Wie läuft die Mailzustellung normalerweise?

Normalerweise muss ein Teilnehmer seine E-Mails beim Provider per POP3 oder IMAP4 selbst abholen. Alle Protokolle haben den Nachteil, dass man E-Mails nur in den Abständen lesen kann, in denen man sie auch abholt. Wenn man dann noch mehrere POP3- oder IMAP4-Postfächer hat, muss man diese entsprechend häufig abrufen, vor allem, wenn man auf eine wichtige E-Mail wartet.

Welche Möglichkeiten der Mailzustellung gibt es noch?

Weiterhin kann man Mail (und News) per UUCP abholen, aber dies erfordert auch, dass man aktiv pollt. Für Teilnehmer die zu Hause einen eigenen Linux- oder auch Windows-Server mit geeigneter Software betreiben, wäre es vorteilhaft, wenn diese ihre E-Mails sofort bei Ankunft auf unseren Mailservern von diesen nach Hause eingeliefert bekommen würden. Man muss nicht ständig seine Mailboxen aktiv abfragen. Dabei wird der Traffic auf das Notwendigste minimiert und die Mails werden von unseren Mailservern in Echtzeit weitergeleitet, sobald diese eintreffen. Es gibt also keine unnötigen Wartezeiten.

Welche Techniken kann man verwenden?

Es gibt mehrere Varianten, diese direkte Mailzustellung zu nutzen. Voraussetzung ist in jedem Fall, dass auf dem Rechner ein Mailserver (z.B. Sendmail, Exim, Postfix, Hamster, etc.) läft. Es gibt die folgenden Authentifizierungsarten:

• eigener Rechner hat eine statische IP-Adresse (z.B. bei IN-DSL oder IN-Berlin SDSL) - zusätzliche Authentifizierung nicht zwingend erforderlich
• SMTP-Verbindung mit Zertifikat (empfohlen)
• SMTP-Verbindung auf einen definierten Nicht-Standard-Port

Eigener Rechner hat eine statische IP-Adresse

Ist der heimische Rechner immer über die selbe IP-Adresse erreichbar (wie z.B. bei IN-DSL oder IN-Berlin SDSL), können wir E-Mails direkt per SMTP an diese IP-Adresse weiterleiten. Dabei wird eigentlich keine weitere Authentifizierung benötigt, da die IP-Adresse von keinem anderen Rechner benutzt wird. Aber auch hier gibt es die Möglichkeit, trotzdem aus Sicherheitsgründen ein TLS-Zertifikat zu verwenden.

SMTP-Verbindung mit Zertifikat (empfohlen)

Bei den meisten Internet-Zugängen wird eine dynamische IP-Adresse vergeben, die sich von Einwahl zu Einwahl ändert. Auch wenn man einen Service wie DynDNS verwendet, damit der Rechner immer unter dem gleichen DNS-Namen erreichbar ist, ist während der Umschaltung der IP-Adresse und während der Offlinezeit des Rechners nicht gewährleistet, dass der richtige Rechner von unseren Mailservern angesprochen wird. Aus diesem Grund werden TLS-Zertifikate für den Mailserver verwendet.

Die Zertifikate können (für Teilnehmer kostenlos) über support@in-berlin.de von der IN-Berlin-CA ausgestellt werden.

Bei der Mailauslieferung von unseren Mailservern an den heimischen Rechner wird bei dynamischen IP-Adressen ein DynDNS-Name verwendet, um den Rechner erreichen zu können. Bei Rechnern mit statischen IP-Adressen kann der vorhandene DNS-Name benutzt werden.
Sobald die SMTP-Verbindung von unserem Mailserver hergestellt ist, wird überprüft, ob der Rechner auf der Gegenseite ein gültiges Zertifikat besitzt, welches von einer definierten CA (z.B. IN-Berlin-CA) auf einen definierten Namen (z.B. "sitename.in-berlin.de") ausgestellt ist. Treffen diese beiden Bedingungen nicht zu, wird die SMTP-Verbindung beendet und unsere Mailserver versuchen es ein paar Minuten später erneut. War die Prüfung des Zertifikats erfolgreich, wird die Mail an den Rechner per SMTP ausgeliefert.

SMTP-Verbindung auf einen definierten Nicht-Standard-Port

Bei dieser Variante verbindet sich unser Mailserver auch mit einem DynDNS- oder festen Hostnamen. Der Mailserver auf dem heimischen Rechner läuft hierbei auf einem anderen Port als dem Standard-SMTP-Port 25. Es findet hierbei keine zusätzliche Authentifizierung statt. Lediglich der verwendete Port muss uns mitgeteilt werden.
Diese Methode kann auch benutzt werden, wenn der Internetprovider über den die Interneteinwahl erfolgt den SMTP-Port 25 zu den Einwahl-IP-Adressen sperrt.

Allgemeingültige Informationen

Wenn der heimische Rechner eine bestimmte Zeit offline war und nun wieder online geht, würden unsere Mailserver nach ein paar Minuten erkennen, dass der Rechner wieder erreichbar ist, und die Mail-Queue übertragen. Man kann die Mailzustellung für die gesamte Maildomain aber auch aktiv mit ETRN anstossen.

Dies veranlasst unsere Mailserver, die Mailqueues für den oder die Hostnamen der Site abzuarbeiten und diese an den zuständigen Mailserver, nämlich den Rechner des Teilnehmers, auszuliefern. Es wird dabei der bei uns konfigurierte Rechnername angesprochen und nicht etwa der Rechner, der mit diesem sogenannten "ETRN" die Mailqueue angestossen hat. Zum Anstossen der Mailauslieferung kann man entweder über das Service-Portal die Funktion "ETRN zum Initiieren der SMTP-Auslieferung" aufrufen oder dies z.B. bei der Einwahl mit einem

wget --http-user=sitename --http-passwd=passwort --delete-after -P/tmp \\
https://service.in-berlin.de/intern/etrn.cgi

triggern.

Falls jemand seinen SMTP-Port nur für unsere ausliefernden Mailserver öffnen möchte, muss er natürlich wissen, welche dies sind. Derzeit kommt die SMTP-Auslieferung aus dem IP-Netz 192.109.42.0/27 und von den IP-Adressen 130.133.8.34 und 130.133.8.35.