Feste-IP zuhause via VPN?

danton

Debian User
Läuft auf dem Root-Server schon ein Mailserver für Mail-Empfang und -Versand? Falls ja, dann muss dessen Konfiguration nur ein wenig angepasst werden (abhängig vom installierten Mailserver und ggfl. vorhandenen Admin-Panels). Ich nutze meinen Root-Server aber nur ausgehend als Smarthost, eingehend zeigt der MX direkt auf den A-Record meiner Domain für die Homeserver. Auf dem Root habe ich ein paar SMTP-only Mailaccounts angelegt, die keine Mails empfangen können, sondern nur zum Senden verwendet werden.
 

Dbone

New Member
Auf dem Root-Server läuft bisher noch kein Email Server. Noch eine Sache die ich vergessen habe ist, dass ich mehrere Domains nutzen möchte, weil ich den Mailserver nicht alleine nutzen werden
Ich hatte mal diesen Docker-Container genutzt.

https://github.com/tomav/docker-mailserver

Ich weiß nicht ob es einen besseren Container dafür gibt.

@danton hast du zwei MX-Records und das bei dir so umzusetzen? Ich kriege täglich zwischen 3-4 Uhr eine neue IP aktuell und ich habe etwas Angst, dass Emails um diese Uhrzeit entweder garnicht oder an einen anderen Host zugestellt werden, der mir nicht gehört.
 

danton

Debian User
Bei mir ändert sich die IP nur alle paar Monate mal (Telekom hat 180 Tage bis zur Zwangstrennung) und die IP scheint auch nicht sofort wieder an einen andere Kunden weitergegeben zu werden. Da ich meine meine Home-Domain aber auch kaum für Mails nutze (primär technische Mails wie Logs oder Statusmails meiner Fritzbox), kann ich problemlos damit leben, dass da mal Mails verloren gehen. Meine Haupt-Email-Adresse landet auf meinem Root-Server und ist damit unabhängig von meinem DSL-Zugang daheim.
Ein zweiter MX würde auch nicht viel bringen: Hat der Server daheim die höhere Prio, würden beim IP-Wechsel die Mails weiter beim falschen Mailserver landen, sofern den nächste User der IP einen bei sich laufen hat. Bei gleicher Prio hast du dafür immer das Problem, das Mails mal auf dem einen und mal auf dem anderen System landen.
Ein Docker-Container macht auf deinem Root-Server meiner Meinung nach wenig Sinn - einen Mailserver wie Postfix installieren und dann eine passende Konfiguration (Smarthost und ggfl. Relay für kommende Mails) darauf einrichten. Beim Relay dran denken, dass dieses alle eMail-Adressen auf dem Zielsystem kennen muss, um ungültige direkt abzuweisen und keine Bounce-Mails zu erzeugen. Außerdem sollten auf dem Relay-Server auch alles passieren, was zu Mailabweisungen führen kann.
 

Thunderbyte

Moderator
Staff member
Für Incoming Mails kann der MX Record (muss eh auf einen DNS Namen und keine IP Adresse gesetzt werden) für alle Domains, die auf dem Mail Plus Server gehostet werden sollen auch auf einen DynDNS Namen (z.B. meintollesnas.no-ip.com ) verweisen, alternativ kann man auch die eigene Domain verwenden, wenn man einen CNAME Record von meintollesnas.meinedomain.de auf meintollesnas.no-ip.com weisen lässt.

Anbieter, die mit dem eigenen Router (z.B. Fritzbox) konfiguriert werden können, finden sich im dortigen Adminpanel (z.B. https://freedns.afraid.org/ (kostenfrei), https://www.noip.com/ , https://dyn.com/ ), auch die Synology kann unter Systemsteuerung - Externer Zugriff zahlreiche DynIP Provider mit der jeweils nach Reconnect neuen IP versorgen. Es ist keinesfalls nötig, IPs manuell neu einem DNS Eintrag zuzuordnen!

Zwei MX Records sind bei diesem Setup nicht nötig, der Abgleich der beiden Mailserver ist sonst ein Problem.

Bei der Konfiguration eines öffentlich zugänglichen SMTP Servers ist darauf zu achten, dass dieser kein "offenes Relay" ist, d.h. ohne Authentifizierung Mails verschickt. Sonst wird er zur Spamschleuder und landet sehr schnell auf Spam Blacklists.

Für die gesamte o.g. Konfiguration und wenn nur Mail eine Rolle spielt, ist kein VPN für irgendetwas nötig, die korrekte Konfiguration aller Komponenten ist definitiv ausreichend.
 

Dbone

New Member
MOD EDIT: Fullquotes gekürzt. Bitte Fullquotes vermeiden!
Bei mir ändert sich die IP nur alle paar Monate mal (Telekom hat 180 Tage bis zur Zwangstrennung) und die IP scheint auch nicht sofort wieder an einen andere Kunden weitergegeben zu werden.
...
Ein zweiter MX würde auch nicht viel bringen: Hat der Server daheim die höhere Prio, würden beim IP-Wechsel die Mails weiter beim falschen Mailserver landen, sofern den nächste User der IP einen bei sich laufen hat. Bei gleicher Prio hast du dafür immer das Problem, das Mails mal auf dem einen und mal auf dem anderen System landen.
.
Ok das ist natürlich ein großer Vorteil. Der zweite MX wäre für den Emailversand gedacht, so dass ich von einer statischen IP aus meine Mails versenden kann. Oder würde das über den Google Email Relay Server sogar besser funktionieren?

Für Incoming Mails kann der MX Record (muss eh auf einen DNS Namen und keine IP Adresse gesetzt werden) für alle Domains, die auf dem Mail Plus Server gehostet werden sollen auch auf einen DynDNS Namen (z.B. meintollesnas.no-ip.com ) verweisen, alternativ kann man auch die eigene Domain verwenden, wenn man einen CNAME Record von meintollesnas.meinedomain.de auf meintollesnas.no-ip.com weisen lässt.
Danke für die Info, aber davon wusste ich schon vorher. Ich will ja aber auch Email versenden können und abgesehen davon mache ich mir auch etwas Sorgen darum, ob der mail server generell zuverlässig hinter einer dynamischen ip Emails empfangen kann, ohne einen Server dazwischen. Hast du eventuell Erfahrung damit?
 
Last edited by a moderator:

Thunderbyte

Moderator
Staff member
Bitte vermeide Fullquotes, diese behindern die Lesbarkeit. Bei mehrfachem Verstoß werden wir verwarnen müssen.

Es wird kein (zweiter) MX Record zum Mailversand benötigt. Ausgehend kann quasi jeder Rechner Mails senden. Der MX Record sagt dem Mailserver, der Mails an eine Domain zustellen will, wo dieser zu finden ist. Du kannst also ohne VPN und ohne MX Record über einen Smarthost versenden (Du gibst den zu benutzenden SMTP Server ja im Mail Client an). Wenn Du Dir das leichter merken willst, kannst Du einen A Record "smtp.meinedomain.de" auf die IP Adresse des Smarthosts setzen. Ein MX Record ist nicht nötig. Wichtig wäre lediglich, dass Du im SPF Record angibst, dass diese IP oder DNS Adresse berechtigt ist, für die Domain Mails zu versenden. Das wird die Chance reduzieren, in Spamfiltern zu landen.

Ein zweiter MX Record bringt lediglich für die Redundanz des EMPFANGS etwas, wenn ein Mailserver "down" ist, kann der andere ggfalls noch erreicht werden (dieser muss im Endeffekt gleich konfiguriert sein, um sich auch für die gleichen Adressen zuständig zu fühlen.. Das bringt jedoch das Problem des Abgleichs / ungleichen Standes mit sich. Hinzu kommt, dass ein Mailserver, der kurzzeitig nicht erreichbar ist, eigentlich kein Problem darstellt. "Echte" Mailserver versuchen nämlich mehrfach erneut (mitunter mit wachsendem Intervall dazwischen) Mails zuzustellen, bis das klappt. Je nach Konfiguration kann es Tage dauern, bis eine Zustellung wirklich fehlschlägt und dem Sender zurückgegebenen wird. Daher macht ein 2. MX und ein Backup Mailserver m.E. keinen Sinn, es sei denn man hat eine entsprechende Mailserversoftware, die im Cluster funktionieren kann.

Offensichtlich weißt Du aber viele der von mir genannten Details trotzdem nicht / nicht korrekt.

Nochmal: für die Versendung wird KEIN MX Record benötigt, wohl aber eine vernünftige "Reputation" der IP: IP Adressbereiche aus Endkunden-Internetanschlussbereichen (DSL/Kabel Anschlüsse). Es wird bei Spamfiltern davon ausgegangen, dass DSL Mailserver häufig gekaperte Spam Zombies sind (nicht zu unrecht). Daher verwendet man für die Versendung besser eine fixe IP eines Serverproviders (Smarthost), die nicht auf Blacklists ist. Für den Empfang stellt es aus den genannten Gründen kein Problem dar, hinter einer dynamischen IP zu liegen, es wird keine IP mit "Reputation" benötigt, der MX Record muss aber (dank DynIP) auf den richtigen Server verweisen. Die 5 Min, die eine DynIP evtl noch nicht upgedated ist, werden ohne weiteres durch erneute Zustellversuche von Mailservern abgepuffert.

Ich hatte bisher nicht erwähnt, dass natürlich alle ein- und ausgehende Kommunikation über SSL (z.B. via Let's Encrypt oder ein gekauftes Zertifikat) abzusichern ist. Nicht verschlüsselte Mailkommunikation verbietet sich!

Wenn Dir das alles "zu blöd" oder zu aufwändig ist, kannst Du mit geringem finanziellen Aufwand auch z.B. Webspaceprovider verwenden, die riesige Mail Accounts anbieten oder Dir Hosted Exchange Postfächer (Groupware mit Kalender- und Kontaktesync) holen.
 

Dbone

New Member
Perfekt! Danke für die Ausführliche Erklärung. Ich ging davon aus das auch ein MX Record fürs versenden Notwendig wäre. Also vom Aufwand her wird sich das definitiv lohnen und dementsprechend werde ich das definitiv auch so aufsetzen. Hab gerade den Synology eignen DynDNS eingerichtet und auch eine Domain Testweise darauf per MX verlinkt. Email kommen genau so an wie sie auch sollten. Der Server blockiert auch alles für was er nicht zuständig ist. Heißt wenn ich mir heute nochmal das alles genauer angucke bzw. teste, sollte der Email empfang so ablaufen wie ich das mir vorgestellt habe. Nochmal danke für die Info!

Bitte vermeide Fullquotes, diese behindern die Lesbarkeit. Bei mehrfachem Verstoß werden wir verwarnen müssen.
Alles klar!

Offensichtlich weißt Du aber viele der von mir genannten Details trotzdem nicht / nicht korrekt.
Die Sache ist, dass ich bisher einige Server eingerichtet habe und auch selbst verwenden muss(bin für ein paar Linux Server zuständig), aber Mail Server habe ich nur sehr oberflächlich einrichten müssen und das auch bisher nur 2 Mal. Deswegen wollte ich mich hier nochmal vorher informieren ...
Besser hier auf Fehler hingewiesen werden, als später größere Probleme durch die Fehler zu haben, die man dann nicht mehr so einfach los wird.

Wie würdest du den Mail Versand am besten lösen?
Den Rootserver muss ich zwangsläufig eh immer betrieben für andere Sachen, also wäre es kein Problem darauf einen Relay Server zu packen der nur Emails von genau einer IP zulässt. Die Synology als auch der Root-Server befinden sich im selben virtuellen LAN Netzwerk. Dadurch kann der Root-Server die Synology (oder umgekehrt) immer mit der selben IP erreichen. Einziger hacken an der Sache ist, dass ich alles auf dem Rootserver in Docker Containern laufen lassen möchte. Ich benutze nämlich Coreos weil es für mich einfach sauberer aussieht.

Ich habe aber auch gehört das Google einen kostenlosen SMTP relay Server anbietet, oder ist der mittlerweile kostenpflichtig?

Danke schon mal im Voraus!
 

Thunderbyte

Moderator
Staff member
Es scheint einige SMTP Relay Container zu geben: https://hub.docker.com/search?q=smtp relay&type=image
Vermutlich könnte man sich die mit vielen Downloads mal näher ansehen. Ich bin ein Freund von Docker, allerdings musst Du Sorge tragen, dass Updates des Containers möglich sind, ohne Deine Konfiguration zu zerschießen (nach außen legen wichtiger Verzeichnisse).

Folgendes wäre zu beachten:
- SSL IST PFLICHT!
- Du kannst zwar bei den meisten Relays, die ich gesehen habe, einstellen, dass sie nur von machen IPs oder Ranges erreichbar sind, das kann aber trotzdem ein Problem sein: wenn Du die Synology freischaltest und Mails über die Weboberfläche oder (vermutlich auch) die Mail Plus App schreibst, sollte das in Kombination mit Deinem VPN funktionieren, theoretisch sogar ohne die Notwendigkeit einer Authentisierung (ohne Beschränkung ist das ein freies Relay!!!). Wenn Du aber einen Mail Account z.B. auf einem Smartphone OHNE die Mail Plus App konfigurieren willst, um die OS eigenen Funktionen nutzen zu können, wird die Mail logischerweise von der IP Adresse des Smartphones kommen und dessen IP Range kannst Du nicht vorhersehen und freischalten. Daher ist Authentifikation via Username / PW beim Smarthost trotzdem nötig.
https://github.com/carlosedp/docker-smtp könnte evtl geeignet sein, auch Gmail Relay würde unterstützt.
 
Top