Wen betrifft es?: Alle, die über einen Dritten wie zum Beispiel die VZG oder ein anderes Rechenzentrum in ihrem Namen Mails versenden lassen.
9.1 HintergrundAbschnitt hinzufügen
Durch die zunehmend höheren Anforderungen an IT-Sicherheit und SPAM-Vermeidung schränken viele Institutionen den Mailempfang ein, d.h. es werden nicht nur „dubiose“ sondern auch „vermeintlich dubiose“ Mails von den Mailprogrammen bzw. den Mail-Servern abgelehnt oder automatisch in den SPAM-Ordner sortiert.
Dies führt zu dem unerfreulichen Effekt:
- Absender sieht bei sich den erfolgreichen Mail-Versand.
- Empfänger sieht die E-Mail nicht, weil im SPAM-Ordner abgelegt.
9.2 Wie werden E-Mails als „dubios“ klassifiziert?Abschnitt hinzufügen
Bei Eingang von E-Mails jedweder Art prüfen E-Mail-Anwendungen wie zum Beispiel MS Office 365, Exchange oder andere Mail-Systeme unter anderem, ob die E-Mail-Kennung (technischer Header) des Absenders mit der Domain-Kennung (DNS-Record von xzy.de) des Absenders übereinstimmt oder ob der Absender auf einer „Whitelist“ steht.
Ist das nicht der Fall, dann wird die E-Mail je nach den Empfängereinstellungen nicht angenommen oder in den SPAM-Ordner verschoben. Falls die E-Mail den Nutzer, je nach hinterlegten Regeln, doch erreicht, erscheint beim Öffnen eine Nachricht, wie zum Beispiel „unsicherer Inhalt, wollen Sie wirklich öffnen? …“ die jeden Kunden verunsichert, da die E-Mail schließlich von einem bekannten Lieferanten versendet wurde.
Um diese Effekte zu vermeiden, gibt es zwei Möglichkeiten:
- Änderung Mailparameter bei allen Empfängern:
Jeder Empfänger muss den Versender (konkret den DNS-Record der VZG), der für die Bibliothek Mails versendet in den die Black-/Whitelist des jeweiligen Mailprogramms-/-servers als „vertrauenswürdig“ eingetragen werden. Diese Alternative scheidet aus praktischer Erwägung aus, da alle aktuellen und zukünftigen Empfänger informiert werden müssten. Zudem ist zu bezweifeln, dass eine große Anzahl der IT-Abteilungen diese Änderungen aufgrund von Personalmangel und/oder Abstimmungsaufwand nicht umsetzen oder nicht zeitnah umsetzen werden. - Änderung des Verfahrens. Die E-Mails werden von dem Hoster an die Bibliothek übertragen und von der Bibliothek versendet. Da eine Änderung bei den Empfängern ausscheidet, kann die Anforderung zur SPAM-Vermeidung nur auf der Absenderseite gelöst werden Je nach bereits vorhandener Infrastruktur sind folgende Lösungen, die bereits praktisch umgesetzt wurden, möglich.
9.3 Lösungsmöglichkeiten auf der Absenderseite (Bibliothek)Abschnitt hinzufügen
9.3.1 Bereitstellung eines SMTP-Servers
Für einen vorhandenen SMTP-Server im Netz/RZ der jeweiligen Bibliothek wird ein Port und/oder eine IP-Adresse freigeschaltet, damit die MyBib-Instanz den SMTP-Server direkt ansprechen kann. Über diesen Port werden die E-Mails verschlüsselt an die Bibliothek übertragen und vom Mail-Server der Bibliothek automatisch versendet. Damit stimmen Absender- und Domainkennung überein.
Aufwand: Gering (2 – 8h), da eine klassische Methode. Hierbei wird anstatt des derzeit verwendeten SMTP-Servers des Hosters der SMTP-Server des Kunden eingebunden. Für die Bibliotheken, die keinen eigenen SMTP-Mailserver verwenden, bietet sich die Lösung eines SMTP-Relais-Servers (Lösung 4) an.
9.3.2 SMTP-Gateway in Office 365/Exchange
Office 365 stellt ein SMTP-Gateway für den Mail-Versand via SMTP zu Verfügung, d. h. anstatt eines separaten SMTP-Servers, wird der SMTP-Server von Office 365/Exchange des Kunden zum Mailversand genutzt.
Aufwand: Gering (< 8h), da Anbindung vergleichbar mit Anbindung an „normalen“ SMTP-Server.
9.3.3 Mail via MS-Graph in Office 365
Hierbei werden die Mails nicht via SMTP sondern via API aus MS Graph versendet. Dazu ist in MS Azure ein Konto anzulegen und MyBib als App in MS Azure zu hinterlegen. MyBib übergibt mit der API die Mail an das definierte Konto in MS Office 365, welches dann die E-Mail versendet. Da MS „Basic Auth“ per 30.09.2022 abgekündigt hat, erfolgt die Autorisierung und Athentifizierung von MyBib eDoc bei MS Office 365 via OAUTH2.
Aufwand: Größerer Aufwand (2 – 5 PT) als Mailversand via SMTP
9.3.4 Einsatz eines SMTP-Relay-Servers
Ein SMTP-Relay ist ein Mailserver, der von einem Sender E-Mails annimmt und an beliebig viele Dritte weiterleitet. Beispielsweise hat die VZG ein solches Relay eingerichtet, welches die gehosteten PICA-Instanzen an die jeweiligen Mailserver in der Institution anbindet. Diese Infrastruktur kann von gehosteten MyBib eDoc-Instanzen nachgenutzt werden, d.h. die MyBib eDoc-Mails werden über das VZG-Relay versendet.
9.4 Mailversand EntscheidungsmatrixAbschnitt hinzufügen
Hosting | MyBib gehostet by VZG | PICA LBS(1) gehostet by VZG | Lösung |
100% Hosting | J | J | Einrichtung im VZG- Relais (VZG) |
50% Hosting | J | N | Anbindung MyBib an Mail-Server der Bibliothek (IWC) |
0% Hosting | N | N | MyBib muss bereits an Mail-Server der Institution angebunden sein (sonst würde es nicht laufen!) |
(1) gilt auch für andere Lokalsystem, die von VZG gehostet werden
9.5 Leitfaden zur Anbindung Ihres SMTP-Servers an MyBib eDocAbschnitt hinzufügen
Loggen Sie sich mit Administrationsrechten in MyBib eDoc ein, und wählen im Abschnitt Verwaltung“ –> „Einstellungen“ –> „Ausgehend“. MyBib eDoc zeigt die folgende Auswahl, bei der je nach Mail-Server die entsprechenden Einstellungen anzupassen sind:
9.5.1 Fallbeispiel Anbindung über VZG
Einstellungen | Wert | Beschreibung |
Name des SMTP-Servers für ausgehende E-Mails | localhost | Name des E-Mail-Servers, der für ausgehende E-Mails verwendet wird (SMTP-Server) |
Absendername für ausgehende E-Mails | OUTGOING_EMAIL_SENDER (Per Default gesetzt). Beispiel mybib@imageware.de | Der Absender-Name, nicht die Adresse, der in ausgehenden E-Mails verwendet wird. Der Wert verweist auf einen Textbaustein |
Absenderadresse für ausgehende E-Mails | OUTGOING_EMAIL_ADDRESS (Per Default gesetzt) | Die Absender-Adresse, die in ausgehenden E-Mails verwendet wird. Der Wert verweist auf einen Textbaustein |
Port für E-Mail- Kommunikation | 25 | |
SMTP-Kommunikation via ssl- Verschlüsselung | unterdrückt | |
SMTP Kommunikation mit Authentifizierung | unterdrückt |
Wann wird ein lokaler MTA (Mail Transfer Agent) und wann die Adresse mailer.gbv.deverwendet?
Beide Varianten adressieren Ihren SMTP-Server, mit dem Unterschied das der MTA die Mail etwas anders aufbereitet, um ein besseres Spam-Scoring zu erreichen, was den Empfang beim Endnutzer erhöht. Zusätzlich sorgt ein MTA dafür, dass eine Mail wiederholt zugestellt wird, sollte das Ziel-SMTP den Empfang ablehnen (Beispiel: Postfach des Empfängers hat seine maximale Größe erreicht)
9.5.2 Fallbeispiel Anbindung über eigenen/sonstigen SMTP-Server
Einstellungen | Wert | Beschreibung |
Name des SMTP-Servers für ausgehende E-Mails | <Adresse Ihres SMTP-Servers> | Der Absender-Name, nicht die Adresse, der in ausgehenden E-Mails verwendet wird |
Absendername für ausgehende E-Mails | OUTGOING_EMAIL_SENDER <Adresse aus Ihrem Domäne- Bereich: postfach@Ihre- Domäne.de> | Der Absender-Name, nicht die Adresse, der in ausgehenden E-Mails verwendet wird. Der Wert verweist auf einen Textbaustein |
Absenderadresse für ausgehende E-Mails | OUTGOING_EMAIL_ADDRESS (Per Default gesetzt) | Die Absender-Adresse die in ausgehenden E-Mails verwendet wird. Der Wert verweist auf einen Textbaustein |
Port für E-Mail- Kommunikation | 25 | |
SMTP-Kommunikation via ssl- Verschlüsselung | < Gemäß Ihres SMTP-Servers> | |
SMTP Kommunikation mit Authentifizierung | < Gemäß Ihres SMTP-Servers> |
9.5.3 Fallbeispiel Anbindung über Office 365
Einstellungen | Wert | Beschreibung |
Name des SMTP-Servers für ausgehende E-Mails | Ihre Exchange-Adresse, im Beispiel imageware-de.mail.protection.outlook.com | Name des E-Mail-Server der für ausgehende E-Mails verwendet wird (SMTP-Server) |
Absendername für ausgehende E-Mails | OUTGOING_EMAIL_SENDER (Per Default gesetzt). Der hier korrespondierende Textbaustein sollte die angelegte Office365 Adresse enthalten, im Beispiel mybib@imageware.de | Die Absender-Adresse, die in ausgehenden E-Mails verwendet wird. |
Absenderadresse für ausgehende E-Mails | OUTGOING_EMAIL_ADDRESS (Per Default gesetzt) | Die Absender-Adresse, die in ausgehenden E-Mails verwendet wird. Der Wert verweist auf einen Textbaustein |
Port für E-Mail-Kommunikation | 25 | |
SMTP-Kommunikation via ssl-Verschlüsselung | unterdrückt | |
SMTP-Kommunikation mit Authentifizierung | unterdrückt | |
SMTP_SERVER_STARTTLS | Freigegeben |
Eine Anbindung über Office365 setzt einen qualifizierten Mail-Account (kein Funktionspostfach) voraus. Das MyBib-System sollte zusätzlich in der DNS-Lookup-Zone von OFFICE 365 hinterlegt oder dort ein SMTP-Relay angelegt werden.
Warum wird STARTTLS anstelle von TLS verwendet?
In erster Linie, weil es die Vorgabe seitens Microsofts ist, wie mit SMTP-Servern eine Kommunikation als SMTP-Client (hier MyBib) aufgebaut werden soll. Es werden bei diesem Vorgang keine Credentials übergeben, daher müssen diese MyBib-seitig auch nicht hinterlegt werden. Die Genehmigung zum “Durchstellen” der Mail über den SMTP-Server erfolgt über den IP-Eintrag im Office-SMTP-Connector.
Wichtig: Nur die Handshake-Anfrage von Client zu Connector läuft unverschlüsselt. Der eigentliche Transport der Mail erfolgt via TLS.
9.6 Test der Anbindung von MyBib an den Mail-ServerAbschnitt hinzufügen
Sie können den Emailversand testen, indem Sie in MyBib einen Schritt zurückgehen, nach „Einstellungen“ –> „Transferverwaltung“ –> „Transferziele“. Dort finden Sie ein angelegtes Transferziel „E-Mail an Techn. Support ImageWare Components“ mit dem Sie den Versand verproben können. Natürlich können Sie sich ein neues Transferziel mit einer abweichenden Adresse anlegen.
Führen Sie den Test zuerst in ihrem MyBib-Testsystem durch. Erst nach erfolgreichem Versand einer Testmail übernehmen Sie die Einstellung in ihr Produktionssystem.
9.7 IT-Sicherheit und DSGVOAbschnitt hinzufügen
Verschlüsselung: Die Kommunikation zwischen MyBib und dem Mailserver (Office365, SMTP-Server) erfolgt immer verschlüsselt.
Authentifizierung: Zwecks Vermeidung eines Missbrauchs des Mail-Servers des Kunden, wird der Zugriff durch mehrere Maßnahmen (IP-Freischaltung, Kennung, Passwort, Credentials) eingeschränkt, damit sichergestellt ist, dass nur MyBib als Anwendung darauf zugreifen kann.
Installationsvoraussetzungen: MyBib eDoc V3.4.2 oder höher