13.4. Weiterleitung von gesamten Domains
Zurück 13. Kapitel - Email Weiter

13.4. Weiterleitung von gesamten Domains

13.4.1. Konzept

Bei jeder Domain besteht die Möglichkeit, die Emails nicht an die Benutzer des Intranators zuzustellen, sondern sie einem anderen Mail- oder Groupwareserver (z.B. Microsoft Exchange oder Lotus Domino) zu übergeben. Diese Weiterleitung erfolgt nach der Prüfung auf Viren, verbotene Anhänge und dem globalen Spamfilter.

Unter Dienste > Email > Domains : Weiterleitung kann diese Weiterleitung für jede Domain eingerichtet werden.

Es besteht die Möglichkeit, die Zieldomain der weitergeleiteten Emails zu ändern. Wenn Sie also z.B. die Domain beispiel.de auf dem Intranator empfangen und bei Domain Adressänderung xyz.de eintragen, werden die Zieladressen in allen weitergeleiteten Emails auf ...@xyz.de abgeändert. Dies ist vor allem dann hilfreich, wenn der Zielserver nicht umkonfiguriert werden soll.

13.4.2. Empfängeradressprüfung

Kann eine Email nicht zugestellt werden, muß der Absender mit einer Nichtzustellbarkeits-Nachricht (Bounce) darüber informiert werden. Dies gilt natürlich auch für den Fall, daß zwar die Zieldomain vorhanden ist, aber nicht der Benutzer. Sollten Spammer in kurzer Zeit viele Emails an ungültige Empfänger senden, kann dieser Mechanismus zu 2 Problemen führen:

  • Jede dieser Nichtzustellbarkeits-Emails muß an den Absender zugestellt werden und erzeugt dadurch Last. Außerdem sind bei Spam viele Absenderadressen auch wieder falsch und dadurch wird von der anderen Seite wieder eine Nichtzustellbarkeits-Nachricht erzeugt (Double-Bounce) was die Last weiter erhöht.

  • Einige Empfänger betrachten Nichtzustellbarkeits-Antworten auf Emails, die nicht von ihnen selbst stammen, als Spam. Kommen davon zu viele in kurzer Zeit, kann es passieren, daß die IP des Intranators auf eine Spam-Blacklist eingetragen wird. Dann können viele normale Emails nicht mehr zugestellt werden oder landen beim Empfänger im Spamordner.

Diese Probleme können gelöst werden, in dem der Intranator Emails mit ungültigen Empfängern gar nicht erst annimmt. Dann ist der sendende Server für die Erzeugung der Nichtzustellbarkeits-Nachricht zuständig, bzw. im Falle eines Spamservers wird erst gar keine erzeugt.

Wird eine Domain auf dem Intranator zugestellt, kennt der Intranator alle gültigen Empfängeradressen und lehnt ungültige gleich vor dem Empfang ab. Dafür ist keine spezielle Konfiguration nötig, dies geschieht vollautomatisch.

Wird eine Domain dagegen an einen anderen Server weitergeleitet, kennt nur dieser die gültigen Adressen. Damit der Intranator dennoch die Emails gleich beim Empfang ablehnen kann, gibt es die beiden im Folgenden beschriebenen Verfahren.

13.4.2.1. Empfängeradressprüfung über SMTP-Anfragen

Bevor eine Email angenommen wird, fragt der Intranator kurz beim Zielserver, ob die Adresse gültig ist. Für die Überprüfung wird eine SMTP-Verbindung zum Zielserver aufgebaut und die Zieladresse mit dem RCPT TO:-Befehl überprüft.

Wichtig ist hierbei, dass der Zielserver im Falle einer ungültigen Adresse mit einem Fehlercode im 500er-Bereich (z.B. 550 Recipient address rejected: User unknown) antwortet. Viele Server akzeptieren in der Standardkonfiguration die Adresse zuerst und senden dann später eine Nichtzustellbarkeits-Nachricht. Bei einigen Servern kann das direkte Ablehnen durch eine Konfigurationsänderung aktiviert werden. Bei machen Serverprogrammen (wie z.B. Microsoft Exchange vor Version 2007) ist das aber nicht möglich. Dann ist eine Empfängeradressprüfung über SMTP nicht nutzbar.

13.4.2.2. Empfängeradressprüfung über Active Directory und LDAP

Bei diesem Verfahren fragt der Intranator regelmäßig die Liste aller gültigen Emailadressen bei einem LDAP-Server (z.B. Active Directory) ab. Beim Empfang einer Email kann dann anhand dieser Liste sofort festgestellt werden, ob die Adresse gültig ist oder nicht.

Der Intranator benötigt dafür einen gültigen Login auf dem LDAP-Server. Der LDAP-Login (bind DN) wird üblicherweise als vollständiger Distinguished Name eingegeben (z.B. CN=Benutzername, CN=Users, DC=meinefirma, DC=local). Viele Server akzeptieren aber auch einen einfachen Benutzerlogin wenn dieser direkt in der LDAP-Suchbasis liegt.

Wenn Sie eine Standard-Domäne ohne weitere Organisationseinheiten oder ähnliches verwenden, können Sie bei Microsoft Windows Server 2000 und 2003 den Benutzer-Login als LDAP-Login eingeben. Bei Microsoft Windows Server 2008 geben Sie Vorname und Nachname des Benutzers mit Leerzeichen getrennt ein. Beidesmal wählt der Intranator automatisch den passenden Distinguished Name.

[Achtung]Achtung

Es wird dringend davon abgeraten ein Konto mit Administrationsrechten zu verwenden. Das Passwort muß auf dem Intranator intern im Klartext abgelegt werden und könnte daher bei einem erfolgreichen Angriff auf den Intranator verwendet werden, um auch den LDAP-Server zu kompromittieren.

Die LDAP-Suchbasis ist der Ausgangspunkt für die Suche bei LDAP-Abfragen: Ein Distinguished Name (DN) des Wurzelknotens von dem zu durchsuchenden Teilbaum (z.B. DC=meinefirma, DC=local für die Active-Directory-Domäne „meinefirma.local“).

Wenn der LDAP-Server ein Active Directory ist, stellen Sie die Struktur auf Active Directory. Handelt es sich um einen LDAP-Server mit anderen Schemata als bei Active Directory üblich, müssen Sie einen Suchfilter (z.B. (mail=*)) und den Namen des Ergebnisattributs (z.B. mail) festlegen.

Direkt nachdem die Empfängeradressprüfung konfiguriert wurde, versucht der Intranator die Daten per LDAP auszulesen. Dies muß regelmäßig wiederholt werden. Das Intervall dafür wird unter Dienste > Email > Automatik eingestellt.

13.4.2.2.1. LDAP-Pfade auf Windows-Servern

Sollten Sie Schwierigkeiten haben die passenden LDAP-Pfade für Ihren Windows-Server zu finden, wird im Folgenden beschrieben wie Sie an diese Daten herankommen.

  1. Öffnen Sie die Management-Konsole für Active-Directory-Benutzer und -Computer. Diese finden Sie normalerweise unter Verwaltung.

  2. Aktivieren Sie im Menü Ansicht die Option Erweiterte Features.

  3. Klicken Sie mit Rechts auf die Domain und Öffnen den Dialog Eigenschaften.

  4. Im Reiter Attribut-Editor finden Sie das Attribut distinguishedName. Diesen geben Sie im Intranator als LDAP-Suchbasis ein.

  5. Schließen Sie die Eigenschaftenanzeige der Domain und suchen den Pfad des Benutzers, den Sie zum Abrufen der Daten verwenden wollen.

  6. Klicken Sie mit Rechts auf den Benutzer und Öffnen den Dialog Eigenschaften.

  7. Im Reiter Attribut-Editor finden Sie das Attribut distinguishedName. Diesen geben Sie im Intranator als LDAP-Login ein.

13.4.3. Weiterleitung einzelner POP-Konten

Sollen einzelne POP-Konten abgerufen und die Emails dann direkt an einen anderen Server weitergeleitet werden, gehen Sie wie folgt vor: Richten Sie wie unter Abschnitt 13.3.2, „Abruf einzelner POP-Konten“ beschrieben das Abholen ein. Leiten Sie mindestens eine Domain an den entsprechenden Zielserver weiter. Wenn Sie nicht bereits eine Domain weiterleiten, richten Sie eine nur intern gültige Domain für diesen Zweck ein (z.B. net.lan).

Unter Dienste > Email > Abholen wählen Sie dann als Empfänger nicht einen lokalen Benutzer des Intranators aus, sondern tragen eine Email-Adresse in der weitergeleiteten Domain ein. Die Emails aus dem POP-Konto werden dann nach den üblichen Filtern (Viren, Anhänge, Spam) an die eingegebene Adresse auf dem Zielserver zugestellt.

Zurück Nach oben Weiter
13.3. Emailempfang auf dem Intranator Zum Anfang 13.5. Email-Adressierung
Produkte
Download
Kaufen
Support
Partner
Entwickler / Developer
Unternehmen
Pressemeldungen
Kontakt
© Intra2net AG 2012
Unternehmen     Impressum     Datenschutz     Kontakt