Sonntag, 2. September 2012

Mail Submission

E-Mail Versand up to date


Man ist in den Ferien und der Mail Versand streikt mal wieder. Eine Fehlermeldung wie "relaying not allowed" wird ausgegeben. Seltsam, da der E-Mail Empfang nicht beeinträchtigt ist und das Senden doch zu Hause gerade noch funktioniert hat...
Zeit, um sich mal ein wenig Gedanken über den geänderten Mail Verkehr der letzten Jahre zu machen.

Der Grund und die Problematik


Jeder nervt sich über die wachsende Zahl an Mails welche einem zu günstigen Potenzmitteln oder zum schnellen Geld verhelfen wollen. Der gute alte Spam gehört zum Internet genauso dazu, wie sein Bruder Porno. Dies ist auch der Grund, warum der Mail Versand über die letzten Jahre immer restriktiver wurde.
Als konkretes Beispiel nehmen wir mal Swisscom mit ihrem Provider Bluewin.
Bluewin bietet gratis E-Mail Adressen an, die jeder via dem Service Package Light, lösen kann.
Jetzt muss wieder mal der bekannte Nigerian-Scam hinhalten. Ohne Vorurteil, war dies für Bluewin tatsächlich eines der grossen Probleme. Findige Geschäftsmänner nutzten natürlich diese gratis Bluewin Mail Adressen um ihre Mails zu verbreiten. Der Mail Server von Bluewin smtp.bluewin.ch akzeptierte frisch und fröhlich die Mails aus der ganzen Welt und lieferte diese weiter. -> open relay
Niemand, auch die Provider nicht, möchten diesen unnützen immensen Traffic.
Darum ging man über Anti Spam Massnahmen zu treffen. Eine davon ist, dass Mails nicht mehr einfach so von überall her ohne Authentifizierung akzeptiert werden.
So gibt es immer mehr Provider und Netzwerke welche den Traffic auf Port 25 filtern und deren eigene Mail Server, den Empfang auf Port 25 restriktiv handhaben.

Daraus ergibt sich für den nomadischen User aber durchaus ein Problem, welches ich in der Einleitung schon beschrieben habe. Statt hier das grosse Fragezeichen aufzusetzen oder einfach auf das Webmail zu verweisen, gibt es natürlich eine Lösung.

Mail Submission: Port 587 SMTPAUTH

Klickt man sich durch die Hilfeseiten der Provider, fällt auf, dass die Einrichtung des Mailversands via Port 25 mehr und mehr verschwindet und stattdessen auf Port 587 inkl. einer Authentifizierung verwiesen wird.
Einfach gesagt, ist der Teil eines Mail Servers welcher die Mails annimmt, also der Postausgangsserver, heutzutage ein Mail Submission Agent. Zu den 2 Hauptaufgaben dieses Servers zählen die Authentifizierung des Versenders und die Aufbereitung des Mails in ein Standard-konformes Format. Nachdem er dies gemacht hat liefert er das Mail an einen Mail Transfer Agent weiter, dieser kann der selbe Server oder sogar das selbe Programm sein.
Entgegen des konventionellen SMTP Mail Servers, welcher auf Port 25 horcht, nimmt der Mail Submission Agent die Mails von der ganzen Welt entgegen. Nicht ganz, aber mehr dazu noch später...

Es hat halt also schon seine Gründe, warum man auf den Hilfeseiten der Provider immer weniger vom Port 25 liest.
Global gesehen möchte auch kein Provider auf einer Blacklist landen. Damit dies nicht geschieht, müssen eben einige Konventionen eingehalten werden.

Viele Anbieter bieten übrigens auch eine verschlüsselte Mail Submission an. Im Normalfall auf Port 465.
Eine Lösung die ich bevorzuge. Mail Sicherheit erreicht man zwar nur indem man die Mails selber verschlüsselt. Aber mit einer verschlüsselten Verbindung zum Postausgangsserver sind die Mails zumindest bis zu diesem vor Zugriff geschützt. (Der MTA muss die Mail dann aber wieder entschlüsselt weitergeben)

Fallstrick IP Restriction

Jetzt kann man sich natürlich Fragen wozu das ganze gut sein soll? Ich kann mich ja auch bei einem gratis Mail Account mittels SMTPAUTH authentifizieren und meine Mails halt so ins System speisen...
Dem ist aber nicht ganz so :)
Der Grund der ganzen Übung ist, das man genau ermitteln kann oder sollte wer oder woher die Mails gekommen sind. In Zeiten von Vorratsdatenspeicherung trotzdem noch lange nicht überall einfach so zu ermitteln.
Habe ich als Kunde im Bündel mit einem DSL Anschluss eine Mail Adresse vom Provider bekommen, so bin ich diesem mit Wohnsitz usw. bekannt. Sende ich also mittels SMTPAUTH eine Mail von Honolulu aus, weiss dieser, dass mir generell zu vertrauen ist. Ansonsten, weiss der Provider ja wo mein Zuhause ist.
Habe ich hingegen ein gratis Mail Konto eröffnet, so liegt es im Ermessen des Providers ob er mir vertraut.
Im Falle von Bluewin ist dem nicht so. Solange ich nicht in irgendeiner Art eine Geschäftsbeziehung zu Swisscom habe, ist auf dem Mail Account die sogenannte IP Restriction aktiviert.
Ist diese IP Restriction aktiviert, kann ich von ausserhalb des Swisscom Netzes keine Mails via Mail Submission in das System speisen (ausgenommen ist der Mailversand innerhalb der Domain). Der Grund ist klar, ich bin nicht eindeutig identifizierbar. Innerhalb des Swisscom Netzes kommt der Provider aber zumindest problemlos an die Versender IP und kann umgehende Massnahmen ergreifen.

Es gibt 2 Möglichkeiten mit einer allenfalls aktiven IP Restriction umzugehen.
  1. Ich verwende als Postausgangsserver den Mail Submission Agent meines Providers. Einem Mail Submission Agent ist die Absender Domain egal. Für den Provider der Absender Domain ist dies auch in Ordnung. Im Falle eines Spam Versandes, ist der andere Provider zuständig, da die Mail aus seinem System gekommen ist. (Zurückverfolgbarkeit, bzw der Server des Versenders wird geblockt. Es liegt also in seinem Interesse den Störenfried zu finden und zu unterbinden) "Der Internet Service Provider ist für das senden der Mail verantwortlich"
  2. Ich melde mich beim Mailprovider und versuche die IP Restriction aufzuheben. Im Falle von Bluewin wird dies nur gewährt, falls man in irgendeiner Geschäftsbeziehung zu Bluewin oder Swisscom steht (Handy Vertrag usw.)
Zur Repetition: Die IP Restriction ist bei Bluewin nur aktiv, falls es sich um eine Mail Adresse aus dem Service Package light handelt und man keine Geschäftsbeziehung zu Swisscom hat. Alle anderen können ihre Mails via Mail Submission von überall her einspeisen.

Folgendes Beispiel erklärt die Verwendung eines gegenüber der Absenderdomain fremden MSA in Microsoft Outlook 2010.
Als MSA wird der Server von Gmail verwendet:

Man sieht das die Domain des Posteingangsservers (bluewin.ch) sich von der Domain des Postausgangsservers (googlemail.com) unterscheidet.


Unter den erweiterten Einstellungen müssen die Ports und die Art der Verschlüsselung angepasst werden.
Nähere Informationen liefert der Provider. Im Falle einer IMAPS Verwendung bei Bluewin wäre dies Port 993 und eine SSL Verschlüsselung.
Bei Googlemail speziell ist, dass der Standardport 587 mit der Verschlüsselung TLS Verwendung findet!


Da sich die Authentifizierung vom Posteingangsserver unterscheidet, müssen die entsprechenden Zugangsdaten für den Postausgangsserver hier angegeben werden. Das Beispiel zeigt die Anmeldung an ein Gmail Konto. Die Domain beim Benutzernamen müsste man in diesem Fall (gMail) nicht unbedingt angeben. Dies dient nur der Veranschaulichung, auch wenn es hier natürlich auch mit Domain funktioniert ;)


Das man jetzt Angst haben muss, dass Mails in einem System hängen bleiben, da sich die Absenderdomain von der Serverdomain unterscheidet, sind unbegründet. Allfällige Server wären entgegen der gängigen Praxis falsch konfiguriert. Es gibt User welche seit Jahren für alle Absender den gleichen Mail Submission Agent benutzen, welche noch nie so einer Situation begegnet sind.

Port 25 Redirect Network anti spam

Eine weiter Massnahme zur Minderung des Spam Verkehrs, ist der sogenannte Port 25 redirect.
Bei Bluewin ist ein Mail Proxy aktiv, welcher alle Mails welche über Port 25 versendet werden nach Spam Inhalten untersucht. Wer also Mails via gmx usw. und Port 25 versendet, wird gescannt. Für den Provider ist dies kein Problem. Die Mail an sich ist ja nicht verschlüsselt, höchstens der Inhalt.
Momentan ist dieser Mail Proxy nur auf PPP terminierten Anschlüssen der Swisscom aktiv (ADSL). Hat man eine DHCP Terminierung, (VDSL) ist die technische Unterstützung noch nicht so weit. Aber, diese wird kommen! Ab dem 19.06.2013 wird der Port 25 Proxy sukzessive auf allen Anschlüssen aufgeschaltet.
Wer diesen Blog gelesen hat, sollte aber ready sein :)
Ob der Port 25 redirect aktiv ist, lässt sich mit einer Telnet Sitzung auf den Mail Server via Port 25 prüfen. Ist der Port 25 redirect aktiv, wird auf jeden Fall der Mail Proxy von Swisscom antworten! :)

Ja aber was heisst jetzt das?

  1. Das Senden von Mails über Port 25 funktioniert immer noch, ist aber aus den hier genannten Gründen nicht zu empfehlen.
  2. Bei sämtlichen Mails via Port 25 wird der Inhalt bereits beim Access Provider analysiert. Hast du was dagegen, musst du den Inhalt verschlüsseln.
  3. Der Mail Versand via Port 25 UND AUTHENTIFIZIERUNG ist nicht mehr möglich! Klar. Der Mail Proxy von Swisscom kann und darf die Zugangsdaten des fremden Accounts nicht kennen! Er wäre ein Man in the middle. Auch wenn die beiden Themen keinen direkten Zusammenhang haben. Wie lautet die Lösung? Richtig, Mail Submission Port 587 :)
  4. Falls man den Port 25 für andere Services benutzt, so würden diese geblockt werden. In solch einem Fall kann man den redirect aufheben. Ich hoffe aber man macht dies nicht, nur weil man die Thematik nicht verstanden hat!
Zugegeben, das ist schon ganz schön trockene Materie. Aber der Support Grund Nummer 1, ist nicht gerade leicht erklärt.