Filterregeln für de-mail.de am Border-MX

Andreas Schulze andreas.schulze at datev.de
Di Sep 29 12:31:45 CEST 2015 

Am 29.09.2015 11:29 schrieb Carsten:
> ich möchte hier nicht über Sinn und Unsinn von de-mail diskutieren.
> Fakt ist aber, dass sich einige Mail-Admins mit dem Thema beschäftigen
> müssen,
> insbesondere die Kollegen hier, die Dienstleister für Behörden sind,
> aufgrund des de-mail Gesetzes.

de-mail ist - wie epost.de - ein geschlossendes System. Es hat, bis auf den optisch
gleichen Aufbau einer Adresse, nichts mit Internt-Email zu tun. Zumindest im Privatkundenbereich.

Schaut man jedoch die Gateway-Lösung für Geschäftskunden an, sieht man schnell, dass die beiden Systeme
auch nur E-Mail Technik nutzen. Die angebotenen Gateways zielen gerade darauf ab,
ein Firmenmailsystem mit den Welten demail und epost zu verbinden. Das klappt leidlich indem die demail/epost Inhalte
einfach als Email betrachtet werden. Und genau da wird's häßlich: Übliche Mailsysteme transportieren keine Nachrichten,
wenn zur Absender/Empfängerdomain kein A/MX Lookup existiert.

Daher der A/MX-Record für telekom.de-mail.de: damit deren Gateways nicht gleich am nächten Hop grandios scheitern.
Allerdings hat die epost das ganze cleverer gelöst, als demail:

$ dig deutschepost.epost.de mx +short
10 mail.epost.de.

$ telnet mail.epost.de 25
...
mail from:<>
250 2.1.0 Ok
rcpt to:<foobar at deutschepost.epost.de>
554 5.7.1 <foobar at deutschepost.epost.de>: Recipient address rejected: Bei der von Ihnen eingegebenen Adresse handelt es sich um keine E-Mail sondern um eine E-Postbrief Adresse, ein Service der Deutschen Post. Deshalb kann eine Uebermittlung der Nachricht als E-Mail nicht erfolgen. Sollten Sie noch keine E-Postbrief Adresse haben, registrieren Sie sich jetzt kostenlos unter http://epost.de, um auch im Internet verbindlich, vertraulich und verlaesslich kommunizieren zu koennen.
quit

Mit diesem Bounce kann - wenn er gelesen wird - man wenigsten was anfangen.
Bei De-mail ist sowas wohl nicht imlementierbar - gesetzliche Regelungen sprechen angeblich dagegen.

So versumpft eine Nachricht an demail in der Queue und wird erst nach mehreren Tagen mit einer falschen Fehlermeldung
zurückgeschickt. Bis dahin hat der Anwender/Versender keine Chance, seinen Fehler zu bemerken. Schlechtes Design ...

Aus diesem Grund empfiehlt es sich, an 2 Seiten zu filtern.
1. am MX
   hier dürfen keine Absenderadressen epost/demail auftauchen
2. am Submission Server
   hier sollten weder Absender noch Empfänger epost/demail lauten, wenn man keine Gateway-Lösungen betreibt.

also z.B.
  smtpd_recipient_restriction =
    ...
    check_sender_access hash:/path/to/reject_epost+demail
    check_recipient_access hash:/path/to/reject_epost+demail
    ...

  /path/to/reject_epost+demail:
    epost.de        REJECT $sprechende Fehlermeldung
    .epost.de       REJECT $sprechende Fehlermeldung
    fp-demail.de    REJECT $sprechende Fehlermeldung
    .fp-demail.de   REJECT $sprechende Fehlermeldung
    de-mail.de      REJECT $sprechende Fehlermeldung
    .de-mail.de     REJECT $sprechende Fehlermeldung
    mc-demail.de    REJECT $sprechende Fehlermeldung
    .mc-demail.de   REJECT $sprechende Fehlermeldung

Bei Epost ist in der Tat nur eine Domain und Subdomain betroffen.
demail ist konzeptionell nicht auf eine Domain beschränkt. Die Liste ist aber nicht sonderlich dynamisch...

Andreas
-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info at datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70

Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dr. Robert Mayr (stellv. Vorsitzender)
Eckhard Schwarzer (stellv. Vorsitzender)
Dr. Peter Krug
Jörg Rabe von Pappenheim

Vorsitzender des Aufsichtsrates: Dirk Schmale

Mehr Informationen über die Mailingliste Postfixbuch-users