Scannen der ausgehenden Mail

Einrichtungen, die bereits für ihre eingehenden Mails am Mailsupport teilnehmen, können auch den ausgehenden Mailverkehr scannen lassen.

Szenarien

1. Sie stellen die Mail den DFN-Mailgateways zu und diese liefern die Mails weltweit aus.

2. Die Mails werden auf den DFN-Mailgateways geprüft und sodann an die Mailserver der Einrichtung zurück geschickt, diese liefert weltweit aus (sendback).

Rate-Limiting

Im ersten Szenario ist ein gut konfiguriertes Rate-Limiting zwingend notwendig, um Spamversand aus einer Einrichtung heraus zu unterbinden, nicht aber den regulären Mailverkehr.

Hierzu muß jede Einrichtung einige Wochen (möglichst unterm Semester bei Lehrbetrieb) ihre Mail-Logs analysieren, um Kategorien von Hosts und Mailadressen zu bilden:

  • über welchen Host versenden Mitarbeiter Mail und mit welcher Absenderdomain
  • über welchen Host versenden Studierende und mit welcher Absenderdomain
  • gibt es Bibliotheksserver oder listserver, die Rundmails versenden? Diese brauchen idR. ein größeres Limit
  • oder werden Rundmails z.B. aus dem Sekretariat heraus versendet? Der Sekretariatsrechner  bzw. die entsprechenden Absender-Mailadressen brauchen dann auch ein höheres Limit. Gleichzeitig muß auf diese Rechner besonderes Augenmerk gerichtet werden, denn bei Viren- oder Spambot-Befall geht u.U. Spam heraus, weil die Limits für echte Newsletter großzügig sind.

Aus diesen Eckdaten entwickeln wir dann gemeinsam die Rate-Limits für Ihre Einrichtung.

 

gmail und DKIM/DMARC/SPF (5/2019)

Aktuell hat gmail seine Richtlinien für das Annehmen von Mail verschärft und nimmt Mails über IPV6 ohne DKIM/DMARC/SPF nur verzögert an.

DNS-Konfiguration:

 Versenden Sie Mails über unsere Gateways (ausgehendes Filtern) und setzen SPF-Records für ihre Domains, so müssen sie folgendes Partikel in die SPF-Records aufnehmen:

include:spf.mailsupport.dfn.de

Ein weicher SPF-Record, der Weiterleitungen nicht unterbinden sollte, würde dann zum Beispiel so aussehen:

example.org TXT "v=spf1 include:spf.mailsupport.dfn.de ~all"

Und ein harter SPF-Record, der Weiterleitungen unterbindet, so:

example.org TXT "v=spf1 include:spf.mailsupport.dfn.de -all"