einmal gefragt. Muss aber wegen zeitnahmen Bedarf doch noch einmal dazu fragen.

Bei uns wird demnächst ein neuer Webserver in Betrieb genommen und dieser wird dann wohl WordPress nutzen. Dazu gibt es ja auch diverse SMTP-AddIns für den Mailversand.

Nun soll der Webserver laut Marketing auch nicht nur Mails an interne Adressen bei uns im Haus schicken (Kontaktformular, etc) sondern wohl auch Mails nach extern. Und wegen DKIIM und Reject-DMARC-Einstellung müssten diese Mails dann wohl über den NSP verschickt werden.

Wenn ich das richtig in Erinnerung habe, kann ich dafür im NSP unter "E-Mail-Server des Unternehmens" einen Eintrag für "SMTP AUTH" vornehmen.

Ist dies dann die Lösung für dieses Konstrukt? Den dort angelegten User inkl. laaaangem Passwort in WordPress eintragen und dann sollte das mit dem Mailversand klappen? Im Regelwerk entsprechende Inbound-Regeln, damit diese Mails auch angenommen werden (haben wir aktuell für Mails vom alten Webserver auch schon)

Müsste mir dann nur was für Absendermailadresse überlegen (weiß nicht, ob das so in WordPress mit unterschiedlichen Absendern überhaupt möglich ist)
  • für Mails an interne Adressen eine kryptische Webserver_xxxxxx@ Mailadresse
  • für Mails nach extern noreply@ (und dazu eine Inbound-Regel, die Mails an noreply@ blockt?)
Gibt es ansonsten noch Hinweise, die hier relevant sein könnten? Oder übersehe ich da generell was?

PS: den Webserver direkt nach extern versenden lassen müsste ja wegen fehlendem DKIM problematisch sein
 
Hallo,
habe sowas ähnliches. Nextcloud Instanzen etc.
diese Mailen aber direkt über den Internen MailServer und der wiederrum über den NSP.
Ist das nicht möglich bei dir ?
 
mabu schrieb:
Müsste mir dann nur was für Absendermailadresse überlegen (weiß nicht, ob das so in WordPress mit unterschiedlichen Absendern überhaupt möglich ist)
Zum Vergrößern anklicken....
Was möchtest du mit dem Konstrukt erreichen? Wichtig wäre vermutlich eher der Anzeigename und der Return-Path.

mabu schrieb:
Gibt es ansonsten noch Hinweise, die hier relevant sein könnten? Oder übersehe ich da generell was?
Zum Vergrößern anklicken....
Folgende Punkte fallen mir ein:
  • Wir haben seit ca. 2 Jahren sämtliche E-Mails, welche von Newslettern, Webserver, CMS, etc. verschickt werden, von unserer regulären Domain getrennt. Damit meine ich nicht eine Subdomain (z.B. test.domain.de) sondern dedzierte Domain (domain.news). Somit ist sichergestellt, dass das Eine auf das Andere keine direkten Einwirkung hat (Rating, DNS BL, etc.). Setzt natürlich entsprechende Infrastruktur und Wissen voraus. Einrichten kann es vermutlich jeder. Aber im Fehlerfall zeigt sich wer seine Umgebung kennt.
  • Für jeden Service (z.B. Wordpress für einen Blog) ein dediziertes Postfach mit Authentifizierung verwenden. Nichts mehr ohne Auth umsetzen. Keine Mehrfachnutzung. Somit kannst du bei einem vermeidlichen Sicherheitsvorfall einfach das Konto sperren und gut ist.

Gruß,
Daniel
 
Das Konstrukt wäre aus meiner Sicht auch die erste Wahl :)
Noch besser wird es wenn du wie von Daniel beschrieben eine eigene Domäne dafür übrig hast, damit lässt sich einfach getrennter arbeiten.
Und noch eins obendrauf wird es so richtig flexibel wenn dein Webserver eine statische IP hat, am besten nur für dich.

Dann richtest du am Webserver alles ein und über das Regelwerk kannst du granular steuern.
Du brauchst eine Regel die den internen Traffic erlaubt (Intern an Intern) und eine ganz normal für ausgehend. Mit dem derzeitigen Standardregelwerk würde das (wenn die E-Mail Adresse als Benutzer angelegt ist) sofort funktionieren.
Wenn du nun mehr Kontrolle haben willst machst du eine eigene Regel für die IP oder E-Mail Adresse auf.
Innerhalb eines angelegten Benutzers mit der E-Mail Adresse könntest du dir die "Adressumschreibung" einmal anschauen: https://docs.nospamproxy.com/Server...porate-users/address-rewriting-setting-up.htm
Je nach Szenario kannst du damit die Adresse beeinflussen.
 
Komme jetzt erst dazu, mir Eure Rückmeldungen anzuschauen. Danke für die Infos.

Es handelt sich um einen Webserver (mit statischer IP), der von unserer Webeagentur bei IONOS gehostet wird. Somit scheidet die Nutzung über internen Mailserver aus.

Ich finde den Vorschlag mit einer dedizierten Domäne nicht schlecht. Jedoch fehlt mir gerade die Fantasie, wie wir das mit den Postfächern umsetzen wollen. Hintergrund: wir haben keinen eigenen dedizierten Mailserver sondern nutzen im RZ ein Multimandantensystem. Da ist es in der Praxis nicht so einfach, hier eine zusätzliche Domäne, das Routing und die entsprechenden Postfächer eingerichtet zu bekommen. Könnte mit der Adressumschreibung ja diese Mailadressen auf intern für unsere Maildomain erstellte Postfächer mit passenden Mailadressen arbeiten.

Weiß nur nicht, ob der Webserver Mails auch mit DKIM-Signatur verschicken kann. Die Konfig für SPF, DKIM, DMARC ist mir bekannt.

Bin vom Konstrukt her nicht sicher, ob wir über den NSP auch Mails von dieser Domäne verschicken müssten.

Nächste Woche ist ein Kollege aus dem Urlaub zurück. Müssen da mal im Detail drüber sprechen.

Meine Idee war bisher ja: der Webserver meldet sich per SMTP AUTH am NSP an und verschickt darüber die Mails. Das ist doch zumindest korrekt von der Möglichkeit her, oder?
 
mabu schrieb:
Es handelt sich um einen Webserver (mit statischer IP), der von unserer Webeagentur bei IONOS gehostet wird. Somit scheidet die Nutzung über internen Mailserver aus.
Zum Vergrößern anklicken....
Seit ihr alleiniger Nutzer oder sind da noch 40 andere, fremde Kunden drauf, gehostet?

mabu schrieb:
Jedoch fehlt mir gerade die Fantasie, wie wir das mit den Postfächern umsetzen wollen
Zum Vergrößern anklicken....
Naja, evtl. hättest du den vorherigen Satz schon initial nennen können. Ist ja schließlich kein unwichtiges Detail bei solch einem Konzept.

mabu schrieb:
Hintergrund: wir haben keinen eigenen dedizierten Mailserver sondern nutzen im RZ ein Multimandantensystem. Da ist es in der Praxis nicht so einfach, hier eine zusätzliche Domäne, das Routing und die entsprechenden Postfächer eingerichtet zu bekommen.
Zum Vergrößern anklicken....
Verstehe ich das richtig, der NSP steht bei euch im LAN äh DMZ. Dieser schickt die E-Mails an die E-Mailplattform, welche im RZ steht, weiter? Dort holt ihr dann eure E-Mails entsprechend mit dem E-Mail Client eurer Wahl ab... sprich 2 bzw. 4facher Traffic. Sachen gibt es...

mabu schrieb:
Weiß nur nicht, ob der Webserver Mails auch mit DKIM-Signatur verschicken kann. Die Konfig für SPF, DKIM, DMARC ist mir bekannt.

Bin vom Konstrukt her nicht sicher, ob wir über den NSP auch Mails von dieser Domäne verschicken müssten.
Zum Vergrößern anklicken....
Ich würde an deiner Stelle einfach ein E-Mail Paket bei einem verlässlichen Hoster (z.B. Core Networks) buchen. Dort die neue Domäne registrieren. Anschließend dort für jede Webseite ein E-Mail Postfach einrichten. Somit bist du autark, DKIM/DANE ist sozusagen an Board und du brauchst deinen NSP nicht verbiegen, aufbohren, etc. Weil ich bin mir nicht sicher, ob du das Konstrukt im Fehlerfall noch selbstständig und zeitnah debuggt bekommst.

Warum ich dir nicht empfehle das Ganze bei IONOS zu hosten? Weil ich auf Rollenspiele stehe. ;-) Ich bin inzwischen privat und beruflich seit über 10 Jahren ein großer Fan, Services wie Domain, DNS, E-Mail, Web, logisch zu trennen. Weil wenn einer der Anbieter sich am Markt verabschiedet, Blödsinn macht, etc. ist es deutlich einfacher einen Teilservice umziehen wie wenn das große Besteck ausgepackt werden muss. Und du kannst deutlich flexibler und einfacher auf Anforderungen reagieren.

mabu schrieb:
Meine Idee war bisher ja: der Webserver meldet sich per SMTP AUTH am NSP an und verschickt darüber die Mails. Das ist doch zumindest korrekt von der Möglichkeit her, oder?
Zum Vergrößern anklicken....
Grundsätzlich technisch möglich. Nur was passiert, wenn dein NSP für 10 Minuten, 4 Stunden, 2 Tage, 1 Woche nicht erreichbar ist. Wie viel Geld geht dann den Bach runter. Mögliche Imageschaden kann man selten mit Geld vergleichen.
 
869288141 schrieb:
Seit ihr alleiniger Nutzer oder sind da noch 40 andere, fremde Kunden drauf, gehostet?
Zum Vergrößern anklicken....
Der Webserver wird (hoffentlich) ein dedizierter alleine für uns sein. Da muss ich schauen, wie die Rückmeldung der neuen Werbeagentur die Tage sein wird. Bisher war es ein Root-Server und die alte Werbeagentur hat sich drum gekümmert. Die neue Agentur ist bis letzte Woche davon ausgegangen, dass wir den Webserver stellen (hat nur vorher keiner mit der IT gesprochen). Yippie

869288141 schrieb:
Verstehe ich das richtig, der NSP steht bei euch im LAN äh DMZ. Dieser schickt die E-Mails an die E-Mailplattform, welche im RZ steht, weiter? Dort holt ihr dann eure E-Mails entsprechend mit dem E-Mail Client eurer Wahl ab... sprich 2 bzw. 4facher Traffic. Sachen gibt es...
Zum Vergrößern anklicken....
Fast. Der NSP steht in der DMZ im Rechenzentrum (die Intranetrolle dort im internen Netz). RZ ist für die Verfügbarkeit der VM zuständig, wir für die Windows- und NSP-Updates sowie die NSP-Administration. Vom NSP geht es weiter an den Exchange. Und User arbeiten auf Citrix-Servern im RZ und nutzen Outlook.

869288141 schrieb:
Nur was passiert, wenn dein NSP für 10 Minuten, 4 Stunden, 2 Tage, 1 Woche nicht erreichbar ist. Wie viel Geld geht dann den Bach runter. Mögliche Imageschaden kann man selten mit Geld vergleichen.
Zum Vergrößern anklicken....
Das RZ geht davon aus, dass die Verfügbarkeit "sehr hoch" ist. Im Mailbereich hatten wir da bisher auch noch keine Probleme. Wir nutzen nur ein NSP-GW. Risiko ist halt da - auch beim bevorstehenen Update auf 15.5 am Samstag. Wir sind schon froh, dass mir mit dem NSP noch ein wenig Einfluss und Überblick haben, was da mit E-Mails passiert. Die Situation vorher über die Lösungen des RZs auch im Hinblick auf Mailverschlüsselung waren extrem teuer und für uns eine komplette Blackbox - von der vorhandenen Mailquarantäne mal ganz abgesehen.

869288141 schrieb:
Ich würde an deiner Stelle einfach ein E-Mail Paket bei einem verlässlichen Hoster (z.B. Core Networks) buchen. Dort die neue Domäne registrieren. Anschließend dort für jede Webseite ein E-Mail Postfach einrichten. Somit bist du autark, DKIM/DANE ist sozusagen an Board und du brauchst deinen NSP nicht verbiegen, aufbohren, etc.
Zum Vergrößern anklicken....
Hatte ich auch schon überlegt. Muss dabei nur mal durchgehen, was da theoretisch alles an Mails ankommen kann, um die wir uns wieder kümmern müssten (müssten wir aber auch, wenn es Mailadressen der Haupt-Domain wären). Das ist so schon eine große Menge an Funktionspostfächern, Weiterleitungen an das digitale Fallmanagement, Sonderlocken durch irgendwelche wilden internen Vorschläge, die wir nicht abblocken konnten.
 
mabu schrieb:
Die neue Agentur ist bis letzte Woche davon ausgegangen, dass wir den Webserver stellen (hat nur vorher keiner mit der IT gesprochen). Yippie
Zum Vergrößern anklicken....
An deiner Stelle würde ich die Chance ergreifen und das auch tun. Weil nichts schlimmeres als ein Server, welcher von der Agentur verwaltet wird und in der Regel mehr recht als schlecht eingerichtet ist. Lege dir dafür Keyhelp + KeyWeb (+ Managed Service) ans Herz.

869288141 schrieb:
Ich würde an deiner Stelle einfach ein E-Mail Paket bei einem verlässlichen Hoster (z.B. Core Networks) buchen. Dort die neue Domäne registrieren. Anschließend dort für jede Webseite ein E-Mail Postfach einrichten. Somit bist du autark, DKIM/DANE ist sozusagen an Board und du brauchst deinen NSP nicht verbiegen, aufbohren, etc. Weil ich bin mir nicht sicher, ob du das Konstrukt im Fehlerfall noch selbstständig und zeitnah debuggt bekommst.
Zum Vergrößern anklicken....
Mit der oben geschriebenen Lösung könntest du auch diesen Vorschlag gleich umsetzen und hättest keinen weiteren Anbieter an Board. Maximale Flexibilität, damit natürlich auch Verantwortung aber kostengünstig.

mabu schrieb:
Das RZ geht davon aus, dass die Verfügbarkeit "sehr hoch" ist. Im Mailbereich hatten wir da bisher auch noch keine Probleme. Wir nutzen nur ein NSP-GW. Risiko ist halt da - auch beim bevorstehenen Update auf 15.5 am Samstag. Wir sind schon froh, dass mir mit dem NSP noch ein wenig Einfluss und Überblick haben, was da mit E-Mails passiert. Die Situation vorher über die Lösungen des RZs auch im Hinblick auf Mailverschlüsselung waren extrem teuer und für uns eine komplette Blackbox - von der vorhandenen Mailquarantäne mal ganz abgesehen.
Zum Vergrößern anklicken....
Wenn das ein behördliches oder kirchennahes RZ ist, bin ich leider schon zu oft enttäuscht worden. Denn fragt man genauer nach und schaut auf das Kleingedruckte, sieht es leider oftmals anders aus. Und dann macht es auch ein Unterschied ob du mit dem Vertrieb redest oder mal mit dem Domain/System Architekt dich über technischen Gegebenheiten und Fragen austauscht.

Schlussendlich hat alles Vor- Und Nachteile für ein Unternehmen. Aber das ist eben so, wenn Sach- und Personalkosten nie gemeinsam betrachtet werden. Aber das musste mein aktueller AG vor wenigen Monaten schmerzlich erfahren, als die Rechnung vom Cloud Provider gekommen ist. 🙃
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

I
Mailzustellung von DMZ Webserver via Nospamproxy wird von GMAIL wegen SPF abgelehnt
Antworten
2
Aufrufe
364
StefanCink
StefanCink
A
Gelöst DMARC Prüfung schlägt fehl bei Mails die per SMTP Auth über NSP Cloud an EXO gehen.
Antworten
6
Aufrufe
1K
JanJäschke
JanJäschke
F
Gelöst MS365-Distribution-Lists von extern nach extern via NSP
Antworten
7
Aufrufe
748
Fabian_FD
F
EricZ
[Gelöst] Probleme beim SMTP-Auth
Antworten
5
Aufrufe
1K
869288141
8
M
Konfig unter "SMTP-Protokolleinstellungen" - Info aus Eurem Video
Antworten
1
Aufrufe
894
JanJäschke
JanJäschke
Zurück
Oben