CipherMail versendet SPAM Bounce Mails

Fehlerbeschreibung:

CipherMail versendet SPAM Bounce Mails, nachdem Sie CipherMail als Perimeter SMTP und/oder als Gateway für E-Mail-Verschlüsselung eingerichtet haben.

Fehlerursache:

Standardmäßig nimmt die in CipherMail verwendete Komponente Postfix alle Emails für die eigene(n) Domäne(n) an und leitet diese an den internen E-Mailserver weiter, ohne die Empfänger auf Gültigkeit zu prüfen.

Fehlerbereinigung:

Hieraus ergeben sich zwei Probleme:

  1. Es werden E-Mails inklusive Viren und SPAM für ungültige Adressen angenommen und untersucht, was unnötige Ressourcen verbraucht.
  2. Es werden unnötige Unzustellbarkeitsnachrichtigungen (NDR) erzeugt, welche die Warteschlange im Mailserver belastet. Hinzu kommt, dass diese bei Viren und SPAM oft an gefälschte Email-Adressen zugestellt werden. Dies führt zum teilweise dazu, dass mehrere Zustellversuche unternommen werden, wodurch der Mailserver zusätzlich belastet wird.

Postfix bietet folgende Lösung um diese Probleme zu umgehen. Emails an ungültige Email-Adressen dürfen erst gar nicht angenommen werden. Hierzu muss Postfix jedoch die Möglichkeit haben, die Gültigkeit des Empfängers zu prüfen.

Exchange ab Version 2000 legt die dazu nötigen Informationen im Active Directory ab. Über LDAP können diese an einem Windows Domänen Controller abgefragt werden. Ab Postfix 2.1 kann dies mit wenigen Zeilen Konfiguration und der Option relay_recipient_maps eingestellt werden. Sollte der CipherMail bzw. Perimeter SMTP sich innerhalb einer DMZ befinden, muss die LDAP-Verbindung über TCP-Port 389 zum Windows Domänen Controller erlaubt sein.

Über relay_recipient_maps kann Postfix ein Abfrage auf Gültigkeit der Email-Adressen innerhalb der eigenen Domäne abfragen. Für unbekannten Email-Adressen verweigert Postfix die Annahme der Email mit: Recipient address rejected: User unknown in relay recipient table. Die existierenden Empfänger können dabei über LDAP abgefragt werden, wenn Postfix mit LDAP-Unterstützung installiert ist (bei Debian/Ubuntu muss dazu das Paket postfix-ldap vorhanden sein).

In der Postfixkonfiguration, bzw.MTA config file des CipherMail muss lediglich die folgende Zeile in die Datei /etc/postfix/main.cf hinzugefügt werden:

relay_recipient_maps = ldap:/etc/postfix/ldap_relay_recipient_maps.cf

Anschließend muss die Datei /etc/postfix/ldap_relay_recipient_maps.cf mit den Einstellungen für die LDAP-Abfrage angelegt werden. Die Abfrage der Email-Adressen vom Windows Domän Controller dc01 der Domäne beispiel.local als Benutzer postfix sollte wie folgt aussehen. Befindet sich der Cipher in einer DMZ kann als “server_host” die IP Adresse angegeben werden. Die LDAP Abfrage aus der DMZ zum DC (TCP 389) muss im Regelwerk erlaubt sein!

server_host = dc01.beispiel.local
search_base = dc=beispiel, dc=local
version = 3

bind_dn = CN=postfix,CN=Users,DC=beispiel,DC=local
bind_pw = password
query_filter = (proxyAddresses=smtp:%s)
result_attribute = mail

Vorausgesetzt es existiert ein Benutzer postfix unterhalb der OU Users in der Domäne beispiel.local. Dieser muss/darf keine Administrationsrechte haben. Es reichen LDAP Leseberechtigungen. Bei Windows Systemen auch die Gruppe “Domänen Gast”.

Ob die Konfiguration in der Datei ldap_relay_recipient_maps.cf funktioniert, kann als root mit dem folgendem Befehl geprüft werden:

poststmap -q emailadresse@beispieldomain.tld ldap:/etc/postfix/ldap_relay_recipient_maps.cf

Existiert die Emailadresse emailadresse@beispieldomain.tld, erscheint diese als Ausgabe. Wenn es keine Ausgabe gibt, existiert die Mailadresse nicht und Postfix respektive CipherMail verweigert die Annahme.

Danach sollte das Problem “CipherMail versendet SPAM Bounce Mails” behoben sein.

Für weitere Fragen und Anregungen steht ihnen der Author und das Team der HIT gerne zur Verfügung!