[gelöst] Thunderbird - Neue Wege..?...Entscheidungshilfen...

[TomL]

Ja weil du für jeden emailaccount einen eigenen dovecotaccount hast...
So kann das nicht funktionieren.

Ich glaube, dass ist mein Problem.... ich habe den Unterschied zwischen separatem dovecot-Account pro WebMail-Provider-Account und nur-verschiedene-TB-Identitäten unter EINEM linux-und-dovecot-Account nicht verstanden. Für mein Verständnis macht das überhaupt keinen Unterschied, weil weder Thunderbird, noch dovecot, noch exim etwas über den dahinterstehenden Linux-Account wissen. Thunderbird kommuniziert über port 143 und dabei ist mein lokaler Linux-Account völlig irrelevant. Der ist ja auch irrelevant, wenn TB direkt nach GMX, WEB oder Strato via Internet verbindet. Mit welchem Linux-User ich meinen Thunderbird öffne, ist dem Thunderbird auch völlig egal, solange ich nur RW-Rechte habe. Ebenso ist es dem Dovecot völlig egal, von welchem Linux-Account ich die verschiedenen ThomasL-Dovecot-Accounts öffne, solange dieser "fremde" Linux-Account eben RW-Rechte auf meine Daten hat.

Darüber hinaus kann auch das auf dem Server laufende Exim nix über meinen Linux-Account wissen, weder über den vom host->thomaspc, noch vom host->raspi3.... zumal auf dem raspi3 sowieso kein Linux-User angemeldet ist. Also die Linux-User können weder was mit Thunderbird, noch mit dovecot, noch mit exim zu tun haben.... das war bisher mein Verständnis.

Die folgenden Code-Blöcke verdeutlichen das ungelöste Problem.... dabei wäre es mir egal, ob es über TB-Identitäten oder eigene dovecot-Accounts realisiert wird. Nur bin ich bislang davon ausgegangen, dass eben die TB-Identität gleichzeitig auch der dovecot-Account ist... eben weil keiner der beteiligten Prozesse meine tatsächliche Linux-Identität kennt:

Code: Alles auswählen

host->thomaspc/

Linux-User:     /thomas
Thunderbird-           /toml             # (strato)
    - Postfächer       /goofy_w          # (web)
                       /goofy_g          # (gmx)
                       /goofy_m          # (gmail)

Code: Alles auswählen

goofy@web.de:smtp.web.de:goofy@web.de:passwd
goofy@gmx.de:mail.gmx.net:goofy@gmx.de:passwd
goofy@gmail.de:smtp.gmail.de:goofy@gmail.de:passwd

Für jeden "goofy" in Thunderbird sollte der passenden relay-host ausgewählt werden, damit nicht auf einmal im Internet-Provider-IMAP-Sent des einen goofy die gesendeten Mails eines anderen goofy's stehen. Dabei spielt es keine Rolle, ob ich selber 2 goofy-Accounts habe, oder ob es zwei LAN-User sind, wo der eine goofy@gmx.de hat, der andere hat goofy@web.de

Offensichtlich fehlt exim diese Fähigkeit:
http://www.postfix.org/SASL_README.html ... asl_sender

[scientific]

Ich glaub ich muss nochmal konkreter werden.

Auf dem raspi gibt es genau einen User goofy.
Fetchmail ruft die emails von strato, gmx usw für den user goofy ab und liefert sie exim, der diese dann in dovecot in die Inbox des Users goofy auf dem raspi ablegt und per IMAP präsentiert.

Mit Thunderbird auf Linux, mit Thunderbird auf Windows, mit deinem Androiden hast du genau einen Account goofy@raspi.

In Thunderbird definierst du genau einen SMTP-Server: raspi3.local. Der login auf diesem SMTP-Server erfolgt mit dem User goofy.

Kein goofy_w, kein goofy_g. Nur ein einziger goofy.

In der Kontoübersicht des Kontos goofy@raspi3.local in Thunderbird findest du rechts unten den Button "weitere Identitäten". Da legst du für das Konto goofy@raspi weitere Identitäten mit den Adressen von gmx, strato, web.de und anderen an. Als smtp stellst du zu jeder Identität den raspi mit dem loginuser goofy ein.

Dann funktioniert auch der multiuser-multiaccount in exim.

Ich hab das gefühl, du willst unbedingt die Struktur deiner mehreren Mailaccounts bei Strato, gmx und co auf deinem Raspi abbilden. Da kriegst du natürlich ein Problem.

Sammelst du von allen Accounts die Mail auf deinem Raspi ein, genügt dort genau ein Account für dich. (die Anderen Personen mach ma später, zuerst solls mal nur für dich klappen!)

Und dieser Account wird per Imap von allen deinen Geräten als einziger verwendet.

Siehst du den Unterschied zu deinem gewollten Setup?

Ich hab auch den Eindruck, du verstehst unter "mehrere Identitäten" in Thunderbird verschiedene Accounts, und nicht ein Account mit mehreren Identitäten...

Kann das sein.
Damit wirfts dich auch über die scheinbar fehlende Zuordnung in exim zu verschiedenen Smarthosts.

Lg scientific

[TomL]

Ich glaub ich muss nochmal konkreter werden.

Das ist aber jetzt leider völlig durcheinander

Auf dem raspi gibt es genau einen User goofy.

Nein, gibt es nicht.... goofy ist kein User... goofy existiert gar nicht, weder einer, noch mehrere, weder auf dem Raspi, noch auf den Clients. Es gibt auf dem Raspi die User Thomas, Klothilde, Augustinus, Franz-Ferdinand, Elisabethania, Julchen, usw... alles reale Menschen... und das ebenso auf dem jeweiligen persönlichen Client. Die melden sich als sambauser auf dem PI an und machen einfach ihr Ding.

Kein zum Mailsystem gehörender Prozess hat Kenntnis von diesen Menschen. Die Mail-Prozesse laufen völlig unabhängig von diesen Usern. Die Mailprozesse kennen nur ISP-Mail-Konten, lokale Dovecot-Mail-Konten und lokale Userspace-Zielverzeichnisse, in denen sich das persönliche Mailgedöns abspielt. Das wichtige ist: Es gibt keine Verbindung zwischen Linux-Konten und Mail-Konten. Die Verbindung ist einzig das Linux-Berechtigungssystem. Also wer berechtigt ist, ein Dovecot-Konto zu öffnen und das dovecot-userdb-Password kennt, kann damit arbeiten... ganz egal, ob er der Owner ist oder nicht.

Du sagst, es gibt nur einen "Goofy" als Mail-Indentität. Nein, es gibt so viele, wie es Anwender mit einem solchen ISP-Account gibt. Ich habe goofy@web.de, mein Sohn hat goofy@gmail.de, mein Opa hat goofy@gmx.de, mein Vater hat goofy@strato.de... also muss es auch 4 goofy-Accounts in dovecot geben, und dementsprechend 4 goofy-smtp-Server-Unterscheidungen, die exim handhaben kann - deshalb, weil es vier verschiedene Menschen sind, denen jeweils ein Account gehört. Allein die Linux-Zugriffsrechte regeln, welcher User welche Daten sieht. Aber genau diesen Punkt konnte ich nicht mit exim lösen.

Fetchmail ruft die emails von strato, gmx usw für den user goofy ab und liefert sie exim, der diese dann in dovecot in die Inbox des Users goofy auf dem raspi ablegt und per IMAP präsentiert.

Nochmal nein, denn das ist meines erachtens falsch. Exim kriegt gar nix von eingehender Post mit.... zumindest bei mir nicht. Bei mir machen das getmail und dovecot völlig alleine unter sich aus. Das Abholen, Speichern, Verarbeiten in dovecot und Anzeigen in Thunderbird funktionierte schon, da war exim noch gar nicht installiert. Wie gesagt, der Prozess "eingehend" war zu keiner Zeit ein Problem. Lediglich Exim konnte ich nicht so konfigurieren, dass es meinen Vorstellungen vom Prozess "ausgehend" entsprach.

Kein goofy_w, kein goofy_g. Nur ein einziger goofy.

Und wie soll das bei den 4 Usern mit je einem Goofy-ISP-Account funktionieren...?... siehe oben...

Dann funktioniert auch der multiuser-multiaccount in exim.

Ich habe das Problem mit exim gelöst.... und jetzt funktioniert es anscheinend so wie gewünscht. Im Moment allerdings erst mit nur 2 Adressen und 2 smtp-Servern, strato und web.de... aber es funktioniert anscheinend und nach den ersten Tests tatsächlich so wie gewünscht.
Das waren die Lösungsschritte:

Code: Alles auswählen

apt-get purge exim4*
apt-get install postfix

Nimms mir nicht übel oder gar persönlich, aber ich will das nicht mit irgendwelchen vagen Identitäten innerhalb eines imaginären Main-Accounts... ich will das rigoros getrennt haben. EIN ISP-Account spiegelt sich hier bei uns im Netz als EIN dovecot-Account wieder. Und EIN dovecot-account ist EIN vollständig autonomer Thunderbird-Account. Und es gibt an keiner Stelle eine eingestellte Verbindung, Mapping, Routing oder sonstwas zu den Linux-Usern oder das für irgendein Mailing-Prozess der Linux-User als Identifikationsmerkmal herangezogen nwird.... es gibt nur für jeden Linux-User dessen Linux-Rechte.

Da kriegst du natürlich ein Problem.

Nein, kein Problem, es ist gelöst. Postfix kann genau das:
http://www.postfix.org/SASL_README.html ... asl_sender
http://www.postfix.org/ADDRESS_REWRITIN ... ml#generic

Siehst du den Unterschied zu deinem gewollten Setup?

Ja, es sind genau diese Unterschiede, wegen derer ich das Modell mit den Identitäten ausschließe. Mir fehlt da die saubere Trennung zu den anderen Linux-Usern. Aber wie gesagt, vielleicht habe ich das auch nur noch nicht so richtig verstanden....

Ich hab auch den Eindruck, du verstehst unter "mehrere Identitäten" in Thunderbird verschiedene Accounts, und nicht ein Account mit mehreren Identitäten...

Richtig, weil die 2 Accounts (oder mehr) eines Users im Thunderbird genau so getrennt sein müssen, wie sie es sind, wenn einer bei gmx und der andere bei web.de liegt.

Ich bin im Moment noch nicht so weit, um wirklich ein abschließendes Urteil zu treffen.... erst mal bin ich geflasht, weil nach dem Wechsel zu Postfix wieder alles neu auf mich eingedröhnt ist.... und tonnenweise englische Man-Pages zu lesen ist echt hart, weil ich da nur auf 50 Jahre altes Schulenglisch zurückgreifen kann. Aber nach den ersten Eindrücken passiert alles so, wie gewünscht und entsprechend meinen Anforderungen bzw. meinen Vorstellungen.

[scientific]

Wir haben in der Tat aneinander vorbeigeredet...

Mein Setup bezieht sich - und das hab ich mehrfach dargelegt - darauf, dass ich mehrere Emailadressen bei mehreren Mailprovidern habe, die ich auf meinen eigenen Mailserver zusammenhole.
Meine eximkonfiguration (multiuser-multiaccount) stell in exim die Fähigkeit zur Verfügung, dass ich von diesem einen Account abhängig vom Absender den richtigen smarthost zum Versand kriege.
Das funktioniert dann auch mit anderen Usern auf anderen oder gar den selben Mailprovider-Smarthosts mit deren Adresse.

Jeder der User hat seinen eigenen Mailclient und in diesem Mailclient hat jeder User für sich für seine eigenen Mailadressen (incl. Alias) die Identitäten...

Wie du auf die Idee kommst, ich würd allen Personen nur einen einzigen Mailaccount auf dem eigenen Mailserver geben ist mir schleierhaft...

Wenns jetzt klappt, passts ja.

[TomL]

Mein Setup bezieht sich - und das hab ich mehrfach dargelegt - darauf, dass ich mehrere Emailadressen bei mehreren Mailprovidern habe, die ich auf meinen eigenen Mailserver zusammenhole.

Genau das habe ich doch auch. Ich selber habe beispielswiese mehrfach die Adresse TomL, und zwar bei verschiedenen ISP-Providern. Das mus exim handhaben können. Gleichermaßen habe ich aber auch bei einem Provider mehrere Adressen... und zwar über meine Strato-Domain. Da gibts TomL, ThomasL, eine mit vollem Namen, usw. Und auch das muss exim handhaben können. Und natürlich darf es nicht sein, dass es da zu Vermischungen hinsichtlich der Absender-Daten kommt. Oder das mit korrekten Zugangsdaten der falsche smtp-Server verwendet wird. Ich sende von toml@strato und der Mailer versendet mit korrektem Passwort und gmx-Account über mail.gmx.net. All das war mir mit exim total undurchsichtig und nicht zweifelsfrei handelbar.

Jetzt in postfix gibts konkrete Mapping-Tabellen, in denen die Zuordnungen von lokalem Mailaccount zu ISP-Mailaccount festgezurrt sind. Genau die habe ich nämlich in exim vermisst. Ich habe jetzt die dritte Adresse eingefügt und auch das klappt konfliktfrei und fehlerlos. Ich muss das aber noch mehr austesten mit verschiedenen toml-Adressen... denn in solchen Konstellationen steckt das größte Potential für Probleme drin... aber genau das muss natürlich sauber abgewickelt werden und hinsichtlich der möglichen Daten-Speicherungs-Orte vollständig getrennt sein. Denn hinsichtlich der Speicherorte gibts ja zwei Kandidaten... ISP-Postfach und lokales Postfach.

[scientific]

Nun...
Meine Datei sender.multiuser-multiaccount.passwd odnet jeder Absenderadresse genau einen smarthost mit genau einem loginuser auf diesem smarthost und genau dem richtigen passwort zu.

Allerdings gibts keine Zuordnung von einem exim-login zu bestimmten emailadressen....
Das bedeutet, wenn meine Freundin von ihrem thunderbird ein email schickt, dass eine meiner Adressen als from gesetzt hat, würde die auch rausgehen...

Ist aber eine Anregung, die ich aufnehmen werde.

Exim hat aber auch die exakte zuordnung von einem Unixuser zu einer externen Adresse... Allerdings nur zu einer... Alias klappen nicht, zwei verschiedene Accounts bei einem Provider klappen auch nicht - in der Standardconfig.
Darum gibts ja auch meine Erweiterung.

Lg scientific

[TomL]

Meine Datei sender.multiuser-multiaccount.passwd odnet jeder Absenderadresse genau einen smarthost mit genau einem loginuser auf diesem smarthost und genau dem richtigen passwort zu.

*hmmm*...merkwürdig.... genau das hätte ja meine Anforderungen erfüllt. Ich muss 10, 20 oder 100 local-domain-Email-Adressen der gleichen Anzahl ISP-Email-Adressen zuordnen können. Und der MTA ersetzt dann im Sendeprozess die lokal-domain-Froms durch ISP-Froms und wählt den passenden Relay-Hosts plus zugehörigen ISP-Anmelde-Daten aus. Dabei muss das völlig unabhängig von den Linux-User klappen. Das sind eigentlich die von mir geforderten Schritte.

Allerdings gibts keine Zuordnung von einem exim-login zu bestimmten emailadressen....

Das ist imho das Problem... 1 oder 100 locale-domain-Adresses müssen die gleiche Anzahl ISP-Adressen 1:1 konfliktfrei abbilden können. Konfliktfrei ist das Problem, weil die voneinander eigentlich "isolierten" ISP-Provider auf einmal in Dovecot zusammengeführt werden.

Exim hat aber auch die exakte zuordnung von einem Unixuser zu einer externen Adresse... Allerdings nur zu einer..

Warum? Wie? Wieso kennt exim den Linux-User? Das konnte ich bei mir doch gar nicht einstellen. Lediglich für dovecot konnte ich auswählen, ob die Authentifizierung über /etc/shadow stattfinden soll oder über eine eigene gehashte dovecot-userdb. Ich habe mich für die userdb entschieden, weil ich gerade damit auch die Abhängigkeiten zu den Linux-Usern ablösen konnte. Aber dovecot hat doch hinsichtlich der user mit exim auch nix zu tun........

[scientific]

Meine Datei sender.multiuser-multiaccount.passwd odnet jeder Absenderadresse genau einen smarthost mit genau einem loginuser auf diesem smarthost und genau dem richtigen passwort zu.

*hmmm*...merkwürdig.... genau das hätte ja meine Anforderungen erfüllt. Ich muss 10, 20 oder 100 local-domain-Email-Adressen der gleichen Anzahl ISP-Email-Adressen zuordnen können. Und der MTA ersetzt dann im Sendeprozess die lokal-domain-Froms durch ISP-Froms und wählt den passenden Relay-Hosts plus zugehörigen ISP-Anmelde-Daten aus. Dabei muss das völlig unabhängig von den Linux-User klappen. Das sind eigentlich die von mir geforderten Schritte.

Allerdings gibts keine Zuordnung von einem exim-login zu bestimmten emailadressen....

Das ist imho das Problem... 1 oder 100 locale-domain-Adresses müssen die gleiche Anzahl ISP-Adressen 1:1 konfliktfrei abbilden können. Konfliktfrei ist das Problem, weil die voneinander eigentlich "isolierten" ISP-Provider auf einmal in Dovecot zusammengeführt werden.

Exim hat aber auch die exakte zuordnung von einem Unixuser zu einer externen Adresse... Allerdings nur zu einer..

Warum? Wie? Wieso kennt exim den Linux-User? Das konnte ich bei mir doch gar nicht einstellen. Lediglich für dovecot konnte ich auswählen, ob die Authentifizierung über /etc/shadow stattfinden soll oder über eine eigene gehashte dovecot-userdb. Ich habe mich für die userdb entschieden, weil ich gerade damit auch die Abhängigkeiten zu den Linux-Usern ablösen konnte. Aber dovecot hat doch hinsichtlich der user mit exim auch nix zu tun........

Natürlich kann man exim auch die Unix-User wissen und gegen diese authentifizieren lassen. Mit pam, oder mit sasl. Genauso wie man auch dovecot gegen die Linux-User authentifizieren lassen kann.
Aber es geht natürlich auch mit "virtuellen Usern" wie das in dovecot genannt wird. Dann wird das mit der userdb wie von dir beschrieben gemacht.
Man kann die User-Infos auch in eine sql-Datenbank oder einem LDAP-Verzeichnis ablegen und von dort die Credentials holen/abfragen. Exim ist auch hier extrem vielseitig konfigurierbar.

Ich bin durch die Beschäftigung mit deinem Thema auch wieder einmal (lustigerweise exakt ein Jahr nachdem ich mich dem das letzte Mal intensiver gewidmet habt) in die Thematik eingetaucht.

So wie ich die ganze Geschichte verstehe füttert man sowohl exim als auch dovecot irgend eine User-Datenbank (in welcher Form auch immer), wenn man eine Authentifizierung vor dem Abruf per IMAP/POP3 oder dem Versenden via SMTP von Emails haben möchte.
In Dovecot ist dann entweder in der userdb oder in der allgemeinen Config festgelegt, wo die Emails für die User abgelegt werden. Jeder User (ob virtuell oder reale) erhält dabei ein eigenes Verzeichnis wo alle Emails abgelegt werden (oder in einem Unterverzeichnis davon).

Man kann es so konfigurieren, dass man für SMTP und IMAP/POP die gleichen oder verschiedene Passwörter verwendet. Und wenn man die gleichen Passwörter verwendet, dann hat man die Möglichkeiten, die Infos in - für exim und dovecot - getrennten Datenbanken oder sogar der selben speichert. Man kann die /etc/passwd bzw. /etc/shadow nehmen oder eigene Files oder eben auch eine SQL-Datenbank.

Eine Erhöhung der Sicherheit ist natürlich, wenn man für den Login am Mailaccount ein anderes Passwort verwendet, als für den allenfalls vorhanden Unix-User.

Wenn du den raspi als extra Mailserver konfigurierst, dann haben die dortigen Unix-User einmal überhaupt nix mit den Usern zu tun, die du auf anderen Maschinen konfiguriert hast.

Zum ersten Teil

Ich muss 10, 20 oder 100 local-domain-Email-Adressen der gleichen Anzahl ISP-Email-Adressen zuordnen können. Und der MTA ersetzt dann im Sendeprozess die lokal-domain-Froms durch ISP-Froms und wählt den passenden Relay-Hosts plus zugehörigen ISP-Anmelde-Daten aus. Dabei muss das völlig unabhängig von den Linux-User klappen

Das ist ja genau der Punkt, wo wir die ganze Zeit aneinander vorbeigeredet haben...

MEINE Konfiguration schau so aus.
Ich habe bei 7 Providern 10 Email-Accounts. Davon haben 5 Adressen bis zu 4 Alias-Adressen.
Nach deiner Denke bräuchte ich jetzt auf meinem lokalen Mailserver 10 Email-Accounts in Dovecot - damit habe ich 10 lokale Email-Accounts, die ich irgendwie übersetzen muss.
In meinem Konzept habe ich 1 einzigen lokalen Email-Account. In den sammle ich von den 7 Providern die Emails der 10 Email-Accounts ein.

In Thunderbird habe ich genau diesen einen Account konfiguriert "jakob@localhost"
Der Imap-Server ist localhost, der SMPT-Server ist localhost. Der Username sowohl beim IMAP als auch beim SMTP-Server ist jakob, und das Passwort ist geheim.

Bei mir läuft der Mailserver auf localhost am Laptop, wo auch der Thunderbird läuft. Bei dir würde das statt localhost raspi3.local sein, das tut hier einmal wenig zur Sache.

Verfasse ich in Thunderbird ein neues Email, ist der Absender "jakob@localhost". Das würde einmal relativ wenig bewirken.
Also gibt es in Exim eine Rewriteregel, die in /etc/email-addresses festgelegt ist, wo jakob auf user.xy@isp.tld umgeschrieben wird.
Das heißt, ich lege in /etc/email-addresses fest, welches mein default-Absender ist, wenn nichts näher spezifiziert ist.

Dieser Account in Thunderbird (geht auch in Evolution, geht auch am Androiden in einem Client, dessen Namen ich jetzt vergessen habe) hat nun mehrere Identitäten.
In jeder dieser Identität trage ich die tatsächliche Email-Adresse bei meinem isp ein. Also z.B. jakob@gmx.at, blablubb@tollerprovider.net, bullubullu@nichtsotollerprovider.com ein. Jede dieser Identitäten bekommt eine andere Signatur, eine andere "Organisation-Kennzeichnung", wenn ich diese Identitäten z.b. für berufliche Emails aus verschiedenen Projekten verwende. Ich kann mir jede Identität so herrichten, wie einen eigenen Account - auch mit Reply-To.

Die Datei /etc/exim4/sender.multiuser-multiaccount.passwd enthält dann in der 1. Spalte dann auch jede einzelne Adresse (inclusive aller Alias) meiner externen Mailprovider.
Und in den weiteren Spalten ist dann der zugehörige SMTP-Server und die Login-Daten enthalten. Die letzten 3 Spalten können durchaus öfter vorkommen - z.B. bei den Alias-Adressen...

Ich sende also als jakob@localhost ein Email mit einem From: blablubb@tollerprovider.net weg. Exim schaut dann in /etc/exim4/sender.multiuser-multiaccount.passwd welcher SMTP-Server für blablubb@tollerprovider.net zu nehmen ist und meldet sich dort mit den Credentials an und liefert das EMAIL ab.

Im Header des Emails ist dann als erster Hop jakob@localhost, dann der smtp-Server von tollerprvider.net usw. zu sehen. Für den Empfänger sieht es dann so aus, als ob das Email von meinem Account bei tollerprovider.net abgeschickt worden wäre - obwohl der Zwischenschritt über den lokalen Mailserver mit dabei ist.

In die Datei /etc/exim4/sender.multiuser-multiaccount.passwd musst du als Admin jede einzelne Email-Adresse aller deiner User mit den korrekten Credentials und dem passenden SMTP-Server eintragen. Und da Email-Adressen ohnehin uniq sind, kann es keine zwei gleichen Einträge in der ersten Spalte geben.

Ich hab mir mal ein Szenario überlegt, wo ich diese eine Datei nicht ähnlich wie die .fetchmailrc auch im Userverzeichnis auslagern könnte, damit sie von den Usern selbst gepflegt werden können. Aber da die Anzahl der User bei mir daheim sehr überschaubar ist (wir sind 2 Menschen), hab ich den Ansatz noch nicht weiter verfolgt.
Ein Nachteil dieser Lösung ist natürlich, dass neben dem tatsächlichen Account-Inhaber auch der Admin die Logindaten für die verschiedensten Mailadressen kennt... Aber der Admin kann auch in die .fetchmailrc-Files der User schauen...

Um nochmal zu dem Punkt zurückzukommen, wo wir uns nicht einig wurden: Ich brauche keine gespiegelten Accounts am lokalen Mailserver, damit brauche ich auch keine Mailadressen übersetzen/ersetzen. Ich brauche aber eine Datei, wo zu jeder "echten" Email-Adresse und zu jeder Alias-Adresse Logindaten und SMTP-Server verzeichnet sind.

Eine Verknüpfung mit einem Linux/Unix-User aus der /etc/passwd benötige ich nur, wenn ich ohne weitere Angabe einer Absenderadresse vom Rechner auf dem der Mailserver läuft einen Default-Absender festlegen will/muss.
Mein Mailserver (dovecot/exim4) läuft auf localhost am Laptop. Sende ich von der Shell ein Email mit
echo BLA|mail -s "Blubb" irgend.jemand@irgend.wo, so wird als Absender im From jener eingetragen (und über den entsprechenden Smarthost gesendet), der in /etc/email-addresses für meinen User jakob festgelegt wurde.

Die "isolierte" Ablage der Mails je ISP-Account habe ich nicht so streng, da ich meine Emails mit Sieve mehr nach Absender und Themen sortiere. Das heißt, mir ist eigentlich ziemlich egal, über welche Email-Adresse ein Email reinkommt, aber wenn im Betreff ein Begriff vorkommt, dann kommt dieses Email in den einen Unterordner, wenn es über jenen Account reinkommt und eine bestimmte Adresse als CC gesetzt ist, dann kommt es in einen anderen Ordner, wenn in der Absenderadresse "debian.org" vorkommt und eine list-id debian-user-german enthält, dann kommt es in einen anderen Ordner... usw.
Ich kann natürlich auch Sieve-Filter-Regeln definieren, welche mir nach To-Adressen filtert, und jene Emails von einem ganz bestimmten Account (z.B. TO: vom Büro-Account) in einen ganz bestimmten Ordner schiebt.

Das habe ich auch mit bestimmten Adressen so in Verwendung. Zusätzlich mit der Geschichte, dass ich mit einer Erweiterung in Thunderbird pro Ordner festlegen kann, welche Adresse bei neuen Emails aus diesem Ordner als From, welche als To usw. gesetzt wird, kann ich in einzelnen Ordnern gezielt ohne weitere Aufmerksamkeit auf den Absender Konversationen führen, die immer über den selben Account raus und rein gehen.

Und ich hab sogar mit dieser Konfiguration alle Emails, die ich von der Commandline mit mail versende in den Gesendeten...

Vielleicht ist es jetzt ein wenig klarer, was ich meine...

Btw: Ich habe auch Roundcube auf dem System. Damit ich ALLE meine Emails einsehen kann, muss ich mich nur mit einem einzigen Usernamen anmelden... In deinem Setup bräuchte ich wieder für jede einzelnen externen Mail-Account ein Login für den "internen" Spiegelaccount... das ist doch mühsam!
lg scientific

[TomL]

Moin

Ich glaube, ich habe jetzt endlich kapiert, wie Du das Problem betrachtest bzw. es gelöst hast. Heute morgen hat es auf einmal "Klick" gemacht und die Erkenntnis war von einem Moment zum anderen da. Ich selber habe sogar auch dieses Identitäten-Modell... aber nur so nebenherlaufend, bedeutungslos, meist ungenutzt, oder besser, ohne regelmäßige bewusste Verwendung. Deswegen war das auch so weit im Hintergrund meines Bewusstseins vergraben.
Ich habe einen GMX-Account. Meine GMX-Account-ID (Kundennummer) ist 123454321. Unter dieser Account-ID habe ich 2 Identitäten, einmal Fix@gmx.de und einmal Foxi@gmx.de. Egal, mit welcher Identität ich das Postfach öffne, ich sehe immer die Posteingänge beider Identitäten und ich kann beim Senden einer Mail auswählen, welche Identität als 'From' verwendet werden soll. Genau das unterstützt auch Thunderbird.....verschiedene Identitäten für EINEN Account. Ich nutze diesen Account allerdings nur, wenn ich mal irgendwo eine Anmeldung brauche und ich weiss vorher schon, dass ich da nur ein kurzzeitiger Gast bin. Mir ist es auch egal, welche Post für wen da ankommt... es sind eh nur Anmelde-Bestätigungs-Mail oder Junk. Gesendet wird von diesen Identitäten nie.

Bei mir sind es also nur diese zwei Identitäten in einem Account. Und jetzt ist mir klar, Du hast dieses Identitäten-Modell angewandt, um Multi-ISP-Accounts (also mehrere) zu Identitäten innerhalb eines Home-IMAP-Account zu komprimieren. Da sträuben sich bei mir rein gefühlsmäßig allerdings alle Nackenhaare hinsichtlich Prozess-Integrität und notwendiger Datenkapselung.

Der gravierenste Nachteil ist, ich muss beim Senden einer Mail jedesmal genauestens darauf achten, dass ich vor dem Senden den richtigen "From" auswähle. Mach ich was hektisch und auf die schnelle oder bin unkonzentriert besteht immer die Gefahr, dass ich auf einmal mit dem Absender "Rrrrruf-MICH-AN!@gmx.de" bei unserem Pfarrer per Mail nach einem Tauftermin nachfrage. Das geht ja wohl gar nicht... *lol* Bei meinem Modell kann sowas gar nicht erst passieren, weil der Account nur seine eigene Identität und damit einen eindeutigen "From" innehat.

Natürlich kann man exim auch die Unix-User wissen und gegen diese authentifizieren lassen.

Nein, das ist imho falsch. Exim hat keine Benutzerverwaltung, braucht keine und muss auch keine Linux-Benutzer kennen. Mit Exim kann ich völlig ohne Benutzerverwaltung via Telnet eine Mail senden, wenn ich einen Relay-Host und die Mail-ISP-Login-Daten eintrage. Exim muss also nur Zugangsdaten zu einem Mail-ISP kennen, aber überhaupt nix von lokaler Seite. Und die lokalen Benutzerdaten (wie /etc/shadow) haben absolut gar nix mit Exim oder mit dem Mail-ISP-Login zu tun... denn dahinter steht die Benutzerverwaltung des Mail-ISP. Exim ist ein reiner "Prozessor", ohne eigene Benutzer. Das ist anders bei dovecot, denn dovecot führt selber Benutzer-getrennte und authentifizierungswürdige Aufgaben durch. Dovecot hat halt nur die Möglichkeit, auf verschiedene Benutzer-DB zurückzugreifen... man muss sich nur für eine entscheiden.

Aber es geht natürlich auch mit "virtuellen Usern" wie das in dovecot genannt wird. Dann wird das mit der userdb wie von dir beschrieben gemacht.

Richtig, und ich halte das auch für sinnvoll, weil ich damit die Abhängigkeit zu einem User löse. Weil die Maildaten ja auch sowieso nicht im Homedir des Users gespeichert werden, sehe ich auch gar keinen Grund, den dovecot-Account an den User per UID oder GID zu binden. Ich mounte (per bind) einfach das entsprechende Daten-Dir in sein Home-Dir und gut is. Das vereinfacht ausserdem auch maßgeblich die automatischen Backups, weil eben nicht mühsam einzelne Home-Dirs in die Backup-Jobs eingetragen werden müssen, sondern einfach nur das primäre Mail-Dir auf der Platte. Ich will allein gemappte, logische Verknüpfungen, keine harten an GID oder UID gebundene.

So wie ich die ganze Geschichte verstehe füttert man sowohl exim als auch dovecot irgend eine User-Datenbank (in welcher Form auch immer), wenn man eine Authentifizierung vor dem Abruf per IMAP/POP3 oder dem Versenden via SMTP von Emails haben möchte.
In Dovecot ist dann entweder in der userdb oder in der allgemeinen Config festgelegt, wo die Emails für die User abgelegt werden. Jeder User (ob virtuell oder reale) erhält dabei ein eigenes Verzeichnis wo alle Emails abgelegt werden (oder in einem Unterverzeichnis davon).

Ich glaube, Du machst hier den Fehler und betrachtest ein Konglomerat an Mail-Prozessen als eine Einheit.... das ist aber nicht eine Einheit. Es sind faktisch vier Prozesse, von denen keiner der Anwesenheit des anderen bedarf. Jeder Prozess läuft auch komplett alleine.

Fangen wir mit Getmail an. Getmail braucht kein Dovecot, kein Exim, kein Thunderbird. Getmail loggt sich bei den Mail-ISP ein, holt die Mails ab und schreibt sie stupide gemäß seiner Verteilregeln in die Zieldirs.

Als nächtstes Dovecot. Dovecot benötigt kein Getmail, kein Exim und kein Thunderbird. Hast Du ein Password, kannst Du Dich via Telnet Port 143 anmelden und einfache Sachen nachsehen. Es ist dovecot völlig egal, ob sich ein Thunderbird-Client anmeldet, Mails versendet, oder ob Getmail Daten reingeschaufelt hat. Wenn Du dich anmeldest, zeigt er an, was da ist, oder eben nix, wenns leer ist.

Thunderbird benötigt ebenfalls nix. Es lief ja immer schon ohne dovecot, exim und getmail. Man konnte sich immer schon direkt beim ISP-Mailer anmelden.

Als letztes exim... auch das benötigt keines der anderen Programme. Installiere es, öffne den Dienst via Telnet und vesende einfach ne Mail. Ganz ohne den anderen Overhead, ganz ohne, dass eines der anderen Programme installiert ist.

Der Vorteil ist halt, diese vier Prozesse verrichten nach gemeinsam getroffenen Vereinbarungen (verschiedene Schnittststellen) ein Aufgaben-Umfeld, was uns als ein kompletter Prozess vorkommt. Das ist es aber nicht... es sind vier eigenständige Prozesse, bei dem jeder für sich arbeitet und wo jeder einzelne Prozess für sich über seine Settings eingestellt werden muss. Dabei ist Thunderbird das Frontend, Getmail und Exim sind Prozessoren (ein- und ausgehender Traffic) und Dovecot ist das Backend. Und es gibt nur zwei Benutzerverwaltungen, die des ISP-Mailers und die von Dovecot.

Ich muss 10, 20 oder 100 local-domain-Email-Adressen der gleichen Anzahl ISP-Email-Adressen zuordnen können. Und der MTA ersetzt dann im Sendeprozess die lokal-domain-Froms durch ISP-Froms und wählt den passenden Relay-Hosts plus zugehörigen ISP-Anmelde-Daten aus. Dabei muss das völlig unabhängig von den Linux-User klappen

Das ist ja genau der Punkt, wo wir die ganze Zeit aneinander vorbeigeredet haben...

Dabei bin ich jetzt unsicher, ob wir wirklich so weit auseinander sind. Faktisch haben wir sogar die gleiche Basis. Wir haben beide 10 ISP-Mail-Accounts, ich habe dazu passend 10 lokale Accounts, Du hast dafür 10 lokale Identitäten... und sowohl für Deine 10 Identitäten müssen gleichermaßen wie für meine 10 Accounts jeweils beim Senden der "From" ersetzt werden, der passende relayhost und die passenden Mail-ISP-Login-Daten ermittelt werden. Da kann man sich drehen und wenden, wie man will, da besteht zwischen unseren Modellen kein Unterschied.

Dabei ist es für den separaten Prozess "exim" völlig egal, ob der Frontend-Thunderbird einen lokalen "From" aus einer lokalen Identität ableitet oder einem lokalen Account... beim Prozess "Exim" kommt ein "From" an, den es im WWW nicht gibt und für den ein passender relay-host und Login-Daten ermittelt werden muss. Also ich sehe an diesem Punkt keinen Unterschied. Wenn das Datenpaket (die Mail) bei Exim angekommen ist, ist es völlig egal, was die Quelle "Thunderbird" damit vorher angestellt hat... Identität oder Account... ist beides dasselbe, weil Exim als reiner Prozessor sowieso wirklich NULL von Thunderbird weiss. Insofern verstehe ich auch gerade nicht, warum mir das mit Exim nicht gelungen ist. Wobei ich allerdings bemerke, dass Exim anscheinend versucht zu interpretieren, Postfix aber einfach auf statische Mappings-Tables zurückgreift.... was mir deutlich vertrauenswürdiger erscheint und auch weniger "Irrläufer"-Potential beinhaltet.

Um nochmal zu dem Punkt zurückzukommen, wo wir uns nicht einig wurden: Ich brauche keine gespiegelten Accounts am lokalen Mailserver, damit brauche ich auch keine Mailadressen übersetzen/ersetzen. Ich brauche aber eine Datei, wo zu jeder "echten" Email-Adresse und zu jeder Alias-Adresse Logindaten und SMTP-Server verzeichnet sind.

Denk noch mal vor dem Aspekt der von mir beschriebenen separaten Prozesse daüber nach, ob die Unterschiede bezüglich Backend-Identität oder Backend-Account wirklich relevant sind. Meiner Meinung nach nicht. Wie gesagt, wenn Thunderbird das Paket abschickt, kommt ein Paket bei Exim an.... es steht ein lokaler "From" drin ... und genau hier ist es bei unseren beiden Sachverhalten egal, ob der "From" eine Identität oder ein Account war. Er muss ersetzt werden.

Die "isolierte" Ablage der Mails je ISP-Account habe ich nicht so streng, da ich meine Emails mit Sieve mehr nach Absender und Themen sortiere.

Das ist für mich einer der ganz wichtigen Punkte. Gerade auch die Archivierung nach Themen und Absender ist enorm wichtig. Ich habe jetzt tolle neue Möglichkeiten der Prozess- und Daten-Skalierung. Die üblichen Sekundär-Email-Adressen bleiben wie bisher und werden gar nicht erst in den Prozess eingebunden. Die bleiben in Thunderbird einfach weiterhin Direkt-Imap-ISP-Accounts - ist eh alles für'n Eimer. In den neuen Prozess werden nur die primären personifizierten EMails eingebunden. Und nun das wichtigste... ich kann dann endlich auch unsere Archive einbinden, die bisher in separaten TB-Profilen gelagert waren. Das war z.T. sehr umständlich, relevante Daten aus den aktuellen Profilen in die Archive zu überführen. Ich habe dafür einen Transfer-Imap-Account auf meiner Strato-Domain eingerichtet. Aber das konnte ich immer nur schwer den anderen vermitteln. Speziell dieser Vorgang vereinfacht sich massgeblich. Darüber hinaus "atmet" der Datenbereich auf der Platte nicht mehr so tief. Das heisst, das aufblasen und ablassen wird deutlich geringer ausfallen, was sich wiederum in meinm Backup positiv bemerkbar machen wird.

In deinem Setup bräuchte ich wieder für jede einzelnen externen Mail-Account ein Login für den "internen" Spiegelaccount... das ist doch mühsam!

Nein, überhaupt nicht. Das hast Du missverstanden. Ich starte Thunderbird und sehe mit einem Blick alle Konten und deren Inhalte. Alle "meine" Dovecot-Accounts haben in der Dovecot-UserDB mein Linux-Password. Ich richte in TB den Account ein, trage dazu die lokale Adresse ein, z.B. TomL@raspi3.local, gebe mein Linux-Password ein und fertig. Wie gesagt, das passende Mapping macht Postfix anhand seiner Mapping-Tables. Postfix weiss nix von Linux-Usern, auch nix von Thunderbird-Usern... es kennt nur die ISP-Mailer-Login-Daten und die passenden relayhosts... das sind eben die Daten, die in den Mapping-Tables drinstehen ... als Referenz kriegt es nur die local-domain-Adresse im "From" übergeben.... und genau das, diese Referenz, kann meiner Meinung nach bei Dir und Exim nicht anders sein.

[scientific]

Hmmm...
Bei mir landen die Emails der User in /var/spool/dovecot/mails/$USER
Und ein Login bei dovecot als $USER liefert nur die Emails aus diesem Verzeichnis. Streng nach User (=Account am Mailserver) getrennt.
Das Backup erfolgt durch das Sichern von /var/spool in einem Rutsch.

Was exim und die User angeht... Ich mache authentifiziertes smtp. Damit kann über diesen Server nzr jemand Emails versenden, der auf dieser Maschine einen Account hat, oder in einer User-db eingetragen ist.
Und diese Userdb kann /etc/passwd bzw. /etc/shadow sein oder eine SQL-DB. sollte aus irgend einem Grund mein Mailserver in ein Netz gelangen, wo er missbraucht werden könnte, ist dies mit smtp-auth wiederum ausgeschlossen.

Und sag nicht, das geht nicht, denn hier läuft es erfolgreich.

Fetchmail liefert bei mir auch an exim, da ich hier die Spamprüfung durchführen lasse. Und exim liefert an dovecot, der wiederum die emails serverseitig mit sieve filtert und in die verschiedene Ordner einsortiert (oder auch weiterleitet - wieder über exim). Die Ablage nach Themen und auch Absender oder auch Eingangsaccount kannst du doch mit Sieve genauso realisieren - nur wesentlich flexibler.

Was die gespiegelten lokalen Accounts vs. einem lokalen Account und mehrere Identitäten in Thunderbird angeht... Ich muss natürlich jede Email-Adresse als Identität zu einem Account anlegen. Sollte ich aber aus irgend einem Grund meine Logindaten des IMAP-Servers ändern, muss ich in Thunderbird genau einmal das neue Passwort eingeben. Du muss bei 10 Accounts 10 mal das Passwort angeben - und in der User-DB für dovecot 10 mal das Passwort ändern.
Und du musst in Thunderbird 10 neue Accounts anlegen und in deinem Smartphone 10 neue Accounts anlegen und am Tablet 10 neue Accounts anlegen und am anderen PC im Thunderbird musst du 10 neue Accounts anlegen. Und wenn du das Passwort im Mailserver änderst, musst du im Thunderbird, im Smartphone, im Tablet am anderen PC jeweils 10 Mal das neue Passwort ändern... Ich jeweils nur ein einziges Mal.

Was das Auswählen eines Absenders anbelangt... Thunderbird bietet mir die Möglichkeit für jeden einzelnen Ordner einen Absender und einem Empfänger vorzugeben.
Hab ich einen Ordner "Arbeit" mit den Unterordnern "Projekt 1", "Projekt 2", "Dauerstelle" und alle 3 verlangen unterschiedliche Absender, so stelle ich die ein. Will ich an als Projekt 2 kommunizieren, so öffne ich diesen Ordner und erstelle ein neues Email... mit dem richtigen Absender - ohne viel überlegen zu müssen.
So habe ich verschiedenste Mailinglisten konfiguriert, wo ich früher nie wusste, mit welcher Adresse ich da überhaupt registriert bin... Jetzt muss ich gar nicht viel nachdenken.

Und natürlich ist es exim egal, ob Thunderbird, oder Icedove oder die Gmail-App vom Androiden oder die Mail-App vom Androiden, oder Windows-Mail oder was auch immer für ein Client (auch bsd-mailx!!) auf einem berechtigten Endgerät die Emails abliefert. Aber ich melde mich mit einem Usernamen und Passwort am SMTP-Server an (ja, das geht wirlich!!!) und das ist die Standard-Absender-Adresse, die ich von exim mittels Rewrite-Rule umschreiben lassen kann. Wie, das ist in /etc/email-addresses festgelegt.

Exim zaubert oder ratet hier auch nicht. In der Standardkonfiguration ist bloß nicht mein Szenario vorgesehen, sondern ein etwas "einfacheres", wo anhand der domain eines FROM ein Smarthost ausgewählt wird. Das klappt aber bei Alias-Adressen nicht (hudriwudri@fundomain.xyz ist ein Alias zu seriöser.user@gmx.org - beide haben den selben Smarthost als Smpt-Server mit den selben Logindaten).
Exim fungiert in zwei Richtungen. Einmal als SMTP-Server für den Versand nach Draußen, einmal als SMTP-Server für den Versand nach innen.
Nach draußen benötigt er die Login-Daten bei den verschiedenen Smarthosts, nach drinnen benötigt er die Login-Daten für den localen dovecot.

Ich geben in Dovecot als From die Adressen bei den Externen ISP an. Und in der Zuordnungstabelle /etc/exim4/sender.multiuser-multiaccount.passwd sucht exim exakt zu dieser Adresse Loginuser, Passwort und smtp-Server. Das entspricht wohl der Mapping-Tabelle von dir bei postfix.

Apropos exim weiß nix von Usern... wie denkst du wird realisiert, dass ich per SMTP nur dann versenden kann (z.B. gmx, z.B. gmail), wenn ich mir zuvor eingeloggt habe? Früher war das Pop vor smtp, heute wird da tatsächlich ein Login durchgeführt. Weil das SMTP-Protokol aufgebohrt und um eine Authentifikationsmöglichkeit erweitert wurde.

Aber egal... unterschiedliche Philosophien... mir war es immer schon egal, über welchen Account die Emails reinkommen. Ich fand es immer nur mühsam in zig Accounts nach einem bestimmten Email zu suchen... Jetzt suche ich in genau einem Account. Und das über Thunderbird, über Roundcube, über Android oder gar nur in einem Verzeichnis auf /var/spool/dovecot/mails/jakob mit grep...

Wenn dein Setup jetzt funktioniert, passt es. Wenn du auch zufrieden bist, ist alles bestens.

lg scientific

[TomL]

Bei mir landen die Emails der User in /var/spool/dovecot/mails/$USER[

Das würde bei mir natürlich nicht funktionieren. Da ist es eine externe Server-Platte (SSD), die im Keller steht, die User-Dirs des zentralen Mailverzeichnisses werden seletiv ins Server-Home-Dir des Users ge'bind'et und via Samba auf den Clients zur Verfügung gestellt. Aber prinzipiell ist das egal... die Gemeinsamkeit ist, ein zentrales Mail-Verzeichnis, auf das alle User zugreifen.

Was exim und die User angeht... Ich mache authentifiziertes smtp. Damit kann über diesen Server nzr jemand Emails versenden, der auf dieser Maschine einen Account hat, oder in einer User-db eingetragen ist.

OK, das macht Sinn, wenn Du Deinen IMAP-Server vom Internet aus zugänglich gemacht hast. Das habe ich aber nicht vor. Es wird definitiv keinen offenen Port von draußen geben. Insofern ist es bei uns (indirekt) immer authentifiziertes smtp, weil es immer nur ein lokal angemeldeter User sein kann, der eine Mail versendet. Für unseren Reiselaptop werde ich einfach einen OpenVPN-Tunnel etablieren... das mache ich ja sowieso schon für andere Tätigkeiten seit 10 Jahren oder so.....und künftig auch fürs Home-IMAP.

Und sag nicht, das geht nicht, denn hier läuft es erfolgreich.

Warum sollte ich das anzweifeln? Ich weiss, dass das geht. Nur bin ich weiterhin der Meinung, dass ich das nicht brauche, siehe Absatz zuvor = kein Zugriff von außen.

Fetchmail liefert bei mir auch an exim, da ich hier die Spamprüfung durchführen lasse. Und exim liefert an dovecot, der wiederum die emails serverseitig mit sieve filtert und in die verschiedene Ordner einsortiert (oder auch weiterleitet - wieder über exim). Die Ablage nach Themen und auch Absender oder auch Eingangsaccount kannst du doch mit Sieve genauso realisieren - nur wesentlich flexibler.

Ok, das habe ich deutlich einfacher vor. Den Spam-Filter überlasse ich wie bisher dem ISP-Mail-Provider. Das war in der Vergangenheit überschaubar, eigentlich völlig schmerzfrei und es ist nicht zu erwarten, dass sich das nachteilig ändern wird. Und da ich für den Zugriff von draußen ebenfalls Thunderbird nutze, eben via OpenVPN-Tunnel, spare ich mir auch einen Web-Mailer wie Roundcube.

Sollte ich aber aus irgend einem Grund meine Logindaten des IMAP-Servers ändern, muss ich in Thunderbird genau einmal das neue Passwort eingeben. Du muss bei 10 Accounts 10 mal das Passwort angeben - und in der User-DB für dovecot 10 mal das Passwort ändern.

Nein, dass stimmt gar nicht, der Aufwand ist imho eher deutlich geringer. Das ist nicht mal ein theoretischer Mangel, denn ich muss nur schnell die jetzt falschen Einträge der drei (3) Mapping-Tables von Postfix mit nem Editor search/replacen. Dauer? Sekunden für alle falschen Accounts eines Users. Praktisch ändern wir allerdings eher nichts oder äusserst selten an den ISP-Mailprovider-Zugangsdaten. Die Fakeadressen sind eh unwichtig und sollen künftig gar nicht mehr runtergeladen werden. Und die primären, personifizierten Adressen werden nur für Mails mit "seriösen" Charakter verwendet. Wenn also tatsächlich kurzzeitig eine Änderung notwendig wäre, muss ich nur die 3 Mapping-Tables anpacken und mit nem Editor alles in einer Rutsche editieren, einfacher gehts wirklich nicht. Die Passwörter der dovecot-Userdb mit rein lokaler Betroffenheit im LAN werden sich definitiv nicht ändern... und die sind ja davon auch völlig unbetroffen.

Und du musst in Thunderbird 10 neue Accounts anlegen und in deinem Smartphone 10 neue Accounts anlegen und am Tablet 10 neue Accounts anlegen und am anderen PC im Thunderbird musst du 10 neue Accounts anlegen.

Nein, eben nicht, das ist definitiv nicht so. Ich muss nicht einen einzigen Client anpacken, wenn ich die Zugangsdaten eines ISP-Mailers verändert habe. Das regeln allein die 3 Mapping-Tables. Lediglich Getmail muss ebenfalls angepackt werden, aber da käme ich sowieso nicht drumrum, weil das ebenfalls die Zugangsdaten in eigenen Confs kennt. .... das müsste also immer gemacht werden. Allerdings habe/hätte ich heute leider dieses Problem mit den Clients, aber später, nach dem Umbau, ganz sicher nicht mehr. Aber selbst heute kann ich mich nicht dran erinneren, wann ich das das letzte Mal gemacht habe.... ist ewig her. Wir sind mal von GMX angeschrieben worden, dass wir das wegen eine Hackerattacke bei GMX zur Sicherheit machen sollen.

Apropos exim weiß nix von Usern... wie denkst du wird realisiert, dass ich per SMTP nur dann versenden kann

Ja, wie ich schon sagte, weder (zuvor) Exim noch jetzt Postfix verwenden bei mir eine Userverwaltung oder irgendwelche Authentifizierungsverfahren. Beide kennen bei mir nur Login-Daten für Fremd-Systeme, also die ISP-Mailer und für deren Benutzerverwaltung. Das wäre anders, wenn ich den Mailserver von draußen zugänglich machen würde. Dann würde ich auch dafür sorgen, dass Mails nur von "drinnen" versendet werden können. Ob Exim dafür eine eigene User-Verwaltung aufmacht oder nur feststellt, ob es ein lokaler User ist, weiss ich nicht... das war bisher auch für mich kein relevanter Aspekt. Wenn Exim jedoch nur auf Anmeldung lokaler User prüft, ist es m.E. keine Authentifizierung, sondern nur eine Berechtigungsprüfung.

Aber egal... unterschiedliche Philosophien...

Das stimmt. Und wenn ein Modell funktioniert, kann es auch nicht falsch sein. Ich betrachte das auch eher aus der Perspektive "Welches Modell erfüllt am besten meine Anforderungen?".... zum Teil ist es deshalb also auch eine Geschmacksfrage.

[scientific]

Nun, ich bin gelegentlich auch in öffentlichen Netzen unterwegs, und ich test und bastle viel an meinem Laptop... Und falls ich versehentlich mal einen Port offengelassen habe, oder auch nur einfach um zu wissen wie es geht, habe ich das smtp-auth installiert.

Roundcube habe ich deswegen laufen (und nur auf localhost erreichbar), weil ich so von überall her per z. B. Putty mittels ssh auf meinen Rechner komme und den Port 80 weiterleiten kann... Und damit kann ich dann äusserst komfortabel an meine Emails - ohne irgend einem client...

Aber wie gesagt, wenns tut wie es soll, und wenn es den Bedürfnissen entspricht, passts. Und wenns nicht mehr passt, ändert man es und probiert neues aus. Schön, dass es die Möglichkeiten gibt.

Lg scientific

[TomL]

Das ist der Vorteil an solchen Gesprächen.... man befasst sich intensiv mit dem Thema, durchaus auch kontrovers... und als Nebeneffekt lernt man nicht nur die technischen Belange besser kennen, sondern erweitert auch noch den eigenen Horizont durch das Verstehen der Sichtweise anderer.

Ich markiere diesen Thread jetzt mal als gelöst..... dieser Thread war für mich jedenfalls eine postive (Lern-)Erfahrung.... und auch sonst in jeder Hinsicht....

...

[scientific]

Ja so sehe ich das auch.
Ich lese mich gerade wieder mal in die Konfiguration von exim und dovecot ein und möchte eine saubere Logingeschichte und saibere TLS-Verschlüsselung hinkriegen, sodass ich meinen Rechner auch mal ohne kalte Füße zu kriegen, ans Netz lassen kann...

Ziel ist es für mich, später meinen eigenen echten Mailserver ans Netz zu kriegen, um von Google & Co loszukommen... Da bin ich zwar noch ein Stück entfernt, aber ich nähere mich Schritt für Schritt...
Ich möchte das dann auch für Menschen in meiner Umgebung, die mir wichtig sind, etablieren...

In diesem Sinne, danke für die spannende Diskussion und frohes Lernen weiterhin.

Ls scientific

[TomL]

Hi scientific

Ich muss noch mal zurück ins Thema... mit nem neuen Problem, was ich so überhaupt noch nicht auf dem Plan hatte. Und zwar meine TLD.... dabei liegt die Betonung auf "meine", was vor dem Hintergrund interessant ist, dass es die gar nicht gibt

Im Moment findet ja das ganze Setup in einer Testumgebung statt, genauer gesagt auf dem Pi mit dem Hostname "raspi3". Die von dovecot verwendete Maildomain kommt anscheinend aber aus dessen /etc/hosts und lautet "localhost.localdomain". Da ich jetzt nicht einschätzen kann, ob das hier im LAN zu Konflikten führt, weil dieses "localhost.localdomain" ja irgendwie auf allen Rechnern existiert, wollte ich speziell hierfür für den späteren Betrieb auf dem richtigen Server eine neue Bezeichnung vorgeben. Dabei sollte natürlich der bisherige Hostname des jetzigen Test-PIs "raspi3" nicht verändert werden, weil später der richtige Server ja eben noch andere Aufgaben hat, die den alten Namen verwenden. Und das Mailgeschäft ist ja nur eine neue, weitere Tätigkeit.

Also, kurzum, es ist mir gelungen, den Hostnamen zu belassen wie er war, aber dovecot auf "toms.maildomain.org" umzustellen. Das funktioniert auch soweit gut. Mein Problem ist nun die "ICANN" und auf die eigentliche Problematik bin ich hier aufmerksam geworden:
http://serverfault.com/questions/17255/ ... te-network

Wenn ich das richtig verstehe, muss man schon aufpassen, dass man keine TLD ".lan" oder ".local" verwendet, weil das schon durchaus Konflikte zu bestehenden TLDs oder sogar leaks ins eigene Netz verursachen könnte. Allerdings bin ich mit der technischen Einschätzung und der tragweite möglicher Probleme ein wenig überfordert. Ich weiss auch nicht, ob meine Änderung "toms.maildomain.org" überhaupt in einer versendeten Mail enthalten ist. Auf diese Problematik bin ich dann hier aufmerksam geworden:
https://www.dovecot.org/list/dovecot/20 ... 05284.html

Die Frage ist, wie kriege ich das hin, dass ich lokale Konflikte mit "localhost.localdomain" vermeide und stattdessen dafür gerne meine eigene Pseudo-Domain benennen würde? Gleichermaßen darf diese Pseudo-Domain natürlich nicht unser Haus verlassen.... nachher hagelt es noch Unterlassungsklagen oder kostenpflichtige Abmahnungen oder gar Schadenersatzklagen. Wie ist das bei Dir geregelt?

[scientific]

Also, ich hab in der Tat eine echte registrierte Domain...

Die hat auch einen offiziellen Mailserver vom Hoster laufen.

Mein privater Rechner heißt schlicht aldebaran. Kein local oder localdomain... Nur aldebaran.

Im LAN ist er über zeroconf bzw. systemd als aldebaran.local erreichbar.

Das Umschreiben lokaler Mailadressen erfolgt beim Postausgang in exim. Das wird dort über /etc/email-adresses geregelt.
Da ich als Absender ja die originalen Mailadressen von gmx, gmail & Co schon in Thunderbird über dessen Identitäten verwende, muss exim nur mehr jene Mails umschreiben, die per bsd-mailx von der commandline bzw von Thunderbird vom account direkt (ohne weitere Identität also jakob@localhost)versendet werden.

Über /etc/email-addresses kannst du als Standardabsender auch eine z. B. Gmail-adresse festlegen.

Wie das mit postfix geht, weiß ich mangels Erfahrung, nicht.

[TomL]

Also, ich hab in der Tat eine echte registrierte Domain...

Ja, die habe ich natürlich auch.... ich glaube, ich hatte das schon mal erwähnt. Selbstverständlich habe ich auch überhaupt keine Bedenken, die für meine namentlich personifizierten EMail-Adressen zu verwenden.... und da ist das auch überhaupt kein Problem. Ich habe mich jetzt mal ein wenig mit dem Mail-Header beschäftigt und mal verglichen, wie sich die "Beipack-Information" der Mail unterscheidet, wenn ich sie via TB direkt bei GMX absende oder mit gleichem Account via Postfix.... *hmmm*... mannomann ist das kompliziert, und es gibt tatsächlich Unterschiede. Ich bin noch nicht dahinter, wer wann diese Meta-Informationen in die Mail einfügt, aber sie sind halt da. Einiges habe ich sogar schon abschalten können.

Letzen Endes kommts mir darauf an, wenn ich eine Fakeadresse verwende, weil ich mich irgendwo in nem Forum für 'ne Einmalsache anmelde oder an anderer Stelle um Zusendung von Informationsmaterial bitte, dann will ich natürlich nicht, dass irgendwie im Header verborgen doch wieder alles auf meine Domain hinweist. Dabei gehts mir noch nicht mal um die Empfänger, weil von denen die meisten vermutlich eh keine Ahnung haben, wie man da reinschaut, und vermutlich haben sie noch weniger Interesse. Mir gehts hierbei eher um die hinterlassenen Spuren, die diejenigen, die die entsprechenden Mittel und Kenntnisse und das Interesse haben, die diese Spuren einfach maschinell auf einen Punkt zusammenführen können. OK, das Fazit dazu stelle ich erst mal nach hinten... da fehlen mir noch weitere Informationen.

Aber ich habe noch eine weitere Frage, die mir gestern in den Sinn gekommen ist. Dabei gehts um mein künftiges Backup-Konzept. Hat die grundsätzliche Verwendung von IMAP einen positiven lokalen Storage-Effekt? Mir ist schon klar, wenn ich nur die Header runterladen würde, wäre die Frage schon beantwortet, aber ich habe immer die Vorschau aktiv... das heisst, beim Scrollen wird die Mail auf jeden Fall runtergeladen. Darüber hinaus habe ich den TB-Junkfilter aktiviert. Das bedeutet, der Filter kann ja nur mit dem Header auch nix richtiges anfangen und muss die Mail zur Analyse also auch erst mal runterladen. Aber die Kernfrage ist, welche Auswirkung hat hier IMAP? Bleibt die Mail anschliessed lokal im TB-Maildir gespeichert oder wird sie -weils ja eigentlich IMAP ist- lokal nur kurz für den Viewer temporär im Cache gespeichert? Weisst Du da mehr zu?

[scientific]

Puh...
Ich hab btrfs und arbeite sehr intensiv mit Subvolumes... Und die lokalen Imap-Ordner werden da schon mal einige GB groß...
Überlege grad, dieses Verzeichnis in ein Subvolume auszulagern, und dieses vom backup auszunehmen. Schließlich brauch ich die Daten nicht doppelt.
Beim Backup mit rsync kannst du ja auch exclude-Regeln definieren... Schließ den Imap-Folder einfach per regex aus...

Muss es selbst aber erst testen, bevor ich definitiv dazu was sagen kann.

Lg scientific

[TomL]

Beim Backup mit rsync kannst du ja auch exclude-Regeln definieren... Schließ den Imap-Folder einfach per regex aus...

Örrrrgs... so ein Bullshit... ... ist natürlich völlig klar, das man SELBER NICHT auf die einfachsten und perfekt funktionierenden Lösungen kommt. ...wie heisst es so schön...?... da habe ich wohl vor lauter Walt keine Beume geseen.

Na klar... genau das ist die Lösung

[TomL]

Hi scientific

Ich muss zugeben, dass diese Baustelle für mich wirklich mit Abstand die bisher größte und umfangreichste Linux-Baustelle war. Soviele Fragen und soviele fehlenden Anworten.... ein Puzzle mit wirklich vielen Teilen....

Ziel ist es für mich, später meinen eigenen echten Mailserver ans Netz zu kriegen, um von Google & Co loszukommen... Da bin ich zwar noch ein Stück entfernt, aber ich nähere mich Schritt für Schritt.... Ich möchte das dann auch für Menschen in meiner Umgebung, die mir wichtig sind, etablieren...

Wenn ich das richtig verstehe, ist Dein IMAP-Server derzeit auch noch nicht vom Internet erreichbar. Und genau dieser Absatz hat mir ein neues Problem beschert. Denn der eine Aspekt ist gleich, es ist auch bei mir eine lokale Lösung ohne Anbindung ans Internet, aber der zweite Aspekt wirft ein Problem auf, denn die Familie soll das lokal schon jetzt nutzen können. Deswegen wollte ich Dich noch mal fragen, wie Du mit einem daraus enstehenden speziellen Problem umgehst.

Bei mir ist es so, dass mein Server per POP die ISP-Mail-Provider leerzieht.... bzw. leerziehen würde, wenn ich ein zyklisches Polling einrichten würde. Das "Leerziehen" ist eine Prämisse, ich will keine sich langjährig ansammelnden und möglicherweise persönliche sensible Daten im Internet.... also POP'pen. Nur entsteht daraus ein neues Problem. Bin ich unterwegs, kann ich die Mails nicht einsehen, weil die Mobilgeräte nur ein ISP-IMAP machen, aber der Home-IMAP die ISP-Server vielleicht gerade leer gepollt hat. Ich vermute mal, dass Dein IMAP-Server ebenfalls nicht Datenredundant zu den ISP-Serven ist.... weil... dann könnte man sich den Home-Server ja sparen und direkt bei den ISP-Mailern IMAP'en. Also müsstest Du doch auch dieses Problem haben. Wie hast Du das gelöst, dass der Home-Imap bei Anmeldung aktuell ist, aber das bis dahin die Mobil-Clients beim ISP-Mailprovider Daten/Mails vorfinden?

[scientific]

Hi scientific

Ich muss zugeben, dass diese Baustelle für mich wirklich mit Abstand die bisher größte und umfangreichste Linux-Baustelle war. Soviele Fragen und soviele fehlenden Anworten.... ein Puzzle mit wirklich vielen Teilen....

Ziel ist es für mich, später meinen eigenen echten Mailserver ans Netz zu kriegen, um von Google & Co loszukommen... Da bin ich zwar noch ein Stück entfernt, aber ich nähere mich Schritt für Schritt.... Ich möchte das dann auch für Menschen in meiner Umgebung, die mir wichtig sind, etablieren...

Wenn ich das richtig verstehe, ist Dein IMAP-Server derzeit auch noch nicht vom Internet erreichbar. Und genau dieser Absatz hat mir ein neues Problem beschert. Denn der eine Aspekt ist gleich, es ist auch bei mir eine lokale Lösung ohne Anbindung ans Internet, aber der zweite Aspekt wirft ein Problem auf, denn die Familie soll das lokal schon jetzt nutzen können. Deswegen wollte ich Dich noch mal fragen, wie Du mit einem daraus enstehenden speziellen Problem umgehst.

Bei mir ist es so, dass mein Server per POP die ISP-Mail-Provider leerzieht.... bzw. leerziehen würde, wenn ich ein zyklisches Polling einrichten würde. Das "Leerziehen" ist eine Prämisse, ich will keine sich langjährig ansammelnden und möglicherweise persönliche sensible Daten im Internet.... also POP'pen. Nur entsteht daraus ein neues Problem. Bin ich unterwegs, kann ich die Mails nicht einsehen, weil die Mobilgeräte nur ein ISP-IMAP machen, aber der Home-IMAP die ISP-Server vielleicht gerade leer gepollt hat. Ich vermute mal, dass Dein IMAP-Server ebenfalls nicht Datenredundant zu den ISP-Serven ist.... weil... dann könnte man sich den Home-Server ja sparen und direkt bei den ISP-Mailern IMAP'en. Also müsstest Du doch auch dieses Problem haben. Wie hast Du das gelöst, dass der Home-Imap bei Anmeldung aktuell ist, aber das bis dahin die Mobil-Clients beim ISP-Mailprovider Daten/Mails vorfinden?

Ich kann meinen Mailserver sehr wohl schon ans Netz lassen. Hab sogar schon einen MX-URL dafür eingerichtet. Jedoch hab ich im Router daheim die Ports noch gesperrt.

Ich ziehe mir die Mails von den Mailprovidern per fetchmail und teilweise POP, teilweise IMAP.
Meinen gesamten Mailbestand habe ich am Mailserver, sobald der Laptop läuft und alle Mails abgeholt hat. Leider hat meine Muse bisher noch nicht für einen Raspi o.ä. gereicht, der dauerhaft am Netz hängt, und den ich als Mailserver verwende... Und mein Laptop hängt nicht dauernd am Netz.
Daher habe ich derzeit noch am Smartphone alle (wichtigen) Mailaccounts bei allen Providern eingetragen und rufe sie dort per IMAP ab. Mit der Verzögerung des fetchmail-Intervalls hab ich dann die Emails auch am Laptop (Mailserver und auch Thunderbird - die ja auf der selben Maschine laufen).
Das stört mich auch nicht wirklich - daher hab ich noch nichts weiter unternommen in Richtung eigener Mailserver auf einem eigenen Gerät.

Das was allerdings wirklich ein Problem ist, ist Gmail. Dort rufe ich die Emails per Pop3 ab, belasse die Emails aber am Server. Lese ich ein Email am Handy in Gmail, bevor es von Fetchmail abgeholt wurde, passiert es immer wieder, dass dieses gelesene Email nicht mehr abgeholt wird... Mit den aktuellen Pop3-Einstellungen klappt das aber mittlerweile. Zumindest hab ich nix gegenteiliges seit längerem beobachtet. Aber ich trau diesem Frieden nicht ganz.

Von Zeit zu Zeit lösche ich dann ältere Emails per Webmail bei den Providern - damit eben keine solchen Datensammlungen auf Rechnern entstehen, die nicht unter meiner Kontrolle sind.

Ich hab sogar eine Zeitlang ein Setup eingerichtet gehabt, wo ich sogar eine Mailingliste mit mailman betrieben habe. Die Website war natürlich für die User nicht zu erreichen. Aber das Anmelden, Abmelden und auch der Versand funktionierte mit dem gesplitteten Setup, dass der eigentliche Smarthost mit der korrekten Absenderadresse nicht der Mailserver ist, vo die Emails erzeugt werden. Das war eine ziemlich tricky Aufgabe...

Mangels derzeitigem Bedarf an einem Newsletter hab ich dieses Setup aber wieder verworfen (sollte aber einfach wieder zu rekonstruieren sein).

lg scientific

[scientific]

Ich hab jetzt ein anderes Phänomen entdeckt...
In dovecot habe ich ssl auf required gesetzt. Ich möchte keine unverschlüsselte Verbindung haben.

Stelle ich in Thunderbird als Verschlüsselung STARTTLS oder SSL/TLS ein, klappt die Verbindung. Im dovecot-log wird ssl als Verbindungssicherheit angezeigt.

Wähle ich aber in TB "keine Verschlüsselung" aus, wird dennoch eine ssl-verschlüsselte Verbindung auf Port 25 aufgebaut...
Ich hätte eher eine Ablehnung der Verbindung erwartet...

Das finde ich seltsam.

Lg scientific

[TomL]

In dovecot habe ich ssl auf required gesetzt. Ich möchte keine unverschlüsselte Verbindung haben.

Stelle ich in Thunderbird als Verschlüsselung STARTTLS oder SSL/TLS ein, klappt die Verbindung. Im dovecot-log wird ssl als Verbindungssicherheit angezeigt.
Wähle ich aber in TB "keine Verschlüsselung" aus, wird dennoch eine ssl-verschlüsselte Verbindung auf Port 25 aufgebaut...
Ich hätte eher eine Ablehnung der Verbindung erwartet...

Das Posting ist jetzt einigermaßen irritierend... einerseits testest Du mit Thunderbird, andererseits bringst Du Dovecot in Zusammenhang mit Port 25.... das passt -soweit ich die Komponenten verstanden habe- irgendwie alles nicht so recht zusammen.

Also zunächst mal das Backend "Thunderbird". Ich glaube, dass die Einstellung "Unverschlüsselt" keine explizite Vorgabe ist, sondern nur eine weitere Erlaubnis. Das heisst, TB sollte eigentlich -wenn der Server das unterstützt- immer verschlüsselt arbeiten... aber mit dieser Einstellung "Unverschlüsselt" ist es Thunderbird auch erlaubt, eine unverschlüsselte Verbindung einzugehen, wenn der Server eben nur unverschlüsselt zulässt. Im anderen Fall müsste Thunderbird eine solche Verbindung imho ablehnen.

Das zweite ist, Du nennst den IMAP-Server in einem Atemzug mit dem MTA-Port 25.... das passt imho auch nicht. Wenn Du die TLS-Verschlüsselung zum IMAP-Server testen möchtest, verwendest Du Port 143. Wenn Du die Verschlüsselung zum MTA testen willst, prüfst Du Port 25. Beides geht imho nicht über Thunderbird, weil der meiner Meinung nach immer TLS verwendet, wenn das angeboten wird.

Ich habe bei mir beide Verbindungen einzeln via "telnet" gecheckt. Und bei keinem war der Versuch eines unverschlüsselten Connects erfolgreich. Sowohl IMAP schmeisst mich sofort raus, ebenso der MTA. Aber wie ich schon vorher sagte, das Thema ist dermaßen komplex, da besteht natürlich immer auch an 1000 und mehr Stellen die Gefahr, etwas völlig falsch zu interpretieren.

J.m.2.c.

[scientific]

Hab den falschen Port geschrieben. Aber eh den richtigen verwendet. 143 ist der.

Ja das Thema ist echt extrem komplex. Und das ist auch der Grund, warum ich noch nicht vom Netz erreichbar bin mit dem Mailserver...

Ich verwende übrigens authentifiziertes IMAP und SMTP. Dabei lasse ich exim über ein Unix-Socket auf den Auth-Mechanismus von dovecot zugreifen... Und in dovecot kann ich dann an einer Stelle die Benutzerverwaltung konfigurieren - die Momentan /etc/passwd bzw shadow ist.

Das hab ich jetzt so neu gemacht, als ich mich durch diese Diskussion wieder mal bemüsigt gefühlt habe, meinen Mailserver zu überarbeiten.

Lg scientific

[TomL]

Hab den falschen Port geschrieben. Aber eh den richtigen verwendet. 143 ist der.

Probiere einfach, ob Du Dich via Telnet mit den Ports 25 und 143 verbinden kannst. Wenn nicht, ist imho alles gut. Beim mir klappt die Verbindung nur via Openssl. Übrigens, Du hast schon mehrfach auf den authentifizerten IMAP/MTA-User hingewiesen.... das ist bei mir natürlich ebenfalls implementiert. Bei mir werden alle unautorisierten Sende-Emails rejected, dovecot läst eh keinen unautorisierten Benutzer rein.

Aber was mir viel mehr Sorgen bereitet, ist der Umstand, dass ich immer noch das Gefühl eines "umfassenden Kontrollverlustes" habe. Das, worüber wir gerade gesprochen haben, ist ja NUR die Traffic-Verschlüsselung... was z.B. bei einem unsicheren oder unseriösen Hotspot relevant ist. Im Moment des LAN-Internen Betriebs bei mir ist das natürlich völlig unkritisch... da ist alles gut. Aber die Anwendung ist so klasse, dass ich jetzt auch erwäge, nach einer 2-3 monatigen Testphase den Zugriff vielleicht doch auch vom Internet zu ermöglichen. Ich würde dazu im Router irgendwelche (zwei) Ports oberhalb von 60000 öffnen und diese dann auf die Server-Ports 25 und 143 forwarden. Das "wissen" dann nur unsere Clients, die sich dann mit ihrem Email-Client explizit über diese Ports verbinden würden. Damit würde ich vielleicht schon ein gewisses vom WWW kommendes Grundrauschen (Standard-Attacken) eliminieren.... *hmmmm*... aber dennoch, lediglich die in der UserDB in Dovecot und Postfix hinterlegten Anmeldenamen und deren Passwörter stehen zwischen Integer und Kompromittiert des Servers. Und dann ist da immer der Gedanke im Kopf, wie einfach ich mich hier via Openssl verbinden und irgendwelche Kommandos absetzen kann. Wenn das von außen auch so einfach geht... ?... irgendwie bin ich darüber mangels Sachkenntnis nicht nur total erschrocken, sondern fast mutlos, dass überhaupt einzurichten.