Zwingend benötigte Ports beim Mailserver

[Homerj]

Hallo zusammen,

bin gerade dabei einen Mailserver im Heimnetzwerk zu installieren zu Testzwecken, bevor ich mir eine VServer zulege.
Es ist Debian 9 mit ISPConfig 3 installiert.
Mailversand und -empfang ist i.O.

Der Mailserver empfängt und sendet Mails. Zugriff soll über IMAP SSL. Ungesicherter bzw. Unverschlüsselter Zugriff soll nicht erlaubt sein. Ich bin mir gerade extrem unsicher welche Ports ich brauche (alle Ports TCP)
- SSL IMAP Port 993
- SSL SMPT Port 465
Das sollte doch theoretisch reichen wenn der Mailclient SSL kann oder ?
Dazu:
- TLS IMAP 143
- TLS SMTP 25 ODER (??) 587 ?

wird der Port 25 und 110 überhaupt noch benötigt ?

Ich möchte eben so wenig wie möglich offen haben. Über die Protokolle finde ich wirklich einiges im Netz. Das ich für den Client nur SSL/TLS Ports benötige ist klar. Aber wenn andere Mailserver eine Mail schicken, fragt der Server nicht zuerst auf Port 25 an ? Oder wenn dieser nicht erreichbar ist geht er an Port 587 ?

Danke für eure Hilfe.

[Meillo]

Fuer IMAP sollte 993 reichen, also immer SSL-verschluesselt.

Fuer SMTP brauchst du 25 und 587. Ersterer ist zum Empfangen von Mails da (mittels STARTTLS verschluesselt). Zweiterer wird fuer Submission (also zum Abschicken nach Auth) verwendet.

465 wird eigentlich nicht mehr verwendet, weil STARTTLS auf Port 25 besser ist.

[bluestar]

Ich würde dir raten, deine Dienste auf 2 IP-Adressen aufzuteilen, sozusagen Mx-Dienste (25 ein- und ausgehend, ohne Auth) auf der ersten IP und auf der zweiten IP die Benutzerdienste (587 mit STARTTLS und Auth, als auch 993 mit SSL).

So kannst du in der Firewall leichter Angreifer explizit blocken, je nachdem welche Art Service sie auf dem Server nicht erreichen sollen.

Wir machen auf der MX IP, je nach Spamwelle einfach großzügige Sperren von Dialup-Netzbereichen rein, ohne das wir da Probleme auf der Seite der Nutzer bekommen.

[wanne]

Wir machen auf der MX IP, je nach Spamwelle einfach großzügige Sperren von Dialup-Netzbereichen rein, ohne das wir da Probleme auf der Seite der Nutzer bekommen.

Von denen die nicht ankommen hört ihr ja nichts.

[bluestar]

Von denen die nicht ankommen hört ihr ja nichts.

Doch über Telefon und/oder Support-Formular käme da ganz bestimmt der Wunsch nach Support... Mit zwei IPs is da einfach Ruhe, selbst wenn unser User in einem "MX"-seitig geblockten IP-Bereich rumhängt, kann er ohne Einschränkungen Mails empfangen und versenden. Der User is glücklich und der Spammer bekommt seine qualitativ hochwertigen Bits'n'Bytes bei uns nicht abgegeben.

[Homerj]

Hallo,

Danke für die Informationen. Dachte mir schon, dass der Port 25 weiterhin benötigt wird.

Jetzt kämpfe ich aktuell mit Fetchmail. Fetchmail holt alle EMails von Gmail ab und leitet die an mein Postfach weiter.
Soweit funktioniert das auch. Ich bekomme es nur nicht hin die Ordner ebenfalls zu synchronisieren bzw. die Ordner zu erstellen.

Ziel ist irgendwann auf Gmail und Konsorten zu verzichten, beim Cloudspeicher habe ich das bereits.
Zuhause ein APU2D4 mit Nextcloud. Wenn ich etwas benötige und ich bin unterwegs, wird ein VPN gemacht.
Also ist Nextcloud auch nicht von außen erreichbar.

Beim Mailserver, ob Zuhause oder im Rechenzentrum geht das natürlich nicht. Dort müssen die Ports offen bzw. weitergeleitet sein.

[Meillo]

Beim Mailserver, ob Zuhause [...]

Wenn du mit dem Gedanken spielst, einen Mailserver zuhause an einer Dialup-IP-Adresse zu betreiben, dann musst du davon ausgehen, dass die allermeiste von ihm gesendeten Mails von den Empfaengern sofort als Spam abgewiesen werden. Zum Versenden von Mail wirst du um eine fest und moeglichst vertrauenswuerdige IP-Adresse nicht drum rum kommen.

Das kannst du aber per Relay (mit Auth!) ueber den Mailserver eines Providers abdecken. (Er kann an der Stelle aber natuerlich prinzipiell alle von die gesendeten Mails mitlesen ... falls du sie nicht alle verschluesselst.)

Beim Empfangen von Mails kannst du dich ganz gut von Providern frei machen. Du musst an der Stelle die Verteidigung gegen den Spam selbst uebernehmen.

[wanne]

Der User is glücklich und der Spammer bekommt seine qualitativ hochwertigen Bits'n'Bytes bei uns nicht abgegeben.

Spammer kommen bei mir zu 90% aus den besonders vertrauenswürdigen IP-Berechen von Google, Yahoo oder Micorosoft. Werden also per IP nicht geblockt. Aus Dialup-Bereichen habe ich seit Jahren keinen Spam mehr bekommen. (Aber auch keine legitimen E-Mails. Die aller meisten Provider machen den Port 25 ausgehend dicht. Das viele Heimrouter das Selbe machen hat für Ruhe gesorgt.)
Legitime E-Mail schickt ihr dagegen mit zu harten Filtern massenhaft über den Jordan. escalations.dnsbl von SORBS ist so ne schöne Liste, wo ich drauf wetten würde dass die Wahrscheinlichkeit für Spam kleiner ist, wenn die IP auf der Liste steht.

Zum Versenden von Mail wirst du um eine fest und moeglichst vertrauenswuerdige IP-Adresse nicht drum rum kommen.

Fest sollte schon. Aber schon lange nicht mehr wirklich vertrauenswürdig. Die großen filtern alle nicht mehr IP-Basiert sondern Domain-Basiert. Wenn dein spf passt und die Hostname OK ist, ist alles bestens.
Problem. Ist eher dass du einen Gewissen Mail-Durchsatz brauchst, damit du als vertrauenswürdig giltst. Was am Ende dafür sorgt, dass Spammer sogar belohnt werden. Total bescheuert...

[Homerj]

Ja, das mit der dynamischen IP Adresse ist mir bekannt. Ich habe hier einen kleinen DSL Provider, der aber 100down/30up bietet. Faszinierenderweise habe ich seit 12 (!!) Wochen die gleiche IP. Selbst wie ich das Modem drei Tage ausgemacht habe. Es gibt noch die Möglichkeit eine feste IP für 1,50€ zu nehmen. Die Spar ich mir mal.

Mit ISPConfig sind mir keine Mails als Spam deklariert worden. Mit Mailcow schon.

Was wäre die Alternative ? Ein kleiner VServer. Wobei man erst bei einem richtigen Root Server oder bei einem gemieteten Stellplatz im RZ wieder die volle Kontrolle hat.