Zum Hauptinhalt springen

3. Nachrichteneinreichung

3.1. Einreichungsidentifikation

Port 587 ist für die E-Mail-Nachrichteneinreichung reserviert, wie in diesem Dokument angegeben. Nachrichten, die an diesem Port empfangen werden, sind als Einreichungen definiert. Das verwendete Protokoll ist ESMTP [SMTP-MTA, ESMTP], mit zusätzlichen Einschränkungen oder Zulassungen, wie hier angegeben.

Obwohl die meisten E-Mail-Clients und -Server so konfiguriert werden können, dass sie Port 587 anstelle von 25 verwenden, gibt es Fälle, in denen dies nicht möglich oder bequem ist. Eine Site KANN Port 25 für die Nachrichteneinreichung verwenden, indem sie einige Hosts als MSAs und andere als MTAs bestimmt.

3.2. Nachrichtenablehnung und Bouncing

MTAs und MSAs KÖNNEN Nachrichtenablehnungsregeln implementieren, die teilweise davon abhängen, ob es sich bei der Nachricht um eine Einreichung oder ein Relay handelt.

Beispielsweise könnten einige Sites ihre MTAs so konfigurieren, dass sie alle RCPT-Befehle für Nachrichten ablehnen, die nicht auf lokale Benutzer verweisen, und ihren MSA so konfigurieren, dass er alle Nachrichteneinreichungen ablehnt, die nicht von autorisierten Benutzern stammen, wobei die Autorisierung entweder auf einer authentifizierten Identität oder darauf basiert, dass sich der einreichende Endpunkt in einer geschützten IP-Umgebung befindet.

HINWEIS: Es ist besser, eine Nachricht abzulehnen, als das Risiko einzugehen, eine beschädigte Nachricht zu senden. Dies gilt insbesondere für Probleme, die vom MUA korrigierbar sind, beispielsweise ein ungültiges 'From'-Feld.

Wenn ein MSA nicht in der Lage ist, einen Rückweg zum einreichenden Benutzer aus einem gültigen MAIL FROM, einer gültigen Quell-IP-Adresse oder basierend auf einer authentifizierten Identität zu bestimmen, SOLLTE der MSA die Nachricht sofort ablehnen. Eine Nachricht kann sofort abgelehnt werden, indem ein 550-Code auf den MAIL-Befehl zurückgegeben wird.

Beachten Sie, dass ein Null-Rückweg, d. h. MAIL FROM:<>, zulässig ist und DARF NICHT an sich ein Grund für die Ablehnung einer Nachricht sein. (MUAs müssen aus verschiedenen Gründen Nachrichten mit Null-Rückweg generieren, einschließlich Benachrichtigungen über den Verbleib.)

Außer in dem Fall, in dem der MSA keinen gültigen Rückweg für die eingereichte Nachricht bestimmen kann, KANN Text in dieser Spezifikation, der einen MSA anweist, einen Ablehnungscode auszugeben, eingehalten werden, indem die Nachricht akzeptiert und anschließend eine Bounce-Nachricht generiert wird. (Das heißt, wenn der MSA eine Nachricht aus irgendeinem Grund ablehnen wird, außer dass er keinen Rückweg bestimmen kann, kann er optional eine sofortige Ablehnung vornehmen oder die Nachricht akzeptieren und dann einen Bounce senden.)

HINWEIS: Im normalen Fall der Nachrichteneinreichung wird das sofortige Ablehnen der Nachricht bevorzugt, da es dem Benutzer und dem MUA direktes Feedback gibt. Um verzögerte Bounces ordnungsgemäß zu handhaben, muss der Client-MUA eine Warteschlange der von ihm gesendeten Nachrichten verwalten und Bounces diesen zuordnen. Beachten Sie, dass viele moderne MUAs diese Funktion nicht haben.

3.3. Autorisierte Einreichung

Es wurden zahlreiche Methoden verwendet, um sicherzustellen, dass nur autorisierte Benutzer Nachrichten senden können. Diese Methoden umfassen authentifiziertes SMTP, IP-Adressbeschränkungen, sichere IP- und andere Tunnel sowie vorherige POP-Authentifizierung.

Authentifiziertes SMTP [SMTP-AUTH] ist weit verbreitet. Es ermöglicht dem MSA, eine Autorisierungsidentität für die Nachrichteneinreichung zu bestimmen, die nicht an andere Protokolle gebunden ist.

IP-Adressbeschränkungen sind sehr weit verbreitet, erlauben jedoch keine Reisenden und ähnliche Situationen und können leicht gefälscht werden, es sei denn, alle Transportwege zwischen MUA und MSA sind vertrauenswürdig.

Sicheres IP [IPSEC] und andere verschlüsselte und authentifizierte Tunneling-Techniken können ebenfalls verwendet werden und bieten zusätzliche Vorteile des Schutzes vor Abhören und Verkehrsanalyse.

Das Erfordernis einer POP [POP3]-Authentifizierung (von derselben IP-Adresse) innerhalb einer bestimmten Zeitspanne (z. B. 20 Minuten) vor Beginn einer Nachrichteneinreichungssitzung wurde ebenfalls verwendet, dies erlegt jedoch sowohl Clients als auch Servern Einschränkungen auf, die Schwierigkeiten verursachen können. Insbesondere muss der Client vor einer SMTP-Einreichungssitzung eine POP-Authentifizierung durchführen, und nicht alle Clients sind dafür fähig und konfiguriert. Außerdem muss sich der MSA mit dem POP-Server abstimmen, was schwierig sein kann. Es gibt auch ein Zeitfenster, in dem ein nicht autorisierter Benutzer Nachrichten senden und als zuvor autorisierter Benutzer erscheinen kann. Da es von den IP-Adressen des MUA abhängt, ist diese Technik im Wesentlichen genauso anfällig für IP-Adress-Spoofing wie die Validierung allein auf der Grundlage bekannter IP-Adressen (siehe oben).

Letztes Update am