Mailrelay

Dienst für Beschäftigte

Mailrelay

Mit dem zentralen Mailrelay-Dienst wird Ihr E-Mail-Verkehr vor Viren und Spam geschützt.

Funktionsumfang

Das zentrale Mailrelay schützt den universitären E-Mail-Verkehr vor:

  • Viren und anderer Schadsoftware
  • Unerwünschte E-Mails / Spam

Institute und Einrichtungen mit eigenen Mailservern und eigner Hardware bieten wir an:

  • Aufnahme Ihrer Mailserver ins Mailrelay
  • Aufnahme der institutseigenen Druckern mit Scan-to-E-Mail-Funktion ins Mailrelay

 

Support

Informationen für Institutsadministratoren

Unter dem Namen mailrelay.uni-stuttgart.de verbergen sich mehrere Mailrelay-Server. Diese sind aktuell:

IP-Name IPv4-Adresse IPv6-Adresse Standort / Hot Standby
mx1.rus.uni-stuttgart.de 129.69.192.1 2001:7c0:2041:25::a:1
2001:7c0:2041:25::1:1
Vaihingen Allmandring 30a
Pfaffenwaldring 57
mx2.rus.uni-stuttgart.de 129.69.192.2 2001:7c0:2041:25::a:2
2001:7c0:2041:25::1:2
Vaihingen Allmandring 30a
Pfaffenwaldring 57
mx3.rus.uni-stuttgart.de 129.69.192.3 2001:7c0:2041:25::a:3
2001:7c0:2041:25::1:3
Vaihingen Allmandring 30a
Pfaffenwaldring 57
mx4.rus.uni-stuttgart.de 129.69.192.4 2001:7c0:2041:25::a:4
2001:7c0:2041:25::1:4
Vaihingen Allmandring 30a
Pfaffenwaldring 57

Der Mailrelaydienst benutzt die Open-Source-Software Postfix für die Verarbeitung der E-Mails. Damit eine Nachricht angenommen wird, müssen unter anderem die folgenden Bedingungen gelten:

  • Die IP-Adresse des Clients muss im DNS auflösbar sein.
  • Die IP-Adresse des Clients darf nicht auf der Blacklist des Anbieters Spamhaus stehen.
  • Der EHLO/HELO Name des Clients muss RFC konform sein.
  • Der Absender muss einer gültigen, im DNS auflösbaren, Domäne entstammen.
  • Der Empfänger muss einer gültigen, im DNS auflösbaren, Domäne entstammen.
  • Wenn die Empfängeradresse im Bereich der Universität Stuttgart liegt, dann muss diese existieren.
  • Die E-Mail darf eine Größe von 30 MiB (Transfervolumen, MIME codiert) nicht überschreiten.
  • Die Nachricht darf keinen Virus enthalten.

Außerdem dürfen Clients beim Senden von E-Mails die folgenden Limits nicht überschreiten:

  • Maximale Anzahl an gleichzeitigen Verbindungen: 25
  • Maximale Anzahl an Verbindungen: 50 / Minute
  • Maximale Anzahl an E-Mails: 250 / Minute
  • Maximale Anzahl an Empfängern: 5000 / E-Mail

Wenn ein Institut der Universität Stuttgart seinen eigenen Mailserver betreibt und den Mailrelaydienst des TIK nutzt, dann muss der Mailserver die folgenden Anforderungen erfüllen:

  • Der Mailserver muss dem Mailrelay bekannt sein, bzw. mit entsprechender Priorität im DNS eingetragen sein (ersteres wird bevorzugt).
  • Der Mailserver darf nur existierende Empfängeradressen annehmen und muss unbekannte Empfängeradressen mit einer endgültigen Fehlermeldung (5XX) abweisen.
  • Eine Absenderüberprüfung darf nicht durchgeführt werden.
  • E-Mails dürfen nicht aufgrund ihres Inhalts abgelehnt (oder gebounct) werden. Dies gilt auch für Spam- und Viren-E-Mails.

Der Betrieb eines MS Exchange 2013 Servers muss dringend mit uns abgesprochen und koordiniert werden, da es ansonsten zum Verlust von E-Mails führen kann.

Wenn Sie einen institutseigenen Drucker mit Scan-To-Email-Funktion verwenden, dann können Sie die ausgehenden E-Mails über unsere Mailrelays versenden.

Es müssen folgende Voraussetzungen für den Drucker erfüllt sein:

  • Der Name und die IP-Adresse müssen jeweils im zentralen DNS der Uni-Stuttgart auflösbar sein
  • Sollte die IP-Adresse aus einem privaten Netz (also nicht 129.69.0.0/141.58.0.0) stammen, muss uns dieses mitgeteilt werden
  • Die Absenderadresse(n) sollte(n) im Domainteil den DNS-Hostnamen enthalten, also z.B. scan@printer1.rus.uni-stuttgart.de. Der lokale Teil kann beliebig gewählt werden.

Wie man z.B. einen Konica Minolta Drucker entsprechend konfiguriert, können Sie in den Anleitungen nachlesen.

Eingehender E-Mailverkehr:

Der Mailrelaydienst bietet dem einliefernden Client an, die Verbindung mittels TLS/SSL zu verschlüsseln. Er akzeptiert in den Standardeinstellugen jeden Schlüssel. Es ist aber grundsätzlich möglich für bestimmte Clients diese Bedingung einzuschränken. Kontaktieren Sie uns bitte bei entsprechenden Wünschen.

Ausgehender E-Mailverkehr:

Der Mailrelaydienst versucht, wenn immer möglich, eine verschlüsselte Verbindung mit dem Zielserver aufzubauen. Auch hierbei wird jedes angebotene Zertifikat akzeptiert. Kontaktieren Sie uns bitte wenn Sie ein anderes Verhalten wünschen.

Unser Zertifikat:

Unser Zertifikat ist über das DFN mit dem Wurzelzertifikat der Deutschen Telekom zertifiziert und sollte somit von allen gängigen Installationen als gültig erkannt werden. Die Zertifikatshierarchie sieht folgendermaßen aus:

  • Deutsche Telekom Root CA 2
    • DFN-Verein PCA Global - G01
      • Universität Stuttgart CA G01
        • mailrelay.uni-stuttgart.de

Die Fingerprints des Zertifikats des Mailrelaydienstes sind wie folgt:

MD5 Fingerprint = 2D:0F:EF:BA:64:C2:8A:9D:8C:8C:9A:0B:A9:3E:2C:A9
SHA1 Fingerprint = 49:78:C4:9D:D2:BC:C5:3A:96:C2:76:C5:74:84:7E:B7:D2:71:DC:22

Dieser geschieht primär mit Hilfe von Sophos Antivirus und sekundär mit Clamav, welche über die Open Source Schnittstelle Amavisd-new in die Postfix-Mailsoftware integriert sind. Es finden mehrmals täglich Updates der Virensignaturen statt, sodass es in der Regel möglich ist, auch die neuesten Viren zu finden.
Alle Mails werden nach Viren geprüft egal, ob sie von Außen kommen, oder die Uni über die zentralen Mailrelays verlassen.

HINWEIS: Seit Anfang Dezember 2018 werden E-Mails, die Office-Anhänge mit Makros enthalten, von den Mailrelays abgewiesen, auch wenn die Makros keine Schadsoftware enthalten. Dies ist der massiven Gefährdung durch Makroviren und der verzögerten Erkennung durch Virenscanner geschuldet. Alternative Möglichkeiten zum Versenden sind: Office Anhang ohne Makros, Verwendung eines anderen Formats, z.B. PDF, Nutzung unseres F*EX-Dienstes oder Komprimieren des Anhangs (z.B. als Zip-Datei), wobei die Datei per Passwort verschlüsselt sein muss. Das Versenden dieser Anhänge zwischen Konten innerhalb von MS Exchange ist weiterhin möglich.

Was passiert, wenn ein Virus in einer Mail gefunden wurde?

  • Das Mailrelay wird die verseuchte Nachricht ablehnen (reject).
  • Damit liegt es in der Verantwortung des einliefernden Systems den Absender über die nicht erfolgte Zustellung zu benachrichtigen.
  • Der Empfänger wird nicht benachrichtigt.

Auf den Mailrelays wird zur Spamabwehr die Open-Source-Software SpamAssassin eingesetzt. SpamAssassin wird ebenfalls über die Amavisd-new Schnittstelle in das Postfix eingebunden. Jede Nachricht wird anhand bestimmter Kriterien bewertet und ggf. als Spam markiert. Anhand dieser Markierung können die Benutzer mithilfe ihres Mailprogramms die als Spam markierten Mails ausfiltern.

Zum Seitenanfang