[gelöst] Thunderbird - Neue Wege..?...Entscheidungshilfen...

[scientific]

Also, ich hab in der Tat eine echte registrierte Domain...

Die hat auch einen offiziellen Mailserver vom Hoster laufen.

Mein privater Rechner heißt schlicht aldebaran. Kein local oder localdomain... Nur aldebaran.

Im LAN ist er über zeroconf bzw. systemd als aldebaran.local erreichbar.

Das Umschreiben lokaler Mailadressen erfolgt beim Postausgang in exim. Das wird dort über /etc/email-adresses geregelt.
Da ich als Absender ja die originalen Mailadressen von gmx, gmail & Co schon in Thunderbird über dessen Identitäten verwende, muss exim nur mehr jene Mails umschreiben, die per bsd-mailx von der commandline bzw von Thunderbird vom account direkt (ohne weitere Identität also jakob@localhost)versendet werden.

Über /etc/email-addresses kannst du als Standardabsender auch eine z. B. Gmail-adresse festlegen.

Wie das mit postfix geht, weiß ich mangels Erfahrung, nicht.

[TomL]

Also, ich hab in der Tat eine echte registrierte Domain...

Ja, die habe ich natürlich auch.... ich glaube, ich hatte das schon mal erwähnt. Selbstverständlich habe ich auch überhaupt keine Bedenken, die für meine namentlich personifizierten EMail-Adressen zu verwenden.... und da ist das auch überhaupt kein Problem. Ich habe mich jetzt mal ein wenig mit dem Mail-Header beschäftigt und mal verglichen, wie sich die "Beipack-Information" der Mail unterscheidet, wenn ich sie via TB direkt bei GMX absende oder mit gleichem Account via Postfix.... *hmmm*... mannomann ist das kompliziert, und es gibt tatsächlich Unterschiede. Ich bin noch nicht dahinter, wer wann diese Meta-Informationen in die Mail einfügt, aber sie sind halt da. Einiges habe ich sogar schon abschalten können.

Letzen Endes kommts mir darauf an, wenn ich eine Fakeadresse verwende, weil ich mich irgendwo in nem Forum für 'ne Einmalsache anmelde oder an anderer Stelle um Zusendung von Informationsmaterial bitte, dann will ich natürlich nicht, dass irgendwie im Header verborgen doch wieder alles auf meine Domain hinweist. Dabei gehts mir noch nicht mal um die Empfänger, weil von denen die meisten vermutlich eh keine Ahnung haben, wie man da reinschaut, und vermutlich haben sie noch weniger Interesse. Mir gehts hierbei eher um die hinterlassenen Spuren, die diejenigen, die die entsprechenden Mittel und Kenntnisse und das Interesse haben, die diese Spuren einfach maschinell auf einen Punkt zusammenführen können. OK, das Fazit dazu stelle ich erst mal nach hinten... da fehlen mir noch weitere Informationen.

Aber ich habe noch eine weitere Frage, die mir gestern in den Sinn gekommen ist. Dabei gehts um mein künftiges Backup-Konzept. Hat die grundsätzliche Verwendung von IMAP einen positiven lokalen Storage-Effekt? Mir ist schon klar, wenn ich nur die Header runterladen würde, wäre die Frage schon beantwortet, aber ich habe immer die Vorschau aktiv... das heisst, beim Scrollen wird die Mail auf jeden Fall runtergeladen. Darüber hinaus habe ich den TB-Junkfilter aktiviert. Das bedeutet, der Filter kann ja nur mit dem Header auch nix richtiges anfangen und muss die Mail zur Analyse also auch erst mal runterladen. Aber die Kernfrage ist, welche Auswirkung hat hier IMAP? Bleibt die Mail anschliessed lokal im TB-Maildir gespeichert oder wird sie -weils ja eigentlich IMAP ist- lokal nur kurz für den Viewer temporär im Cache gespeichert? Weisst Du da mehr zu?

[scientific]

Puh...
Ich hab btrfs und arbeite sehr intensiv mit Subvolumes... Und die lokalen Imap-Ordner werden da schon mal einige GB groß...
Überlege grad, dieses Verzeichnis in ein Subvolume auszulagern, und dieses vom backup auszunehmen. Schließlich brauch ich die Daten nicht doppelt.
Beim Backup mit rsync kannst du ja auch exclude-Regeln definieren... Schließ den Imap-Folder einfach per regex aus...

Muss es selbst aber erst testen, bevor ich definitiv dazu was sagen kann.

Lg scientific

[TomL]

Beim Backup mit rsync kannst du ja auch exclude-Regeln definieren... Schließ den Imap-Folder einfach per regex aus...

Örrrrgs... so ein Bullshit... ... ist natürlich völlig klar, das man SELBER NICHT auf die einfachsten und perfekt funktionierenden Lösungen kommt. ...wie heisst es so schön...?... da habe ich wohl vor lauter Walt keine Beume geseen.

Na klar... genau das ist die Lösung

[TomL]

Hi scientific

Ich muss zugeben, dass diese Baustelle für mich wirklich mit Abstand die bisher größte und umfangreichste Linux-Baustelle war. Soviele Fragen und soviele fehlenden Anworten.... ein Puzzle mit wirklich vielen Teilen....

Ziel ist es für mich, später meinen eigenen echten Mailserver ans Netz zu kriegen, um von Google & Co loszukommen... Da bin ich zwar noch ein Stück entfernt, aber ich nähere mich Schritt für Schritt.... Ich möchte das dann auch für Menschen in meiner Umgebung, die mir wichtig sind, etablieren...

Wenn ich das richtig verstehe, ist Dein IMAP-Server derzeit auch noch nicht vom Internet erreichbar. Und genau dieser Absatz hat mir ein neues Problem beschert. Denn der eine Aspekt ist gleich, es ist auch bei mir eine lokale Lösung ohne Anbindung ans Internet, aber der zweite Aspekt wirft ein Problem auf, denn die Familie soll das lokal schon jetzt nutzen können. Deswegen wollte ich Dich noch mal fragen, wie Du mit einem daraus enstehenden speziellen Problem umgehst.

Bei mir ist es so, dass mein Server per POP die ISP-Mail-Provider leerzieht.... bzw. leerziehen würde, wenn ich ein zyklisches Polling einrichten würde. Das "Leerziehen" ist eine Prämisse, ich will keine sich langjährig ansammelnden und möglicherweise persönliche sensible Daten im Internet.... also POP'pen. Nur entsteht daraus ein neues Problem. Bin ich unterwegs, kann ich die Mails nicht einsehen, weil die Mobilgeräte nur ein ISP-IMAP machen, aber der Home-IMAP die ISP-Server vielleicht gerade leer gepollt hat. Ich vermute mal, dass Dein IMAP-Server ebenfalls nicht Datenredundant zu den ISP-Serven ist.... weil... dann könnte man sich den Home-Server ja sparen und direkt bei den ISP-Mailern IMAP'en. Also müsstest Du doch auch dieses Problem haben. Wie hast Du das gelöst, dass der Home-Imap bei Anmeldung aktuell ist, aber das bis dahin die Mobil-Clients beim ISP-Mailprovider Daten/Mails vorfinden?

[scientific]

Hi scientific

Ich muss zugeben, dass diese Baustelle für mich wirklich mit Abstand die bisher größte und umfangreichste Linux-Baustelle war. Soviele Fragen und soviele fehlenden Anworten.... ein Puzzle mit wirklich vielen Teilen....

Ziel ist es für mich, später meinen eigenen echten Mailserver ans Netz zu kriegen, um von Google & Co loszukommen... Da bin ich zwar noch ein Stück entfernt, aber ich nähere mich Schritt für Schritt.... Ich möchte das dann auch für Menschen in meiner Umgebung, die mir wichtig sind, etablieren...

Wenn ich das richtig verstehe, ist Dein IMAP-Server derzeit auch noch nicht vom Internet erreichbar. Und genau dieser Absatz hat mir ein neues Problem beschert. Denn der eine Aspekt ist gleich, es ist auch bei mir eine lokale Lösung ohne Anbindung ans Internet, aber der zweite Aspekt wirft ein Problem auf, denn die Familie soll das lokal schon jetzt nutzen können. Deswegen wollte ich Dich noch mal fragen, wie Du mit einem daraus enstehenden speziellen Problem umgehst.

Bei mir ist es so, dass mein Server per POP die ISP-Mail-Provider leerzieht.... bzw. leerziehen würde, wenn ich ein zyklisches Polling einrichten würde. Das "Leerziehen" ist eine Prämisse, ich will keine sich langjährig ansammelnden und möglicherweise persönliche sensible Daten im Internet.... also POP'pen. Nur entsteht daraus ein neues Problem. Bin ich unterwegs, kann ich die Mails nicht einsehen, weil die Mobilgeräte nur ein ISP-IMAP machen, aber der Home-IMAP die ISP-Server vielleicht gerade leer gepollt hat. Ich vermute mal, dass Dein IMAP-Server ebenfalls nicht Datenredundant zu den ISP-Serven ist.... weil... dann könnte man sich den Home-Server ja sparen und direkt bei den ISP-Mailern IMAP'en. Also müsstest Du doch auch dieses Problem haben. Wie hast Du das gelöst, dass der Home-Imap bei Anmeldung aktuell ist, aber das bis dahin die Mobil-Clients beim ISP-Mailprovider Daten/Mails vorfinden?

Ich kann meinen Mailserver sehr wohl schon ans Netz lassen. Hab sogar schon einen MX-URL dafür eingerichtet. Jedoch hab ich im Router daheim die Ports noch gesperrt.

Ich ziehe mir die Mails von den Mailprovidern per fetchmail und teilweise POP, teilweise IMAP.
Meinen gesamten Mailbestand habe ich am Mailserver, sobald der Laptop läuft und alle Mails abgeholt hat. Leider hat meine Muse bisher noch nicht für einen Raspi o.ä. gereicht, der dauerhaft am Netz hängt, und den ich als Mailserver verwende... Und mein Laptop hängt nicht dauernd am Netz.
Daher habe ich derzeit noch am Smartphone alle (wichtigen) Mailaccounts bei allen Providern eingetragen und rufe sie dort per IMAP ab. Mit der Verzögerung des fetchmail-Intervalls hab ich dann die Emails auch am Laptop (Mailserver und auch Thunderbird - die ja auf der selben Maschine laufen).
Das stört mich auch nicht wirklich - daher hab ich noch nichts weiter unternommen in Richtung eigener Mailserver auf einem eigenen Gerät.

Das was allerdings wirklich ein Problem ist, ist Gmail. Dort rufe ich die Emails per Pop3 ab, belasse die Emails aber am Server. Lese ich ein Email am Handy in Gmail, bevor es von Fetchmail abgeholt wurde, passiert es immer wieder, dass dieses gelesene Email nicht mehr abgeholt wird... Mit den aktuellen Pop3-Einstellungen klappt das aber mittlerweile. Zumindest hab ich nix gegenteiliges seit längerem beobachtet. Aber ich trau diesem Frieden nicht ganz.

Von Zeit zu Zeit lösche ich dann ältere Emails per Webmail bei den Providern - damit eben keine solchen Datensammlungen auf Rechnern entstehen, die nicht unter meiner Kontrolle sind.

Ich hab sogar eine Zeitlang ein Setup eingerichtet gehabt, wo ich sogar eine Mailingliste mit mailman betrieben habe. Die Website war natürlich für die User nicht zu erreichen. Aber das Anmelden, Abmelden und auch der Versand funktionierte mit dem gesplitteten Setup, dass der eigentliche Smarthost mit der korrekten Absenderadresse nicht der Mailserver ist, vo die Emails erzeugt werden. Das war eine ziemlich tricky Aufgabe...

Mangels derzeitigem Bedarf an einem Newsletter hab ich dieses Setup aber wieder verworfen (sollte aber einfach wieder zu rekonstruieren sein).

lg scientific

[scientific]

Ich hab jetzt ein anderes Phänomen entdeckt...
In dovecot habe ich ssl auf required gesetzt. Ich möchte keine unverschlüsselte Verbindung haben.

Stelle ich in Thunderbird als Verschlüsselung STARTTLS oder SSL/TLS ein, klappt die Verbindung. Im dovecot-log wird ssl als Verbindungssicherheit angezeigt.

Wähle ich aber in TB "keine Verschlüsselung" aus, wird dennoch eine ssl-verschlüsselte Verbindung auf Port 25 aufgebaut...
Ich hätte eher eine Ablehnung der Verbindung erwartet...

Das finde ich seltsam.

Lg scientific

[TomL]

In dovecot habe ich ssl auf required gesetzt. Ich möchte keine unverschlüsselte Verbindung haben.

Stelle ich in Thunderbird als Verschlüsselung STARTTLS oder SSL/TLS ein, klappt die Verbindung. Im dovecot-log wird ssl als Verbindungssicherheit angezeigt.
Wähle ich aber in TB "keine Verschlüsselung" aus, wird dennoch eine ssl-verschlüsselte Verbindung auf Port 25 aufgebaut...
Ich hätte eher eine Ablehnung der Verbindung erwartet...

Das Posting ist jetzt einigermaßen irritierend... einerseits testest Du mit Thunderbird, andererseits bringst Du Dovecot in Zusammenhang mit Port 25.... das passt -soweit ich die Komponenten verstanden habe- irgendwie alles nicht so recht zusammen.

Also zunächst mal das Backend "Thunderbird". Ich glaube, dass die Einstellung "Unverschlüsselt" keine explizite Vorgabe ist, sondern nur eine weitere Erlaubnis. Das heisst, TB sollte eigentlich -wenn der Server das unterstützt- immer verschlüsselt arbeiten... aber mit dieser Einstellung "Unverschlüsselt" ist es Thunderbird auch erlaubt, eine unverschlüsselte Verbindung einzugehen, wenn der Server eben nur unverschlüsselt zulässt. Im anderen Fall müsste Thunderbird eine solche Verbindung imho ablehnen.

Das zweite ist, Du nennst den IMAP-Server in einem Atemzug mit dem MTA-Port 25.... das passt imho auch nicht. Wenn Du die TLS-Verschlüsselung zum IMAP-Server testen möchtest, verwendest Du Port 143. Wenn Du die Verschlüsselung zum MTA testen willst, prüfst Du Port 25. Beides geht imho nicht über Thunderbird, weil der meiner Meinung nach immer TLS verwendet, wenn das angeboten wird.

Ich habe bei mir beide Verbindungen einzeln via "telnet" gecheckt. Und bei keinem war der Versuch eines unverschlüsselten Connects erfolgreich. Sowohl IMAP schmeisst mich sofort raus, ebenso der MTA. Aber wie ich schon vorher sagte, das Thema ist dermaßen komplex, da besteht natürlich immer auch an 1000 und mehr Stellen die Gefahr, etwas völlig falsch zu interpretieren.

J.m.2.c.

[scientific]

Hab den falschen Port geschrieben. Aber eh den richtigen verwendet. 143 ist der.

Ja das Thema ist echt extrem komplex. Und das ist auch der Grund, warum ich noch nicht vom Netz erreichbar bin mit dem Mailserver...

Ich verwende übrigens authentifiziertes IMAP und SMTP. Dabei lasse ich exim über ein Unix-Socket auf den Auth-Mechanismus von dovecot zugreifen... Und in dovecot kann ich dann an einer Stelle die Benutzerverwaltung konfigurieren - die Momentan /etc/passwd bzw shadow ist.

Das hab ich jetzt so neu gemacht, als ich mich durch diese Diskussion wieder mal bemüsigt gefühlt habe, meinen Mailserver zu überarbeiten.

Lg scientific

[TomL]

Hab den falschen Port geschrieben. Aber eh den richtigen verwendet. 143 ist der.

Probiere einfach, ob Du Dich via Telnet mit den Ports 25 und 143 verbinden kannst. Wenn nicht, ist imho alles gut. Beim mir klappt die Verbindung nur via Openssl. Übrigens, Du hast schon mehrfach auf den authentifizerten IMAP/MTA-User hingewiesen.... das ist bei mir natürlich ebenfalls implementiert. Bei mir werden alle unautorisierten Sende-Emails rejected, dovecot läst eh keinen unautorisierten Benutzer rein.

Aber was mir viel mehr Sorgen bereitet, ist der Umstand, dass ich immer noch das Gefühl eines "umfassenden Kontrollverlustes" habe. Das, worüber wir gerade gesprochen haben, ist ja NUR die Traffic-Verschlüsselung... was z.B. bei einem unsicheren oder unseriösen Hotspot relevant ist. Im Moment des LAN-Internen Betriebs bei mir ist das natürlich völlig unkritisch... da ist alles gut. Aber die Anwendung ist so klasse, dass ich jetzt auch erwäge, nach einer 2-3 monatigen Testphase den Zugriff vielleicht doch auch vom Internet zu ermöglichen. Ich würde dazu im Router irgendwelche (zwei) Ports oberhalb von 60000 öffnen und diese dann auf die Server-Ports 25 und 143 forwarden. Das "wissen" dann nur unsere Clients, die sich dann mit ihrem Email-Client explizit über diese Ports verbinden würden. Damit würde ich vielleicht schon ein gewisses vom WWW kommendes Grundrauschen (Standard-Attacken) eliminieren.... *hmmmm*... aber dennoch, lediglich die in der UserDB in Dovecot und Postfix hinterlegten Anmeldenamen und deren Passwörter stehen zwischen Integer und Kompromittiert des Servers. Und dann ist da immer der Gedanke im Kopf, wie einfach ich mich hier via Openssl verbinden und irgendwelche Kommandos absetzen kann. Wenn das von außen auch so einfach geht... ?... irgendwie bin ich darüber mangels Sachkenntnis nicht nur total erschrocken, sondern fast mutlos, dass überhaupt einzurichten.

[scientific]

Port 25 und 143 sind schon ok, wenn man sich verbinden kann. Sonst würde STATTLS ja nicht funktionieren.

Ich glaube, ich bleibe grundsätzlich dabeu, dass ich meinen Server nur per ssh öffentlich erreichbar mache, und damit dann die entsprechenden Ports tunneln...

[scientific]

Noch eine Frage...

Was meinst du mit dem, dass es einfach ist sich per openssl einzuloggen?

Per ssh geb ich den Usernamen und das Passwort ein, bzw. habs überhaupt per Zertifikat. Das Zertifikat hab ich auch mit Passwort geschützt.
Und ich hab zusätzlich noch den google-Athentikator in pam eingebaut. Damit muss ich, wenn ich mich von außerhalb des LAN am Rechner anmelden möchte, noch einen 30sek.lang gültigen Einmalcode den das Handy generiert (und der zeitgleich auch am Comp generiert wird) eingeben. So kann sich nur einloggen, wer mein Passwort und Usernamen kennt oder mein Zertifikat hat, das Passwort kennt UND genau mein Smartphone hat...

Was daran unsicher ist, weiß ich nicht.

[TomL]

Was meinst du mit dem, dass es einfach ist sich per openssl einzuloggen?

Nun, das bedeutet, dass ich mich einfach via telnet oder openssl (je nach Art des Setups) vom Terminal auf 'meinem' Mailserver einloggen kann. Ich brauche dazu nur einen Account-Namen und das zugehörige Password. Genau das gleiche geht natürlich auch vom Internet, wenn man einfach nur die Ports auf dem Router zum Mailserver forwarden würde. Das das so möglich ist, ist doch eigentlich bekannt. Ich kann mich ja auch mit den gleichen Werkzeugen direkt mit CLI-Kommandos im Terminal in meinen Account bei GMX, Web oder Strato einloggen.... ist doch auch kein Problem.

Jetzt gibts mehrere Möglichkeiten, dass zu unterbinden:
1. die Ports auf dem Router gar nicht erst freigeben.
2. Maßnahmen ergreifen, so wie Du das getan hast.
3. oder einfach Openvpn nutzen.

Ich schätze Deine Maßnahmen allerdings als viel zu kompliziert ein, ohne dass dadurch die Sicherheit maßgeblich verbessert wird. Ein VPN ist genau so sicher, aber imho deutlich einfacher zu bedienen. Mit einem Klick bin ich einfach zuhause im Netz integriert, verschlüsselt, mit gerätespezifischen (je Client) Authentifizierungs-Zertifikat, ganz ohne den SSH-Port forwarden zu müssen.... was ich beispielsweise niemals machen würde. Und mit diesem einen Click melde ich mich nicht remote, sondern lokal (!) auf meinem Mailserver an, obwohl ich vielleicht irgendwo einen Hotspot verwende.

Also, weil solcherart Terminal-Logins (telnet/openssl) eben auch bei den Mail-ISP möglich sind, bin ich sowieso noch nicht so wirklich beunruhigt. Die obligatorische Schwachstelle Webserver (bei mir "nginx") wird definitiv niemals von außen erreichbar sein. Deshalb wird es auch kein Web-Mailer-GUI geben - was ich sowieso als überflüssig erachte. Beunruhigt bin ich nur, weil ich noch nicht genügend Erkenntnisse über Dovecot und Postfix und über bei denen vorhandene und/oder theoretische Exploits [1] gesammelt habe. Ich erwarte allerdings irgendwann als Ergebnis meiner Info-Suche, das allein gute Account-Passwords einen Einbruch verhindern. Solange werde ich von außen via OpenVPN verbinden.

Was daran unsicher ist, weiß ich nicht.

Hab ich das angezweifelt.... ?... ... ich kann mich gar nicht erinnern.

[1] https://www.cvedetails.com/vulnerabilit ... vecot.html