SMTP-Relay
Mailserver-Variante für jeden SMTP-fähigen MTA wie Postfix, Sendmail, Zimbra oder Kerio. Smart-Host plus Header-Schleifenschutz.
Voraussetzung: Schritt 1, Domain & DNS einrichten ist abgeschlossen, alle vier DNS-Prüfungen sind grün.
Was passiert hier: Der eigene MTA (Postfix, Sendmail, Zimbra, Kerio oder ähnlich) wird auf Conbool als Smart-Host umgestellt. Eingehende Verbindungen von Conbool werden zugelassen. Schleifenschutz und Spam-Klassifizierung werden in der jeweiligen MTA-Sprache hinterlegt. Im Setup-Assistenten wird der Modus Manuell konfigurieren gewählt.
Aufwand: 30 bis 60 Minuten.
Schritt A. Ausgehender Smart-Host
Im MTA folgendes Routing setzen:
| Feld | Wert |
|---|---|
| Relay-Host bzw. Smart-Host | mail.conbool.com |
| Port | 25 |
| Authentifizierung | Keine, TLS-zertifikatsbasiert |
| TLS | Erzwingen, Domain-Validierung gegen mail.conbool.com |
| MX-Lookup | Deaktiviert |
| Geltungsbereich | Alle eigenen Domains, alternativ einzelne Domains |
Die typischen Stellschrauben pro MTA:
- Postfix:
relayhost = [mail.conbool.com]:25,smtp_tls_security_level = encrypt,smtp_tls_secure_cert_match = nexthop - Sendmail:
define(\SMART_HOST', `mail.conbool.com')mit aktivemSTARTTLS` und Zertifikatsprüfung - Zimbra: Globale Outbound SMTP-Einstellungen → Smart-Host
mail.conbool.com, TLS = Required - Kerio Connect: SMTP-Server → Relay-SMTP-Server →
mail.conbool.com, Use SSL/TLS
Schritt B. Eingehende Verbindungen von Conbool zulassen
- Port
25für SMTP nur von den Conbool-IP-Adressen zulassen, also Firewall plus MTA-Restriktionen. - Empfänger-Whitelist auf die eigenen Domains setzen.
- TLS auf eingehenden Verbindungen erzwingen, Zertifikatsname
mail.conbool.comakzeptieren.
Schritt C. Schleifenschutz und Spam-Klassifizierung
In der Regel-Sprache des MTA (Header-Check, Routing-Regel, Filter-Plugin) hinterlegen:
- Nachrichten mit
X-Conbool-<IhreDomain>: truewerden nicht über den Smart-Host gesendet, sondern direkt zugestellt. - Nachrichten mit
X-Conbool-Flag: YESin den Spam-Ordner zustellen, beispielsweise SCL-Äquivalent setzen oderX-Spam-Flag: YESergänzen. - Calendaring-Nachrichten und Nachrichten mit
Return-Path: <>vom Smart-Host-Routing ausnehmen.
Schritt D. Release-Bypass
Sorgt dafür, dass aus der Conbool-Quarantäne freigegebene E-Mails direkt zugestellt werden, ohne erneut als Spam markiert oder erneut über Conbool geroutet zu werden. Conbool setzt beim Release den Header X-Conbool-Released: yes. Im MTA wird dieser Header ausgewertet:
- Schleifenschutz (analog zu Schritt C): zusätzlich zur
X-Conbool-<IhreDomain>: true-Bedingung greift derselbe Bypass auch fürX-Conbool-Released: yes. Solche Mails werden direkt zugestellt, nicht erneut übermail.conbool.comversendet. - Spam-Bypass / SCL-Äquivalent: Mails mit
X-Conbool-Released: yeswerden als vertrauenswürdig markiert, kein zusätzliches Spam-Scoring.
Beispiele pro MTA:
- Postfix über
header_checks:/^X-Conbool-Released:\s*yes$/ FILTER smtp:[mailbox-direct]:25
Plus in der Routing-Logik: bei diesem Header kein sender_dependent_relayhost zu Conbool. - Sendmail:
KCheckHeaderHash mit Header-Match → eigenes Mailer-Tag, das die Conbool-Routing-Regel überspringt. - Zimbra: Filter-Regel auf System- oder Domain-Ebene → Mail mit Header geht direkt in den Posteingang, überspringt Spam-Filter.
- Kerio Connect: Inhalts-Filter „Header enthält X-Conbool-Released: yes" → Aktion „Spam-Filter überspringen" + „Direkt zustellen".
Warum das wichtig ist: Ohne diese Regel landen freigegebene Mails entweder erneut in der Quarantäne, im Spam-Ordner oder werden ein zweites Mal über Conbool geroutet (Schleife). Der Released-Header ist die Vertrauens-Markierung.
Geltungsbereich (optional)
Wenn nur ein Teil der Absender Conbool nutzen soll, lässt sich der Smart-Host-Pfad eingrenzen:
- Postfix: sender-abhängiges Routing über
sender_dependent_relayhost_maps. Nur gelistete Absender bekommenmail.conbool.comals Smart-Host:sender_dependent_relayhost_maps = hash:/etc/postfix/sender_relay
Andere Absender behalten ihr bestehendes Routing. - Sendmail:
mailertablemit per-Sender-Mapping oder Verteilung überaccess-DB. - Zimbra: Pro-Domain- oder Pro-COS-Routing-Profil — gezielt einzelne COS auf Conbool, andere unverändert.
- Kerio Connect: Mail-Routing-Regeln mit Absender-Match auf einzelne Adressen oder Verteilerlisten.
Geschafft, wenn
Im Setup-Assistenten zurück zum Schritt Mailserver. Den Relay-Host des eigenen Empfangs-MTA eintragen, beispielsweise mx-internal.yourcompany.com, dann Verbindung testen. Status „SMTP erreichbar" bedeutet: Anbindung steht.
Weiter mit dem Verbindungstest und Abschluss.