Open-Xchange

Mailserver-Variante für Open-Xchange, OX App Suite und OX Mail. Smart-Host und mailfilter-Sieve-Regeln.

Voraussetzung: Schritt 1, Domain & DNS einrichten ist abgeschlossen, alle vier DNS-Prüfungen sind grün.
Was passiert hier: Der OX-MTA, also der Postfix-Stack unter Open-Xchange, wird auf Conbool als Smart-Host umgestellt. Eingehende Verbindungen von Conbool werden zugelassen. Schleifenschutz und Spam-Klassifizierung laufen über mailfilter-Sieve-Regeln. Im Setup-Assistenten wird der Modus Manuell konfigurieren gewählt.
Aufwand: 30 bis 60 Minuten.

Schritt A. Ausgehender Smart-Host in OX

Navigation: OX-Server-Verwaltung → Mailserver-Konfiguration, alternativ direkt in der Postfix-Konfiguration.

Feld	Wert
Smart-Host bzw. Relay-Host	`mail.conbool.com`
Port	25
Authentifizierung	Keine, Identifizierung über TLS-Zertifikat und Absender-Domain
TLS	Erzwingen
TLS-Zertifikatsname	`mail.conbool.com`
MX-Lookup für Smart-Host	Deaktiviert
Geltungsbereich	Alle eigenen Domains, optional einzelne Domains der OX-Installation

Schritt B. Eingehende Verbindungen von Conbool zulassen

Damit Conbool Mails an OX zustellen darf, werden die Conbool-IP-Adressen als vertrauenswürdige Relay-Quelle hinterlegt.

Empfangs-MTA: Port 25 für SMTP von den Conbool-IP-Adressen erreichbar machen. Conbool stellt die IP-Liste bereit.
Empfänger-Whitelist: Nur die in OX gehosteten Domains akzeptieren, also Standard-Recipient-Restrictions.
TLS: Erzwingen für eingehende Verbindungen von Conbool.
Zertifikatsprüfung: TLS-Zertifikatsname mail.conbool.com zulassen.

Firewall: Port 25 (SMTP) muss von den Conbool-IP-Adressen zum OX-MTA geöffnet sein. Bei Loadbalancer-Betrieb dort ebenfalls eintragen.

Schritt C. Schleifenschutz und Spam in `mailfilter`-Sieve-Regeln

OX hat keine zentrale Transportregel-Engine wie Exchange. Die Logik wird per mailfilter-Sieve-Regel pro Mandant oder global, alternativ per Postfix-Header-Check, abgebildet.

Schleifenschutz. Nachrichten mit X-Conbool-<IhreDomain>: true (z. B. X-Conbool-example-com: true) nicht erneut über Conbool senden. Direkt über den regulären MX zustellen.
Spam-Klassifizierung. Nachrichten mit X-Conbool-Flag: YES in den Spam-Ordner einsortieren. Sieve-Aktion fileinto "Spam" oder Markierung X-Spam-Flag: YES.
Calendaring und leerer Return-Path. Nachrichten vom Typ Calendaring sowie Return-Path: <> vom Smart-Host-Routing ausnehmen.

Bei Einsatz eines OX-internen Connector-Moduls oder Drittanbieter-Mailrouting-Plugins die obigen Bedingungen sinngemäß als Ausnahmen im jeweiligen Regelwerk hinterlegen.

Schritt D. Release-Bypass

Sorgt dafür, dass aus der Conbool-Quarantäne freigegebene E-Mails direkt zugestellt werden, ohne erneut als Spam markiert oder erneut über Conbool geroutet zu werden. Conbool setzt beim Release den Header X-Conbool-Released: yes.

Zwei Stellen, an denen der Bypass implementiert wird:

Schleifenschutz im MTA / Sieve (analog zu Schritt C): zusätzlich zur X-Conbool-<IhreDomain>: true-Bedingung greift dieselbe Bypass-Logik auch für X-Conbool-Released: yes. Solche Mails werden direkt an die Mailbox zugestellt, nicht erneut über mail.conbool.com versendet.
Spam-Bypass im Sieve-Filter:
```
if header :is "X-Conbool-Released" "yes" {
  fileinto "INBOX";
  stop;
}
```
Damit landet die freigegebene Mail im Posteingang statt im Spam-Ordner und alle weiteren Filter werden übersprungen.

Warum das wichtig ist: Ohne diese Regel landen freigegebene Mails entweder erneut in der Quarantäne, im Spam-Ordner oder werden ein zweites Mal über Conbool geroutet (Schleife). Die Bypass-Regel macht den Released-Header zur Vertrauens-Markierung.

Geltungsbereich (optional)

Wenn nur ein Teil der Postfächer Conbool nutzen soll, lässt sich der Smart-Host-Pfad eingrenzen:

Postfix sender_dependent_relayhost_maps: nur ausgewählte Absender bekommen mail.conbool.com als Relay:
```
sender_dependent_relayhost_maps = hash:/etc/postfix/sender_relay
```
mailfilter-Sieve-Regel pro Mandant: Smart-Host nur in den Sieve-Regeln der gewünschten Postfächer aktivieren.
OX-Mandanten-Trennung: bei Multi-Domain-Installationen einzelne Mandanten gezielt auf Conbool umstellen, andere unverändert lassen.

Geschafft, wenn

Im Setup-Assistenten zurück zum Schritt Mailserver. Den Relay-Host des eigenen OX-Empfangs-MTA eintragen, beispielsweise mx-internal.yourcompany.com, dann Verbindung testen. Status „SMTP erreichbar" bedeutet: Anbindung steht.

Weiter mit dem Verbindungstest und Abschluss.

Open-Xchange

Mailserver-Variante für Open-Xchange, OX App Suite und OX Mail. Smart-Host und mailfilter-Sieve-Regeln.

Voraussetzung: Schritt 1, Domain & DNS einrichten ist abgeschlossen, alle vier DNS-Prüfungen sind grün.
Was passiert hier: Der OX-MTA, also der Postfix-Stack unter Open-Xchange, wird auf Conbool als Smart-Host umgestellt. Eingehende Verbindungen von Conbool werden zugelassen. Schleifenschutz und Spam-Klassifizierung laufen über mailfilter-Sieve-Regeln. Im Setup-Assistenten wird der Modus Manuell konfigurieren gewählt.
Aufwand: 30 bis 60 Minuten.

Schritt A. Ausgehender Smart-Host in OX

Navigation: OX-Server-Verwaltung → Mailserver-Konfiguration, alternativ direkt in der Postfix-Konfiguration.

Feld	Wert
Smart-Host bzw. Relay-Host	`mail.conbool.com`
Port	25
Authentifizierung	Keine, Identifizierung über TLS-Zertifikat und Absender-Domain
TLS	Erzwingen
TLS-Zertifikatsname	`mail.conbool.com`
MX-Lookup für Smart-Host	Deaktiviert
Geltungsbereich	Alle eigenen Domains, optional einzelne Domains der OX-Installation

Schritt B. Eingehende Verbindungen von Conbool zulassen

Damit Conbool Mails an OX zustellen darf, werden die Conbool-IP-Adressen als vertrauenswürdige Relay-Quelle hinterlegt.

Empfangs-MTA: Port 25 für SMTP von den Conbool-IP-Adressen erreichbar machen. Conbool stellt die IP-Liste bereit.
Empfänger-Whitelist: Nur die in OX gehosteten Domains akzeptieren, also Standard-Recipient-Restrictions.
TLS: Erzwingen für eingehende Verbindungen von Conbool.
Zertifikatsprüfung: TLS-Zertifikatsname mail.conbool.com zulassen.

Firewall: Port 25 (SMTP) muss von den Conbool-IP-Adressen zum OX-MTA geöffnet sein. Bei Loadbalancer-Betrieb dort ebenfalls eintragen.

Schritt C. Schleifenschutz und Spam in `mailfilter`-Sieve-Regeln

OX hat keine zentrale Transportregel-Engine wie Exchange. Die Logik wird per mailfilter-Sieve-Regel pro Mandant oder global, alternativ per Postfix-Header-Check, abgebildet.

Schleifenschutz. Nachrichten mit X-Conbool-<IhreDomain>: true (z. B. X-Conbool-example-com: true) nicht erneut über Conbool senden. Direkt über den regulären MX zustellen.
Spam-Klassifizierung. Nachrichten mit X-Conbool-Flag: YES in den Spam-Ordner einsortieren. Sieve-Aktion fileinto "Spam" oder Markierung X-Spam-Flag: YES.
Calendaring und leerer Return-Path. Nachrichten vom Typ Calendaring sowie Return-Path: <> vom Smart-Host-Routing ausnehmen.

Bei Einsatz eines OX-internen Connector-Moduls oder Drittanbieter-Mailrouting-Plugins die obigen Bedingungen sinngemäß als Ausnahmen im jeweiligen Regelwerk hinterlegen.

Schritt D. Release-Bypass

Zwei Stellen, an denen der Bypass implementiert wird:

Schleifenschutz im MTA / Sieve (analog zu Schritt C): zusätzlich zur X-Conbool-<IhreDomain>: true-Bedingung greift dieselbe Bypass-Logik auch für X-Conbool-Released: yes. Solche Mails werden direkt an die Mailbox zugestellt, nicht erneut über mail.conbool.com versendet.
Spam-Bypass im Sieve-Filter:
```
if header :is "X-Conbool-Released" "yes" {
  fileinto "INBOX";
  stop;
}
```
Damit landet die freigegebene Mail im Posteingang statt im Spam-Ordner und alle weiteren Filter werden übersprungen.

Warum das wichtig ist: Ohne diese Regel landen freigegebene Mails entweder erneut in der Quarantäne, im Spam-Ordner oder werden ein zweites Mal über Conbool geroutet (Schleife). Die Bypass-Regel macht den Released-Header zur Vertrauens-Markierung.

Geltungsbereich (optional)

Wenn nur ein Teil der Postfächer Conbool nutzen soll, lässt sich der Smart-Host-Pfad eingrenzen:

Postfix sender_dependent_relayhost_maps: nur ausgewählte Absender bekommen mail.conbool.com als Relay:
```
sender_dependent_relayhost_maps = hash:/etc/postfix/sender_relay
```
mailfilter-Sieve-Regel pro Mandant: Smart-Host nur in den Sieve-Regeln der gewünschten Postfächer aktivieren.
OX-Mandanten-Trennung: bei Multi-Domain-Installationen einzelne Mandanten gezielt auf Conbool umstellen, andere unverändert lassen.

Geschafft, wenn

Weiter mit dem Verbindungstest und Abschluss.

Open-Xchange

Mailserver-Variante für Open-Xchange, OX App Suite und OX Mail. Smart-Host und mailfilter-Sieve-Regeln.

Schritt A. Ausgehender Smart-Host in OX

Schritt B. Eingehende Verbindungen von Conbool zulassen

Schritt C. Schleifenschutz und Spam in mailfilter-Sieve-Regeln

Schritt D. Release-Bypass

Geltungsbereich (optional)

Geschafft, wenn

Open-Xchange

Mailserver-Variante für Open-Xchange, OX App Suite und OX Mail. Smart-Host und mailfilter-Sieve-Regeln.

Schritt A. Ausgehender Smart-Host in OX

Schritt B. Eingehende Verbindungen von Conbool zulassen

Schritt C. Schleifenschutz und Spam in mailfilter-Sieve-Regeln

Schritt D. Release-Bypass

Geltungsbereich (optional)

Geschafft, wenn

Schritt C. Schleifenschutz und Spam in `mailfilter`-Sieve-Regeln

Schritt C. Schleifenschutz und Spam in `mailfilter`-Sieve-Regeln