Mailserver untereinander und SMTP-Auth

[mario_bros]

Hi,

bitte nicht lachen, bin noch in der Ausbildung.

Mein Ausbilder hat mir die Aufgabe geben, einen Aufsatz über E-Mail zu schreiben. Dazu soll ich sämtliche Protokolle und RFCs benennen und beschreiben.

Eigentlich bin ich schon fast fertig, aber eins da bin ich mir unsicher. Ich finde dazu kein RFC oder sonstige Dokumente.

Es geht um SMTP-Auth, wenn ich das aktiviere, dann muss man sich ja am SMTP authentifizieren, bevor man eine Mail erstellen kann. Das kann ich per Telnet auch nachvollziehen.

Wie funktioniert das bei dem Austausch von Mails zwischen zwei Mailservern? Die kennen sich ja meist nicht und suchen sich per DNS das Ziel oder die Route. Wieso können die weiterhin Mails austauschen, obwohl eine Authentisierung gefordert wird? Gibt es da ein RFC, das das beschreibt?

[Gast Interrupt]

vor 4 Stunden schrieb mario_bros:

Es geht um SMTP-Auth, wenn ich das aktiviere, dann muss man sich ja am SMTP authentifizieren, bevor mn eine Mail erstellen kann.

Klingt etwas falsch. Eine E-Mail kann man immer erstellen. Sowas macht man an einem E-Mail Client und hat mit dem Mailserver erstmal nichts damit zu tun. 😉

vor 4 Stunden schrieb mario_bros:

Wie funktioniert das bei dem Austausch von Mails zwischen zwei Mailservern? Die kennen sich ja meist nicht und suchen sich per DNS das Ziel oder die Route. Wieso können die weiterhin Mails austauschen, obwohl eine Authentisierung gefordert wird?

Du musst zwischen Empfang und Versand unterscheiden. Für Versand sollte ein Mailserver zwingend eine Authentifizierung verlangen, schließlich sollen ja nur die Benutzer des Mailservers bzw. Des Unternehmens Mails von Ihrer Domain aus verschicken dürfen. Andernfalls bezeichnet man solch einen Mailserver, wo jeder x-beliebige Mails verschicken darf, als Open Relay und wird von Spammern missbraucht.

Beim Empfang braucht man logischerweiße keine Authentifizierung. Ist wie beim Briefkasten. Jeder darf Post reinwerfen. Aber nur du hast den Schlüssel um später die Post abzuholen und zu lesen. 😉

[Han_Trio]

Moin,

SMTP: https://datatracker.ietf.org/doc/html/rfc5321
SASL: https://datatracker.ietf.org/doc/html/rfc4954

Ohne allzu sehr in die Tiefe zu gehen: DNS und die Mail-Authentifizierung (SASL = Simple Authentication and Security Layer) sind zwei verschiedene Dinge
SMTP ist das Protokoll, mit dem Mails versendet werden, und SASL ist eine Erweiterung davon.

Das DNS gibt grundsätzlich das Ziel / die Route vor, wie du bereits richtig erkannt hast (und speziell bei Emails ist das sog. reverse DNS sehr wichtig, um den Sender zu verifizieren, siehe unten).

Der erste Schritt: Die Authentifizierung (die beim Sender stattfindet), also das SASL, ist eine Authentifizierung des Users (!), also die credentials vom Postfach.
Sobald diese Anmeldung / Authentifizierung passiert ist, kann die Mail verfasst und abgeschickt werden (streng genommen: verfassen kannst du die Mail auch schon vorher, nur der Versende-Vorgang erfordert eine Authentifizierung).
Auf dem weiteren Weg, und auch beim Empfänger, spielt SASL keine Rolle mehr.

Nun wird das DNS verwendet (Stichwort: MX record der Empfänger-MailDomain), damit die Mail den Weg zum Ziel finden kann.

Beim Empfänger wird dann noch einmal geprüft, ob die Mail von einem Server aus verschickt wurde, der das auch darf - hier kommt das reverse DNS zum Einsatz: Die Mail kommt von einer bestimmten IP herein, und mittels reverse DNS wird geprüft, ob diese IP zur Absender-MailDomain passt.
Das ist nicht zwingend notwendig, gehört aber SEHR verbreitet zum "guten Ton" beim Mailversand.

Ich bin nicht ganz sicher, ob ich deine Frage richtig verstehe:

vor 4 Stunden schrieb mario_bros:

Wieso können die weiterhin Mails austauschen

das können sie - so gesehen - nicht der Prozess wird für jede Mail neu durchlaufen.

[alex123321]

Mit reverse DNS meinst du SPF?

Weiterhin gibts noch DKIM um gespoofte Domänen zu erkennen und DMARC um den umgang mit gespooften Domänen zu definieren

[Gast Interrupt]

vor 29 Minuten schrieb alex123321:

Mit reverse DNS meinst du SPF?

Nein, dass sind zwei unterschiedliche Sachen.

https://www.ionos.de/digitalguide/server/knowhow/reverse-dns/

https://de.m.wikipedia.org/wiki/Sender_Policy_Framework

[mario_bros]

Danke für die ganzen Infos. Ich muss mich da mal durchlesen. Da ist einiges dabei von dem ich noch nie was gehört habe. Ich mache übrigens keine Ausbildung zum Fachinformatiker, sondern zum Informatikkaufmann. Daher liegt der Schwerpunkt meiner Ausbildung auch auf dem kaufmännischen. Aber mein Ausbilder meint, um IT-Controlling richtig machen zu können, muss ich mich auch sehr gut in der IT auskennen und will immer, dass ich etwas mehr lerne als im Ausbildungsplan steht.

[Han_Trio]

Das ganze Thema Email wird scheiße komplex, je tiefer man reintaucht.. da spielen viele verschiedene Dinge eine Rolle, die miteinander verwoben sind. Also von der rein technischen Seite her.

Für den Anfang ist es für ein grundsätzliches Verständnis hilfreich, wenn du dir bewusst bist: "Mails wandern nicht einfach nur von A nach B, da ist noch jede Menge zwischen". Damit weißt du schonmal mehr als gefühlte 98% der User

Also was du hier rausziehen kannst, ist vielleicht erstmal der grobe Ablauf:

- Anmeldung / Authentifizierung (SASL)
- Absenden (SMTP)
- Wegfindung (DNS)
- Eingangskontrolle (reverse DNS)

Und zum tieferen Verständnis kannst du dann ggf. an den einzelnen Punkten weiter ansetzen.

[mario_bros]

vor 15 Stunden schrieb Interrupt:

Beim Empfang braucht man logischerweiße keine Authentifizierung. Ist wie beim Briefkasten. Jeder darf Post reinwerfen. Aber nur du hast den Schlüssel um später die Post abzuholen und zu lesen. 😉

Ah ok. Verstanden.

Ich weiß zwar nicht, ob das jetzt für z.B. unseren Mailserver zutrifft, aber es kann ja vorkommen, dass ein Mailserver nur auf der Mailroute liegt. Sprich er empfängt von einem anderen Mailserver (wie ich jetzt weiß ohne Authentisierung) die Mail, die nicht für die eigene Maildomain bestimmt ist. Und muss diese dann ja weiter versenden. 

Funktioniert das dann nach dem Schema, dass der SMTP die Mail erstmal empfängt, der Mailrouter dann aber feststellt, das ist nicht für ihn, um es dann wieder über SMTP an den für externe Mails hinterlegten Mailserver oder direkt per DNS ermittelten Mailserver weiterzuleiten?

[Gast Interrupt]

Zitat

Ich weiß zwar nicht, ob das jetzt für z.B. unseren Mailserver zutrifft, aber es kann ja vorkommen, dass ein Mailserver nur auf der Mailroute liegt. Sprich er empfängt von einem anderen Mailserver (wie ich jetzt weiß ohne Authentisierung) die Mail, die nicht für die eigene Maildomain bestimmt ist. Und muss diese dann ja weiter versenden. 

Eine E-Mail wird direkt an den richtigen E-Mail Server verschickt. Der E-Mail Server wird dazu via DNS mit dem MX-Rekord ermittelt. Was du meinst bezüglich Routing findet auf Layer 3 Ebene statt (Vermittlungsschicht). Da kommt das IP Protokoll ins Spiel. Du solltet dich erstmal mit Netzwerk Grundlagen beschäftigen, bevor du dich mit Sachen wie E-Mail, HTTP oder DNS beschäftigst. 

E-Mails für die ein E-Mail Server nicht zuständig ist, werden normalerweiße abgelehnt. Wäre quasi so als würde der Postbote Briefe an Herrn Müller in den Briefkasten von Herrn Mustermann einwerfen. Ist ja quatsch, oder? 😉

Deshalb passiert sowas eigentlich nur, wenn eine Fehlkonfiguration vorliegt, z.B. weil ein Kunde den Provider gewechselt hat und man die Konfiguration nicht angepast hat oder weil noch alte Einträge im DNS Cache vorhanden sind. Je nach Konfiguration des E-Mail Server bekommt der Versender eine entsprechende Bounce Message (Non Delivery Notification).

Bearbeitet 29. Juli 2021 von Interrupt

[mario_bros]

vor 8 Minuten schrieb Interrupt:

E-Mails für die ein E-Mail Server nicht zuständig ist, werden normalerweiße abgelehnt. Wäre quasi so als würde der Postbote Briefe an Herrn Müller in den Briefkasten von Herrn Mustermann einwerfen. Ist ja quatsch, oder? 😉

 

Stimmt klingt unsinnig. Ich habe da das Konfigurationsdokument unseres Domino-Servers falsch interpretiert. Da stand sowas wie "alle unbekannten Maildomains senden an" und dort war ein Server fest hinterlegt. Da ich meinte auch was von Mailrouten gelesen zu haben, dachte ich unser Mailserver bekommt als Zwischenstation vielleicht Mails für andere Domains und sendet die dann einfach weiter.

Aber ich hab gerade von meinem Ausbilder erklärt bekommen, dass das Weiterleitungsziel kein Mailserver ist, sondern ein Mailgateway über das alle Mails rein und raus gehen. 

[Gast Interrupt]

vor 12 Minuten schrieb mario_bros:

Aber ich hab gerade von meinem Ausbilder erklärt bekommen, dass das Weiterleitungsziel kein Mailserver ist, sondern ein Mailgateway über das alle Mails rein und raus gehen. 

Ein Mailgateway ist auch nur ein E-Mail Server. Das Protokoll ist gleich und die Funktionsweiße ist somit ebenfalls identisch. Wie schon @Han_Trio geschrieben hat, wird es hier ein wenig komplexer. Viele Firmen haben mehrere E-Mail Server. Die meisten davon sind für interne Zwecke vorgesehen. Es hat einfach viele Vorteile, wenn man einen zentralen E-Mail Server hat, welcher für eingehende und ausgehende E-Mails ins WWW zuständig ist. Dieser E-Mail Server nennt man Mailgateway. Bei diesem Mailgateway werden üblicherweße zusätzlich noch Spam Filterungen und Antivirus Prüfungen durchgeführt.

Vermutlich ist sowas gemeint, was du unter Mailrouting gelesen hast. 😉

Bearbeitet 29. Juli 2021 von Interrupt

[mario_bros]

Vermutlich ja - bin mir vor Informationsoverload inzwischen nicht mehr sicher, was ich alles gelesen habe.

Danke für die Infos. Das hat mir weitergeholfen. Mein Ausbilder hat sich einen gegrinst, der ist hier auch im Forum und hatte meinen Hilferuf gestern abend gesehen.