Ich habe mich jetzt schon sehr lange und intensiv mit Mailservern beschäftigt... aber manches blieb mir bisher dennoch unbeantwortet...
Um meine Frage überhaupt konkretisieren zu können, hat mich der Thread mit der Mailbrücke zum Drucker auf den richtigen Weg gebracht.
Prinzipiell Werden Mails per SMTP versendet. Das findet allgemein auf Port 25 statt. Dort lauscht(e) ein Server, der SMTP spricht und ohne Authentifizierung unverschlüsselt Emails entgegennimmt um damit dann etwas zu machen.
So war es gedacht in der Zeit, als alle Teilnehmer des Internets sich noch persönlich kannten und vertrauten.
Dann hat man den Port 587 ins Spiel gebracht, wo ein Server nur TLS-Veschlüsselt Emails entgegennimmt. Authentifizierung optional. TLS heißt, dass die Verbinung unverschlüsselt begonnen wird, und dann wechselt man auf eine ausgehandelte Verschlüsselung.
Es gibt auch noch den Port 465, der von Haus aus per SSL verschlüsselt spricht, der ist aber deprecatet und wird eigentlich längst anderweitig verwendet, aber viele Mailprovider und MUAs haben für SSL-Verschlüsselte Verbindung immer noch den als Default-Port... Für meine Überlegungen hab ich Port 465 daher einfach ausgespart, da er eben deprecated ist.
In den Anfängen des Internets war es so, dass HostA per SMTP (ich weiß, davor war noch uucp... usw.) auf Port 25 auf HostB ein Mail abgeliefert hat, und der Mailserver hat dieses dann als File in die Mailbox des entsprechenden Users gelegt. So geht es auch eigentlich heute noch.
Jeder Rechner, der Emails empfangen konnte, war ein Mailserver. Damit ich meine Emails lesen konnte, musste ich mich über meinen Unix-Login auf dem Rechner einloggen (per ssh oder ähnlichem) und konnte dann in meiner Mailbox stöbern.
Schön und gut, die Welt drehte sich weiter.
Heute habe ich meinen Mailaccount bei ProviderA, einen bei ProviderB und noch ein paar andere bei anderen Email-Providern (Arbeitgeber, Verein...). Wenn ich ein Email bekomme, dann verbindet sich ein Mailprogramm (MUA) mit dem Mailserver des Providers und liefert dort auf Port 25 das Email mittels SMTP ab.
Also ich schicke von Thunderbird ein Email an horst@providerA.example, dann verbindet sich Thunderbird mit dem Rechner (oder dem hinterlegten MX) providerA.example auf Port 25 und liefert dort das Email ab. Fertig.
Zwischenschritt. Ich hab auch einen Email-Account bei ProviderX und nutze dessen Mailserver als Smarthost.
Mein Thunderbird verbindet sich mit mail.ProviderX auf Port 25, kübelt das Email dort ab. Der Mailserver nimmt es, verbindet sich auf Port25 mit mail.ProviderA.example und kübelt mein Email dort rein.
Also die beiden Mailserver sprechen auf Port 25. Und damit mail.ProviderA auf mail.ProviderX (und umgekehrt) ein Mail abliefern kann, braucht es keine Authentifizierung, denn sonst müssten alle Mailserver alle Credentials aller Mailserver wissen...
Verschlüsselt kann es schon sein, damit sonst niemand den Verkehr mitschneiden kann.
Wenn ich meinen Mailserver nun einrichte, so muss ich Port 25 nach außen (also ins Internet) aufmachen und eine Prüfung auf Authentifizierung abdrehen. Ich kann erzwingen, dass nur Verschlüsselte Verbindungen akzeptiert werden. Und damit kann jeder bei mir ein Email einkippen, der meine Domain und den Port kennt. (Problemfeld SPAM)
Der lauschende Mailserver hat dann folgende Aufgaben:
Ein Mail, dass reinkommt muss geprüft werden, ob es einen lokalen User gibt, dem das Mail gehört, und wenn ja, dann leg es in sein Postfach.
Für mein Setup ist das aber zu wenig.
Ich habe meinen Mailserver nämlich so im Einsatz, dass der per fetchmail/getmail von all meinen Mailaccounts regelmäßig die Emails einsammelt und mir per IMAP dann zur Verfügung stellt.
Andererseits möchte ich per SMTP Emails verschicken. Das heißt, mein MUA nimmt den SMTP-Servre als Smarthost und von mir nimmt er Emails entgegen, die er dann an den Zielhost zustellt. Und um es noch komplexer zu machen, mein Mailserver wählt je nach gewählter Absenderadresse den entsprechenden Smarthost meiner Email-Provider aus, damit die Emails dann über diesen dem Ziel zugestellt werden. (Welcher Mailserver nimmt schon ein Mail mit gmx im from an, welches vom Server schiessmichtot.at versendet wird?)
Mein Setup klappte bisher ganz gut. Ich hatte nur den Teil der direkten Zustellung an meinen Mailserver bisher noch nicht implementiert, da ich rein über die Smarthosts gearbeitet habe.
Ich möchte aber mittelfristig von den großen Platzhirschen wie Google, GMX & Co loskommen und baue mir zu diesem Zwecke meine eigene Landschaft auf (daher auch der andere Thread zu DNS und openVPN) und meine Accounts dort löschen. Also brauche ich auch die direkte Zustellung an meinen Mailserver.
Zusammengefasst:
Ich hab am Mailserver Port 25 offen und lasse mir darauf von jedem unauthentifiziert Mails über TLS-Verschlüsselung zustellen. Diese Mails werden ausschließlich lokal zugestellt. Gibt es keinen entsprechenden Account lokal, wird das Mail rejected.
Ich hab am Mailserver Port 587 offen und lasse Emails nur von authentifizierten Accounts mit TLS-Verschlüsselung zu, welche dann entweder lokal zugestellt, oder direkt oder per Smarthost zum Empfänger weitergeleitet werden.
Die Kunst der Konfiguration liegt dann darin, dass Emails auf Port 25 am Rechner bleiben müssen (oder rejected werden) und jene von Port 587 weitergeleitet werden (oder lokal zugestellt).
Hab ich das so richtig verstanden?
Und während des Schreibens fiel mir dann auf, dass es wohl im Sinne der Security sinnvoll wäre, zwei Mailserver draus zu machen. Einmal den Einen, der nur auf Port 25 lauscht und meine Emails dann an den IMAP-Server weiterreicht (bzw. der meine User-Mailboxen hostet), und einmal einen Mailserver, der nur auf Port 587 lauscht und rein als mein eigener Smarthost dient. und die Emails dann zustellt oder an die zuständigen Smarthosts aller meiner Email-Provider weiterleitet, aber nicht lokal zustellt.
