Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation
Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation
Hallo @ all
Als ich im Winter angefangen bin, mich mit der Frage aus dem Betreff für eine rein private Lösung zu befassen, musste ich sehr schnell die ernüchternde Erfahrung machen, dass ein Mailserver ein wirklich komplexes und kompliziertes Thema ist. Und darüber hinaus, dass es dafür im Internet kaum was gibt, was dem völlig unvorbereiteten Einsteiger dabei hilft, die Zusammenhänge erstmals grundsätzlich zu verstehen. Isolierte Detail-Infos gibt es en Masse… Zusammenhänge und Komplettlösungen, die zuvor auch erst mal das zu lösende Problem beschreiben, hingegen kaum. Was unterscheidet die Programmalternativen, Stärken, Schwächen, besonders geeignet für *, nicht geeignet für *, welche Programme sind von welchen anderen wie abhängig.... ?... Fragen über Fragen, aber kaum Antworten.
Das war für mich im Nachgang meiner Installation der Anlass, einmal mein Projekt und meine Lösung zu beschreiben, wie ich es gelöst habe, welche Gedanken und Überlegungen die Grundlage meiner Entscheidungen waren und zu welchen Lösungen sie geführt haben. Ob es immer die richtigen Rückschlüsse mit den richtigen Entscheidungen aus meinen Überlegungen heraus waren…?… keine Ahnung… ich hoffe es aber.
Egal, ich hab also zuerst mein Projekt „Mailserver“ fertiggestellt und einige Zeit später auch die Dokumentation dazu, die eben nicht nur eine reine Installationsanleitung sein will, sondern sich zu einem großen Teil auch mit dem „Was?“ und „Warum?“ und „Womit?“ befasst, und erst am Ende mit dem „Wie?“. Nach Ablauf von etwa 3 Monaten nach der ersten Veröffentlichung habe ich mich nun entschieden, die Dokumentation auch hier zu veröffentlichen. Wer Interesse hat und mal reinschauen möchte, kann sich meine Beschreibung als PDF hier downloaden:
Mailserver
Als ich im Winter angefangen bin, mich mit der Frage aus dem Betreff für eine rein private Lösung zu befassen, musste ich sehr schnell die ernüchternde Erfahrung machen, dass ein Mailserver ein wirklich komplexes und kompliziertes Thema ist. Und darüber hinaus, dass es dafür im Internet kaum was gibt, was dem völlig unvorbereiteten Einsteiger dabei hilft, die Zusammenhänge erstmals grundsätzlich zu verstehen. Isolierte Detail-Infos gibt es en Masse… Zusammenhänge und Komplettlösungen, die zuvor auch erst mal das zu lösende Problem beschreiben, hingegen kaum. Was unterscheidet die Programmalternativen, Stärken, Schwächen, besonders geeignet für *, nicht geeignet für *, welche Programme sind von welchen anderen wie abhängig.... ?... Fragen über Fragen, aber kaum Antworten.
Das war für mich im Nachgang meiner Installation der Anlass, einmal mein Projekt und meine Lösung zu beschreiben, wie ich es gelöst habe, welche Gedanken und Überlegungen die Grundlage meiner Entscheidungen waren und zu welchen Lösungen sie geführt haben. Ob es immer die richtigen Rückschlüsse mit den richtigen Entscheidungen aus meinen Überlegungen heraus waren…?… keine Ahnung… ich hoffe es aber.
Egal, ich hab also zuerst mein Projekt „Mailserver“ fertiggestellt und einige Zeit später auch die Dokumentation dazu, die eben nicht nur eine reine Installationsanleitung sein will, sondern sich zu einem großen Teil auch mit dem „Was?“ und „Warum?“ und „Womit?“ befasst, und erst am Ende mit dem „Wie?“. Nach Ablauf von etwa 3 Monaten nach der ersten Veröffentlichung habe ich mich nun entschieden, die Dokumentation auch hier zu veröffentlichen. Wer Interesse hat und mal reinschauen möchte, kann sich meine Beschreibung als PDF hier downloaden:
Mailserver
Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation
Hallo TomL,
erst einmal Respekt für deine Anleitung, da hast du dir wirklich einiges an Mühe gemacht.
erst einmal Respekt für deine Anleitung, da hast du dir wirklich einiges an Mühe gemacht.
Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation
Wow, allergrößter Respekt für deine Arbeit. Ein großes Dankeschön, das du es der Community zur Verfügung stellt
- Rawbit
- Beiträge: 720
- Registriert: 24.12.2004 13:17:21
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation
Hallo,
echt toll gemacht!!!!
Gruß
Rawbit
echt toll gemacht!!!!
Gruß
Rawbit
Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation
Moin@all
Ich fühle mich ein bisschen unbehaglich, diesen alten Thread noch mal rauszukramen.... und es liegt mir fern, Werbung in eigener Sache zu machen. Aber der Umstand eines Designfehlers in der zweiten Version und die tatsächlich vorhandene und wirklich unnötige gravierende Kompliziertheit in einem Teilprozess haben zu einer umfassenden Überarbeitung meiner Installation und in den letzten Wochen zur Bearbeitung des Konzeptes geführt.
Falls das also damals jemand als Hilfe zum Bau seines eigenen Mailserver verwendet hat, empfehle ich einen Abgleich mit der aktuellen Version. Das alte funktioniert zwar, das neue reduziert aber maßgeblich den zuvor übertriebenen Aufwand bei der Inbetriebname von Clients und Server sowie in den anschließenden regulären produktiven Prozessen. Die zuvor eigene spezielle TCP-Kommunikation zwischen Client und Server ist einschließlich der dafür notwendigen Software nicht mehr notwendig. Insbesondere die Clients sind damit erheblich einfach einzurichten... also dergestalt, das für die ungewöhnliche Grundidee jetzt nicht mehr zusätzlicher Aufwand erforderlich ist. Nun siehts so aus: Mail-Client installieren, verbinden und läuft... wie man es eigentlich erwartet.
Mailserver
Ich fühle mich ein bisschen unbehaglich, diesen alten Thread noch mal rauszukramen.... und es liegt mir fern, Werbung in eigener Sache zu machen. Aber der Umstand eines Designfehlers in der zweiten Version und die tatsächlich vorhandene und wirklich unnötige gravierende Kompliziertheit in einem Teilprozess haben zu einer umfassenden Überarbeitung meiner Installation und in den letzten Wochen zur Bearbeitung des Konzeptes geführt.
Falls das also damals jemand als Hilfe zum Bau seines eigenen Mailserver verwendet hat, empfehle ich einen Abgleich mit der aktuellen Version. Das alte funktioniert zwar, das neue reduziert aber maßgeblich den zuvor übertriebenen Aufwand bei der Inbetriebname von Clients und Server sowie in den anschließenden regulären produktiven Prozessen. Die zuvor eigene spezielle TCP-Kommunikation zwischen Client und Server ist einschließlich der dafür notwendigen Software nicht mehr notwendig. Insbesondere die Clients sind damit erheblich einfach einzurichten... also dergestalt, das für die ungewöhnliche Grundidee jetzt nicht mehr zusätzlicher Aufwand erforderlich ist. Nun siehts so aus: Mail-Client installieren, verbinden und läuft... wie man es eigentlich erwartet.
Mailserver
Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation
Ich habs mal kurz überflogen: Wieso verwendest du MD5 als PW Hash? Das Dovecot Wiki sagt was anderes: https://wiki2.dovecot.org/Authenticatio ... ordSchemes - schon klar, wenn ein Angreifer diese Datei auslesen kann, kann er vermutlich auch direkt auf die Mails zugreifen.
Und wenn die Clients nicht immer meckern sollen, dass dein Zertifikat selbst signiert ist, würde ich das einfach mit letsencrypt erstellen lassen. Das ist zwar erst ne fummelei, weil du ja auch deinen Webserver konfigurieren musst auf der Domain zu lauschen aber sonst gehts dann sehr gut.
Was auch noch gut dazu passt ist bettercrypto: https://bettercrypto.org/
Dort sind Konfigurationen gesammelt wie du die Dienste mit guter Crypto konfigurierst, incl postfix und dovecot.
Sonst eine sehr schöne Anleitung!
Und wenn die Clients nicht immer meckern sollen, dass dein Zertifikat selbst signiert ist, würde ich das einfach mit letsencrypt erstellen lassen. Das ist zwar erst ne fummelei, weil du ja auch deinen Webserver konfigurieren musst auf der Domain zu lauschen aber sonst gehts dann sehr gut.
Was auch noch gut dazu passt ist bettercrypto: https://bettercrypto.org/
Dort sind Konfigurationen gesammelt wie du die Dienste mit guter Crypto konfigurierst, incl postfix und dovecot.
Sonst eine sehr schöne Anleitung!
Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation
Wenn ein Angreifer diese Datei lesen kann und sie dann mühsam hacken will, ist er einfach nur ein Idiot.... weil er, wenn er sowieso schon auf dem Rechner ist, einfach sowieso schon das ganze Mailarchiv lesen kann. Und da es sich eh nur um eine lokale Anwendung handelt, hätte für alle Familienmitglieder wahrscheinlich schon Spiegelschrift anstatt MD5 als unknackbar gereicht.reox hat geschrieben:20.01.2018 15:45:31Ich habs mal kurz überflogen: Wieso verwendest du MD5 als PW Hash? Das Dovecot Wiki sagt was anderes: https://wiki2.dovecot.org/Authenticatio ... ordSchemes - schon klar, wenn ein Angreifer diese Datei auslesen kann, kann er vermutlich auch direkt auf die Mails zugreifen.
Ich halte es für vertretbar, alle paar Jahre mal ein Zertifikat anzunehmen. Darüber hinaus handelt es sich um eine rein lokale Anwendung, die sowieso ohne jegliche Einbußen der Sicherheit sowohl ohne TLS als auch ohne Zertifikate auskommen würde. Das reinzunehmen war alleine sporlicher Ehrgeiz ohne Bedeutung....Und wenn die Clients nicht immer meckern sollen, dass dein Zertifikat selbst signiert ist, würde ich das einfach mit letsencrypt erstellen lassen. Das ist zwar erst ne fummelei, weil du ja auch deinen Webserver konfigurieren musst auf der Domain zu lauschen aber sonst gehts dann sehr gut.
Der Sinn erschließt sich mir nicht... das noch auf Openvpn draufzupappen halte ich für totalen quatsch.Was auch noch gut dazu passt ist bettercrypto: https://bettercrypto.org/
Es gibt weder einen Webserver und es wird auch nicht auf "von draußen" gelauscht. Steht aber alles da drin... vielleicht wäre es besser, nicht mit "überfliegen" zufrieden zu sein, das würde dann vielleicht zu relevanten Aussagen führen, mit denen man so eine Doku verbessern kann. Und -was ich imho als sehr wichtig erachte- Verbesserungsvorschläge müssen sich an der Zielsetzung des Konzeptes orientieren, sonst mutiert die Verbesserung nur zur Verschlimmbesserung.
Und danke für das Lob... ich kann Dir sagen, das war auch richtig viel Arbeit... ... aber ich hatte Spass daran.
Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation
Ich glaube du hast das bettercrypto falsch verstanden Nein, es geht nicht um openvpn sondern um sichere konfigurationen für diverse dienste, einschließlich postfix und dovecot. Schau dir mal das Dokument an: https://bettercrypto.org/static/applied ... dening.pdf
Seite 26ff befasst sich mit Mail server.
Ich wollte damals eigentlich auch meine Mailserver konfiguration dokumentieren und alles was ich habe ist "apt install postfix dovecot ..."
Wegen dem Zertifikat: Ich hab auf meinem Mailserver auch ein paar Familienmitglieder und die Anrufe beim Zertifikatswechsel hab ich jetzt nicht mehr Insbesondere auf Apple Geräten ist das irgendwie mühsam...
Bzgl MD5: Der einzige Fall der jetzt denkbar wäre: Jemand hat Zugriff zu dem Server, ist aber gar nicht so sehr an den Mails interessiert sondern nur an den PW's, da die woanders auch noch verwendet werden. Aber dafür gibts ja auch ne einfache lösung
Seite 26ff befasst sich mit Mail server.
Ich wollte damals eigentlich auch meine Mailserver konfiguration dokumentieren und alles was ich habe ist "apt install postfix dovecot ..."
Wegen dem Zertifikat: Ich hab auf meinem Mailserver auch ein paar Familienmitglieder und die Anrufe beim Zertifikatswechsel hab ich jetzt nicht mehr Insbesondere auf Apple Geräten ist das irgendwie mühsam...
Bzgl MD5: Der einzige Fall der jetzt denkbar wäre: Jemand hat Zugriff zu dem Server, ist aber gar nicht so sehr an den Mails interessiert sondern nur an den PW's, da die woanders auch noch verwendet werden. Aber dafür gibts ja auch ne einfache lösung
Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation
Neee, Du hast die Dokumentation ja nur überflogen und offensichtlich übergesehen, dass es eine rein LOKALE Familien-Installation ist, ohne Zugriff über das Internet. Ein Zugriff von Außen ist trotzdem ein Zugriff von Innen, weil er nur via OpenVPN durchgeführt wird. Ich kann also keinen Sinn darin erkennen, rein lokalen Traffic über Port 25 speziell hierfür mehr zu verschlüsseln, als das mit dem anderen ebenfalls rein lokalen Traffic via Samba, Cups, radicale usw. passiert, da ist nämlich auch nichts verschlüsselt.
Und den Zugang von außen, der ja via OpenVPN passiert, halte ich ohne weitere Maßnahme jetzt schon für ausreichend sicher.
Und den Zugang von außen, der ja via OpenVPN passiert, halte ich ohne weitere Maßnahme jetzt schon für ausreichend sicher.
Wenn das möglich wäre, ist mir der Rest auch egal. Der Server hat weder Bildschirm noch Tastatur, noch besteht eine Möglichkeit ohne Keyfile via SSH darauf zuzugreifen. Hier hat jeder physischen Zugang, aber kein einziger auch nur den Hauch einer Ahnung, was man da machen kann, könnte oder muss. Darüber hinaus ist das nur Familie, wo es sowieso kein derartiges Misstrauen gibt.Bzgl MD5: Der einzige Fall der jetzt denkbar wäre: Jemand hat Zugriff zu dem Server...
Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation
sorry, mea culpa!TomL hat geschrieben:20.01.2018 16:35:11Neee, Du hast die Dokumentation ja nur überflogen und offensichtlich übergesehen, dass es eine rein LOKALE Familien-Installation ist, ohne Zugriff über das Internet.
Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation
@TomL
Hut ab zu der anleitung...
Frage zu den selbst generierten Zertifikaten.
Thunderbird nimmt die ohne murren.
Bei Outlook kenne ich das aber, dass man selbst erstellte Zertis bei jedem Start von Olk akzeptieren muss.
Ist das bei deiner anleitung anders ?
Hut ab zu der anleitung...
Frage zu den selbst generierten Zertifikaten.
Thunderbird nimmt die ohne murren.
Bei Outlook kenne ich das aber, dass man selbst erstellte Zertis bei jedem Start von Olk akzeptieren muss.
Ist das bei deiner anleitung anders ?
Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation
Es tut mir leid, aber ich kann zu Outlook gar nix mehr sagen, weil Windows seit Jahren bei uns keine Rolle mehr spielt. Aber das mit den Zertifikaten wird man doch vermutlich über letsencrypt lösen... vermute ich mal.... ich habe mich nur leider nie damit befasst.
Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation
Korrekt, hier frisst Outlook die Zertifikate von letsencrypt anstandslos.TomL hat geschrieben:04.02.2020 22:49:44Es tut mir leid, aber ich kann zu Outlook gar nix mehr sagen, weil Windows seit Jahren bei uns keine Rolle mehr spielt. Aber das mit den Zertifikaten wird man doch vermutlich über letsencrypt lösen... vermute ich mal.... ich habe mich nur leider nie damit befasst.
Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation
Man kann auch unter Windows (und Outlook) mit selbstsignierten Zertifikaten arbeiten, so lange der Hostname im Zertifikat stimmt, man diese korrekt in den Windows-Zertifikatsspeicher importiert und die Vertrauenseinstellungen korrekt vornimmt.Huck Fin hat geschrieben:04.02.2020 22:44:11Bei Outlook kenne ich das aber, dass man selbst erstellte Zertis bei jedem Start von Olk akzeptieren muss.
Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation
Sofern das alles korrekt vorgenommen wurde kann auch ein Virenscanner für die ständigen Nachfragen von Outlook verantwortlich sein, einige Programme sind bei der Verwendung von Zertifikaten sehr kreativ.bluestar hat geschrieben:05.02.2020 09:25:44Man kann auch unter Windows (und Outlook) mit selbstsignierten Zertifikaten arbeiten, so lange der Hostname im Zertifikat stimmt, man diese korrekt in den Windows-Zertifikatsspeicher importiert und die Vertrauenseinstellungen korrekt vornimmt.Huck Fin hat geschrieben:04.02.2020 22:44:11Bei Outlook kenne ich das aber, dass man selbst erstellte Zertis bei jedem Start von Olk akzeptieren muss.
Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation
Die beste Meldung die ich mal gesehen habe bitte verwenden sie keine Verschlüsselung um geschützt zu sein.
Ich hab geglaubt ich sehe nicht richtig.
Ich hab geglaubt ich sehe nicht richtig.
- DynaBlaster
- Beiträge: 958
- Registriert: 25.03.2004 18:18:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: DF0://dynablaster.adf
Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation
Bzgl. der Zertfikate. Möglichkeiten gibt es viele. I.d.R. wird Outlook ja in Unternehmen eingesetzt und da gibs dann meistens auch nen Active Directory. Über letzteres mit Gruppenrichtlnien lassen sich dann auch die selbst erstellten Zertifikate oder halt gleich das Zertifikat der eigenen Zertifizierungstelle recht praktisch an die Domänen-Clients verteilen. Macht man mit nem internen Exchange in der Domäne auch nicht anders, nur das der seinen CSR von der AD-Zertfizierungsstelle signieren lässt und damit dann auch alle Domänenclients dem Exchange "vertrauen". Wir schieben unseren Windows-Clients in der Domäne aber vor allem deshalb unsere CA via GPO unter, um für interne Webanwendungen SSL ohne den Umweg via Let's Encrypt bereitszustellen. Let's Encrypt wäre da nur via Cloudflare DNS-Api und Co. möglich, weil die Services halt nur intern verfügbar sind. Irgendwelche Dummy-Services für den acme-Prozess und anschliessende Hin-und herkopiererei ist blöd. Genau wie der umständlcihe Zertifizierungsprozess eines CSR gegen die AD-Zertifizerungsstelle
Naja. Aus Sicht irgendeiner AV-/Security-Geschichte sogar einigermassen nachvollziehbar. In verschlüsselte Datenverkehr kann die halt nicht reingucken und somit auch nicht ihren Zweck erfüllen. Deshalb schieben ja auch enige AV/Firewall-wasweisich-Geschichten dem Rechner ihr eigenes Zertifkat unter und klinken sich so in den verschlüsselten Traffic ein. Sieht für den Client immer noch so aus, als sei die Verbindung zum aufgerufenen Server verschlüsselt. Ist sie de facto aber erst nach Verlassen des Scanners, damit der "mit-lesen" kann. Ob man das toll findet, wenn der AV-Scanner die Zugangsdaten zum Online-Banking mitliest, bleibt jedem selbst überlassen. Keine Verschlüsselung macht es natürlich auch nicht wirklich besserhec_tech hat geschrieben:05.02.2020 15:00:53Die beste Meldung die ich mal gesehen habe bitte verwenden sie keine Verschlüsselung um geschützt zu sein.
Ich hab geglaubt ich sehe nicht richtig.
-
- Beiträge: 2
- Registriert: 11.08.2024 13:21:17
Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation
Hallo Tom, irgendwie bekomme ich das PDF nicht gespeichert, Länge 0 ...
LG
Stefan
- whisper
- Beiträge: 3379
- Registriert: 23.09.2002 14:32:21
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation
Weil das Dokument mit http ausgeliefert wird, mein firefox sagt mir ds.
Du kannst die URL kopieren und dann in einem Browser deiner wahl öffnen, oder speichern.
Tom wird das nicht lesen, weil er hat das Forum verlassen.
Und achte mal auf die Zeiträume der Nachrichten :-=
Du kannst die URL kopieren und dann in einem Browser deiner wahl öffnen, oder speichern.
Tom wird das nicht lesen, weil er hat das Forum verlassen.
Und achte mal auf die Zeiträume der Nachrichten :-=
Alter ist übrigens keine Ausrede, nur Erfahrung, die sich stapelt.
-
- Beiträge: 2
- Registriert: 11.08.2024 13:21:17
Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation
Danke für den Tipp .. und ja, lange her ...whisper hat geschrieben:11.08.2024 14:05:23Weil das Dokument mit ...
... Und achte mal auf die Zeiträume der Nachrichten :-=
.. ein wget http://www.thlu.de/Public/TomsMailserver.pdf
hat geholfen. Danke. .. Wow 77 Seiten ...