Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
TomL

Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation

Beitrag von TomL » 04.10.2017 18:33:27

Hallo @ all

Als ich im Winter angefangen bin, mich mit der Frage aus dem Betreff für eine rein private Lösung zu befassen, musste ich sehr schnell die ernüchternde Erfahrung machen, dass ein Mailserver ein wirklich komplexes und kompliziertes Thema ist. Und darüber hinaus, dass es dafür im Internet kaum was gibt, was dem völlig unvorbereiteten Einsteiger dabei hilft, die Zusammenhänge erstmals grundsätzlich zu verstehen. Isolierte Detail-Infos gibt es en Masse… Zusammenhänge und Komplettlösungen, die zuvor auch erst mal das zu lösende Problem beschreiben, hingegen kaum. Was unterscheidet die Programmalternativen, Stärken, Schwächen, besonders geeignet für *, nicht geeignet für *, welche Programme sind von welchen anderen wie abhängig.... ?... Fragen über Fragen, aber kaum Antworten.

Das war für mich im Nachgang meiner Installation der Anlass, einmal mein Projekt und meine Lösung zu beschreiben, wie ich es gelöst habe, welche Gedanken und Überlegungen die Grundlage meiner Entscheidungen waren und zu welchen Lösungen sie geführt haben. Ob es immer die richtigen Rückschlüsse mit den richtigen Entscheidungen aus meinen Überlegungen heraus waren…?… keine Ahnung… ich hoffe es aber.

Egal, ich hab also zuerst mein Projekt „Mailserver“ fertiggestellt und einige Zeit später auch die Dokumentation dazu, die eben nicht nur eine reine Installationsanleitung sein will, sondern sich zu einem großen Teil auch mit dem „Was?“ und „Warum?“ und „Womit?“ befasst, und erst am Ende mit dem „Wie?“. Nach Ablauf von etwa 3 Monaten nach der ersten Veröffentlichung habe ich mich nun entschieden, die Dokumentation auch hier zu veröffentlichen. Wer Interesse hat und mal reinschauen möchte, kann sich meine Beschreibung als PDF hier downloaden:

Mailserver

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation

Beitrag von bluestar » 04.10.2017 22:01:01

Hallo TomL,
erst einmal Respekt für deine Anleitung, da hast du dir wirklich einiges an Mühe gemacht.

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation

Beitrag von weshalb » 05.10.2017 02:11:33

Sauber, Danke!

s_fischer
Beiträge: 106
Registriert: 03.11.2002 16:17:17

Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation

Beitrag von s_fischer » 06.10.2017 21:16:04

Wow, allergrößter Respekt für deine Arbeit. Ein großes Dankeschön, das du es der Community zur Verfügung stellt :hail:

Benutzeravatar
Rawbit
Beiträge: 716
Registriert: 24.12.2004 13:17:21
Lizenz eigener Beiträge: GNU Free Documentation License
Kontaktdaten:

Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation

Beitrag von Rawbit » 07.10.2017 09:17:56

Hallo,

echt toll gemacht!!!!


Gruß

Rawbit

TomL

Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation

Beitrag von TomL » 14.01.2018 18:50:19

Moin@all

Ich fühle mich ein bisschen unbehaglich, diesen alten Thread noch mal rauszukramen.... und es liegt mir fern, Werbung in eigener Sache zu machen. Aber der Umstand eines Designfehlers in der zweiten Version und die tatsächlich vorhandene und wirklich unnötige gravierende Kompliziertheit in einem Teilprozess haben zu einer umfassenden Überarbeitung meiner Installation und in den letzten Wochen zur Bearbeitung des Konzeptes geführt.

Falls das also damals jemand als Hilfe zum Bau seines eigenen Mailserver verwendet hat, empfehle ich einen Abgleich mit der aktuellen Version. Das alte funktioniert zwar, das neue reduziert aber maßgeblich den zuvor übertriebenen Aufwand bei der Inbetriebname von Clients und Server sowie in den anschließenden regulären produktiven Prozessen. Die zuvor eigene spezielle TCP-Kommunikation zwischen Client und Server ist einschließlich der dafür notwendigen Software nicht mehr notwendig. Insbesondere die Clients sind damit erheblich einfach einzurichten... also dergestalt, das für die ungewöhnliche Grundidee jetzt nicht mehr zusätzlicher Aufwand erforderlich ist. Nun siehts so aus: Mail-Client installieren, verbinden und läuft... wie man es eigentlich erwartet.

Mailserver

reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation

Beitrag von reox » 20.01.2018 15:45:31

Ich habs mal kurz überflogen: Wieso verwendest du MD5 als PW Hash? Das Dovecot Wiki sagt was anderes: https://wiki2.dovecot.org/Authenticatio ... ordSchemes - schon klar, wenn ein Angreifer diese Datei auslesen kann, kann er vermutlich auch direkt auf die Mails zugreifen.
Und wenn die Clients nicht immer meckern sollen, dass dein Zertifikat selbst signiert ist, würde ich das einfach mit letsencrypt erstellen lassen. Das ist zwar erst ne fummelei, weil du ja auch deinen Webserver konfigurieren musst auf der Domain zu lauschen aber sonst gehts dann sehr gut.

Was auch noch gut dazu passt ist bettercrypto: https://bettercrypto.org/
Dort sind Konfigurationen gesammelt wie du die Dienste mit guter Crypto konfigurierst, incl postfix und dovecot.

Sonst eine sehr schöne Anleitung!

TomL

Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation

Beitrag von TomL » 20.01.2018 16:13:25

reox hat geschrieben: ↑ zum Beitrag ↑
20.01.2018 15:45:31
Ich habs mal kurz überflogen: Wieso verwendest du MD5 als PW Hash? Das Dovecot Wiki sagt was anderes: https://wiki2.dovecot.org/Authenticatio ... ordSchemes - schon klar, wenn ein Angreifer diese Datei auslesen kann, kann er vermutlich auch direkt auf die Mails zugreifen.
Wenn ein Angreifer diese Datei lesen kann und sie dann mühsam hacken will, ist er einfach nur ein Idiot.... weil er, wenn er sowieso schon auf dem Rechner ist, einfach sowieso schon das ganze Mailarchiv lesen kann. Und da es sich eh nur um eine lokale Anwendung handelt, hätte für alle Familienmitglieder wahrscheinlich schon Spiegelschrift anstatt MD5 als unknackbar gereicht.
Und wenn die Clients nicht immer meckern sollen, dass dein Zertifikat selbst signiert ist, würde ich das einfach mit letsencrypt erstellen lassen. Das ist zwar erst ne fummelei, weil du ja auch deinen Webserver konfigurieren musst auf der Domain zu lauschen aber sonst gehts dann sehr gut.
Ich halte es für vertretbar, alle paar Jahre mal ein Zertifikat anzunehmen. Darüber hinaus handelt es sich um eine rein lokale Anwendung, die sowieso ohne jegliche Einbußen der Sicherheit sowohl ohne TLS als auch ohne Zertifikate auskommen würde. Das reinzunehmen war alleine sporlicher Ehrgeiz ohne Bedeutung....
Was auch noch gut dazu passt ist bettercrypto: https://bettercrypto.org/
Der Sinn erschließt sich mir nicht... das noch auf Openvpn draufzupappen halte ich für totalen quatsch.

Es gibt weder einen Webserver und es wird auch nicht auf "von draußen" gelauscht. Steht aber alles da drin... vielleicht wäre es besser, nicht mit "überfliegen" zufrieden zu sein, das würde dann vielleicht zu relevanten Aussagen führen, mit denen man so eine Doku verbessern kann. Und -was ich imho als sehr wichtig erachte- Verbesserungsvorschläge müssen sich an der Zielsetzung des Konzeptes orientieren, sonst mutiert die Verbesserung nur zur Verschlimmbesserung.

Und danke für das Lob... ich kann Dir sagen, das war auch richtig viel Arbeit... :roll: ... aber ich hatte Spass daran. :)

reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation

Beitrag von reox » 20.01.2018 16:20:36

Ich glaube du hast das bettercrypto falsch verstanden :) Nein, es geht nicht um openvpn sondern um sichere konfigurationen für diverse dienste, einschließlich postfix und dovecot. Schau dir mal das Dokument an: https://bettercrypto.org/static/applied ... dening.pdf
Seite 26ff befasst sich mit Mail server.

Ich wollte damals eigentlich auch meine Mailserver konfiguration dokumentieren und alles was ich habe ist "apt install postfix dovecot ..." :oops:

Wegen dem Zertifikat: Ich hab auf meinem Mailserver auch ein paar Familienmitglieder und die Anrufe beim Zertifikatswechsel hab ich jetzt nicht mehr ;) Insbesondere auf Apple Geräten ist das irgendwie mühsam...

Bzgl MD5: Der einzige Fall der jetzt denkbar wäre: Jemand hat Zugriff zu dem Server, ist aber gar nicht so sehr an den Mails interessiert sondern nur an den PW's, da die woanders auch noch verwendet werden. Aber dafür gibts ja auch ne einfache lösung :)

TomL

Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation

Beitrag von TomL » 20.01.2018 16:35:11

Neee, :D Du hast die Dokumentation ja nur überflogen und offensichtlich übergesehen, dass es eine rein LOKALE Familien-Installation ist, ohne Zugriff über das Internet. Ein Zugriff von Außen ist trotzdem ein Zugriff von Innen, weil er nur via OpenVPN durchgeführt wird. Ich kann also keinen Sinn darin erkennen, rein lokalen Traffic über Port 25 speziell hierfür mehr zu verschlüsseln, als das mit dem anderen ebenfalls rein lokalen Traffic via Samba, Cups, radicale usw. passiert, da ist nämlich auch nichts verschlüsselt.

Und den Zugang von außen, der ja via OpenVPN passiert, halte ich ohne weitere Maßnahme jetzt schon für ausreichend sicher.
Bzgl MD5: Der einzige Fall der jetzt denkbar wäre: Jemand hat Zugriff zu dem Server...
Wenn das möglich wäre, ist mir der Rest auch egal. Der Server hat weder Bildschirm noch Tastatur, noch besteht eine Möglichkeit ohne Keyfile via SSH darauf zuzugreifen. Hier hat jeder physischen Zugang, aber kein einziger auch nur den Hauch einer Ahnung, was man da machen kann, könnte oder muss. Darüber hinaus ist das nur Familie, wo es sowieso kein derartiges Misstrauen gibt.

reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation

Beitrag von reox » 20.01.2018 16:46:53

TomL hat geschrieben: ↑ zum Beitrag ↑
20.01.2018 16:35:11
Neee, :D Du hast die Dokumentation ja nur überflogen und offensichtlich übergesehen, dass es eine rein LOKALE Familien-Installation ist, ohne Zugriff über das Internet.
sorry, mea culpa! :facepalm:

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation

Beitrag von Huck Fin » 04.02.2020 22:44:11

@TomL
Hut ab zu der anleitung... :THX:

Frage zu den selbst generierten Zertifikaten.
Thunderbird nimmt die ohne murren.
Bei Outlook kenne ich das aber, dass man selbst erstellte Zertis bei jedem Start von Olk akzeptieren muss.
Ist das bei deiner anleitung anders ?

TomL

Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation

Beitrag von TomL » 04.02.2020 22:49:44

Es tut mir leid, aber ich kann zu Outlook gar nix mehr sagen, weil Windows seit Jahren bei uns keine Rolle mehr spielt. Aber das mit den Zertifikaten wird man doch vermutlich über letsencrypt lösen... vermute ich mal.... ich habe mich nur leider nie damit befasst.

Benutzeravatar
Tintom
Moderator
Beiträge: 3029
Registriert: 14.04.2006 20:55:15
Wohnort: Göttingen

Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation

Beitrag von Tintom » 05.02.2020 09:21:56

TomL hat geschrieben: ↑ zum Beitrag ↑
04.02.2020 22:49:44
Es tut mir leid, aber ich kann zu Outlook gar nix mehr sagen, weil Windows seit Jahren bei uns keine Rolle mehr spielt. Aber das mit den Zertifikaten wird man doch vermutlich über letsencrypt lösen... vermute ich mal.... ich habe mich nur leider nie damit befasst.
Korrekt, hier frisst Outlook die Zertifikate von letsencrypt anstandslos.

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation

Beitrag von bluestar » 05.02.2020 09:25:44

Huck Fin hat geschrieben: ↑ zum Beitrag ↑
04.02.2020 22:44:11
Bei Outlook kenne ich das aber, dass man selbst erstellte Zertis bei jedem Start von Olk akzeptieren muss.
Man kann auch unter Windows (und Outlook) mit selbstsignierten Zertifikaten arbeiten, so lange der Hostname im Zertifikat stimmt, man diese korrekt in den Windows-Zertifikatsspeicher importiert und die Vertrauenseinstellungen korrekt vornimmt.

Benutzeravatar
Tintom
Moderator
Beiträge: 3029
Registriert: 14.04.2006 20:55:15
Wohnort: Göttingen

Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation

Beitrag von Tintom » 05.02.2020 13:29:58

bluestar hat geschrieben: ↑ zum Beitrag ↑
05.02.2020 09:25:44
Huck Fin hat geschrieben: ↑ zum Beitrag ↑
04.02.2020 22:44:11
Bei Outlook kenne ich das aber, dass man selbst erstellte Zertis bei jedem Start von Olk akzeptieren muss.
Man kann auch unter Windows (und Outlook) mit selbstsignierten Zertifikaten arbeiten, so lange der Hostname im Zertifikat stimmt, man diese korrekt in den Windows-Zertifikatsspeicher importiert und die Vertrauenseinstellungen korrekt vornimmt.
Sofern das alles korrekt vorgenommen wurde kann auch ein Virenscanner für die ständigen Nachfragen von Outlook verantwortlich sein, einige Programme sind bei der Verwendung von Zertifikaten sehr kreativ.

hec_tech
Beiträge: 1093
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation

Beitrag von hec_tech » 05.02.2020 15:00:53

Die beste Meldung die ich mal gesehen habe bitte verwenden sie keine Verschlüsselung um geschützt zu sein.

Ich hab geglaubt ich sehe nicht richtig.

Benutzeravatar
DynaBlaster
Beiträge: 958
Registriert: 25.03.2004 18:18:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: DF0://dynablaster.adf

Re: Ein eigener Mailserver - wie geht das? Eine Projekt-Dokumentation

Beitrag von DynaBlaster » 05.02.2020 19:16:21

Bzgl. der Zertfikate. Möglichkeiten gibt es viele. I.d.R. wird Outlook ja in Unternehmen eingesetzt und da gibs dann meistens auch nen Active Directory. Über letzteres mit Gruppenrichtlnien lassen sich dann auch die selbst erstellten Zertifikate oder halt gleich das Zertifikat der eigenen Zertifizierungstelle recht praktisch an die Domänen-Clients verteilen. Macht man mit nem internen Exchange in der Domäne auch nicht anders, nur das der seinen CSR von der AD-Zertfizierungsstelle signieren lässt und damit dann auch alle Domänenclients dem Exchange "vertrauen". Wir schieben unseren Windows-Clients in der Domäne aber vor allem deshalb unsere CA via GPO unter, um für interne Webanwendungen SSL ohne den Umweg via Let's Encrypt bereitszustellen. Let's Encrypt wäre da nur via Cloudflare DNS-Api und Co. möglich, weil die Services halt nur intern verfügbar sind. Irgendwelche Dummy-Services für den acme-Prozess und anschliessende Hin-und herkopiererei ist blöd. Genau wie der umständlcihe Zertifizierungsprozess eines CSR gegen die AD-Zertifizerungsstelle :-)
hec_tech hat geschrieben: ↑ zum Beitrag ↑
05.02.2020 15:00:53
Die beste Meldung die ich mal gesehen habe bitte verwenden sie keine Verschlüsselung um geschützt zu sein.

Ich hab geglaubt ich sehe nicht richtig.
Naja. Aus Sicht irgendeiner AV-/Security-Geschichte sogar einigermassen nachvollziehbar. In verschlüsselte Datenverkehr kann die halt nicht reingucken und somit auch nicht ihren Zweck erfüllen. Deshalb schieben ja auch enige AV/Firewall-wasweisich-Geschichten dem Rechner ihr eigenes Zertifkat unter und klinken sich so in den verschlüsselten Traffic ein. Sieht für den Client immer noch so aus, als sei die Verbindung zum aufgerufenen Server verschlüsselt. Ist sie de facto aber erst nach Verlassen des Scanners, damit der "mit-lesen" kann. Ob man das toll findet, wenn der AV-Scanner die Zugangsdaten zum Online-Banking mitliest, bleibt jedem selbst überlassen. Keine Verschlüsselung macht es natürlich auch nicht wirklich besser

Antworten