Mailrelay

Der Mailrelaydienst stellt den zentralen Knotenpunkt zwischen dem UniMail Dienst des TIK, den Mailservern der Institute und dem Internet dar. Der Mailrelaydienst besteht aus drei zentralen Servern, die unter dem gemeinsamen Namen mailrelay.uni-stuttgart.de erreichbar sind.

Mit dem zentralen Mailrelaydienst bietet Ihnen das TIK einen Schutz gegen Viren und gibt Ihnen die Möglichkeit, leichter mit der immer grösseren Anzahl von unerwünschten Werbemails/Spam fertig zu werden.
Mailrelaydienst

Unter dem Namen mailrelay.uni-stuttgart.de verbergen sich mehrere Mailrelay-Server. Diese sind aktuell:

IP-Name IPv4-Adresse IPv6-Adresse Standort / Hot Standby
mx1.rus.uni-stuttgart.de 129.69.192.1 2001:7c0:2041:25::a:1
2001:7c0:2041:25::1:1
Vaihingen Allmandring 30a
Pfaffenwaldring 57
mx2.rus.uni-stuttgart.de 129.69.192.2 2001:7c0:2041:25::a:2
2001:7c0:2041:25::1:2
Vaihingen Allmandring 30a
Pfaffenwaldring 57
mx3.rus.uni-stuttgart.de 129.69.192.3 2001:7c0:2041:25::a:3
2001:7c0:2041:25::1:3
Vaihingen Allmandring 30a
Pfaffenwaldring 57
mx4.rus.uni-stuttgart.de 129.69.192.4 2001:7c0:2041:25::a:4
2001:7c0:2041:25::1:4
Vaihingen Allmandring 30a
Pfaffenwaldring 57

Aus betriebstechnischer Sicht kann es notwendig sein, weitere Server (auch temporär) in den Mailrelay-Verbund aufzunehmen, bzw. existierende Server daraus zu entfernen.

Falls in Ihrem Institut eine Firewall eingesetzt wird, empfehlen wir aus Gründen der Flexibilität ab sofort den Port 25 für den Adressbereich 129.69.192.0/27, also von 129.69.192.0 bis 129.69.192.31 (32 Adressen), freizuschalten. Die IPv6 Adressen sind nur für den Kontakt nach Außen vorgesehen und brauchen daher von den Instituten nicht freigeschaltet werden.
Die Produktions-Server sind i.d.R. identisch konfiguriert. Die Last wird mittels des "round robin" Verfahrens im DNS gleichmässig verteilt. Dadurch wird eine hohe Ausfallsicherheit des Dienstes erreicht. Ein- und ausgehende Mail, die über diese Relays geroutet wird, wird auf Viren und Spam geprüft.
Der Mailrelaydienst steht Universitätseinrichtungen zur Verfügung. Falls Sie Interesse daran haben, nehmen Sie bitte Kontakt mit uns auf.

 



Bedingungen für die Nachrichtenzustellung

Der Mailrelaydienst benutzt die OpenSource Software Postfix für die Verarbeitung der E-Mails (Mail Transfer Agent, MTA). Damit der Mailrelaydienst eine Nachricht annimmt müssen unter anderem die folgenden Bedingungen gelten:

  • Die IP-Adresse des Clients muss im DNS auflösbar sein.
  • Die IP-Adresse des Clients darf nicht auf der Blackliste des Anbieters Spamhaus stehen.
  • Der EHLO/HELO Name des Clients muss RFC konform sein.
  • Der Absender muss einer gültigen, im DNS auflösbaren, Domäne entstammen.
  • Der Empfänger muss einer gültigen, im DNS auflösbaren, Domäne entstammen.
  • Wenn die Empfängeradresse im Bereich der Universität Stuttgart liegt, dann muss diese existieren.
  • Die E-Mail darf eine Größe von 30 MiB (Transfervolumen, MIME codiert) nicht überschreiten.
  • Die Nachricht darf keinen Virus enthalten.

Außerdem dürfen Clients beim Senden von E-Mails die folgenden Limits nicht überschreiten:

  • Maximale Anzahl an gleichzeitigen Verbindungen: 25
  • Maximale Anzahl an Verbindungen: 50 / Minute
  • Maximale Anzahl an E-Mails: 250 / Minute
  • Maximale Anzahl an Empfängern: 5000 / E-Mail


Anforderungen an die Mailserver der Institute

Wenn ein Institut der Universität Stuttgart seinen eigenen Mailserver betreibt und den Mailrelaydienst des RUS nutzt, dann muss der Mailserver die folgenden Anforderungen erfüllen:

  • Der Mailserver muss dem Mailrelay bekannt sein, bzw. mit entsprechender Priorität im DNS eingetragen sein (ersteres wird bevorzugt).
  • Der Mailserver darf nur existierende Empfängeradressen annehmen und muss unbekannte Empfängerdressen mit einer endgültigen Fehlermeldung (5XX) abweisen.
  • Eine Absenderüberprüfung darf nicht durchgeführt werden.
  • E-Mails dürfen nicht auf Grund ihres Inhalts abgeleht (oder gebounct) werden. Dies gilt auch für Spam- und Viren-E-Mails.

Der Betrieb eines MS Exchange 2013 Servers muss dringend mit uns abgesprochen und koordiniert werden. Ansonsten kann es zum Verlust von E-Mails führen.



Scan-To-Email über Institutsdrucker

Wenn Sie einen institutseigenen Drucker mit Scan-To-Email-Funktion verwenden, dann können Sie die ausgehenden E-Mails über unsere Mailrelays versenden.

Es müssen folgende Voraussetzungen für den Drucker erfüllt sein:

  • Der Name und die IP-Adresse müssen jeweils im zentralen DNS der Uni-Stuttgart auflösbar sein
  • Sollte die IP-Adresse aus einem privaten Netz (also nicht 129.69.0.0/141.58.0.0) stammen, muss uns dieses mitgeteilt werden
  • Die Absenderadresse(n) sollte(n) im Domainteil den DNS-Hostnamen enthalten, also z.B. scan@printer1.rus.uni-stuttgart.de. Der lokale Teil kann beliebig gewählt werden.

Wie man z.B. einen Konica Minolta Drucker entsprechend konfiguriert, können Sie hier nachlesen.



Verschlüsselte Übertragung

Eingehender E-Mailverkehr:

Der Mailrelaydienst bietet dem einliefernden Client an, die Verbindung mittels TLS/SSL zu verschlüsseln. Er akzeptiert in den Standardeinstellugen jeden Schlüssel. Es ist aber grundsätzlich möglich für bestimmte Clients diese Bedingung einzuschränken. Kontaktieren Sie uns bitte bei entsprechenden Wünschen.

Ausgehender E-Mailverkehr:

Der Mailrelaydienst versucht, wenn immer möglich, eine verschlüsselte Verbindung mit dem Zielserver aufzubauen. Auch hierbei wird jedes angebotene Zertifikat akzeptiert. Kontaktieren Sie uns bitte wenn Sie ein anderes Verhalten wünschen.

Unser Zertifikat:

Unser Zertifikat ist über das DFN mit dem Wurzelzertifikat der Deutschen Telekom zertifiziert und sollte somit von allen gängigen Installationen als gültig erkannt werden. Die Zertifikatshierarchie sieht folgendermaßen aus:

  • Deutsche Telekom Root CA 2
    • DFN-Verein PCA Global - G01
      • Universität Stuttgart CA G01
        • mailrelay.uni-stuttgart.de

Die Fingerprints des Zertifikats des Mailrelaydienstes sind wie folgt:

  • MD5 Fingerprint = 2D:0F:EF:BA:64:C2:8A:9D:8C:8C:9A:0B:A9:3E:2C:A9
  • SHA1 Fingerprint = 49:78:C4:9D:D2:BC:C5:3A:96:C2:76:C5:74:84:7E:B7:D2:71:DC:22


Virenschutz

Dieser geschieht primär mit Hilfe von Sophos Antivirus und sekundär mit Clamav, welche über die Open Source Schnittstelle Amavisd-new in die Postfix-Mailsoftware integriert sind. Es finden mehrmals täglich Updates der Virensignaturen statt, sodass es in der Regel möglich ist, auch die neuesten Viren zu finden.
Alle Mails werden nach Viren geprüft egal ob sie von Aussen kommen, oder die Uni über die zentralen Mailrelays verlassen.

Was passiert wenn ein Virus in einer Mail gefunden wurde?

  • Das Mailrelay wird die verseuchte Nachricht ablehnen (reject).
  • Damit liegt es in der Verantwortung des einliefernden Systems den Absender über die nicht erfolgte Zustellung zu benachrichtigen.
  • Der Empfänger wird nicht benachrichtigt.

 



Spammarkierung

Auf den Mailrelays wird zur Spamabwehr die Open Source Software SpamAssassin eingesetzt. SpamAssassin wird ebenfalls über die Amavisd-new Schnittstelle in das Postfix eingebunden. Jede Nachricht wird anhand bestimmter Kriterien bewertet und ggf. als Spam markiert. Anhand dieser Markierung können die Benutzer mit Hilfe ihres Mailprogramms die als Spam markierten Mails ausfiltern.



Kontakt

E-Mai: mail-support (at) rus.uni-stuttgart.de
Telefon: 0711 / 685 - 88088