Einstieg in das Thema Mailserver

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Einstieg in das Thema Mailserver

Beitrag von scientific » 24.07.2017 16:02:02

Wenn ich heute meinen pubertierenden Neffen ins Auto setze, weil er Zündschlüssel und Schaltung bedienen, und die Pedale grad mal erreicht, und ich lasse ihn am Parkplatz der aufgelassenen Fabrik fahren, wird kaum etwas gröberes passieren.
Lasse ich ihn so im städtischen Morgenverkehr fahren, ist er eine Gefahr für alle. Selbst wenn ich daneben sitze.

Daher der Tipp, lerne es auf localhost, von außen nicht erreichbar.

Noch etwas... Wenn du Pech hast, landest du selbst bei deinen Versuchsaufbauten auf einer Spammerblacklist mit der IP des vServers...

Und als Spamdatengrab würd ich wirklich einen Server nehmen, für den du nicht bezahlen musst... Da wär mir echt schad ums Geld.
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: Einstieg in das Thema Mailserver

Beitrag von EEK » 24.07.2017 16:09:23

scientific hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 16:02:02
Wenn ich heute meinen pubertierenden Neffen ins Auto setze, weil er Zündschlüssel und Schaltung bedienen, und die Pedale grad mal erreicht, und ich lasse ihn am Parkplatz der aufgelassenen Fabrik fahren, wird kaum etwas gröberes passieren.
Lasse ich ihn so im städtischen Morgenverkehr fahren, ist er eine Gefahr für alle. Selbst wenn ich daneben sitze.

Daher der Tipp, lerne es auf localhost, von außen nicht erreichbar.

Noch etwas... Wenn du Pech hast, landest du selbst bei deinen Versuchsaufbauten auf einer Spammerblacklist mit der IP des vServers...

Und als Spamdatengrab würd ich wirklich einen Server nehmen, für den du nicht bezahlen musst... Da wär mir echt schad ums Geld.
Ich glaube ihr versteht mich nicht. Den VServer habe ich mir nicht für den Mailserver gemietet. Aber weil er schon mal da ist hätte es sich halt angeboten.
Meine Überlegung war, Mailserver "schnell" aufsetzen (wie gesagt, ich bin bisher von dauert nicht lange ausgegangen) und dann höchstwahrscheinlich wieder löschen.
Da es Aufgrund der Komplexität des Themas aber nicht schnell geht, macht es somit natürlich wesentlich mehr Sinn das ganze zu Hause zu lernen wo nichts passieren. Ich behaupte also nicht, dass ihr nicht Recht habt.
Ich habe mich einfach über das "Kündige den VServer der Allgemeinheit zu liebe wieder" geärgert.

Benutzeravatar
TRex
Moderator
Beiträge: 8038
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Einstieg in das Thema Mailserver

Beitrag von TRex » 24.07.2017 18:21:52

Ich muss zugeben, selbst etwas verärgert gewesen zu sein. Ich unterstelle dir keine bösen Absichten, wollte dich auch nicht verärgern - und der Autovergleich lag mir auch schon auf der Zunge, er hinkt leider nur etwas.

Sobald der erste Angreifer eine Lücke (eine temporäre, von mir aus) findet, feuert der Server bis zum Teardown drei Tage später ununterbrochen aus allen Rohren. Wenn der fiktive Neffe das Auto gegen die Wand fährt, wissen das sofort alle und das Auto ist außer Gefecht. Selbst wenn du nun sagen würdest, "die drei Tage Spam riskier ich", schädigst du damit der IP, die nach dir auch wieder jemand haben wird (und allen Empfängern von Spam). Darum sehe ich da keinen Spielraum für Experimente und reagierte auch so bissig.

Und die Idee von scientific, "einfach nur gesicherten und authentifizierten Emailverkehr zuzulassen"... nunja, die Postfix-Regeln machen es verdammt leicht, das zu zerbröseln.

Der einzig sinnvolle Kompromiss wäre eine Firewall-Regel einzurichten, die den Zugriff auf Port 25/587 nur von deiner eigenen IP zulässt. Damit kannst du aber auch wieder keinen MX-Server betreiben (der einzige echte Vorteil davon, einen VPS zu nutzen).
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Einstieg in das Thema Mailserver

Beitrag von scientific » 24.07.2017 20:02:02

Exim4 kann das schon. Zumindest trste ich das Setup derzeit so bei mir (nicht öffentlich erreichbar)
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

TomL

Re: Einstieg in das Thema Mailserver

Beitrag von TomL » 24.07.2017 20:48:28

TRex hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 18:21:52
nunja, die Postfix-Regeln machen es verdammt leicht, das zu zerbröseln.
Das würde ja Postfix' eigenen formulierten Anspruch, per default ein sicherer MTA zu sein, ad absurdum führen. Wie kann sich ein Benutzer mit seinem Mailclient über die Postfix-Regeln hinwegsetzen? Was muss ich dafür tun? Ich würde das gerne einmal an meinem Server ausprobieren bzw. bestätigen.

Benutzeravatar
TRex
Moderator
Beiträge: 8038
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Einstieg in das Thema Mailserver

Beitrag von TRex » 24.07.2017 21:09:40

Jeder Schritt der Regeln kann drei Ergebnisse haben: permit, reject, <nix> (also weiter).

Nehmen wir das offizielle Beispiel für den typischen Fehler:

Code: Alles auswählen

1 /etc/postfix/main.cf:
2     smtpd_recipient_restrictions = 
3         permit_mynetworks
4         check_helo_access hash:/etc/postfix/helo_access
5         reject_unknown_helo_hostname
6         reject_unauth_destination
7 
8 /etc/postfix/helo_access:
9     localhost.localdomain PERMIT
(von http://www.postfix.org/SMTPD_ACCESS_README.html#danger)

Eigentlich sollte in der Konstellation helo_access nur REJECT enthalten, weil jedes PERMIT dazu führt, dass Zeilen 5 und 6 nicht mehr evaluiert werden, und was ein client als helo angibt, wird normalerweise nicht weiter geprüft. Leichtes Spiel.

Und ja, postfix ist super sicher (und ich kann keinen Vergleich mit exim ziehen), weil man es super sicher konfiguieren kann. Die defaults sind vermutlich auch ganz gut, aber normalerweise fummelt man ja dran rum (zu Lernzwecken oder weil mans an seine Bedürfnisse anpassen will).
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

TomL

Re: Einstieg in das Thema Mailserver

Beitrag von TomL » 24.07.2017 21:51:28

Ja, richtig, das war mal ein Problem. Aber bereits in Version 2.10 konnte man das durch eine Änderung in der Reihenfolge der Prüfungen beheben. In meinem Server verwende ich smtpd_relay_restrictions zur Prüfung berechtigter Sender, die VOR smtpd_recipient_restrictions abläuft. Das heisst, auf den Client-HELO guck ich gar nicht mehr, weil diejenigen, die nicht berechtigt sind, da sowieso gar nicht mehr ankommen. Im Endeffekt geht meiner Meinung nach ohne gültigen SASL-Auth und passenden Sender da gar nix.

DeletedUserReAsG

Re: Einstieg in das Thema Mailserver

Beitrag von DeletedUserReAsG » 24.07.2017 22:10:48

Ich glaube, es ging darum, dass man das Ding ziemlich einfach aufreißen kann, wenn man uninformiert nach Gefühl an der Config rumfingert.

TomL

Re: Einstieg in das Thema Mailserver

Beitrag von TomL » 24.07.2017 22:18:37

niemand hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 22:10:48
Ich glaube, es ging darum, dass man das Ding ziemlich einfach aufreißen kann, wenn man uninformiert nach Gefühl an der Config rumfingert.
Ja, das kann man ja auch nicht widerlegen.... damit ist auch die allerbeste Default-Sicherheit ausgehebelt. Ich war nur mal wieder sofort beunruhigt bei dem Hinweis und frag lieber nach, um dann meine Config auf solche Lücken zu prüfen.

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: Einstieg in das Thema Mailserver

Beitrag von EEK » 25.07.2017 07:25:38

TRex hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 18:21:52
Ich muss zugeben, selbst etwas verärgert gewesen zu sein. Ich unterstelle dir keine bösen Absichten, wollte dich auch nicht verärgern
Kein Problem! Ich war wohl auch etwas überempfindlich.
TRex hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 18:21:52
Sobald der erste Angreifer eine Lücke (eine temporäre, von mir aus) findet, feuert der Server bis zum Teardown drei Tage später ununterbrochen aus allen Rohren. Wenn der fiktive Neffe das Auto gegen die Wand fährt, wissen das sofort alle und das Auto ist außer Gefecht. Selbst wenn du nun sagen würdest, "die drei Tage Spam riskier ich", schädigst du damit der IP, die nach dir auch wieder jemand haben wird (und allen Empfängern von Spam). Darum sehe ich da keinen Spielraum für Experimente und reagierte auch so bissig.
Wie gesagt, mir ist jetzt auch klar, dass es keine gute Idee ist, das ganze auf dem VServer zu testen.

Meine Anfangsfrage bleibt letztendlich aber, ob zu dem Thema jemand ein gutes Buch empfehlen kann? Das das Thema ja scheinbar nicht ohne ist, ist es ja umso wichtiger mich tiefer damit zu befassen.

TomL

Re: Einstieg in das Thema Mailserver

Beitrag von TomL » 25.07.2017 11:09:29

Solange Du diese folgende Frage nicht beantworten kannst und Mailserver und Werbserver undifferenziert in einem Atemzug nennst....
scientific hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 13:01:30
Ich würd mir an deiner Stelle einmal überlegen, was GENAU du haben willst.
....solltest Du daran erst Mal wirklich keine Gedanken verschwenden:
EEK hat geschrieben: ↑ zum Beitrag ↑
25.07.2017 07:25:38
Meine Anfangsfrage bleibt letztendlich aber, ob zu dem Thema jemand ein gutes Buch empfehlen kann? Das das Thema ja scheinbar nicht ohne ist, ist es ja umso wichtiger mich tiefer damit zu befassen.
Mein Rat wäre, das Problem folgendermaßen zu lösen:
Richte auf einem Deiner PI's einen lokalen Server mit verschiedenen Diensten ein, wie z.B. Samba-Server, OpenVPN-Server, Print-Server, mit Nginx und Baikal einen Cloud-Sync für Smartphone Cards und Termine, dann eine eigene Firewall mit IPtables, und ganz am Ende einen Mailserver ... und alle Dienste (bis auf OpenVPN) aber ohne Zugang von draussen nach drinnen. Für den Mailserver hatte ich Dir ja nen Link zugesandt. Und wenn das nicht reicht... O'Reilly's Postfix-Werk hat knapp 400 Seiten, Peer Heinlein hat wohl 1000e Seiten über Postfix und Dovecot geschrieben.

Es gibt (vor Mailserver und Webserver) immens viel über Linux zu lernen, über Software-Installation, Paketmanagement, Customizing und Administration, Reparaturen, Rechtemanagement, Benutzerverwaltung, Systemsicherungsmaßnahmen, usw.). Ich empfehle halt, klein anzufangen. Das alles sollte Dich locker um die 2 Jahre beschäftigen, bis Du genügend Routine und Kenntnisse hast, das eigene Rumschrauben am System überhaupt auf mögliche Konsequenzen projizieren zu können. Einer der Mitschreiber hier gesteht, dass er jahrelang gebraucht hat, bis sich erst heute langsam die Nebel lichten. Ich habe mich auch erst nach 3 jähriger Linux-Lernzeit an einen Mailserver rangetraut ... und wenn ich ehrlich bin, bei solchen Posts wie von TRex, krieg ich heute noch sofort Sorgenfalten auf der Stirn, weil ich meine eigenen Kenntnisse immer noch stark anzweifel.

Das einzige Manko ist, Du bezahlst den VServer für 2 oder 3 Jahre für nothing...ja.... ist halt so.... aber anders gehts imho nicht.

j.m.2.c.

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: Einstieg in das Thema Mailserver

Beitrag von EEK » 25.07.2017 12:31:43

TomL hat geschrieben: ↑ zum Beitrag ↑
25.07.2017 11:09:29
Solange Du diese folgende Frage nicht beantworten kannst und Mailserver und Werbserver undifferenziert in einem Atemzug nennst....
scientific hat geschrieben: ↑ zum Beitrag ↑
24.07.2017 13:01:30
Ich würd mir an deiner Stelle einmal überlegen, was GENAU du haben willst.
....solltest Du daran erst Mal wirklich keine Gedanken verschwenden:
Das hatte ich eigentlich schon beantwortet ;-) Wobei sich das jetzt wohl eh fürs erste erledigt hat.

Was die Frage wegen dem Buch betrifft, habe ich mich wohl falsch ausgedrückt. Ich habe schon verstanden, dass das nicht von heute auf morgen geht. Ich habe auch verstanden, einen Mailserver einzurichten bedeutet, sich erstmal mit anderen Themen zu beschäftigen die Voraussetzung sind. Mich wundert aber trotzdem einfach, dass es scheinbar zu einem Thema, das unter anderem auch in Sachen Security so kritisch ist, keine aktuellen Bücher zu finden sind. Oder ob es wirklich so ist, dass die Bücher aus 2008 auch heute noch zu empfehlen sind.

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Einstieg in das Thema Mailserver

Beitrag von scientific » 25.07.2017 15:05:28

Ich glaube, es gibt auch deswegen keine kompakte und sinvolle und aktuelle Literatur, weil das Thema echt komplex ist.

Auf Debian bezogen gibt es so viele Möglichkeiten der eingesetzten Software und deren Konfiguration... Das in einem Buch zu erschlagen wäre so umfangreich, dass das Buch wahrscheinlich erst recht nicht mehr "handlich" ist.

An deiner Stelle würde ich einmal exim (ich mag exim4!!!) konkret Debianexim4-daemon-heavy installieren und in der Standardkonfiguration testen. Mach einmal nur lokale Mailzustellung.
Dann erweitere die Konfiguration um einen Smarthost mit

Code: Alles auswählen

dpkg-reconfigure exim4-config

Finde dich in exim4 ein, wo und wie du eine zustellung von Emails über den Smarthost an eine entfernte Adresse durchführst.

Code: Alles auswählen

echo bla|mail -s "Testemail" eine@email-adresse.example
Führe exim4 im Debug modus aus (hinzufügen der Option -d in der systemd-unit für exim4 bei ExecStart=... ) und schaue im Journal mit, was passiert, wenn du mit obigem Befehl von der Shell aus ein Email verschickst.

Die Konfigurations-Sprache von exim4 ist nicht besonders einfach und ist sehr verschieden von allen mir bisher bekannten Programmiersprachen... Arbeite dich mit der Doku-Seite von Exim in die Konfiguration ein.

Installiere dir dovecot (ich empfinde den stabiler und einfacher zu konfigurieren als cyrus) und bringe die beiden in Kontakt.

Suche dir eine Konfigurationsanleitung für diese Kombination und teste.
Lass erstmal TLS/SSL, spamassassin oder bogofilter weg. Konfiguriere den reinen IMAP/POP und SMTP-Server.
Das alles auf localhost oder deiner LAN-IP.

Wenn du das so halbwegs verstanden hast, mache weiter, indem du spamassassin ODER bogofilter hinzufügst. Das ist eine weitere Herausforderung...
Mit Bogofilter hab ich keine guten Erfahrungen gemacht. Da kriecht seit Jahren ein Bug herum, welcher die Filterung bzw. Zustellung bestimmter Emails verzögert bis verweigert, weil ein Timeout oder eine Broken Pipe ins Spiel kommt... Derzeit teste ich gerade spamassassin.

lerne fetchmail kennen, und wie du es konfigurierst, um damit von deinen Mailaccounts die Emails abzuholen und lokal zuzustellen.

Wenn der Mailserver dann mal rund rennt, dann beschäftige dich mit SSL, Zertifikaten, erstellen einer eigenen CA, wie du die deinem Mailclient füttern kannst, damit dieser deine eigenen Zertifikate akzeptiert - ohne eine Ausnahmeregel abnicken zu müssen.
Lasse den Port 465 aus dem Spiel. Der ist noch in vielen Anleitungen genannt und auch in manchen Clients noch als Standard eingestellt, wenn man (START)TLS auswählt. Der Port ist veraltet, konzentriere dich gleich auf den Port 587.

Ich würde für eine tragfähige Lösung dann keine Verbindung ohne (START)TLS zulassen. Und bei SMTP zusätzlich noch ausschließlich ESMTP - also SMTP mit Authentifizierung als alleiniges Protokoll.
Wenn es dir gelungen ist, Emails nur mehr TLS-gesichert nach Authentifizierung versenden zu können, und IMAP/POP3 ebenfalls nur mehr TLS-gesichert anzubieten (also Dienstverweigerung bei nicht-TLS-gesicherter Verbindung), dann kannst du dir Gedanken machen, die beiden Ports für SMTP und IMAP bzw. POP3 mit Portforwarding "nach draußen" zu legen und z.B. mit dem Smartphone über das I-net auf deinen Mailserver zuzugreifen.

Dann zahlt es sich auch aus eine dynamische DNS-Geschichte anzulegen und den Mailserver von einem Test-Server prüfen zu lassen, ob er noch als offenes Relay taugt oder ob die Konfiguration den Sicherheitsrichtlinien entspricht.

Und wenn du diesen Aufbau ein zweites oder drittes Mal auch noch auf Anhieb schaffst, würd ich darüber nachdenken, das auf einem vServer zu installieren...

Und wenn du Spaß und Zeit hast, würd ich das auch mit postfix und cyrus in unterschiedlichen Kombinationen auch noch ausprobieren...

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

EEK
Beiträge: 36
Registriert: 13.06.2017 15:01:41

Re: Einstieg in das Thema Mailserver

Beitrag von EEK » 26.07.2017 07:12:19

scientific hat geschrieben: ↑ zum Beitrag ↑
25.07.2017 15:05:28
Ich glaube, es gibt auch deswegen keine kompakte und sinvolle und aktuelle Literatur, weil das Thema echt komplex ist.
Das ergibt Sinn!

Ich danke jedenfalls allen die geantwortet habe für die Hilfe

VG

Antworten