E-Mail

Angebotene Maildienste

Mail-Transport zum Mailserver des BelWü-Teilnehmers

• Eigener Mailserver beim Teilnehmer
• Standleitung, statische IP-Adresse, permanenter Serverbetrieb erforderlich

Zusatzdienste

• Spam- und Schadsoftware-Schutz
• Mail-Relay

Bei den BelWü-Maildiensten ist der Spam- und Schadsoftware-Schutz obligatorisch.

Alternativ zur Nutzung der BelWü-Maildienste kann E-Mail auch direkt per MX-Record (ohne Pförtner dazwischen) auf einem eigenen Mailserver empfangen werden. Hierfür muss Ihr Mailserver aber gegen unautorisiertes Relaying gesichert sein. Bei einer direkten Mailversorgung kann seitens BelWü kein Spam- und Virenschutz geleistet werden.

Voraussetzungen

Die Maildienste stehen Einrichtungen, die ans BelWü angeschlossen sind, zur Verfügung sowie Landes-, sonstigen öffentlichen oder Wissenschafts- und Bildungseinrichtungen in Baden-Württemberg.

Institute an Hochschulen in Baden-Württemberg sind angehalten, die i. d. R. vorhandenen Maildienste ihrer Hochschule zu nutzen.

Mail-Transport (SMTP)

E-Mail-Transport über das SMTP-Protokoll zum Mailserver des Teilnehmers. Erforderlich ist eine feste Internetverbindung (Standleitung, DSL). Der Mailserver des Teilnehmers muss mit einer statischen IP-Adresse aus dem öffentlichen BelWü-Netzbereich erreichbar und permanent in Betrieb sein. Für Mailserver im Schulverwaltungsnetz (SVN) steht die SMTP-Mailversorgung nicht zur Verfügung.

Die zentralen BelWü-Mailgateways arbeiten als Pförtner und leiten den SMTP-Verkehr vom Internet zum Mailserver des Teilnehmers weiter. In dieser Funktion wird der Mailverkehr auf Viren und Spam geprüft. Der direkte Zugang aus dem Internet zum SMTP-Server des Kunden ist gesperrt.

Der Mailversand erfolgt über den SMTP-Ausgangsserver.

Anleitungen zur Nutzung und zur Administration sind in unserem Support-Bereich zum Thema E-Mail  verfügbar.

Das Transferlimit pro Nachricht beträgt 50 MByte. Bei Überschreitung der Maximalgröße wird der Mailtransport abgelehnt.

Spam- und Schadsoftware-Schutz

1. Die BelWü-Koordination übernimmt keinerlei Garantie für die Zuverlässigkeit des Spam- und Schadsoftware-Schutzes. Insbesondere haftet die BelWü-Koordination nicht für Schäden, die durch fehlerhafte Abweisung von E-Mail im Rahmen des Schutzes entstehen.
2. Es werden eingehende und ausgehende Nachrichten geprüft. Nachrichten innerhalb des CommuniGatePro-Clusters (BelWü-Mailkonten) werden aus Gründen der Lastbeschränkung nicht geprüft.
3. Der Schutz wird für eine gesamte Maildomain eingrichtet und schließt alle E-Mail-Adressen dieser Mail-Domain ein.
4. E-Mails an abuse@<mail-domain> werden vom Spamschutz anders behandelt, damit Beschwerden über Spam aus der eigenen Maildomain nicht unterdrückt werden.
5. Microsoft-Office-Dateien mit ausführbaren OLE-Makros werden konsequent abgewiesen. Es wird hierbei nicht simpel nach Dateiendungen, sondern nach den enthaltenen Makros gesucht.
6. Verschlüsselte PDFs und verschlüsselte ZIP-Archive werden abgewiesen, weil diese Einfallstor für zahlreiche Emotet-Wellen waren
7. Der Spamschutz kann nur für Maildomains eingerichtet werden, die über die zentralen BelWü-Relays versorgt werden.

Spam-Abweisung

Bei der Spam-Abweisung werden eingehende E-Mails aufgrund bestimmter Parameter (Header-Checks, Blacklists, Body-Inhalt, Anhänge usw.) eine Punktzahl zugewiesen. Ab einer bestimmten Punktzahl wird die Mail kurzfristig verzögert (Graylisting), wenn die Punkzahl zu hoch ist, wird die Mail von den BelWü-Mail-Relays abgelehnt.

Die Abweisung wird dem sendenden Mailtransportsystem durch eine protokollkonforme SMTP-Fehlermeldung signalisiert. Diese Vorgehensweise stellt sicher, dass der Absender über die Abweisung unterrichtet wird. Abgewiesene E-Mails werden nicht gespeichert.

Es werden keine Inhalte von Mails (Body) verändert. Damit bleiben Inhalts-Signaturen (z. B. GPG oder S/MIME) weiter gültig. Es werden keine Header-Zeilen gelöscht.

Es werden keine Mails (außer Mails an die Dummy-Adressen ) ohne Bounce abgewiesen (DROP)

Beispiel, SMTP-Dialog bei Spam-Abweisung:

S: 220 mail-in01.belwue.de ESMTP
C: mail from:<hip7im8k@yahoo.com>
S: 250 2.1.0 <hip7im8k@yahoo.com> Sender ok
C: rcpt to:<spamtrap@belwue.de>
S: 250 2.1.5 <spamtrap@belwue.de> Recipient ok
C: data
S: 354 Enter mail, end with "." on a line by itself
C: Message-ID: <n936r9q$d0-je6-2$m4520$7d@eweax>
C: From: "Krista Cortes" <hip7im8k@yahoo.com> C: To: spamtrap@belwue.de
C: Subject: Hello Sexy!!
C:
C: ...
C: .
S: 554 5.7.1 Message rejected: SPAM message rejected.
C: quit
S: 221 2.0.0 mail-in.belwue.de closing connection
            

Mail-Relay

Das BelWü-Mail-Relay dient allen Teilnehmern dazu, dass Mails einfach und über gut angelernte IP-Adressen in die Welt versandt werden könnnen.

Der Mailversand erfolgt über den SMTP-Ausgangsserver mail.belwue.de (Port 25/tcp). Bitte tragen Sie keine IP-Adressen in Ihre Konfigurationen ein, diese können sich ändern (auch wenn das eher unwahrscheinlich ist).

Der Versand wird über eine IP-Whitelist geregelt, eine Authentifizierung ist nicht erforderlich

Die Nutzung von TLS zur Transportverschlüsselung wird wärmstens empfohlen, wird aber von unserer Seite nicht erzwungen

Die Nutzung von SPF und DKIM (siehe unten) wird empfohlen, DMARC kann bei Spoofing-Attacken eingesetzt werden

SPF (Sender Policy Framework)

Mit einem SPF-Eintrag in einer Domain kann der empfangende Mailserver überprüfen, ob der sendende Mailserver auch sendeberechtigt ist. Dafür werden im DNS des sendenden Mailservers die erlaubten Mailserver in einem TXT-Eintrag hinterlegt.

BelWü stellt eine Include-Direktive zur Verfügung, die alle sendenden Mailserver von BelWü includiert. Damit muss beim Kunden nichts geändert werden, wenn Sich bei BelWü einmal etwas ändert.

Exemplarisch für die Domain example.com sieht ein SPF-Eintrag wie folgt aus:

example.com	IN	TXT	"v=spf1 include:_spf.belwue.de ~all"

DKIM (Domain Keys)

Wenn in einer Domain passende DKIM-Einträge gesetzt sind, verweisen diese auf die public-Keys von BelWü. Daher wird bei Benutzung unserer Mail-Relays die Mail signiert.

Durch den Verweis (CNAME) auf den Key zentral bei BelWü ist ein einfacher Austausch der Keys möglich.

Exemplarisch für die Domain example.com sieht ein DKIM-Eintrag wie folgt aus:

dkim001._domainkey.example.com	IN	CNAME   dkim001.belwue.de.
dkim002._domainkey.example.com	IN	CNAME   dkim002.belwue.de.

Nutzungsbedingungen

• Das Transferlimit pro Nachricht beträgt 50 MByte. Bei Überschreitung der Maximalgröße wird der Mailtransport abgelehnt.
• Der Nutzer verpflichtet sich, den SMTP-Ausgangsserver nicht für die Verbreitung von Informationen mit widerrechtlichem Inhalt, zur Belästigung anderer Nutzer oder zur Verbreitung unerwünschter Werbung (Spam) zu missbrauchen.