GO.
Viele Grüße ;-) TR
Tobias Rahm Head of IT
M. +49 175 721 21 31 tobias.rahm@socotec.de
SOCOTEC Deutschland Holding GmbH Spitalerstr. 4 - 20095 Hamburg http://www.socotec.de/
Amtsgericht Hamburg - HRB 152922 Geschäftsführung: Prof. Dr.-Ing. Ludger Speier
-----Ursprüngliche Nachricht----- Von: Patrick Ben Koetter p@sys4.de Gesendet: Montag, 26. Mai 2025 16:17 An: socotec@list.sys4.de Betreff: [socotec] Relayen für O365-Plattform
Hallo,
O365 online bietet keine Möglichkeit, sich beim Versenden bei einem Relayhost (hier: boundary filter) per SMTP AUTH anzumelden, so dass der Relayhost (nur) diesem Client das Senden gestattet.
Wir haben, um nun nicht einer anzunehmend sehr grossen Range von IP-Adressen, das relayen zu gestatten und damit unsere Plattform, nachdem wir sie mit Fokus auf Sicherheit, bewusst restriktiv gestaltet haben, nach einer Möglichkeit gesucht, der O365-Plattform dennoch kontrolliert das relayen zu ermmöglichen.
Dazu haben wir uns gedacht, dass die O365-Plattform alle Nachrichten von @socotec.de über einen dedizierten Connector an unseren boundary filter richtet und jede ausgehende Nachricht mit einem Header versieht, der ein Secret enthält, welches nur die beiden Plattformen kennen.
Ein Secret könnte in etwa so aussehen:
0365-Relay-Secret: U665Mf973FDuNZQ1puZl3a7HylJbF9CdpWPE5nqc2LpMR4xKLA
O365 kann das, sagte Manuel Sigl (ACP) heute im Call. Ich habe geprüft und kann nun sagen, dass es zumindest theroetisch möglich ist. Dazu muss ich ein wenig in die Trickkiste greifen.
Wir brauchen
* eine zweite, dedizierte SMTP-Instanz * eine zweite, dedizierte IPv6-Adresse * mandatory TLS für die zweite, dedizierte IPv6-Instanz
Postfix kann einem Client nicht einfach so das relayen erlauben, nur weil dieses ein Secret im Header übermittelt. Aber es kann alle Mails abweisen, welche einen solchen Header nicht haben.
Ich würde also eine zweite Instanz bauen, welche TLS der Sicherheit wegen erzwingt, dann sich die Mail geben lässt, prüft ob die Mail den Header beinhaltet und sie dann intern an die (schon bestehende) Standardinstanz abgibt oder die Mail, wenn der Header fehlt, ablehnt. Damit wir dafür nicht eine teure IPv4-Adresse hinzubuchen müssen, würde ich dafür eine zweite IPv6-Adresse in Betrieb nehmen und die (und nur die) zweite Instanz daran binden. Nachdem 0365 auch IPv6 kann, kann 0365 die Mails an diesem Punkt übergeben.
Sicherheitstechnisch haben wir damit
- IPv6 und die allermeisten SMTP-Server nutzen immer noch ausschließlich IPv4 und die Spammer haben besseres zu tun, als IPv6 Ranges nach offenen Relays zu scannen - mandatory TLS, um die Übertragung und damit den Header samt secret vor Fremden zu schützen - ein secret, welches nur O365 und das boundary filter kennen - ein secret, welches so lange ist, dass keiner es wirklich erraten kann
Ich halte das für vertretbar sicher. Wenn ihr das auch so seht, dann bitte ich um ein Go!, damit ich das so implementieren kann.
Grüße
Patrick
-- [*] sys4 AG
https://sys4.de/, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein
_______________________________________________ Socotec mailing list -- socotec@list.sys4.de To unsubscribe send an email to socotec-leave@list.sys4.de