catchall, auch catch-all oder auf denglisch Sammelaccount genannt, dient dazu alle Nachrichten die nicht an ein bestehendes Postfach oder einen Alias einer Email-Domäne gesendet werden aufzunehmen.

Ein Beispiel:

Wird eine Nachricht an test@domain.tld gesendet und es gibt kein Postfach und keinen Alias test, dann landet die Nachricht im catchall-Postfach.

Was spricht gegen catchall?

Es gehört nicht gerade zur Best Practice Nachrichten an nicht existierende Postfächer oder Aliase anzunehmen, denn dies kann Spam, Phishing und Co. Tür und Tor öffnen. Nutzt man catchall beraubt man sich zudem der Möglichkeit externe Dienste wie zum Beispiel von Hornet Security oder Securepoint für mehr Email-Sicherheit nutzen zu können, da diese auf bestehende Email-Adressen, also Postfächer oder Aliase, beruhen. Unbekannte Adressen wie es bei catchall nun mal der Fall ist oder die Verwendung von einem Wildcard wie * funktioniert hier nicht.

Ganz ohne Sicherheit steht man allerdings auch nicht da, hierzu weiter unten mehr.

Warum catchall umsetzen?

Im Zuge der Migration von einem Email-Anbieter zu einem OnPrem MDaemon Email Server bei einem Kunden kam das Thema catchall auf. Der Kunde ist Anlagenerichter und muss für jede Steuerung eine eigene Email-Adresse bei deren Registrierung angeben. Pro Woche kommen zwei bis drei neue Anlagen hinzu. Man entschied sich vor Jahren dazu dies mittels catchall umzusetzen, was der Einfachheit halber durchaus nachvollziehbar ist.

Im Zuge der Migration musste geklärt werden, wie man catchall mit dem MDaemon Email Server bei direkter SMTP-Anbindung umgesetzt bekommt.

catchall und MDaemon Email Server

Ab Werk gibt es die Möglichkeit mittels DomainPOP Nachrichten aus einem Sammelaccount via POP3 bei einem Email-Anbieter abzuholen. In diesem Fall ist der MDaemon Email Server nicht direkt mittels SMTP angebunden und die eigentliche catchall-Funktionalität stellt der Email-Anbieter. Darum geht es in diesem Beitrag allerdings nicht.

Wie kann man catchall bei SMTP beim MDaemon Email Server umsetzen?

Als dieses Thema aufkam hatte ich zunächst recherchiert, aber leider nichts gefunden, also war der zweite Schritt der zum Support. Von ELOVADE kam der Vorschlag eine Inhaltsfilter-Regel zu verwenden, aber man dachte hierbei wohl an die E-Mail-Archivierung, sprich eher Journal oder Sammelpostfach statt der eingangs erwähnten catchall-Funktionalität.

Die Sache lies mir allerdings keine Ruhe und der Ansatz mit dem Inhaltsfilter ist vom Prinzip her nicht verkehrt gewesen. Wie sich nach den ersten Tests mit unserer NFR Ende März 2026 zeigte geht es prinzipiell doch, ein paar Feinheiten ergaben sich dann Mitte Mai 2026 im Live-Betrieb. Lange Rede, gar kein Sinn, nachfolgend die notwendigen Schritte:

  • In der “MDaemon-Konfigurationsverbindung” einen neuen Benutzer, zum Beispiel mit dem Namen catchall, anlegen.
  • Unter “Sicherheit – Inhaltsfilter…” zwei Regeln anlegen: 
    catchall No. 1

Apply this rule to messages in the LOCAL & REMOTE queue

If the TO HEADER contains local account
or If the CC HEADER contains local account
or If the X-MDAEMON-DELIVER-TO HEADER contains local account
or If the userdef 1:X-Rcpt-To HEADER contains local account
or If the userdef 2:X-MDRcpt-To HEADER contains local account
... then stop processing rules for this message
    catchall No. 2

Apply this rule to messages in the LOCAL & REMOTE queue

If the TO HEADER contains '@domain.tld'
or If the CC HEADER contains '@domain.tld'
or If the X-MDAEMON-DELIVER-TO HEADER contains '@domain.tld
or If the userdef 1:X-Rcpt-To HEADER contains '@domain.tld'
or If the userdef 2:X-MDRcpt-To HEADER contains '@domain.tld'
... then copy message to folder "C:\MDaemon\Users\domain.tld\catchall\"
and delete this message
  • Unter “Sicherheit – Sicherheitseinstellungen – Relaiskontrolle” den Haken bei “SMTP-RCPT-Adresse muss existieren, falls sie eine lokale Domäne enthält” entfernen.

Kurz die Regeln erklärt:

No. 1 verarbeitet alle Nachrichten an bekannte  Benutzer, das gilt für Postfächer und Aliase gleichermaßen. No. 2 wiederum ist dann für alle nicht bekannten Benutzer, sprich alles undefinierte vor dem @, zuständig und verschiebt die Nachrichten entsprechend in das catchall-Postfach.

Da Nachrichten nicht nur direkt (TO) sondern auch mittels CC oder BCC an jemanden adressiert sein können und on top es noch einen Unterschied macht das sich der Empfänger der während der SMTP-Verbindung (RCPT-TO) vom den in der eigentlichen Nachricht angegebenen unterscheiden kann, muss man die entsprechenden Header in allen beiden Regeln verarbeiten. Das ist der Punkt der sich in der Praxis ergeben hatte.

Aufschlussreich zu den Headern ist folgender Beitrag:

MDaemon Technologies Blog – The Envelope vs. the Letter: Why Every MDaemon Admin Should Know the Difference Between SMTP Envelope Addresses and Message Headers

catchall und Sicherheit (beim MDaemon Email Server)

Wie eingangs erwähnt ist es bei der Nutzung von catchall nicht möglich, auf Email-Adressen-basierte Mail- Security-Dienste von Dritten zu verwenden. Ganz ohne Möglichkeiten steht man selbstverständlich dennoch nicht da. Der MDaemon Email Server bietet von sich aus schon einige gut vorkonfigurierte Schutzmaßnahmen – vor allem in Sachen Spam-Schutz – an, die Stichworte hierzu lauten SPF, DMARC und DKIM. Als weiteres kann man beispielsweise Greylisting aktivieren. Hierzu sei erwähnt, das in der Voreinstellung eine Wartezeit von 15 Minuten (in früheren Versionen auch 5 Minuten) vorgegeben ist. In der Praxis haben sich bereits zwei Minuten bewährt. Für 2FA-Codes oder -Links empfiehlt es sich Ausnahmen festzulegen, damit die Gültigkeit dieser Codes oder Links nicht abläuft bevor die entsprechenden Nachrichten empfangen werden und im Postfach sind.

DNS-BL, also Sperrlisten, sind ein weiteres probates Mittel um unliebsame Zusteller außen vor zu lassen. Hier ist allerdings bei der Voreinstellung Vorsicht geboten, denn die Einträge von Spamhaus und in früheren Versionen die von SpamCop sind lediglich für die nicht-kommerzielle Nutzung kostenfrei. Das bedeutet man schließt entweder entsprechende Abos ab oder sucht sich andere Anbieter. An dieser Stelle hat sich blocklist.de bewährt, der wie folgt konfiguriert wird:

  • Zu “Sicherheit – Spam-Filter – DNS-BL – Hosts” wechseln.
  • Folgende Felder ausfüllen und auf “Hinzufügen” klicken: 
    DNS-BL-Host: mail.bl.blocklist.de
Meldung: $IP$ listed at mail.bl.blocklist.de

Ein weiteres Bordmittel das man nutzen kann ist die Einschränkung nach Herkunftsland. Ist man sich sicher, das man keine Emails zum Beispiel aus Russland, China oder Nordkorea erhält, kann man diese und weitere Länder unter “Sicherheit – Sicherheits-Manager – Filter – Länder-Filter” sperren. Hat man eine entsprechend-fähige Firewall vor dem MDaemon Email Server stehen, kann man mittels GeoIP und IDS/IPS ebenfalls unliebsame Herkunftsländer und bekannte negative Akteure aussperren.

Zusätzlich gibt es die Möglichkeit den Spamhaus-Dienst Data Query Service (DQS) hinzuzufügen. Unklar ist allerdings mit was für Kosten man rechnen muss. Wenn ich es richtig verstanden habe, dann kann man zunächst ein Konto erstellen und den Dienst nutzen. Bei geringem Mail-Aufkommen kostet es wohl nichts, wobei sich die Frage stellt was “gering” in diesem Kontext bedeutet. Bei höheren Aufkommen bekommt man ein mehr oder weniger individuelles Angebot.

Die optionale MDaemon AntiVirus-Erweitertung kann ebenfalls zu mehr Sicherheit beitragen, das nicht nur wegen dem Antivirus von Ikarus, sondern der Outbreak Protection. Sofern vor dem MDaemon Email Server eine UTM, beispielsweise von Securepoint steht, kann man den Email-Verkehr auch hierüber (zusätzlich) absichern. In diesem Fall ist dann wichtig die Prüfung der Email-Adresse (eingehend wegen catchall) zu Deaktivieren.

Es gibt noch mehr Möglichkeiten in Sachen MDaemon Email Server-Sicherheit, dies ist nur im Rahmen der catchall-Thematik eine Auszug möglicher Optionen. Lesenswert ist zum Thema Sicherheit dieser Beitrag:

MDaemon Knowledge Base – What are the recommended Security, Dynamic Screening, Spam Filter, and AntiVirus Settings in MDaemon?

Wie hat Dir der Artikel gefallen ?

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Bislang keine Stimmen erhalten.)
Loading...

Du möchtest den Blog unterstützen ?

Neben PayPal.ME gibt es noch weitere Möglichkeiten, lies hier wie du diesen Blog unterstützen kannst.

Ähnliche Artikel:

  1. MDaemon Email Server: Mit “Benutzerdefinierten Warteschlangen” Nachrichten an eine bestimmte Domain (via Smarthost) senden
  2. MDaemon: Alle externen eingehenden Nachrichten in ein bestimmtes Postfach verschieben
  3. Thunderbird: Spezifische Header anzeigen
  4. MDaemon Email Server: Nach Update landen alle Nachrichten in der Störungs-Warteschlange
  5. MDaemon, SMTP und Kontaktformular auf einer Homepage