PP&B Journal | ||
---|---|---|
1. Ausgabe, Juni 2007 |
Maildienste am FHI
(Teil 1: Mailserver)
- Aufgaben eines Mail-Systems
Am Fritz-Haber-Institut wird ein Rechner-System betrieben, auf dem zum einen die für die Benutzer eingehende E-Mail zunächst gelagert wird und das zum anderen erstellte E-Mail verschickt. Dieses System besteht aus mehreren Servern die speziell miteinander gekoppelt sind und natürlich rund um die Uhr in Betrieb sind. Auf diesem System ist die eingehende E-Mail ohne weitere Benutzermaßnahmen einfach da, da sie automatisch von einem ständig im Hintergrund laufenden Mail-Transport-Agenten empfangen wird. Theoretisch ist es möglich, via Telnet und über zentrale Unix-Rechner direkt auf die Briefkästen des Mail-Systems zuzugreifen ("'direkte Bearbeitung"'), was von uns aber seit längerer Zeit nicht mehr unterstützt wird.
Dies ist auch mit normalen (PC-) Arbeitsplätzen in der Regel so nicht realisierbar, da diese Systeme ja nicht ständig laufen bzw. nicht ständig mit dem Netz verbunden sind (etwa Laptops und/oder Rechner zu Hause oder auf Dienstreisen). Daher arbeitet man hier mit einem Abholmechanismus. Die eingehende Mail wird zunächst auf dem ständig mit dem Netz verbundenen Mail-System zwischengelagert, und die lokalen Mail-Programme auf den Arbeitsplatzrechnern greifen dann bei Bedarf gezielt auf die Mailboxen zu. Für diesen Zugriff auf das Mail-System gibt es spezielle Netzprotokolle mit den Namen POP (Post Office Protocol) bzw. IMAP (Internet Message Access Protocol). POP ist ein älteres, einfaches Verfahren, IMAP ist ein neueres Protokoll mit größerem Funktionsumfang. Beide werden von allen gängigen Mail-Programmen unter Windows, auf Macintosh und unter Unix/Linux unterstützt. Am FHI unterstützen wir nur noch das IMAP-Protokoll.
Für das Versenden von E-Mail vom Arbeitsplatzrechner aus gibt es kein spezielles Protokoll, hier wird das normale auch auf Unix benutzte Protokoll für Internet-Mail namens SMTP (Simple Mail Transfer Protocol) benutzt. Aber auch beim Senden geht der Weg der E-Mail zunächst über das zentrale Mail-System. Dieses muss bei der Konfiguration des Mail-Programms angegeben werden.
Wie man an der Skizze erkennen kann, wird sowohl die einkommende E-Mail (d.h. der Empfänger ist XXX@fhi-berlin.mpg.de) als auch zu versendende E-Mail dem Mail-Server per SMTP-Protokoll zugestellt. Wenn die zu versendende E-Mail aus dem internen Netzwerk kommt, befindet sich der Absender ja eindeutig am FHI und der Mail-Server vermittelt dann auch solche Mails. Problematischer wird es, wenn sich der Absender z.B. zu Hause an einem privaten DSL-Anschluss (mit dynamischen IP-Adressen) angemeldet hat oder von unterwegs über ein fremdes Netz (Universität, andere Institute, Hotel, Starbucks etc.) versucht E-Mails über den FHI-Mail-Server zu versenden. Wenn der Empfänger der E-Mail in der lokalen Maildomaine zu finden ist (i.A. @fhi-berlin.mpg.de) kann der Mail-Server diese auch noch mit ruhigem Gewissen zustellen. Wenn aber sowohl Absender-IP-Adresse (die Mail-Absender-Adresse lässt sich einfach fälschen und kann nicht als Referenz benutzt werden) und Mail-Empfänger-Adresse nicht eine FHI-Adresse sind, könnte der Mail-Server als Mail-Relay missbraucht werden.
Das SMTP-Protokoll sieht in seinem ursprünglichen Entwurf keine Authentisierung vor, was in der Hauptsache darauf zurückzuführen ist, daß es in den frühen Tagen des Internets unangenehme Erscheinungen wie "SPAM" nicht gab. Für den Versand von E-Mails ist eine Authentisierung eigentlich nicht notwendig ("open relay").
Wir mussten aber aus den oben genannten Gründen die Nutzung unseres Servers einschränken, d.h.:
-> E-Mails können nur an lokale Benutzer verschickt werden. -> E-Mails können an nicht lokale Benutzer nur verschickt werden, nachdem der Benutzer sich über SMTP-AUTH authentisiert hat.
SMTP-AUTH bedeutet Authentifizierung beim Mailversand. Damit können Sie von jedem beliebigen Provider aus E-Mails über unseren Mail-Server versenden. Sie sollten beim Mail-Server mail.rz-berlin.mpg.de die Anmeldung über Benutzername/Passwort (SMTP-Authentication) einstellen und zwar über die gesicherte Verbindungen (SSL, Portnummer 465). Zur Verwendung dieser Methode wählen Sie in den Einstellungen Ihres Mail-Programms Optionen wie "SSL verwenden" und "ausgehender Mail-Server erfordert Authentifizierung" mit Identifizierung über "Kennwort" und tragen Sie Ihre normale Benutzerkennung in das entsprechende Feld ein und ggf. Ihr Passwort. Dieses Verfahren arbeitet auch zusammen mit dem IMAP-Mail-Abruf und gesicherten (SSL-)Verbindungen auf imap.rz-berlin.mpg.de (Dazu mehr im 2.Teil dieser Abhandlung). Zu den von unseren Servern verwendeten Zertifikaten für die gesicherten Verbindungen beachten Sie bitte, dass dies eigene Zertifikate sind (Ausgestellt von junkes@fhi-berlin.mpg.de), die sie manuell akzeptieren muessen.
Neben einer Virenscan- und SPAM-Filter- Software, die wir im 3. Artikel zu dieser Serie ausführlicher beschreiben werden, setzen wir auf dem SMTP-Server seit einigen Jahren ein Greylisting-Verfahren ein, um den Datenmüll zu reduzieren. Das Verfahren nutzt aus, dass Würmer und die meisten Spammer nur ein einziges Mal versuchen, eine Mail zuzustellen und häufig wechseln Spammer ihre IP-Adressen, um ihre Herkunft zu verschleiern. Dieses Greylisting-Verfahren ist sehr einfach, denn es wertet lediglich drei verschiedene Informationen jeder Mail aus, die an den FHI SMTP-Server geschickt wird:
- Die IP Adresse des Mailservers, der die Mail einliefern möchte
- Die Absender Adresse
- Die Empfänger Adresse
Wenn diese Kombination zum ersten Mal auf unserem SMTP-Server vorkommt, dann wird die E-Mail mit der Fehlermeldung 4.7.1 ("momentan nehme ich die E-Mail nicht an, aber versuche doch später noch einmal die E-Mail zu senden") abgewiesen. Dieses Verhalten ist Standard konform. Der Standard fordert, dass der einliefernde Mailserver den Zustellungsversuch nach z.B. einer halben Stunde wiederholt.
Die Kombination aus Empfänger, Absender, IP Adresse des einliefernden Mailservers wird nach (momentan) 5 Minuten als bekannte Kombination eingetragen. Seriöse Mailserver wiederholen den Versuch der Mailzustellung nach einem gewissen Zeitraum noch einmal. Wenn innerhalb der nächsten 12 Stunden ein erneuter Mailzustellungsversuch mit dieser Kombination (Empfänger, Absender, IP Adresse des einliefernden Mailservers) erfolgt, wird die Mail wie gewohnt zugestellt und das Tripel für 31 Tage als bekannt eingetragen. Bei jeder weiteren Zustellung in dieser Kombination, wird der Eintrag auf 31 Tage verlängert. Falls keine zweite Mailzustellung innerhalb dieses Zeitraumes (zwischen 5 Minuten und 12 Stunden nach dem ersten Zustellungsversuch) erfolgt, wird dieser Eintrag wieder aus der Datenbank entfernt.
Unser Mail-System ist u.a auch Mailstore für
IMPRS-CS.mpg.de Archiv-Berlin.mpg.de Harnackhaus-Berlin.mpg.de nanoc.biz
Manche DSL-Anbieter sperren den SMTP Port 25 um zu verhindern, dass man Mails über andere Netz-Anbieter versendet. Diese Sperre kann man umgehen, indem man mit dem FHI SMTP-Mailserver über den speziellen Proxy - Port 5959 kommuniziert. Dazu muss man in den Einstellungen des Mail-Programms die Standard-Portnummer ändern (von 25 auf 5959). (10.6.07: nun auch Port 80)
Referencen
SMTP : http://www.ietf.org/rfc/rfc2821.txt
ESMTP: http://de.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol#ESMTP
2.Teil -> IMAP Server (Juli 2007)
3.Teil -> Sieve Filter und PureMessage (August 2007)