AXIGEN iX ist verfügbar

So eine großartige Nachricht muss auch hier erwähnt werden: Nach mehr als 6 Monaten harter Arbeit ist es nun soweit: AXIGEN iX ist verfügbar. Wir zeigen Ihnen hier, was Sie erwartet und wie Sie upgraden können.

Das neue Webmail – HTML5 – Jahr 2015 Look & Feel

Das WebMail iX ist ein neuer, vollständiger, moderne Webclient mit vielen Verbesserungen und einer neuem Archivordner zur einfacheren Archivierung von E-Mails. Natürlich auch mehrsprachig, darunter Deutsch.

wm
Die Neuerungen:

  • Fügen Sie Bilder ein – einfach mit Copy & Paste
  • Archivieren Sie alte Mails – mit einem Klick landen die Mails im Archiv-Ordner
  • Neue Schriftarten – Viele Benutzer haben uns gebeten, neue Schriftarten einzubetten. Ab sofort gibt es zusätzlich Comic Sans, Georgia oder Calibri.
  • Neue Kalenderfunktionen – Mehrfachauswahl, Click&Drag, Tastaturbedienung

Das neue Webmail können Sie hier testen

Neuer Look für den Webadmin, CardDAV Unterstützung und mehr

Der Webadmin hat ein optisches Facelift bekommen und passt sich somit dem Webmail an.

wa

Den neuen Webadmin können Sie hier testen

CardDAV

Die neue Funktion zum Synchronisieren von Kontakten über CardDAV ist in allen AXIGEN-Editionen enthalten und unterstützt Android, iOS und OS X.

Zum Test nutzen Sie Ihre Zugangsdaten aus der Webmail-Demo und verbinden sich auf: axigenmail­­.com/Contacts

Superschnelle neue Suche

Wir müssen finden, anstatt zu suchen. Mit Axigen iX haben wir einige Verbesserungen in unserer Such- und Indizierungsengine vorgenommen. Damit ist ein erster Schritt zur Geschwindigkeitsverbesserung getan – und es wird noch viele Weitere geben.

Benutzer mit gültiger Lizenz können direkt upgraden – für Neukunden halten wir viele Angebote parat. Wir aktualisieren in Kürze unsere Website, solange fragen Sie doch einfach per Mail an: info@huestel-gmbh.de .

 

E-Mails nach dem Versand zurückholen? – Geht nicht!

Schnell getippt, schnell verschickt – das ist letztlich der Charme einer E-Mail.

Doch wird das auch häufig zum Verhängnis, die Mail wurde versendet. Vielleicht mit Informationen an den Empfänger, die man noch löschen wollte oder gar gänzlich an den falschen Empfänger. Im einfachsten Fall nur peinlich, im schlimmsten Fall verursacht eine zu schnell versendete E-Mail auch weiteren Schaden.

Wir werden immer wieder gefragt: “Wie kann ich eine Mail zurückholen oder zurückrufen?”. Kurze Antwort: “Gar nicht!”.

Einen Brief, den man in den Briefkasten geworfen hat, bekommt man auch (fast) nicht wieder. So verhält es sich mit der E-Mail ebenso.

Microsoft Exchange beispielsweise, bietet zwar die Möglichkeit, eine E-Mail zurückzurufen, das funktioniert jedoch

  • nur intern
  • nur solange der Empfänger die Mail noch nicht gelesen hat (alles Andere macht ja auch keinen Sinn)

Google hat sich hier nun etwas ganz schlaues einfallen lassen, nämlich wieder etwas das “Rückholfunktion” genannt wurde und den Benutzer letztlich nur verwirrt. Um es nochmal klarzustellen, eine Rückholfunktion von externen Servern wird es nicht geben.

Bis zu 30 Sekunden nach dem “Versand” können Sie eine Mail noch “zurückholen“.

Technisch gesehen passiert hier kein Hexenwerk. Die Mail wird nach dem Versand noch 30 Sekunden vorgehalten und dann erst versendet. Also kein Zurückholen, eher ein Zurückhalten.

Also mehr ein Marketinggag als ein Feature?!

Mehr dazu bei Heise: Google: Gmail bietet E-Mail-Rückholfunktion

Unsere Empfehlung ist an dieser Stelle ist, nicht nach technischen Lösungen zu suchen – diese werden das Problem nicht zufriedenstellend lösen (was passiert, wenn mir nach 31 Sekunden auffält – “Mist das hätte ich nicht versenden sollen”.)

Besser ist es, nochmal genau nachzudenken, bevor man auf “Senden” klickt.

Bei einem echten Briefumschlag und Briefmarke war die Zeitspanne, um diese Erkenntnis zu erlangen zwar länger, aber diese Zeit kann man sich bei einer E-Mail auch nehmen. Es ist schließlich kein Wettbewerb, wer schneller auf “Senden” klicken kann 🙂

 

Mailserver SSL mit A Klassifizierung (A Grade) – am Beispiel Webmail

Einleitung:

Das Team von Qualsys (https://www.qualys.com/) hat ein SSL-Test-Tool entwickelt. Mit diesem Tool können SSL-Konfigurationen getestet und bewertet werden: https://www.ssllabs.com

Die Bewertungen (Ratings) gehen dabei von A bis F. “A+” steht für sehr gut, und “F” gilt als extrem unsicher. Ziel eines jeden Admins sollte es sein, hier eine möglichst gute Bewertung zu erzielen.

Mozilla hat eine sehr detaillierte Auflistung veröffentlicht, welche SSL-Cipher geeignet sind und welche Browser hier unterstützt werden: https://wiki.mozilla.org/Security/Server_Side_TLS

Ziel der Anleitung soll es sein, beispielsweise für das Webmail eine A-Grade Bewertung erhalten.

Was wird benötigt:

  • Sie benötigen ein geeignetes SSL-Zertifikat. Wir verwenden fast ausschließlich RapidSSL. Sollten Sie noch keines haben, können Sie bei uns beispielsweise eines erwerben: http://mailserver-ssl.de .
  • Die aktuellste Version von AXIGEN

Einstellungen:

In den SSL-Listenern müssen folgende Parameter gesetzt sein:

Erlaubte SSL-Verfahren: TLS1.0, TLS1.1 and TLS1.2
Cipher Suite: !AECDH:!ADH:!aNULL:!eNULL:!RC4:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:HIGH:!MD5:!EDH:!EXPORT
Prefer server’s cipher suite order: Angehakt
Use Ephemeral Key: Angehakt

 

 

Das Ergebnis:

Das Ergebnis ist eine A-Bewertung, wie man bei einem unserer Testserver sehen kann:

AGrade

Einschränkung:

Sie sperren damit Windows XP-Benutzer mit dem IE6 aus. Aber diese Kombination verwendet hoffentlich niemand mehr 🙂

Eine E-Mail kann Ihren Standort verraten – Prüfung und Abhilfe mittels IP Stripping

Welche “geheimen” Informationen gibt eine E-Mail Preis? Kann Ihr Chef wissen, wo Sie sich gerade aufhalten?

Weiß Ihr Geschäftspartner, dass Sie vielleicht gerade noch zu Hause sind und gar nicht im Büro?

Bei vielen E-Mail Clients, Webmail-Clients und Mailservern wird die Ursprungs-IP in den Header geschrieben. Dies gilt beispielsweite für (aber nicht nur) Office 365 und dem Exchange Server.

Einerseits dient dieses Feature der Sicherheit, da jederzeit die Ursprungs-IP ermittelt werden kann, andererseits könnte man sich so auch in seiner Privatsphäre verletzt fühlen.

Sieht man sich den Mailheader an, findet man darin ein Feld “X-Originating-IP” (Wikipedia) – dieses Feld beinhaltet die Ursprungs-IP der Mail. Also die IP des Clients, somit lässt sich leicht der Aufenthaltsort z.B. ermitteln (Traceroute zur IP, handelt es sich dabei um einen Mobilfunkanbieter, etc.)

Das nachfolgende Beispiel stammt von Office365, dort steht ganz klar die Absender IP [188.x.x.x]:

owa

Wie kann ich überprüfen, ob mein Server / Client die Information preisgibt?

Das AXIGEN-Webmailinterface und GoogleMail bspw. senden diese Information nicht mit.

Um Ihr System zu prüfen, müssen Sie den Mailheader analysieren. Am Einfachsten ist es, wenn Sie einen Echo-Mailer verwenden. Senden Sie hierzu z.B. eine E-Mail an echo@axigenmailgate.de – kurz darauf erhalten Sie eine E-Mail zurück, die den kompletten Mailheader darstellt.

Dort können Sie bspw. nach Ihrer IP suchen:

echo

IP aus Header entfernen: IP-Stripping

Sollte diese Information sich im Header befinden, so lässt sich diese mit dem richtigen Mailsystem entfernen. Diesen Vorgang nennt man “IP Stripping”.

Wenn Sie auf Ihrem System einzelne Felder aus dem Header entfernen möchten, müssen Sie in den Verarbeitungsprozess eingreifen. Bei AXIGEN können Sie hierzu eine Routing-Regel anlegen (Webadmin => Security & Filtering =>  Advanced Settings => “Add Acceptance / Routing Rule”).

Diese kann z.B. wie folgt aussehen:

rule

Mit dieser Regel entfernen Sie beispielweise das erste Auftreten des X-Originating-IP Headers aus allen Mails. Somit schützen Sie die Privatsphäre von Empfängern und Absendern eingehender und ausgehender Mails.

Natürlich können Sie so auch andere Felder manipulieren oder entfernen.

Automatic Service Discovery für Maildienste (SMTP, IMAP, POP3) – generisches Autodiscover

RCF 6186 beschreibt einen DNS Dienst, der dafür sorgt, dass Mailclients automatisch die passenden Einstellungen für die Dienste SMTP, POP3 und IMAP finden. Eine Autokonfiguration über DNS, ähnlich Autodiscover von Microsoft / Exchange = generisches Autodiscover.

Clients, die diesen Standard unterstützen sind z.B. Thunderbird, Apple Mail, Outlook, etc.

Dies erspart einerseits Supportaufwand, darüber hinaus erhalten Ihre Kunden eine komfortable, automatische Unterstützung bei der Einrichtung ihrer Mailbox auf dem Client.

SMTP-Einstellungen

Um die SMTP-Einstellungen zu veröffentlichen, die man am Client normalerweise einstellen müsste, muss folgender DNS SRV Eintrag angelegt werden:

5 0 587 smtp.meinedomain.tld

Dieser Eintrag gilt sowohl für SSL-Verbindungen als auch nicht SSL-Verbindungen. Die Unterscheidung wird über den Standardport (im Beispiel 587 = SSL) gelöst.

IMAP

Für IMAP gibt es zwei Dienstbezeichner:

  • _imap
  • _imaps

POP3

Für POP3 gibt es zwei Dienstbezeichner:

  • _pop3
  • _pop3s

Weitere Informationen:

Stehen verschiedene Optionen zur Auswahl, so können diese priorisiert werden (z.B. IMAP bevorzugt gegenüber POP3)

_imap._tcp     SRV  0 1 143 mail.meinedomain.tld
_pop3._tcp     SRV 10 1 110 mail.meinedomain.tld

Soll ein Dienst bewusst überhaupt nicht angeboten werden, so kann dieses ebenfalls über einen SRV Record mit einem . als Wert geregelt werden:

_imap._tcp     SRV  0 0 0   .
_imaps._tcp    SRV  0 1 993 imap.meinedomain.tld
_pop3._tcp     SRV  0 0 0   .
_pop3s._tcp    SRV 10 1 995 pop3.meinedomain.tld

Einstellungen prüfen

Ihre Einstellungen können Sie mit einem Mailclient auf Korrektheit prüfen, oder über ein dig Befehl:

; <<>> DiG 9.8.3-P1 <<>> srv _submission._tcp.meinedomain.tld
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11998
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;_submission._tcp.meinedomain.tld.    IN    SRV
;; ANSWER SECTION:
_submission._tcp.meinedomain.tld. 86400 IN    SRV    5 0 587 smtp.meinedomain.tld.
;; Query time: 52 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Fri Apr 24 13:42:27 2015
;; MSG SIZE  rcvd: 78

oder für imap bspw.:

dig srv _imap._tcp.meinedomain.tld

Haben Sie Autodiscover schon für Ihre Kunden bereitgestellt?

SMTP-Traffic am Mailserver trennen, aufteilen und priorisieren z.B. nach Kundengruppe

Stellen Sie sich folgendes Szenario vor: Sie besitzen zwei (oder mehr) Arten von Mailboxen auf Ihrem Mailserver z.B.:

  • Privat- und Geschäftskunden
  • Premium und Free-Kunden
  • Interne und externe Mailkonten
  • Konten für den Newsletterversand und wichtige Mailkonten

Idealerweise sollen sich diese Kundengruppen nicht beeinflussen, heißt z.B. wenn eine Kundengruppe Spam versendet sollte das nicht die andere beeinflussen. Oder wenn Max Mustermann einen verseuchten Rechner hat, sollte das nicht dazu führen, dass die Mustermann AG keine Mails mehr versenden kann. Auch Ihr Geschäftsführer will erreichbar bleiben, selbst wenn der letzte Weihnachts – Newsletter bei den Kunden nicht gut ankam.

Von daher ist es sinnvoll, den ein- und ausgehenden SMTP – Traffic für verschiedene Kundengruppen aufzutrennen und somit mit einem Blacklisting nicht den gesamten Mailserver außer Betrieb zu nehmen.

Das nachfolgende Beispiel zeigt Ihnen, wie Sie Ihren Mailserver entsprechend konfigurieren können. Wir entscheiden uns exemplarisch für die Firmen- und Privatkunden als Kundengruppen.

Sie benötigen hierzu mehrere öffentliche IP-Adressen:

  • Geschäftskunden bekommen die IP1
  • Privatkunden die IP2

Trennung des eingehenden Mailverkehrs (SMTP-In)

Die MX-Records der Domain werden entsprechend angepasst:

  • privatkunden.tld => MX => IP1
  • firmenkunden.tld => MX => IP2

Der Mailserver muss daher so eingestellt werden, dass er über mehrere IP-Adressen Mails annehmen kann. In AXIGEN erfolgt dies über die Listener:

RecListener

Somit können auf mehreren IPs Mails empfangen werden. Entsprechende Ports für SMTP und SMTP-S müssen ebenso eingerichtet werden (25,587, etc.)

Trennung des ausgehenden Mailverkehrs (SMTP-Out)

Der ausgehende Mailverkehr ist so zu konfigurieren, dass je nach Domain eine andere IP-Adresse für den Versand verwendet wird:

 

  • privatkunden.tld => Versand über IP1
  • firmenkunden.tld => Versand über IP2

In AXIGEN geht dies über eine Routing-Regel (Webadmin => Security & Filtering => Acceptance & Routing => Advanced Setting => Add Routing Rule):

routing

Hier lässt sich folgendes Festlegen:

  • Wenn die Absender Domain privatkunden.tld heißt
  • Dann verwende die IP2 (im Screenshot x.x.x.x) für den Versand

Darüber hinaus wäre es auch wünschenswert, den Traffic zu priorisieren. Mails von Geschäftskunden sollen schneller abgearbeitet werden, die Mails von Privatkunden. Auch hier bietet AXIGEN eine einfache Lösung: https://www.axigen.com/knowledgebase/Prioritizing-e-mail-traffic-using-the-delay-delivery-option-provided-by-AXIGEN_139.html

Folgende Fragen an unsere Leser:

  • Hatten Sie jemals das Problem, dass der Mailserver wegen einer einzelnen Mailbox (z.B. einem verseuchten Rechner) komplett auf der Blacklist gelandet ist und somit kein Mailversand mehr möglich war?
  • Wie lösen Sie dieses Problem in der Praxis?
  • Welche Kundengruppen haben Sie?
  • Kann das Ihr Mailsystem auch und wie?

 

 

Verwendung von DNSBLs (DNS-based Blackhole List)

Als einfache, kostengünstige Möglichkeit Spam von Ihrem Mailserver fernzuhalten, bieten sich DNSBLs an.

Eine DNS-based Blackhole List ist eine Blacklist, auf der sich IP-Adressen (und damit E-Mailadressen) befinden, die Spam versenden. Dies List wird in Echtzeit vom Mailserver abgefragt. Es handelt sich dabei um eine DNS-Abfrage.

Diese Abfrage ist zumeist direkt zu Beginn der SMTP-Kommunikation implementiert (nämlich sobald die Absender-IP bekannt ist). Dies hat den Vorteil, dass eine Mail direkt abgewiesen werden kann und so gar nicht das System erreicht.

Der entscheidene Vorteil von DNSBLs ist, dass sie sich mit nur minimalem technischen Aufwand einbinden lassen. Sie werden von den Anbietern in Echtzeit vorgehalten und sorgen daher für wenige falsche Ergebnisse. Sie belasten das Mailsystem kaum und durch die direkte Abweisung werden Bounces oder die Einlieferung in Spam-Ordner verhindert.

Der größte Nachteil der Verwendung von DNSBLs ist, dass eine IP oder ein IP-Bereich geblockt wird. Es wird somit der gesamte gegnerische Mailserver geblockt, auch wenn z.B. nur ein Konto zum Spamversand missbraucht wird (wobei darunter ggf. auch legitime E-Mails, gesichert durch Opt-In fallen können).

Von daher sollte man DNSBLs sehr sparsam einsetzen und sich auf wenige, zuverlässige Listen verlassen. Das Einbinden einer großen Anzahl von Listen hat oftmals einen negativen Effekt.

Folgende Listen sind empfehlenswert (bitte die jeweiligen Nutzungsbedingungen des Anbieters beachten):

dnsbls

Es gibt auch einige schwarze Schafe in den Blacklisten, hier wird z.B. Geld für ein De-Listing (also das Entfernen-Lassen der IP von der Liste) verlangt. Dies halten wir für nicht seriös.

Welche DNSBLs nutzen Sie?

SMTP-Dienste am Mailserver absichern

Es gibt derzeit viele Anfragen zum Thema Verschlüsselung, Compliance, MandatoryTLS, “E-Mail Made in Germany” (das ist übrigens eine Partnerschaft und kein technisches Konzept).

Aus diesem Grund möchten wir Ihnen mit dem heutigen Artikel zeigen, wie Sie Ihre SMTP-Dienste am Mailserver (im Beispiel AXIGEN) korrekt absichern.

Aufgaben

Folgende Aufgaben gilt es zu erledigen:

  • Zwei SMTP-Listener einrichten (Einer auf Port 25 und einer auf Port 587)
  • Optional: Weiteren Listener für Port 465
  • STARTTLS auf den Listeners aktivieren
  • Plain-Authentifizierung ausschalten
  • Authentifizerung bei sicheren Verbindungen aktivieren (nach TLS)

Grundlagen der SMTP-Listener / Ports

Im SMTP-Verkehr sind folgende drei Ports im Standard beschrieben:

  •  25 – SMTP – dieser wird zur Kommunikation von MTA zu MTA (also Mailserver zu Mailserver) verwendet. Dieser Port kann auch zur Kommunikation mit Mailclients verwendet werden. Jedoch gibt es deutlich bessere Optionen.
  • 465 – SMTPS – SSL wird auf diesem Port erzwungen und wird vor jeder weiteren Kommunikation zwingend vorausgesetzt. Kein SSL, keine weitere Verbindung.
  • 587 – MSA – dieser Port ist ähnlich zum Standard-Port. SSL kann auf diesem Port verwendet werden. Da sehr viele ISPs den Versand von SMTP-Nachrichten auf Port 25 unterbunden haben (viele Schadprogramme verwenden diesen Port), sollten sie diesen Port einrichten, damit Ihre Benutzer auch E-Mails einliefern können. Das betrifft vor allem Benutzer, die in Mobilfunktnetzen oder öffentlichen WLANs unterwegs sind.

STARTTLS erlauben

Im ersten Schritt sollten Sie prüfen, ob STARTTLS für eingehende Verbindungen erlaubt ist:

  • WebAdmin => Security and Filtering
  • Dort auf Acceptance and Routing klicken
  • Im Bereich Acceptace Basic Settings prüfen Sie den Bereich Allowed ESMTP Comands
  • Stellen Sie sicher, dass Allow StartTLS angehakt ist.

Für ausgehende Verbindungen sollten Sie prüfen, ob STARTTLS ESMTP korrekt eingerichtet it:

  • WebAdmin => Security and Filtering
  • Dort auf Acceptance and Routing klicken
  • Im Bereich Routing Basic Settings prüfen Sie die Einstellungen für Outgoing Delivery
  • Prüfen Sie dort, ob die Checkbox bei Use StartTLS if available angehakt ist.

 SMTP-Listener einrichten

Ports 25 und 587:

Diese beiden Ports sollten auch Verbindungen ohne SSL erlauben, jedoch STARTTLS unterstützen.

smtp_rec

Die SSL-Einstellungen sollten auf beiden Ports so aussehen:

listeners

 

Folgende zusätzliche Hinweise sind zu beachten:

  • Die Checkbox “Enable SSL for this listener” sollte nicht aktiviert werden. Diese beiden Listener sollen primär nicht-SSL Verbindungen akzeptieren. Erst wenn der Client den Befehl für STARTTLS sendet, wird AXIGEN automatisch SSL aktivieren.
  • SSLv2 und SSLv3 sind deaktiviert. Diese beiden veralteten SSL-Protokolle sind angreifbar.
  • Wenn Sie DHE Cipher verwenden möchten, wie z.B. DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA dann müssen Sie den Pfad für das DH (Diffie-Hellman) Parameter-File setzen.

SMTP Port 465:

Der Port 465 sollte nur SSL-Verbindungen akzeptieren. Hierzu müssen Sie die Checkbox bei “Enable SSL for this Listener” aktivieren.

Regeln für die Authentifzierung

Im nächsten Schritt sollten zwei Regeln auf dem AXIGEN angelegt werden:

  • Authentifizierung für Plan-Text Verbindungen deaktivieren
  • Aktivierung der Authentifizierung für sichere Verbindungen (nach StartTLS)

Dies wird in AXIGEN über zwei Routing-Regeln erreicht. Diese müssen im Webadmin -> Security and Filtering -> Acceptance and Routing -> Advanced Settings angelegt werden.

Nachfolgend erklären wir Ihnen diese beiden anzulegenden Regeln

  • disableAUTH_on_non_SSL
  • enableAUTH_on_SSL

Authentifizierung für Plain-Text-Verbindungen deaktivieren:

  • Klicken Sie auf “+ Add Acceptance/Routing Rule“.
  • Als Name geben Sie ein “disableAUTH_on_non_SSL
  • Conditions lassen Sie leer. Dies bedeutet, dass diese Regel für alle Verbindungen gilt.
  • Bei Actions wählen Sie “Plain connections authentication” und setzen Sie “Not authenticated
  • Klicken Sie auf Save Configuration

rule1

Authentifizierung für sichere Verbindungen zulassen (jedoch erst nach StartTLS):

  • Klicken Sie auf “+ Add Acceptance/Routing Rule“.
  • Als Name verwenden Sie “enableAUTH_on_SSL
  • Conditions lassen Sie leer. Dies bedeutet, dass diese Regel für alle Verbindungen gilt.
  • Bei Actions wählen Sie “SSL connections authentication” und setzen “Authenticated”.
  • Wählen Sie die gewünschten Authentifizierungarten
  • Da diese Regel nur für sichere Verbindungen gilt, könnten Sie Plain und Login weglassen
  • Klicken Sie auf “Save Configuration

rule2

Reihenfolge der beiden Regeln:

In der Übersicht unter Advanced Acceptance / Routing Rules stellen Sie bitte sicher, dass disableAUTH_on_non_SSL rule vor der Regel enableAUTH_on_SSL in der Reihenfolge kommt:

order

STARTTLS für eingehende und ausgehende SMTP Verbindungen bei einer bestimmten Domain erzwingen

Damit Sie STARTTLS für eingehende und ausgehende SMTP-Verbindungen zwingend voraussetzen, benötigen Sie eine Routing Regel.

Das ist dann sinnvoll, wenn Sie

  1. Wenn Sie Mails nur annehmen wollen, wenn der gegnerische Server STARTTLS unterstützt.
  2. Sie Mails an einen gegnerischen Mailserver nur mit STARTTLS ausliefern wollen.

Hinweis: Dies kann dazu führen, dass Sie keine Mails von Servern erhalten, die dieses Verfahren nicht unterstützen)

Hierzu muss die folgende Regel angelegt werden:

 

  • Klicken Sie auf “+ Add Acceptance/Routing Rule“.
  • Als Name verwenden Sie “allow_only_tls_for_mydomain_com” (bitte entsprechend anpassen)
  • Bei Conditions wählen Sie Connection -> isSSL und lassen die Checkbox unangehakt
  • Bei Conditions wählen Sie danach Recipient->Domain is “mydomain.com” (Domain Namen bitte anpassen)
  • In der oberen Combobox (“For incomig messages that match”) wählen Sie ALL aus.
  • Bei Actions fügen Sie Folgendes hinzu SMTP -> Action. Danach wählen Sie Reject aus der Dropdown aus und hinterlassen eine Erklärung für den gegnerischen Mailserver, wie z.B. “Accepting only secure delivery (STARTTLS) for mydomain.com
  • Klicken Sie auf Speichern

forcetls

Ausgehenden SMTP-Verkehr mit STARTTLS in Kombination TLS1.1 und TLS1.2 erzwingen

Hinweis: Dies kann dazu führen, dass Mails nicht ausgeliefert werden können, wenn der gegnerische Mailserver kein STARTTLS mit TLS1.1/1.2 unterstützt.

Falls Sie erzwingen wollen, dass AXIGEN nur E-Mails an Server liefert, die STARTTLS mit TLS1.1 oder TLS1.2  unterstützen, müssen Sie folgende Regel anlegen:

 

  • Klicken Sie auf “+ Add Acceptance/Routing Rule“.
  • Als Name verwenden Sie “use_only_tls11_and_12_when_relaying”
  • Bei Conditions wählen Sie Delivery->Relaying mail 
  • Bei Action fügen Sie folgendes hinzu -> SSL Encryption und stellen Sie sicher, dass die Checkbox angehakt ist
  • Bei Actions fügen Sie weiterhin hinzu -> SSL Versions und stellen Sie sicher, dass nur TLS1.1 und TLS1.2 angehakt sind
  • Klicken Sie auf Speichern

relaying tls

Den englischen Originalartikel finden Sie hier.