Empfängerfilterung («recipient filtering») bedeutet, dass der Forward Server bei Übertragung einer Mail eine Rückmeldung an die seppmail.cloud gibt, dass ein ungültiger Empfänger nicht existiert.

Abschnitte auf dieser Seite:

• Vorteile der aktivierten Empfängerfilterung
• Konfigurationsmöglichkeiten in Exchange
• Vorgehen zur Aktivierung in Exchange 2013 und höher (on-premises)
• Vorgehen zur Aktivierung in M365
• Vorgehen zur Aktivierung bei anderen Mailservern/Hosting Anbietern
• Kontrolle der Umsetzung
• Verhalten der seppmail.cloud

 

Vorteile der aktivierten Empfängerfilterung

• Genauere Abrechnung von Benutzern, kein kostenpflichtiges Ausstellen von Zertifikaten für inexistente Benutzer.
• Verhindern von Backscatter (Belästigung Unbeteiligter durch Fehlermeldung), was zu Einträgen in Blocklisten führen oder die Reputation des sendenden Servers beeinträchtigen kann.

Konfigurationsmöglichkeiten in Exchange

Die meisten Mailserver geben bei Mailübertragung bereits nach RCPT TO eine klare Rückmeldung, wenn ein Mailempfänger nicht existiert.

(C1) Exchange akzeptiert jedoch standardmässig alle Empfänger und sendet anschliessend eine Bounce-Meldung an den Absender. Da Absender leicht zu fälschen sind, können somit unnötige Fehlermeldungen an gefälschte, aber an sich unbeteiligte Absender verschickt werden.

(C2) Durch Anpassung der Konfiguration kann auch Exchange eine passende Rückmeldung zum Übertragungszeitpunkt geben. Seit Exchange 2013 erfolgt diese standardmässig jedoch erst nach vollständiger Übertragung der Nachricht (END OF DATA). Das verbessert die Situation zwar bereits, genau wie beim Standardverhalten erfolgt jedoch weiterhin eine unnötige Verschwendung von Bandbreite und Rechenzeit zur Mailverarbeitung.

(C3) Leider erlaubt das Exchange-Frontend keine bessere Konfiguration. Nur durch grössere Umstellung und Exponierung des Exchange-Backends gegenüber der seppmail.cloud kann eine optimale Empfängerfilterung bereits nach RCPT TO erfolgen.

Aus Sicht der seppmail.cloud stellt C1 eine grobe Fehlkonfiguration und Gefährdung der Reputation der Cloud-Outbound-Server dar und ist daher bei Verwendung von SC-OUTBOUND nicht zulässig.

C2 ist akzeptabel, wenn nachgewiesen werden kann, warum C3 nicht umsetzbar ist.

Vorgehen zur Aktivierung in Exchange 2013 und höher (on-premises)

C2 kann durch Aktivierung der Empfängerfilterung im Exchange Backend erreicht werden. Über die Powershell kann die Konfiguration mit folgenden Befehlen aktiviert werden:

 

Set-RecipientFilterConfig -Enabled $true -RecipientValidationEnabled $true
 
Get-AcceptedDomain | Set-AcceptedDomain -AddressBookEnabled $true
 
Set-RecipientFilterConfig -RecipientValidationEnabled $true

 

Für C3 muss anschliessend der von der seppmail.cloud eingehende Mailverkehr von Port 25 auf Port 2525 des Exchange-Servers umgeleitet werden. Dies kann z.B. durch eine entsprechende NAT-Regel an der Firewall erreicht werden.

Vorgehen zur Aktivierung in M365

Dokumentation bei Microsoft: Microsoft Exchange documentation: use directory-based edge blocking

Vorgehen zur Aktivierung bei anderen Mailservern/Hosting Anbietern

Bitte konsultieren Sie das Handbuch oder den Support Ihres Produkts.

Kontrolle der Umsetzung

Der Erfolg der Umsetzung kann mittels SMTP-Tester der seppmail.cloud geprüft werden.

Verhalten der seppmail.cloud

Die seppmail.cloud prüft die Existenz von Empfängeradressen anhand von SMTP-Anfragen. Ist die Empfängerfilterung nach RCPT TO aktiv (C3), so können exakte Einträge für existierende wie auch nicht existierende Benutzer im Cache erstellt werden. Die Einträge für existierende Benutzer sind dabei für 7 Tage gültig, für nicht existierende Benutzer für 4 Stunden.

Ist die Empfängerfilterung erst nach END OF DATA aktiv (C2), kann nur anhand der SMTP-Fehlermeldungen des Zielservers erkannt werden, dass ein Benutzer ungültig ist. In diesem Fall können nur Einträge für nicht existierende Benutzer mit einer Gültigkeit von 3 Tagen erstellt werden.

Ist keine Empfängerfilterung aktiv (C1), kann nur anhand versendeter Bounce-Meldung erraten werden, welche Benutzer nicht existieren. Auch in diesem Fall werden nur negative Einträge erstellt, die eine Gültigkeit von 7 Tagen erhalten.

Im Falle C1 oder C2 kann ein positiver Eintrag einer Testadresse mit einer Gültigkeit von einer Stunde sichtbar sein.

Wird erneut eine Mail an eine ungültige Adresse gesendet, für die bereits ein Eintrag im Cache vorhanden ist, so wird die Nachricht abgewiesen mit der Fehlermeldung «previously cached response» gefolgt von der originalen Fehlermeldung des Zielservers (C2+C3) bzw. mit einer generischen Meldung «User unknown or bouncing» (C1). Dies verhindert im Falle wiederholter Zustellversuche an ungültige Adressen, dass für jeden Zustellversuch eine Adressprüfung bzw. endgültige Zustellung (sowie im Falle C1 ein Bounce) erfolgt. Dies spart auch auf dem Zielserver Ressourcen und ist Teil unserer eingebauten Denial of Service Schutzmassnahmen.

Falsche oder nicht mehr korrekte Einträge können über das seppmail.cloud GUI unter Einstellungen > Allgemein > Empfänger-Cache frühzeitig von Hand entfernt werden.