Outgoing E-Mail-Server (SMTP)

mailrelay.TUGraz.at

Dieser Server (in Wirklichkeit ein Cluster aus mehreren Rechnern hinter einem Load-Balancer) ist in E-Mail-Clients mit Userauthentifizierung (mit dem TUGRAZonline-Account) zu verwenden. Aus Sicherheitsgründen sollte dabei das Paßwort im E-Mail-Client weder für den Posteingang, noch für den Postausgang abgespeichert werden (oder nur, wenn das über ein Masterpaßwort abgesichert ist).

mrelay.TUGraz.at

Server, Programme und Massen-E-Mail-Sender müssen E-Mails mit einem Robot-Account über den SMTP-Server mrelay.TUGraz.at versenden, damit durch gehackte Server oder (auch falsch) gemeldeten Spam nicht die „normalen“ User-E-Mails behindert werden. Dieser Server ist nur innerhalb des TUGnets erreichbar.

SMTP (z. B. über Port 25) ist für alle anderen Rechner im TUGnet nach außen gesperrt.

Diese Server(-Cluster) verwenden DKIM um E-Mails in der Domain *tugraz.at (bzw. *tu-graz.ac.at) zu signieren, damit jeder E-Mail-Server am Weg zum Empfänger prüfen kann, ob die E-Mail verändert wurde und ob die Domain des Absenders korrekt ist. Nebenbei wird so auch sichergestellt, daß die E-Mail wirklich vom E-Mail-Server des Absenders kommt. Das bedeutet: eine E-Mail, die von uns mit DKIM signiert ist, kommt tatsächlich von der TU Graz, eine E-Mail, die nicht signiert ist, kann trotzdem mit einer gültigen Adresse versandt worden sein, aber nicht über unseren SMTP-Server. Das von der Idee her ähnliche SPF (die Liste der erlaubten SMTP-Server zu einer E-Mail-Domain) unterstützen wir (derzeit) nicht, wenn der annehmende Server verschlüsselte Übertragung unterstützt, dann verschlüsseln wir die Datenübertragung.


Limits beim Versenden von E-Mails

Jede E-Mail, die das TUGnet (über Port 25 - s. u.) verlassen soll, muß (damit z. B. Malware nicht unbeobachtet E-Mails versenden kann) authentifiziert über einen der zentralen SMTP-Server (s. o.) versandt werden und der versendende Rechner braucht einen Nameserver-Eintrag.

Da es immer wieder gephishte Accounts gibt oder Accounts, die per Keylogger etc. ausgespäht werden, müssen wir auch Maßnahmen treffen, die das Spammen über unsere Server weitgehend unterbinden, daher gibt es auch Limits für die Anzahl der pro Account versendbaren E-Mails.

Aktuelle Limits unseres SMTP-Gateways „mailrelay“ für SMTP-Clients im TUGnet (auch VPN):

  • 5 SMTP-Connections pro Sekunde pro Benutzer
  • 500 Messages pro SMTP-Connection

Für Clients außerhalb des TUGnets gelten folgende Grenzwerte:

  • 50 Nachrichten pro Stunde
  • 20 Empfänger pro E-Mail
  • max. 150 Authentifizierungen / Tag (wird aber nur von 18:00 bis 06:00 überwacht)

Für EAS-Clients (Outlook, OWA etc.) gilt:

  • 500 Empfänger pro E-Mail

Wenn Sie mehr E-Mails versenden müssen, dann sollten Sie das z. B. über den Listserver oder mittels Robot-Account (über den SMTP-Server mrelay) machen!

top

Unterst├╝tzte Protokolle bzw. Ports

Neben Port 25 (mit StartTLS) gibt es noch 2 andere Ports, über die es möglich ist E-Mails (auch) über andere SMTP-Server zu versenden (allerdings nur authentifiziert und nur wenn es der fremde Provider unterstützt):

Port Protokoll
465 SMTP over SSL
587 SMTP via StartTLS (mail message submission)
wird z.B von GMX und Web.de unterstützt

Weiters ist es auch möglich über Port 443 (HTTPS) E-Mails zu versenden (Webmail, OWA), solche webbasierten E-Mail-Clients bieten z. B. gmail, hotmail, gmx etc. aber natürlich auch die TU Graz.

top

Smart Relay Host

Falls Ihre OE einen realen E-Mail-Server betreibt oder falls Instituts-(Web-)Server ebenfalls E-Mails versenden müssen, dann kann das auf 3 Arten geschehen:

  1. jeder (Web-)Server bekommt einen eigenen Robot-Account, mit dem nur E-Mails versandt werden können
  2. die OE bekommt einen einzigen Robot-Account und alle Server verwenden diesen
  3. nur einer der Server bekommt einen Robot-Account und die anderen Server versenden über diesen

In allen Fällen muß aber auch berücksichtigt werden, daß z. B. automatisch versandte E-Mails mit einer gültigen Adresse maskiert werden müssen.

„Normale“ Server, die nur Statusmeldungen (cron-Job, Virenwarnungen etc.) an einen Administrator versenden, können das auch ohne Authentifizierung tun, solange die E-Mail-Adresse, an die die Meldungen gesandt werden, eine E-Mail-Adresse der TU Graz ist (sonst kann z. B. der „Umweg“ über eine Weiterleitung gewählt werden).

top

Zusammenfassung

Für Rechner (Arbeitsplatzrechner oder Server) im TUGnet, die E-Mails an externe Adressen versenden müssen, gilt:

E-Mail-Sender über Authentifizierung
Thunderbird, Apple Mail, … SMTP-Server: mailrelay.tugraz.at notwendig
SMTP-Server: Instituts-E-Mail-Server ?
(Offizielle) Instituts-E-Mail-Server Smart relay host: mrelay.tugraz.at Robot-Account
(Web-)Server, der E-Mails versenden muß Smart relay host: mrelay.tugraz.at Robot-Account
Smart relay host: Instituts-E-Mail-Server ?

top

abuse-Verdacht

Wenn wir feststellen, daß ein Rechner versucht direkt über Port 25 E-Mails zu versenden, dann gibt es dafür nur 2 mögliche Gründe:

  1. Sie haben unsere Infos (s. o.) nicht gelesen und Ihr E-Mail-Programm falsch konfiguriert
  2. Ihr Rechner ist verwurmt und dieser Wurm versucht E-Mails zu versenden

Da wir unser Netzwerk schützen müssen, gehen wir i. Allg. vom 2. Fall aus und sperren dann Ihren Account - Lösung:

  1. E-Mail-Programm richtig konfigurieren und dann an uns wenden
  2. Wurm/Virus mit aktueller Anti-Malware-Software entfernen, AntiVirus und Firewall-Software auf aktuellen Stand bringen und dann bei uns melden

top