Mail-Zustellung sichern / Spam-Versand vermeiden unter Linux / Plesk

Dieser Artikel betrachtet Mail-Server-Konfigurationen die auf einem dedizierten Root-Server mit Plesk Web-Hosting in der Plesk-Konfigurations-Oberfläche und dem DNS-System vorgenommen werden können. Dabei wird davon ausgegangen, dass sich Webserver und E-Mail-Server auf einem Server befinden (typisches Plesk-Szenario).

Die beschriebenen Maßnahmen kategorisieren sich in die Bereiche:

  1. Maßnahmen zur Erhöhung / Wiederherstellung der E-Mail-Reputation
  2. Maßnahmen zur Verminderung möglichen Schadens bei einem erfolgreichen Angriff
  3. Monitoring der E-Mail-Versendung

Non-Scope dieses Artikels

Nicht betrachtet wird die Möglichkeit eines E-Mail-Hostings über andere Server: im einfachsten Fall über die E-Mail-Server eines Hosting-Anbieters.

Aufgrund möglicher Nebeneffekte auf andere Dienste ebenfalls nicht betrachtet wird die Möglichkeit einer Änderung des Domainnamens für das Reverse Mapping der IP-Adresse des Servers von einem generischen Namen (hier: s17537011.onlinehome-server.info) in einen normalen Domainnamen (z.B., mail.michael-pfannkuchen.de). Diese Maßnahme wird z.B. von der Telekom / T-Online explizit gewünscht und kann (und sollte) über die Root-Server-Konfigurations-Website des jeweiligen Providers + in den Einstellungen des verwendeten Mailservers + im DNS-System vorgenommen werden. Zusätzlich sollte auch der Hostname selbst entsprechend angepasst werden: siehe auch https://eng.eelcowesemann.nl/plesk/changing-the-servers-hostname-in-plesk/.

Mit den hier beschriebenen Mitteln sollte zum Zeitpunkt der Artikelerstellung die E-Mail-Versendung an alle deutschsprachigen E-Mail-Dienste mit Ausnahme T-Online ermöglicht werden. Für T-Online ist ggf. eine E-Mail an tosa@rx.t-online.de zu senden mit einem Auszug der Maillogs.

Schritt-für-Schritt-Anleitung

Schritt 1. DNS-System korrekt konfigurieren

1.1 Hostname des E-Mail-Servers herausfinden

IT-System: E-Mail-Client des Administrators

Aufgabe: Eigene E-Mail nach Fehler-Emails des E-Mail-Servers durchsuchen

Im einfachsten Fall finden wir den Hostnamen des (E-Mail-)Servers in Fehler-E-Mails des Servers (siehe Grafik). Im Beispiel lautet der eindeutige DNS-Name des Servers s17537011.onlinehome-server.info

Undelivered E-Mail mit Hostname des E-Mail-Servers

1.2. Hostname des E-Mail-Servers im DNS-System konfigurieren

IT-System: DNS-Konfigurations-System des die Domain hostenden Providers

Aufgabe: DNS-Eintrag für Mailserver überprüfen und ggf. aktualisieren

Kontrolle und ggf. Update des Mail-Servers im DNS-System des die Domain hostenden Providers (im folgenden Beispiel project-roadmap.com). In der Beispielgrafik unten wird der E-Mail-Server explizit im Formular-Feld „E-Mail-Server der Domain“ angegeben: s17537011.onlinehome-server.info(Warnung) Der nach s17537011.onlinehome-server.info zusätzlich folgende Punkt (.) ist notwendig, Anderenfalls wird automatisch der E-Mail-Server als „s17537011.onlinehome-server.info.project-roadmap.com“ konfiguriert.

1.3 SPF Record für die Domain im DNS-System konfigurieren

IT-System: DNS-Konfigurations-System des die Domain hostenden Providers

Aufgabe: Setzen des SPF Records im DNS-System des die Domain hostenden Providers.

Wir starten mit dem Herausfinden einer sinnvollen Einstellung für den SPF-Record: Im Netz gibt es diverse Anbieter für die automatische Generierung von SPF-Records. In unserer Beispiel-Grafik verwenden wir den Dienst http://www.spfwizard.net/. Das in der Grafik zu sehende Beispiel funktioniert korrekt, wenn die DNS-Einstellungen „passen“ (auch bei separatem E-Mail-Server). Es funktioniert NICHT, wenn unter der Absenderdomain „project-roadmap.com“ Newsletter über andere Provider verschickt oder besondere Dienste (z.B. GMail oder MS Exchange , etc.) zur E-Mail-Versendung benutzt werden.

(Warnung) Der unterste Eintrag „How strict should be the servers“ sollte entsprechend den aktuellen Googlemail-Empfehlungen derzeit NICHT auf den Wert „FAIL“ gesetzt werden.

Im Beispiel wird der SPF-Record TXT „v=spf1 mx a ~all“ in den DNS-Einstellungen der Domain gesetzt (siehe auch Schritt 1.2).

Diese Einstellung ist als TXT Record in den DNS-Einstellungen der Domain zu hinterlegen.

Schritt 2: Anti-Spam-Konfiguration in den Plesk-Einstellungen

IT-System: Plesk-Menü: Tools & Einstellungen / Serverweite E-Mail-Einstellungen

Aufgabe: Option „SPF Spamschutz aktivieren“ aktivieren + Option „Spamschutz auf Basis der DNS-Blackhole-Listen“ aktivieren + Textfeld „DNS-Zonen für DNSBL-Service“ ausfüllen (im Beispiel wird der Server der Computer-Zeitschrift iX verwendet: ix.dnsbl.manitu.net)

Schritt 3: Mißbrauchs-Möglichkeiten in den Plesk-Einstellungen einschränken

IT-System: Plesk-Menü: Tools & Einstellungen / Serverweite E-Mail-Einstellungen

Aufgabe: Option „Begrenzung von ausgehenden Nachrichten einschalten“ aktivieren + weitere Angaben in diesem Bereich auswählen wie in der Beispiel-Grafik unten zu sehen.

(Warnung) Die angegebenen Grenzen für abgehende Nachrichten pro Stunde / Domain und Abonnement sind sehr restriktiv – bei aktiver Nutzung des E-Mail-Servers durch einzelne Nutzer o.ä. sollten die Grenzen angepasst werden. Ob dies notwendig ist, erfährt der Plesk-Administrator per E-Mail durch die Konfiguration „E-Mail-Benachrichtigung senden alle“ .. in diesem Beispiel sinnvollerweise stündlich.

Schritt 4: E-Mail-Versende-Reputation der Domain durch Anmeldung bei den Google Postmaster-Tools erhöhen

Notwendige Voraussetzung: Eigenes Google-Konto

IT-System: https://postmaster.google.com/ (Anmeldung mit Google-Konto) + DNS-Konfigurations-System des die Domain hostenden Providers

Aufgabe: Hinzufügen der Domain zum Google Postmaster-Tool inkl. Verifizierung über das DNS-System des Hosting-Providers

Die folgenden Grafiken visualisieren Schritt für Schritt die Vorgehensweise für das Hinzufügen einer Domain in den Postmaster-Tools:

4.1 Domain eintragen in den Postmaster-Tools

4.2 Verifizierungscode kopieren

4.3 TXT DNS-Record hinzufügen im DNS-Konfigurations-System des die Domain hostenden Providers

4.4 Überprüfung des unter 4.3 hinzugefügten DNS-Records

Schritt 5: Erfolg der Maßnahmen 1. bis 4. verifizieren

IT-System: Kostenloser E-Mail-Konfigurationstest unter https://test.meinmail.info/index.php/test-starten.html + E-Mail-Client

Aufgabe: Durchführen des Tests entsprechend der auf der Website beschriebenen Vorgehensweise

Das Ergebnis der Analyse sollte dann im E-Mail-Quelltext wie folgt aussehen (Beispiel: E-Mail-Versendung durch mail@michael-pfannkuchen.de) :

Return-Path: <test@meinmail.info>
X-Original-To: mail@michael-pfannkuchen.de
Delivered-To: mail@michael-pfannkuchen.de
Received: from mail.intellihost.at (mail.intellihost.at [212.108.37.159])
    by s17537011.onlinehome-server.info (Postfix) with ESMTPS id AC1D43C98D
    for <mail@michael-pfannkuchen.de>; Wed, 19 Oct 2016 13:26:28 +0200 (CEST)
Received-SPF: pass (s17537011.onlinehome-server.info: domain of meinmail.info designates 212.108.37.159 as permitted sender) client-ip=212.108.37.159; envelope-from=test@meinmail.info; helo=mail.intellihost.at;
Received: from [192.168.1.202] by mail.intellihost.at (ArGoSoft Mail Server .NET v.1.0.8.8) with ESMTP (EHLO mail.intellihost.at)
    for <mail@michael-pfannkuchen.de>; Wed, 19 Oct 2016 13:26:25 +0200
Received: from  [127.0.0.1] by mail.intellihost.at
  (ArGoSoft Mail Server Pro for WinNT/2000/XP, Version 1.8 (1.8.6.8)); Wed, 19 Oct 2016 13:26:24 +0200
X-EW-Sign: EF3DEFFA37EC5592DA5B583D5B32A2A8
Subject: Analyse 1/2
From: Test@MeinMail.Info
Message-Id: 816.10827.200425250.2016-10-19@mail.intellihost.at
X-TMI-INFO: NOTE: This is the 1st of 2 bounced messages from test@meinmail.info with added test result of the authorized request from mail@michael-pfannkuchen.de.
Received: from [192.168.2.110] (dslb-178-012-143-112.178.012.pools.vodafone-ip.de [178.12.143.112])
    by s17537011.onlinehome-server.info (Postfix) with ESMTPSA id 471223C98A
    for <test@meinmail.info>; Wed, 19 Oct 2016 13:26:04 +0200 (CEST)
To: test@meinmail.info
Date: Wed, 19 Oct 2016 13:25:59 +0200
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:45.0) Gecko/20100101
    Thunderbird/45.4.0
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 7bit
X-PPP-Message-ID: <20161019112604.27441.76441@s17537011.onlinehome-server.info>
X-PPP-Vhost: michael-pfannkuchen.de
X-ArGoMail-Authenticated: ewall@intellihost.at
X-FromIP: 192.168.1.202
Analyse Mail 1 von 2 - Der Mailserver befindet sich nun im Greylisting...
Das zweite Mail sollte in Kuerze bei Ihnen einlangen - achten Sie dabei auf die ausgewerteten IP Adressen und die jeweilige Testauswertung.
Ergebnis dieses Tests: KEINE FEHLER, jedoch Verbesserungspotential besteht
Das bedeutet, dass nicht alle Tests positive Ergebnisse erzielt haben, jedoch auch keine schweren Fehler vorliegen.
Als Information koennen Sie dieses Testergebnis an Ihren E-Mail Provider weiterleiten.
Ihre Analyse, durchgefuehrt am 2016-10-19, um 13:26:06 MEZ.
Betrifft E-Mail Adresse: mail@michael-pfannkuchen.de:
Der Mailserver meldet sich aus folgendem Land, mit folgender IP-Adresse:
Herkunftsland: United States (US)
IP-Adresse: 82.165.148.42
OK: Die IP-Adresse des Mailservers ist nicht als dynamische IP registriert.
OK: Ein Reverse DNS Eintrag (PTR) zu der IP-Adresse des sendenden Mailservers ist vorhanden.
s17537011.onlinehome-server.info zu 82.165.148.42
OK: Ein Forward DNS Eintrag zum PTR des sendenden Mailservers ist vorhanden und zeigt auf die sendende IP-Adresse.
OK: Der SPF Eintrag (SenderPolicyFramework) zu Ihrer E-Mail Adresse ist PASS!
SPF - Eintraege sagen aus, ueber welchen IP-Bereich Mails mit Ihrer Adresse versendet werden duerfen.
Bei diesem Test stimmt der IP-Bereich zu Ihrer E-Mail Adresse. Das ist optimal.
OK: Der Mailserver scheint auf keinen der geprueften Blacklisten auf.
OK: Der Mailserver ist nicht als Backscatter-Server gelistet.
HINWEIS: Die IP-Adresse, ueber die die Mails versendet werden, ist in KEINEN geprueften WhiteListen aufgelistet!
Das ist nicht gut, da Mailserver, die whitegelistet sind, grundsaetzlich als vertrauenswuerdiger eingestuft werden und den Status nur dann behalten, wenn die gelisteten Server nicht negativ auffallen.
OK: Der Mailserver, ueber den Ihre Mails versendet werden, meldet sich korrekt und stimmt mit dem Hostnamen der sendenden IP-Adresse ueberein.
Das ist optimal.
Meldung des Servers: s17537011.onlinehome-server.info
Hostname: s17537011.onlinehome-server.info
IP-Adresse: 82.165.148.42
--- ENDE DER AUTOMATISCHEN MAILGENERIERUNG ---
by https://test.meinmail.info

 

 

Ein Gedanke zu „Mail-Zustellung sichern / Spam-Versand vermeiden unter Linux / Plesk

  1. Nachtrag:
    Bei der Untersuchung des Maillogs ist mir aufgefallen, dass es weiterhin Zustellprobleme aufgrund des generischen Hostnamens s17537011.onlinehome-server.infogab a la …
    Oct 24 17:01:25 s17537011 postfix/smtp[14962]: 2E8683C98A: to=, relay=mxzhb.bluewin.ch[195.186.99.50]:25, delay=432959, delays=432959/0.03/0.13/0, dsn=4.0.0, status=deferred (host mxzhb.bluewin.ch[195.186.99.50] refused to talk to me: 554 Service unavailable from IP: 82.165.148.42. Please refer to http://csi.cloudmark.com/reset-request/?ip=82.165.148.42 if you feel this is in error).
    Daraufhin habe ich mich durchgerungen, die im folgenden Artikel beschriebene Vorgehensweise zur Änderung des Hostnamen durchzuführen:
    https://eng.eelcowesemann.nl/plesk/changing-the-servers-hostname-in-plesk/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.