Einstieg in das Thema Mailserver

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Einstieg in das Thema Mailserver

Beitrag von EEK » 24.07.2017 12:50:22

Hallo zusammen,

ich beschäftige mich jetzt schon eine Weile mit Linux. Um mich auch mal in den „Server-Bereich“ von Linux weiterbilden, habe ich mir zu Hause mit CUPS einen Printserver aufgesetzt. Als nächstes will ich mir jetzt einen eigenen Webserver einrichten. Dazu habe ich mir einen Linux VServer angemietet.
Dass das Thema komplex ist, war mir schon klar. Aber das die Suche nach Infos, Tutorials und/oder Bücher so schwierig ist, hätte ich dann doch nicht erwarte.
Alles was ich gefunden habe ist entweder knapp 10 Jahre alt, oder extrem oberflächlich.

Habt ihr irgendwelche Empfehlungen, wie man das ganze am besten angeht?
Auch wenn es auch aus dem Jahre 2008 ist, kennt jemand dieses Buch und falls ja, ist es zu empfehlen?
http://www.postfixbuch.de/

Danke im Voraus!

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Einstieg in das Thema Mailserver

Beitrag von scientific » 24.07.2017 13:01:30

Ich würd mir an deiner Stelle einmal überlegen, was GENAU du haben willst.
Hast du eine eigene Domain?
Willst du einen Mailserver, der von mehreren Accounts bei anderen Providern die Emails abholt, damit du sie an einer Stelle gesammelt hast und z.B. per Webmail oder Handy oder Thunderbird von einem PC aus zugreifen kannst?
Oder willst du einen Mailserver der emails an EEK@domainvoneek.example entgegennimmt und emails von dieser Adresse/Domain verschicken kann, und keine weiteren Mailaccounts bedient?
Oder willst du eine Kombination der beiden vorgenannten Punkte?

Wenn du einen Mailserver betreiben willst, MUSST du dir unbedingt Gedanken zum Thema SPAM, Erreichbarkeit von Außen, Absicherung durch Verbindungssicherheit über TLS und Login beim Versenden (SMTP) machen.

Willst du IMAP oder POP3 oder beides anbieten?

Wer soll Zugriff auf diesen Mailserver bekommen?

Wenn du einfach mal nur probieren willst, dann würd ich nur lokal einen Mailserver aufsetzen, der nur im LAN oder überhaupt nur über localhost erreichbar ist.

Zum Spielen über öffentlich zugängliche Mailserver ist das Thema zu heikel. Zu schnell hat ein Spammer deine Kiste gekapert, ohne dass du es überhaupt merkst... Ja, auch mit Linux.

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: Einstieg in das Thema Mailserver

Beitrag von EEK » 24.07.2017 14:02:11

Ziel ist es einen Mailserver einzurichten, der Mails an EEK@domainvoneek.exampel entgegennimmt.
Nein, eine eigene Domian habe ich noch nicht. Und bevor ich mich nicht etwas besser damit auskenne, also weiß, ob es überhaupt Sinn macht das ganze anzugehen, werde ich mir auch keine registrieren.
Ob IMPAP und/oder POP3 hab ich mir ehrlich gesagt noch keine Gedanken gemacht. Ich weiß zwar was beides ist, hab damit aber nur Erfahrung aus Anwendersicht.
Der Zugriff soll nur für mich (höchstens noch meine Freundin) sein, und auch hier entweder nur vorübergehen (also nach dem das ganz läuft wieder löschen) oder maximal um die Mail-Adresse für „Spam“ zu benutzten. Also nicht damit ich Spam verschicken kann, sondern für Portale… die mir dann eh nur Spam schicken.
Aber um das ganze vielleicht ein bisschen abzukürzen: Macht es überhaupt Sinn, "nur" für den Lerneffekt einen „richtigen“ Mail-Server aufzusetzen?

VG,
EEK

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Einstieg in das Thema Mailserver

Beitrag von scientific » 24.07.2017 14:13:10

EEK hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 14:02:11
Ziel ist es einen Mailserver einzurichten, der Mails an EEK@domainvoneek.exampel entgegennimmt.
Nein, eine eigene Domian habe ich noch nicht. Und bevor ich mich nicht etwas besser damit auskenne, also weiß, ob es überhaupt Sinn macht das ganze anzugehen, werde ich mir auch keine registrieren.
Ob IMPAP und/oder POP3 hab ich mir ehrlich gesagt noch keine Gedanken gemacht. Ich weiß zwar was beides ist, hab damit aber nur Erfahrung aus Anwendersicht.
Der Zugriff soll nur für mich (höchstens noch meine Freundin) sein, und auch hier entweder nur vorübergehen (also nach dem das ganz läuft wieder löschen) oder maximal um die Mail-Adresse für „Spam“ zu benutzten. Also nicht damit ich Spam verschicken kann, sondern für Portale… die mir dann eh nur Spam schicken.
Aber um das ganze vielleicht ein bisschen abzukürzen: Macht es überhaupt Sinn, "nur" für den Lerneffekt einen „richtigen“ Mail-Server aufzusetzen?

VG,
EEK
Das würd ich dann - wie schon gesagt - zu Testzwecken am lokalen Rechner ausprobieren und spielen. Und so, dass es von außen nicht erreichbar ist. Kannst dir ja auch eine kleine VM installieren, die ausschließlich einen Mailserver konfiguriert hat und diese headless starten und mit ssh administieren. Dann hast du auch gleich eine gute Übung, wenn du einen Mailserver mal bei einem Hoster am Server laufen hast.

Für reinen SPAM würde ich mir eine Fundomain-Mailadresse zulegen - oder mehrere. Dann kannst du auch gleich schauen, welcher Anbieter so deine Email-Adresse weitergibt... Wenn du funnyfuzzi@lustigedomain.example bei einem einzigen Mailinglisten-Anbieter registrierst, und du bekommst plötzlich lustigen Spam auf diese Adresse, weißt du, wer diese weitergegeben hat...

gmx bietet solche Fundomains als Alias zu einem "normalen" Account an. Was ein Mail-Alias ist, solltest du - gerade wenn du dich mit dem Thema Mailserver beschäftigst - wissen, oder in Erfahrung bringen.
;-)

Das Thema ist übrigens WIRKLICH umfangreich. Ich beschäftige mich schon seit vielen Jahren mit dem Betrieb eines eigenen Mailservers, und habe seit knapp 6 Jahren einen am Laptop laufen. Und ich muss gestehen, dass sich jetzt erst langsam die Nebel lüften... exim4 als Standard-SMTP-Server für Debian und dovecot sind nicht so einfach zu konfigurieren. Ob spamassassin, bogofilter oder eine andere Antispam-Maßnahme die bessere ist, und wie sie zu verwenden sind, ist auch nicht so einfach. In Kombination mit Exim...

Die Anleitungen sind in der Tat veraltet oder nur Blitzlichter auf Teilbereiche.

Daher hab ich gerade angefangen, meine Konfiguration in meinem Blog zu erläutern, wie ich sie warum so aufgebaut habe. Und ich hoffe während dieser Dokumentation noch die letzten Erkenntnislücken stopfen zu können... :)

Wenn ich mal soweit bin, poste ich hier gerne die URL.

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Benutzeravatar
TRex
Moderator
Beiträge: 8040
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Einstieg in das Thema Mailserver

Beitrag von TRex » 24.07.2017 14:18:57

Mit Sicherheit, du wirst viel lernen, und zwar über einige Themengebiete hinweg.

* DNS/MX Records (wie findet ein anderer Mailserver denn heraus, dass er die Mail an deinen Server schicken muss)?
* Postfix (allein das selbst zu bastelnde Regelwerk, da kannst du mit copy-pasta anfangen und dich dann an was eigenes rantasten)
* Kommunikation innerhalb, also SMTP zu LMTP, bis es dann in deinem Postfach landet und von dort mit dem IMAP/POP3 Server zur Verfügung gestellt wird
* Optionale Filterung durch spamassassin und Konsorten

Gerade was das Regelwerk anbelangt, führt eine kleine unverstandene Änderung zu großen Effekten, und ist ohne automatisierte Tests schwer zu kontrollieren (zu viele Eingangsvariablen, um sich das alles im Kopf zu halten). Falls es noch nicht klar ist, ich rede von den *_restrictions Einstellungen. Und weil das da so einfach zu verhageln ist, ist die Grundeinstellung zu "Hi, ich bin neu bei Linux, ich hab da mal nen Mailserver eingerichtet" so feindselig. Mach das darum zuhause auf einer VM, wo außer dir keiner rankommt.

Ich hab übrigens wie scientific auch meinen eigenen Mailserver dokumentiert und mir tatsächlich (weil ich einfach sicher gehen wollte) automatisierte Tests gebastelt (mit swaks[0]).

[0] http://www.jetmore.org/john/code/swaks/
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: Einstieg in das Thema Mailserver

Beitrag von EEK » 24.07.2017 14:26:26

Das mit dem lokalen Rechner ist eigentlich gar keine schlechte Idee. Dafür könnte ich einen meiner Raspberry Pis „missbrauchen“. So wie sich das Ganze aber anhört, und es scheinbar keine guten/aktuellen Infos gibt, denke ich ist es fürs erste sinnvoller mich erstmal mit anderen Server-Themen zu beschäftigen. Die URL könntest du aber trotzdem posten wenn du soweit bist. Vielleicht versuche ich es dann ja doch noch mal.

Grundsätzlich brauche ich keine Mail-Adresse für SPAM bzw. habe ich dafür eine. Es ging mir nur darum, dass wenn ich es mir schon „antue“ einen Mailserver aufzusetzen, ich ihn zumindest dafür nutzen könnte ;-)

Danke jedenfalls für deine Antworten!

VG,
Josef

TomL

Re: Einstieg in das Thema Mailserver

Beitrag von TomL » 24.07.2017 14:30:02

EEK hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 14:02:11
Der Zugriff soll nur für mich (höchstens noch meine Freundin) sein, und auch hier entweder nur vorübergehen (also nach dem das ganz läuft wieder löschen) oder maximal um die Mail-Adresse für „Spam“ zu benutzten. Also nicht damit ich Spam verschicken kann, sondern für Portale… die mir dann eh nur Spam schicken.
Aber um das ganze vielleicht ein bisschen abzukürzen: Macht es überhaupt Sinn, "nur" für den Lerneffekt einen „richtigen“ Mail-Server aufzusetzen?
Ja, das macht absolut Sinn, und nicht nur zum Lernen aufsetzen, sondern anschließend auch produktiv für den Familiekreis einzusetzen. Aber anstatt auf einem gemieteten VServer kann man das kostengünstiger und sicherer zu Hause betreiben und betreuen. Allerdings sind dabei alle die Punkte zu beachten, die meine Forumskollegen schon erwähnt haben.... damit eben Deine Daten geschützt bleiben und Dein Server nicht gekapert werden kann.

Und die Raspi's sind perfekt dafür geeignet....... und ja, es gibt auch brauchbare Infos.....

Benutzeravatar
TRex
Moderator
Beiträge: 8040
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Einstieg in das Thema Mailserver

Beitrag von TRex » 24.07.2017 14:35:10

Jo, was du aber nicht daheim machen kannst, ist das Teil als MX-Server betreiben. Was das ist, darfst du selbst rausfinden :)
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: Einstieg in das Thema Mailserver

Beitrag von EEK » 24.07.2017 14:39:50

TomL hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 14:30:02
EEK hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 14:02:11
Der Zugriff soll nur für mich (höchstens noch meine Freundin) sein, und auch hier entweder nur vorübergehen (also nach dem das ganz läuft wieder löschen) oder maximal um die Mail-Adresse für „Spam“ zu benutzten. Also nicht damit ich Spam verschicken kann, sondern für Portale… die mir dann eh nur Spam schicken.
Aber um das ganze vielleicht ein bisschen abzukürzen: Macht es überhaupt Sinn, "nur" für den Lerneffekt einen „richtigen“ Mail-Server aufzusetzen?
Ja, das macht absolut Sinn, und nicht nur zum Lernen aufsetzen, sondern anschließend auch produktiv für den Familiekreis einzusetzen. Aber anstatt auf einem gemieteten VServer kann man das kostengünstiger und sicherer zu Hause betreiben und betreuen. Allerdings sind dabei alle die Punkte zu beachten, die meine Forumskollegen schon erwähnt haben.... damit eben Deine Daten geschützt bleiben und Dein Server nicht gekapert werden kann.

Und die Raspi's sind perfekt dafür geeignet....... und ja, es gibt auch brauchbare Infos.....

Den VServer hab ich mir deshalb angemietet, weil mir schon klar war, dass das ganze Sicherheitstechnisch schnell in die Hose gehen kann. Lieber wird mein VServer/Mailserver gehackt, also dass mein Server/Mailserver in meiner Wohnung gehackt wird, und der Angreifer dadurch auch noch zu Hause in meinem Netzwerk ist.

Benutzeravatar
TRex
Moderator
Beiträge: 8040
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Einstieg in das Thema Mailserver

Beitrag von TRex » 24.07.2017 14:55:53

Das ist normalerweise nicht die Art, wie die Teile "gehackt" werden.

Wenn der Server mit 100mbit/s Mails von jedem durchlässt, dann hast du damit ne Spamschleuder geschaffen. Und jetzt, wo du das so unwissend von dir gibst, bin ich auch der Meinung, dass du den Server bitte nicht mit Postfix oder was anderem auf Port 25 lauschendem bestückst, sondern ihn bitte wieder kündigst, der Allgemeinheit zuliebe.

Angst vor exploits solltest du haben, wenn du nen Webserver mit PHP und Software wie wordpress betreibst. Die sperrt man aber auch innerhalb des Servers in containern weg.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: Einstieg in das Thema Mailserver

Beitrag von EEK » 24.07.2017 15:07:22

TRex hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 14:55:53
Wenn der Server mit 100mbit/s Mails von jedem durchlässt, dann hast du damit ne Spamschleuder geschaffen. Und jetzt, wo du das so unwissend von dir gibst, bin ich auch der Meinung, dass du den Server bitte nicht mit Postfix oder was anderem auf Port 25 lauschendem bestückst, sondern ihn bitte wieder kündigst, der Allgemeinheit zuliebe.
Aha! Dass ich von Mailsevern keine Ahnung habe, gebe ich gerne zu. Deshalb bin ich aber noch lange nicht unfähig und muss den VServer der Allgemeinheit zu liebe wieder kündigen.

Benutzeravatar
TRex
Moderator
Beiträge: 8040
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Einstieg in das Thema Mailserver

Beitrag von TRex » 24.07.2017 15:28:48

Du verstehst aber meine Bauchschmerzen, die ich mit deinem Ansatz habe, oder? Ich hab auch an keiner Stelle behauptet, dass du unfähig seist. Aber bitte lerne das Setup von Mailservern nicht auf einer öffentlich erreichbaren VM.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Einstieg in das Thema Mailserver

Beitrag von scientific » 24.07.2017 15:32:51

EEK hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 15:07:22
TRex hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 14:55:53
Wenn der Server mit 100mbit/s Mails von jedem durchlässt, dann hast du damit ne Spamschleuder geschaffen. Und jetzt, wo du das so unwissend von dir gibst, bin ich auch der Meinung, dass du den Server bitte nicht mit Postfix oder was anderem auf Port 25 lauschendem bestückst, sondern ihn bitte wieder kündigst, der Allgemeinheit zuliebe.
Aha! Dass ich von Mailsevern keine Ahnung habe, gebe ich gerne zu. Deshalb bin ich aber noch lange nicht unfähig und muss den VServer der Allgemeinheit zu liebe wieder kündigen.
Das was TRex hier etwas deutlicher formuliert hat, hab ich weiter oben ebenfalls schon anklingen lassen...

Wenn du wie die Jungfrau mit dem eigenen Kind im Arm an deinem öffentlich zugänglichen Mailserver hantierst, dann wirst du - ohne es zu wissen - schnell mal eine Spamschleuder daraus gemacht haben. Und damit das nicht passiert, solltest du dich zuerst in einer "geschützten Werkstätte", also einen bloß im LAN zugänglichen Mailserver auf einem Raspi, wie von @TomL vorgeschlagen, oder am eigenen Rechner direkt oder mittels VM mit den Techniken vertraut machen. Konfigurationen ausprobieren, Serverdienste (exim oder postfix, dovecot oder cyrus, getmail oder fetchmail...) testen, mit welchen Konfigurationen du am besten zurechtkommst, TLS checken, eigene CA einrichten, eigene Zertifikate ausstellen usw. usf.

Erst wenn du dir WIRKLICH sicher bist, dass du einen Mailserver WIEDERHOLT so aufsetzen kannst, dass der nicht von außen als Spamschleuder mißbraucht werden kann, oder mit Leichtigkeit geknackt werden kann, DANN erst ist es klug darüber nachzudenken, Geld für einen vserver auszugeben und das Teil öffentlich zugänglich zu machen.

Mein Tipp: Lasse außschließlich TLS-Verbindungen zu (SMTP, POP, IMAP) und erlaube SMTP ausschließlich für authentifizierte User. In der Standardkonfiguration von Exim ist immer beides möglich. Sowohl gesicherte als auch ungesicherte Verbindungen aber auch unauthentifiziertes Senden von Emails... (wenn ich das jetzt richtig im Kopf habe).

Wie du in Exim nur erlaubten Usern nach erfolgreicher Authentifizierung das Senden von Emails erlaubst und allen anderen verbietest, und wie du deine Verbindung mit TLS oder STARTTLS absicherst, ist wirklich am Besten, wenn du es selber rausfindest... Nur so lernst du die notwendigen Grundlagen.

Und mein Hinweis: Es ist wirklich aufwändig, kompliziert und komplex. Du musst dich mit extrem vielen Gebieten auseinandersetzen, damit du bloß eine TLS-gesicherte Verbindung mit authentifizerten Usern zum Senden hinkriegst.

Du musst dich entscheiden, wie die Authentifzierung stattfinden soll. Mit PAM, für den IMAP/POP-Server und den SMTP-Server getrennt oder über einen Connector, ob lokale Unix-User oder nur Accounts aus einer Datenbank... und und und... Und wie das alles zusammenhängt.

Machst du hier auch nur marginal aussehende Fehler, ist dein Mailserver offen wie ein offenes Scheunentor, und du hast schon wieder eine potentielle Spamschleuder.

Daher auch TRex Hinweis, dass du besser zum Wohle der Allgemeinheit (und zur Schonung deines eigenen Geldbeutels) den vServer wieder kündigst und daheim eine Spielwiese aufbauen solltest...

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: Einstieg in das Thema Mailserver

Beitrag von EEK » 24.07.2017 15:44:47

TRex hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 15:28:48
Du verstehst aber meine Bauchschmerzen, die ich mit deinem Ansatz habe, oder? Ich hab auch an keiner Stelle behauptet, dass du unfähig seist. Aber bitte lerne das Setup von Mailservern nicht auf einer öffentlich erreichbaren VM.
Ja, verstehe ich. Aber scheinbar hast du nicht gelesen, dass mein Plan eh war, den Mailserver nach dem Aufsetzten gleich wieder zu löschen. Oder höchstens (falls es doch sicher läuft) als "SPAM-Grab" zu nutzen.
Ich habe auch nicht behauptet, dass Mailserver ständig gehackt werden. Das einzige was ich gesagt habe war, wenn es passiert, hab ich das lieber auf nem Server im Rechenzentrum (das hoffentlich überwacht wird) und ich hier nur auf nen Button mit "Bitte Server komplett neuaufsetzen" klicken muss, also bei mir zu Hause wo ich es vielleicht Wochenlang gar nicht mitbekomme.

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: Einstieg in das Thema Mailserver

Beitrag von EEK » 24.07.2017 15:54:33

scientific hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 15:32:51
EEK hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 15:07:22
TRex hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 14:55:53
Wenn der Server mit 100mbit/s Mails von jedem durchlässt, dann hast du damit ne Spamschleuder geschaffen. Und jetzt, wo du das so unwissend von dir gibst, bin ich auch der Meinung, dass du den Server bitte nicht mit Postfix oder was anderem auf Port 25 lauschendem bestückst, sondern ihn bitte wieder kündigst, der Allgemeinheit zuliebe.
Aha! Dass ich von Mailsevern keine Ahnung habe, gebe ich gerne zu. Deshalb bin ich aber noch lange nicht unfähig und muss den VServer der Allgemeinheit zu liebe wieder kündigen.
Das was TRex hier etwas deutlicher formuliert hat, hab ich weiter oben ebenfalls schon anklingen lassen...

Wenn du wie die Jungfrau mit dem eigenen Kind im Arm an deinem öffentlich zugänglichen Mailserver hantierst, dann wirst du - ohne es zu wissen - schnell mal eine Spamschleuder daraus gemacht haben. Und damit das nicht passiert, solltest du dich zuerst in einer "geschützten Werkstätte", also einen bloß im LAN zugänglichen Mailserver auf einem Raspi, wie von @TomL vorgeschlagen, oder am eigenen Rechner direkt oder mittels VM mit den Techniken vertraut machen. Konfigurationen ausprobieren, Serverdienste (exim oder postfix, dovecot oder cyrus, getmail oder fetchmail...) testen, mit welchen Konfigurationen du am besten zurechtkommst, TLS checken, eigene CA einrichten, eigene Zertifikate ausstellen usw. usf.

lg scientific
Ich verstehe schon was ihr hier meint. Ich gebe auch gerne zu, dass ich aus Unwissenheit hier einfach zu naiv war und dachte, dass man einen Webserver einigermaßen schnell aufsetzen kann. Mir ist auch klar, dass es dann wesentlich mehr Sinn macht, das ganze erstmal ohne Verbindung nach außen im Heimnetzwerk zu machen. Deswegen muss ich aber nicht gleich den VServer kündigen, weil ich den auch für was anderes nutzen kann, und deswegen bin ich nicht gleich eine Gefahr für die Allgemeinheit. Und so kam es nun mal rüber

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Einstieg in das Thema Mailserver

Beitrag von scientific » 24.07.2017 16:02:02

Wenn ich heute meinen pubertierenden Neffen ins Auto setze, weil er Zündschlüssel und Schaltung bedienen, und die Pedale grad mal erreicht, und ich lasse ihn am Parkplatz der aufgelassenen Fabrik fahren, wird kaum etwas gröberes passieren.
Lasse ich ihn so im städtischen Morgenverkehr fahren, ist er eine Gefahr für alle. Selbst wenn ich daneben sitze.

Daher der Tipp, lerne es auf localhost, von außen nicht erreichbar.

Noch etwas... Wenn du Pech hast, landest du selbst bei deinen Versuchsaufbauten auf einer Spammerblacklist mit der IP des vServers...

Und als Spamdatengrab würd ich wirklich einen Server nehmen, für den du nicht bezahlen musst... Da wär mir echt schad ums Geld.
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: Einstieg in das Thema Mailserver

Beitrag von EEK » 24.07.2017 16:09:23

scientific hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 16:02:02
Wenn ich heute meinen pubertierenden Neffen ins Auto setze, weil er Zündschlüssel und Schaltung bedienen, und die Pedale grad mal erreicht, und ich lasse ihn am Parkplatz der aufgelassenen Fabrik fahren, wird kaum etwas gröberes passieren.
Lasse ich ihn so im städtischen Morgenverkehr fahren, ist er eine Gefahr für alle. Selbst wenn ich daneben sitze.

Daher der Tipp, lerne es auf localhost, von außen nicht erreichbar.

Noch etwas... Wenn du Pech hast, landest du selbst bei deinen Versuchsaufbauten auf einer Spammerblacklist mit der IP des vServers...

Und als Spamdatengrab würd ich wirklich einen Server nehmen, für den du nicht bezahlen musst... Da wär mir echt schad ums Geld.
Ich glaube ihr versteht mich nicht. Den VServer habe ich mir nicht für den Mailserver gemietet. Aber weil er schon mal da ist hätte es sich halt angeboten.
Meine Überlegung war, Mailserver "schnell" aufsetzen (wie gesagt, ich bin bisher von dauert nicht lange ausgegangen) und dann höchstwahrscheinlich wieder löschen.
Da es Aufgrund der Komplexität des Themas aber nicht schnell geht, macht es somit natürlich wesentlich mehr Sinn das ganze zu Hause zu lernen wo nichts passieren. Ich behaupte also nicht, dass ihr nicht Recht habt.
Ich habe mich einfach über das "Kündige den VServer der Allgemeinheit zu liebe wieder" geärgert.

Benutzeravatar
TRex
Moderator
Beiträge: 8040
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Einstieg in das Thema Mailserver

Beitrag von TRex » 24.07.2017 18:21:52

Ich muss zugeben, selbst etwas verärgert gewesen zu sein. Ich unterstelle dir keine bösen Absichten, wollte dich auch nicht verärgern - und der Autovergleich lag mir auch schon auf der Zunge, er hinkt leider nur etwas.

Sobald der erste Angreifer eine Lücke (eine temporäre, von mir aus) findet, feuert der Server bis zum Teardown drei Tage später ununterbrochen aus allen Rohren. Wenn der fiktive Neffe das Auto gegen die Wand fährt, wissen das sofort alle und das Auto ist außer Gefecht. Selbst wenn du nun sagen würdest, "die drei Tage Spam riskier ich", schädigst du damit der IP, die nach dir auch wieder jemand haben wird (und allen Empfängern von Spam). Darum sehe ich da keinen Spielraum für Experimente und reagierte auch so bissig.

Und die Idee von scientific, "einfach nur gesicherten und authentifizierten Emailverkehr zuzulassen"... nunja, die Postfix-Regeln machen es verdammt leicht, das zu zerbröseln.

Der einzig sinnvolle Kompromiss wäre eine Firewall-Regel einzurichten, die den Zugriff auf Port 25/587 nur von deiner eigenen IP zulässt. Damit kannst du aber auch wieder keinen MX-Server betreiben (der einzige echte Vorteil davon, einen VPS zu nutzen).
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Einstieg in das Thema Mailserver

Beitrag von scientific » 24.07.2017 20:02:02

Exim4 kann das schon. Zumindest trste ich das Setup derzeit so bei mir (nicht öffentlich erreichbar)
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

TomL

Re: Einstieg in das Thema Mailserver

Beitrag von TomL » 24.07.2017 20:48:28

TRex hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 18:21:52
nunja, die Postfix-Regeln machen es verdammt leicht, das zu zerbröseln.
Das würde ja Postfix' eigenen formulierten Anspruch, per default ein sicherer MTA zu sein, ad absurdum führen. Wie kann sich ein Benutzer mit seinem Mailclient über die Postfix-Regeln hinwegsetzen? Was muss ich dafür tun? Ich würde das gerne einmal an meinem Server ausprobieren bzw. bestätigen.

Benutzeravatar
TRex
Moderator
Beiträge: 8040
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Einstieg in das Thema Mailserver

Beitrag von TRex » 24.07.2017 21:09:40

Jeder Schritt der Regeln kann drei Ergebnisse haben: permit, reject, <nix> (also weiter).

Nehmen wir das offizielle Beispiel für den typischen Fehler:

Code: Alles auswählen

1 /etc/postfix/main.cf:
2     smtpd_recipient_restrictions = 
3         permit_mynetworks
4         check_helo_access hash:/etc/postfix/helo_access
5         reject_unknown_helo_hostname
6         reject_unauth_destination
7 
8 /etc/postfix/helo_access:
9     localhost.localdomain PERMIT
(von http://www.postfix.org/SMTPD_ACCESS_README.html#danger)

Eigentlich sollte in der Konstellation helo_access nur REJECT enthalten, weil jedes PERMIT dazu führt, dass Zeilen 5 und 6 nicht mehr evaluiert werden, und was ein client als helo angibt, wird normalerweise nicht weiter geprüft. Leichtes Spiel.

Und ja, postfix ist super sicher (und ich kann keinen Vergleich mit exim ziehen), weil man es super sicher konfiguieren kann. Die defaults sind vermutlich auch ganz gut, aber normalerweise fummelt man ja dran rum (zu Lernzwecken oder weil mans an seine Bedürfnisse anpassen will).
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

TomL

Re: Einstieg in das Thema Mailserver

Beitrag von TomL » 24.07.2017 21:51:28

Ja, richtig, das war mal ein Problem. Aber bereits in Version 2.10 konnte man das durch eine Änderung in der Reihenfolge der Prüfungen beheben. In meinem Server verwende ich smtpd_relay_restrictions zur Prüfung berechtigter Sender, die VOR smtpd_recipient_restrictions abläuft. Das heisst, auf den Client-HELO guck ich gar nicht mehr, weil diejenigen, die nicht berechtigt sind, da sowieso gar nicht mehr ankommen. Im Endeffekt geht meiner Meinung nach ohne gültigen SASL-Auth und passenden Sender da gar nix.

DeletedUserReAsG

Re: Einstieg in das Thema Mailserver

Beitrag von DeletedUserReAsG » 24.07.2017 22:10:48

Ich glaube, es ging darum, dass man das Ding ziemlich einfach aufreißen kann, wenn man uninformiert nach Gefühl an der Config rumfingert.

TomL

Re: Einstieg in das Thema Mailserver

Beitrag von TomL » 24.07.2017 22:18:37

niemand hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 22:10:48
Ich glaube, es ging darum, dass man das Ding ziemlich einfach aufreißen kann, wenn man uninformiert nach Gefühl an der Config rumfingert.
Ja, das kann man ja auch nicht widerlegen.... damit ist auch die allerbeste Default-Sicherheit ausgehebelt. Ich war nur mal wieder sofort beunruhigt bei dem Hinweis und frag lieber nach, um dann meine Config auf solche Lücken zu prüfen.

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: Einstieg in das Thema Mailserver

Beitrag von EEK » 25.07.2017 07:25:38

TRex hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 18:21:52
Ich muss zugeben, selbst etwas verärgert gewesen zu sein. Ich unterstelle dir keine bösen Absichten, wollte dich auch nicht verärgern
Kein Problem! Ich war wohl auch etwas überempfindlich.
TRex hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 18:21:52
Sobald der erste Angreifer eine Lücke (eine temporäre, von mir aus) findet, feuert der Server bis zum Teardown drei Tage später ununterbrochen aus allen Rohren. Wenn der fiktive Neffe das Auto gegen die Wand fährt, wissen das sofort alle und das Auto ist außer Gefecht. Selbst wenn du nun sagen würdest, "die drei Tage Spam riskier ich", schädigst du damit der IP, die nach dir auch wieder jemand haben wird (und allen Empfängern von Spam). Darum sehe ich da keinen Spielraum für Experimente und reagierte auch so bissig.
Wie gesagt, mir ist jetzt auch klar, dass es keine gute Idee ist, das ganze auf dem VServer zu testen.

Meine Anfangsfrage bleibt letztendlich aber, ob zu dem Thema jemand ein gutes Buch empfehlen kann? Das das Thema ja scheinbar nicht ohne ist, ist es ja umso wichtiger mich tiefer damit zu befassen.

Antworten