![\"Das](\"http:\/\/itinfo.shsbl.de\/wp-content\/uploads\/2025\/08\/20250831-Data-Center-Infrastruktur-Mail-Service.drawio-68fe3f.svg\")
<\/figure>\n\n\n\nIch will ein wenig erl\u00e4utern, wie das Ganze funktioniert und was es so kompliziert macht. Fangen wir mit letzterem an. Warum kann man nicht einfach eine Mail an einen Rechner schicken und fertig?<\/p>\n\n\n\n
Schauen wir uns erst einmal den „normalen“ Weg einer Mail an. Gehen wir also an den Anfang der Kette, den Anwender, der in seinem Thunderbird auf Senden klickt und erwartet, dass die Mail ihr Ziel schon finden wird. Als erstes wandert die Mail zu einem Postausgangsserver, einem MTA (Mail Transfer Agent). Der schaut vereinfacht gesagt nach, welche Domain die Empf\u00e4ngeradresse hat. So h\u00e4tte die Mail-Adresse max.mustermann@shsbl.de die Domain shsbl.de. Nun wird per DNS (Domain Name Service) gefragt, welcher Server im Internet f\u00fcr den Empfang einer Mail mit dieser Domain zust\u00e4ndig ist. F\u00fcr Technikfreunde: Hier wird mit Hilfe von DNS der MX Record in der Domain abgefragt. Nachdem nun klar ist, wer die Mail bekommen soll, nimmt der eigene MTA Kontakt mit dem MTA des Empf\u00e4ngers auf und \u00fcbergibt die Mail. Von dort aus wird sie gepr\u00fcft und dann weiter \u00fcbergeben an einen MDA (Mail Delivery Agent). Dieser hat die eigentlichen Postf\u00e4cher, nimmt die Mail auf und sortiert sie in das richtige Postfach. Fragt der Empf\u00e4nger das n\u00e4chste Mail sein Postfach, findet er dort die neue Mail. <\/p>\n\n\n\n
Soweit ist das Ganze noch recht gut und einfach durchschaubar. Nun gibt es aber im Internet leider nicht nur all die Guten, die nichts weiter wollen, als eine Mail zum Empf\u00e4nger schicken. Vielmehr tummeln sich jede Menge aufdringliche Mailversender, die denken, dass Mailwerbung den Umsatz deutlich steigern wird. Sie sammeln oder kaufen jede Menge Informationen, die wir im Netz hinterlassen auf, setzen daraus ein bestimmtes Bild von uns zusammen und schicken uns dann zielgerichtete Werbung. Schlimmer aber noch sind all die kriminellen Aktivit\u00e4ten, die per Mail auf allerlei Gefahren hinweisen und unbedingt m\u00f6chten, dass wir doch hier- oder dorthin klicken und unsere Bankdaten, Zugangsdaten zu Providern usw. eingeben. Nur um dies zu deren eigenem Vorteil zu nutzen und zum Beispiel unerlaubt Geld abzuheben. Ganz abgesehen von denen, die uns mit einer Mail auf eine Seite locken wollen, die dann Schadsoftware auf unserem Rechner installiert. Inzwischen sind g\u00fcltige Mail-Adressen umso wertvoller, je mehr individuelle Daten dazu vorliegen. Aber auch einfach nur die Mail-Adresse wird gesammelt und in hohen St\u00fcckzahlen auf dem Schwarzmarkt verkauft.<\/p>\n\n\n\n
Tja, klingt unsch\u00f6n und ist es auch. Betreibt man ein eigenes Mail-System, so wie wir, so muss man all dies im Hinterkopf haben und diverse Sicherheitsmechanismen einbauen. Ein Gro\u00dfteil der Komplexit\u00e4t eines Mails-System besteht letztlich nur aus Sicherheitsmechanismen, damit unerw\u00fcnschte Post drau\u00dfen bliebt und unser eigenes System nicht zu einem Verteiler von sch\u00e4dlichen Mails wird. <\/p>\n\n\n\n
CIh werde nun ganz kurz das vorangegangene Schaubild erl\u00e4utern und dabei auf die verschiedenen Funktionen der Beteiligten eingehen. Da eine ausf\u00fchrliche Darstellung den Rahmen hier sprengen w\u00fcrde, versuche ich mich mal kurz zu fassen, ganz gegen meine Gewohnheit. <\/p>\n\n\n\n
Beginnen wir die Betrachtung auf der linken Seite oben mit dem Anwender. Dieser sitzt, wie in unserem Beispiel zuvor, vor seinem Thunderbird und schickt eine Mail ab. Da der Versender irgendwo sitzen kann, wird die Mail zun\u00e4chst \u00fcber das Internet an unseren MTA geschickt. Dieser wurde zuvor bei der Einrichtung des Postfachs als Postausgangsserver konfiguriert und hei\u00dft in unserem Fall smtp.shsbl.de. Auf dem Bild ist dies der gr\u00fcne oder der lila Pfeil. Beim MTA angekommen, entscheidet dieser als erstes, ob der Versender \u00fcberhaupt die Erlaubnis hat, Mails \u00fcber ihn zu verschicken. Dazu schaut ganz rechts in den LDAP-Verzeichnisserver. Dort stehen alle unsere Angestellen, Lehrkr\u00e4fte und Sch\u00fclerinnen und Sch\u00fcler drin. Finder er dort den Absender, geht es weiter. Nun muss entschieden werden, wo die Mail hinkommt. Der MTA schaut sich dazu die Domain des Empf\u00e4ngers an. Ist es eine Mail, f\u00fcr die wir selbst die Postf\u00e4cher halten, so wird die Mail intern weiter geschickt. Dies ist der gr\u00fcne Pfeil. nat\u00fcrlich k\u00f6nnten auch Sch\u00e4dlinge in diesen Mails sein, daher wandert die Mail zun\u00e4chst zu einem weiteren Server, auch ein MTA, der die Mail sehr ausgiebig pr\u00fcft. Mit aktuellen Listen werden die Mails auf alle Sch\u00e4dlinge \u00fcberpr\u00fcft und zus\u00e4tzlich versucht zu erkennen, ob es sich um SPAM-Mails handelt, die aussortiert werden. Solche Mails werden nicht weitergeschickt. Ist alles in Ordnung geht es an den MDA, der dann die Mails in das richtige Postfach einordnet. <\/p>\n\n\n\n
War es keine Mail an einen internen Empf\u00e4nger, der lila Pfeil, schickt unser MTA die Mail weiter an einen MTA, den wir direkt bei unserem Provider haben. Dieser wiederum erledigt dann die Arbeit, die Mail an den MTA des Empf\u00e4ngers zu schicken. Warum aber machen wir einen solchen Umweg. Nun, ein Teil der Beurteilung von SPAM-Mails ist die sogenannte Reputation, die der versendende MTA hat. Ist dies ein in der weiten Welt recht unbekannter MTA, dann landet die Mail ganz schnell im SPAM Ordner des Empf\u00e4ngers. Unser Provider IONOS hingegen geh\u00f6rt zu den ganz gro\u00dfen Providern in der Welt und genie\u00dft \u00fcberall eine gute Reputation. Das hei\u00dft, dass alle davon ausgehen, dass von diesem MTA keine oder nur ganz selten SPAM Mails verschickt werden. Die empfangenden MTA beurteilen die Mails von IONOS als wenig SPAM verd\u00e4chtig und lassen diese durch. <\/p>\n\n\n\n
Schauen wir uns die zweite Wolke an. nicht wir, sondern irgendjemand schickt uns eine Mail. Die ist irgendwann einmal im Internet und landet bei unserem MTA. Dies ist aber nicht der gleiche, den wir oben hatten, das war ja unser Postausgangsserver. Dieser MTA hier wird nicht gezielt von einem CLient angesprochen. Vielmehr ist er als Empf\u00e4nger f\u00fcr Mails aus der ganzen Welt beim Provider hinterlegt (der MX Record, siehe oben). Wenn also irgendein MTA mit uns Kontakt aufnehmen will, damit eine an uns gerichtete Mail geben kann, dann macht er das \u00fcber diesen Server. Der pr\u00fcft als allererstes, ob die Mail irgendwelche Schadsoftware beinhaltet oder als SPAM beurteilt werden muss. In diesem Fall wird die Mail aussortiert. Er kann aber auch ganz gezielt Regeln abpr\u00fcfen. So d\u00fcrfen zum Beispiel unsere Elternpostf\u00e4cher an der BNS zwar von anderen Elternpostf\u00e4chern oder von der BNS angesprochen werden. Alle anderen Absender werden aber schon hier aussortiert. Ist alles in Ordnung, gibt er die Mail weiter an den MTA, den wir schon oben beschrieben hatten. Dies nur aus dem einen Grund, weil dieser in der Lage ist, mit Hilfe des LDAP Verzeichnisses Gruppennamen aufzul\u00f6sen. Wenn also zum Beispiel an eine Klasse 9a geschrieben wird, sucht der obige MTA die entsprechend dazugeh\u00f6rigen Mailadressen der Mitglieder heraus. Dann geht alles den gewohnten Gang. <\/p>\n\n\n\n
Dritter Fall: Jemand benutzt den Webmailer. Ein Webmailer ist quasi ein Mail-Client, den wir \u00fcber einen Bowser bedienen k\u00f6nnen. Hierf\u00fcr gibt es bei uns einen eigenen Server, da dies zum Anwender hin eine reine Browser-Applikation ist, die ganz anderen Regeln folgt, als der Mailverkehr. Der Weg wird mit dem braunen Pfeil gezeigt. Dieser Webmailer zeigt im Browser eine Anmeldemaske und bei gegl\u00fcckter Anmeldung bereit er die Sicht auf das Postfach so auf, wie es sonst die Mail-Client wie Thunderbird oder Outlook machen. Nur eben im Browser und nicht ganz so funktionsm\u00e4chtig. Die Postf\u00e4cher selbst, aus denen die Information geholt werden, liegen tief im Innern und in der Sicherheit unsere Infrastruktur. Es ist der weiter oben erw\u00e4hnte MDA.<\/p>\n\n\n\n
Bleibt noch der vierte Fall, mit dem graublauen Pfeil, der Abruf von Mails \u00fcber einen Client wie Thunderbird oder Outlook. Hier wird wieder direkt mit den Protokollen des Mailverkehrs gearbeitet. Bei der Einrichtung des Postfaches wird er sogenannte Posteingangsserver festgelegt. Dies ist bei uns der imap.shsbl.de. Der Client fragt nur nach den Inhalten des Postfaches, landet aber zun\u00e4chst auf einem sogenannten Proxy Server. Dieser \u00fcberpr\u00fcft zun\u00e4chst die Abfrage, bevor er sie an den internen MDA weiterreicht. Von dort flie\u00dfen dann die Informationen zu neuen Mails zur\u00fcck an den Client.<\/p>\n\n\n\n
Soweit in Kurzform die Darstellung der verschiedenen Wege. Noch ein paar technische Details zum Schluss. Die Server sind allesamt virtualisiert. Um eine Ausfallsicherheit zu garantieren, sind alle wichtigen Komponenten redundant ausgelegt, also doppelt. Dazu haben wir zwei physische Server in der DMZ (Demilitarisierte Zone), auf denen die identischen virtuellen Maschinen laufen. Diese kontrollieren sich gegenseitig. F\u00e4llt zum Beispiel einer der MTAs auf dem einen Server aus, springt automatisch das Pendant auf den anderen Server an und der Betrieb l\u00e4uft ungest\u00f6rt weiter. Im Backend, wo sich der Verzeichnisserver und der MDA befinden, wird die Redundanz durch ein gro\u00dfes Cluster gew\u00e4hrleistet, wo jeder einzelne Node in der Lage ist, alle virtuellen Maschinen laufen zu lassen. F\u00e4llt ein Node aus, \u00fcbernehmen die anderen die virtuellen Maschinen. <\/p>\n\n\n\n
Die 12 beteiligten Server sind allersamt auf gro\u00dfe Last eingestellt. Wie gro\u00df die Last wird, zeigen die folgenden Zahlen f\u00fcr den Endzustand, den wir erreichen wollen. Wir gehen von rund 500 Angestellten und Lehrkr\u00e4ften in unseren 5 hessischen Schulen aus. Dazu kommen noch einmal 4500 Sch\u00fclerinnen und Sch\u00fcler. Alle sollen am Ende ein Postfach auf unserem System haben, damit Mails mit sensiblen Inhalten nicht bei fremden Providern herumliegen. Schlie\u00dflich kommen zu den 4.500 Sch\u00fclerinnen und Sch\u00fclern noch einmal die Eltern hinzu. Nicht immer sind es zwei, in der Mehrzahl der F\u00e4lle aber schon. Macht 9.000 weitere Nutzer. So kommen wir am Ende auf ca. 14.000 Postf\u00e4cher, die das System bedienen muss. Wenn man bedenkt, dass jedes Handy, Tablet, Notebook oder auch der Desktoprechner alle paar Minuten eingerichtete Postf\u00e4cher auf Neuigkeiten abfragt, so kommen wir schnell auf 20-50 Abfragen, die pro Sekunde hereinkommen werden und abgearbeitet werden m\u00fcssen. Da muss alles sauber laufen und nichts im Wege stehen. Andernfalls ist das Chaos vorprogrammiert. <\/p>\n\n\n\n
Ich werde mich freuen, wenn wir dieses Ziel mal erreicht haben und unsere Server richtig „unter Dampf“ sind. Dann muss die Konstruktion beweisen, dass sie auch unter Last funktionsf\u00e4hig ist. <\/p>\n\n\n\n
Bis dahin Peter<\/p>\n\n\n\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Es ist geschafft, das neue Mail-System ist fertig und es war keine schnelle Angelegenheit. Insgesamt sind 12 Server daran beteiligt, dass Mails so empfangen und verschickt werden k\u00f6nnen, dass nur dass in die Postf\u00e4cher kommt, was wir auch dort erlaubt haben. Wie man unschwer an der Grafik erkennen kann, ist ein Mail-System eine recht komplexe […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ocean_post_layout":"","ocean_both_sidebars_style":"","ocean_both_sidebars_content_width":0,"ocean_both_sidebars_sidebars_width":0,"ocean_sidebar":"","ocean_second_sidebar":"","ocean_disable_margins":"enable","ocean_add_body_class":"","ocean_shortcode_before_top_bar":"","ocean_shortcode_after_top_bar":"","ocean_shortcode_before_header":"","ocean_shortcode_after_header":"","ocean_has_shortcode":"","ocean_shortcode_after_title":"","ocean_shortcode_before_footer_widgets":"","ocean_shortcode_after_footer_widgets":"","ocean_shortcode_before_footer_bottom":"","ocean_shortcode_after_footer_bottom":"","ocean_display_top_bar":"default","ocean_display_header":"default","ocean_header_style":"","ocean_center_header_left_menu":"","ocean_custom_header_template":"","ocean_custom_logo":0,"ocean_custom_retina_logo":0,"ocean_custom_logo_max_width":0,"ocean_custom_logo_tablet_max_width":0,"ocean_custom_logo_mobile_max_width":0,"ocean_custom_logo_max_height":0,"ocean_custom_logo_tablet_max_height":0,"ocean_custom_logo_mobile_max_height":0,"ocean_header_custom_menu":"","ocean_menu_typo_font_family":"","ocean_menu_typo_font_subset":"","ocean_menu_typo_font_size":0,"ocean_menu_typo_font_size_tablet":0,"ocean_menu_typo_font_size_mobile":0,"ocean_menu_typo_font_size_unit":"px","ocean_menu_typo_font_weight":"","ocean_menu_typo_font_weight_tablet":"","ocean_menu_typo_font_weight_mobile":"","ocean_menu_typo_transform":"","ocean_menu_typo_transform_tablet":"","ocean_menu_typo_transform_mobile":"","ocean_menu_typo_line_height":0,"ocean_menu_typo_line_height_tablet":0,"ocean_menu_typo_line_height_mobile":0,"ocean_menu_typo_line_height_unit":"","ocean_menu_typo_spacing":0,"ocean_menu_typo_spacing_tablet":0,"ocean_menu_typo_spacing_mobile":0,"ocean_menu_typo_spacing_unit":"","ocean_menu_link_color":"","ocean_menu_link_color_hover":"","ocean_menu_link_color_active":"","ocean_menu_link_background":"","ocean_menu_link_hover_background":"","ocean_menu_link_active_background":"","ocean_menu_social_links_bg":"","ocean_menu_social_hover_links_bg":"","ocean_menu_social_links_color":"","ocean_menu_social_hover_links_color":"","ocean_disable_title":"default","ocean_disable_heading":"default","ocean_post_title":"","ocean_post_subheading":"","ocean_post_title_style":"","ocean_post_title_background_color":"","ocean_post_title_background":0,"ocean_post_title_bg_image_position":"","ocean_post_title_bg_image_attachment":"","ocean_post_title_bg_image_repeat":"","ocean_post_title_bg_image_size":"","ocean_post_title_height":0,"ocean_post_title_bg_overlay":0.5,"ocean_post_title_bg_overlay_color":"","ocean_disable_breadcrumbs":"default","ocean_breadcrumbs_color":"","ocean_breadcrumbs_separator_color":"","ocean_breadcrumbs_links_color":"","ocean_breadcrumbs_links_hover_color":"","ocean_display_footer_widgets":"default","ocean_display_footer_bottom":"default","ocean_custom_footer_template":"","_themeisle_gutenberg_block_has_review":false,"ocean_post_oembed":"","ocean_post_self_hosted_media":"","ocean_post_video_embed":"","ocean_link_format":"","ocean_link_format_target":"self","ocean_quote_format":"","ocean_quote_format_link":"post","ocean_gallery_link_images":"on","ocean_gallery_id":[],"footnotes":""},"categories":[31],"tags":[],"class_list":["post-1284","post","type-post","status-publish","format-standard","hentry","category-technikfreunde","entry"],"_links":{"self":[{"href":"https:\/\/itinfo.shsbl.de\/index.php?rest_route=\/wp\/v2\/posts\/1284","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/itinfo.shsbl.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/itinfo.shsbl.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/itinfo.shsbl.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/itinfo.shsbl.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1284"}],"version-history":[{"count":3,"href":"https:\/\/itinfo.shsbl.de\/index.php?rest_route=\/wp\/v2\/posts\/1284\/revisions"}],"predecessor-version":[{"id":1292,"href":"https:\/\/itinfo.shsbl.de\/index.php?rest_route=\/wp\/v2\/posts\/1284\/revisions\/1292"}],"wp:attachment":[{"href":"https:\/\/itinfo.shsbl.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1284"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/itinfo.shsbl.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1284"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/itinfo.shsbl.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1284"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}