Mailserver auf gentoo - Welche HowTo sollte man befolgen?

  • Thread starter Thread starter Deleted member 14254
  • Start date Start date
D

Deleted member 14254

Guest
Hallo und frohe Pfingsten liebe Gemeinde,

ich hatte vor einigen Tagen in einer anderen Rubrik schonmal über meine Mailserver-Wünsche in einem anderen Thread angeschnitten, war aber kurzzeitig davon abgekommen, da ich ein paar anderweitige Probleme hatte, die aber jetzt nicht direkt hiermit zutun hatten...

Ok, also ich habe gentoo und würde mir gerne einen Mailserver mit Postfix, Dovecot, MySQL und evtl. wegen der einfacheren Handhabung von Mailboxen postfixadmin verwenden...

Für Debian habe ich, haben andere Mitschreibende und ich zusammen ein paar gute HowTo's für Debian zusammengetragen. Nach denen würde ich auch gerne vorgehen, doch ich las heute, das man damit oft auf "die nase fällt", wenn man Anleitungen für andere Distributionen "umbiegt".

Das (Debian-) HowTo war folgendes: http://wyden.com/linux/mailserver/mailserver-mit-postfix-dovecot-postfixadmin-und-mysql-debian-etch

Das für gentoo wäre dieses: http://www.gentoo.de/doc/de/virt-mail-howto.xml

Allerdings ist dies nicht mit Dovecot, sondern mit cyrus-sasl.

Dovecot würde ich lieber einsetzen, da ich davon desöfteren Gutes hören konnte. Cyrus kenne ich garnicht. Nur andererseits las ich heute, das es bei Versionsupgrades bei Dovecot sehr gerne gravierende Änderungen gibt und "schwupps" einfach mal so - nichts mehr geht... Das ist natürlich auch nicht "Das Gelbe vom Ei"... Es gab noch andere HowTo's zu gentoo, doch alle kategorisch ohne "Sicherheitsaspekte wie ssl und sasl-Auth..." Da ich höchst ungern ein OpenRelay bauen würde... nehme ich von solchen HowTo's Abstand.

Wozu ratet Ihr mir evtl.? Leider gibt es für gentoo viel unausgereifte Lektüre und auch teils fehlerhafte Dokumentationen. (Davon kann ich ein Lied singen - Erinnerungen: Xorg-HowTo; RAID-x... Einige Schritte sind bei letzterem in falscher Reihenfolge... Nur erkenne ich soetwas 10mal besser als Fehler in mail-Server-HowTo's :/

Naja, vielleicht hat von Euch noch jemand eine Idee. Ansonsten werd ich die gentoo-cyrus-sasl angehen...

Danke im Voraus :) Ja - im gentooforum usw. habe ich schon vor einiger Zeit gefragt, dort beschäftigt sich mit Serversachen niemand. Nur System.
 
Hallo Joe User :)

Danke Dir, ich werde es mir mal ansehen :) Aber gesteh mir zu, nachdenken tu ich schon, deshalb gehe ich ja auch nicht "blind" daran und denke "Hauptsache Mailserver steht". Möchte halt nur nicht schon direkt beim ersten Mailserver chaotisches anrichten ;)

Ich schau mir mal Dein HowTo jetzt an :) Aber wenn ich nochmal fragen darf: Wie denkst Du über das, wie es auf der obigen, von mir genannten gentoo-Seite steht?

Das Debian-HowTo gefiel mir schon 100mal besser, nur weiss nicht, ob es sich umsetzen lässt.

Vielleicht werd ich ja mit Deinem noch glücklicher :)) ;)

EDIT: Hab mir das HowTo mal durchgelesen. Aber ich glaub nicht dran das es auf gentoo gehen wird. Allein schon die zu bearbeitende "httpd.conf" lässt mich zweifeln, da in gentoo diese Datei nicht verändert werden sollte. Aber vielleicht kenne ich mich da zuwenig aus um schlusszufolgern.
 
Last edited by a moderator:
Also meine Erfahrung ist, wenn man 'nem Howto nicht blind folgt, sondern versteht was da steht, kommt man eigentlich mit jedem Ansatz gut zum Ziel.

Für gentoo lohnt immer das Gentoo-Wiki und auch viele Dinge aus dem Arch-Wiki lassen sich gut übertragen. Wichtig ist halt bei der ganzen Nummer, dass die Howtos keine Distri-eigenen Tools einsetzen. Aber das merkt man immer recht schnell beim lesen.

Ich benutze selbst seit Jahren gentoo und auch wenn es dafür kaum spezielle Howtos gibt, bin ich mit Gentoo-Wiki, Original-Doku und ein wenig Howto immer sehr direkt zum Ziel gekommen.
 
Hallo PapaBaer,

wenns nicht ein öffentlich zugänglicher Server wäre, würde ich auch mit weniger Bange darangehen. WebServer usw. konnte ich hier auf meinem testsystem lange Zeit testen und üben. Doch Mailserver leider nicht. Ich versuche ja, das Ganze zu verstehen, ich gehe ja auch deshaln nicht "einfach blind den Text durch" und mache was da steht. Ich seh mich halt nur mit dem Rücken an der Wand, wenn ich die vielen Widersüprüchlichkeiten von HowTo zu HowTo sehe. Ein HowTo setzt auf Dovecot und postfix mysql, ein anderes auf cyrus-sasl... "Hier" steht, Dovecot ist Mist, aber cyrus toll, woanders das Gegenteil... Mein Problem ist, ich weiss nicht worauf ich bauen soll.

Aber trotzdem bedanke ich mich für Deine Anteilnahme :)
 
Das Problem löst du aber nicht, indem du "das richtige" Howto findest. Wenn du unsicher bist, dann besorg dir nen Buch und lerne, wie Mailserver im Detail funktionieren. Am Ende bist du nicht mehr verwirrt ob der widersprüchlichen Aussagen, sondern kannst dir ein eigenes Bild der Lage machen. Obendrein hast du ein sauberes Verständnis, was du warum wie einrichtest.

Mailserver sind nicht ohne. Ein Grund, warum ich meine Mails über einen externen Provider laufen lasse.
 
Das stimmt. Das mit dem "nicht ohne". Ich habe selbst lange überlegt, ob ich überhaupt einen mailserver einrichten will. Das Problem ist nur, das meine Website eine kleine Firmenpräsenz wird, und das es natürlich etwas seltsam aussieht, wenn die Herkunft der Mails und die Website eine unterschiedliche Herkunft aufweisen. Das könnte bei Kunden so ankommen wie wenn ein Mailserver eine von einem auf DSL basierenden "dip-t.dialin.net" - Host bekommt - und - deshalb abweist. Ein Mailserver muss auf jeden Fall her.

Also das HowTo, was mir persönlich am meisten zusagt, ist das von Debian: http://wyden.com/linux/mailserver/m...postfixadmin-und-mysql-debian-etch#1338230552

Eben weil es den ISP-Style besitzt. Gut, das erklärt nicht die Funktionsweise eines Webservers. Das werd ich mir noch aneignen. Der Grund ist wie gesagt: Ich hätte bisjetzt nicht viel davon gehabt, da ich keinen MS hätte einrichten können hier. Das kann man leider nur mit einem "richtigen" Server und nicht wie hier, hinter dem DSL-Router :/
 
Also bei meinen Mails sieht auch nur ein Profi im Mail-Header, dass das nicht über meinen vServer läuft. Die Domain ist die selbe. Ich halte das aber nicht für ein Manko, im Gegenteil. Jeder gut Admin weiß, dass es keinen Sinn macht einen eigenen Mailserver über einen vServer zu fahren, wenn man das auch bei professionellen Hostern abfeiern kann. Warum sollte ich mir die Mühe machen, mich auch noch um einen Mailserver zusätzlich zu kümmern?

Ich bin eher skeptisch, wenn ich sehe, dass eine Firma alles auf einen vServer packt und ich dann auch noch ein Plesk oder Confixx auf der IP finde.
 
Neutrino_2003 said:
EDIT: Hab mir das HowTo mal durchgelesen. Aber ich glaub nicht dran das es auf gentoo gehen wird. Allein schon die zu bearbeitende "httpd.conf" lässt mich zweifeln, da in gentoo diese Datei nicht verändert werden sollte. Aber vielleicht kenne ich mich da zuwenig aus um schlusszufolgern.
Click to expand...
Apache hat ja auch nichts mit dem Mailserver zu tun ;-)

Die Abschnitte zu MySQL, Postfix, Dovecot und PostfixAdmin kannst Du mit minimalen Anpassungen, hauptsächlich die Pfade, nahezu 1:1 übernehmen. Das Lesen der jeweiligen Original-Doku zu einzelnen Konfigoptionen und das Beachten der Portage-Meldungen ist natürlich immer obligatorisch.

Am Wichtigsten sind die Configs und die sind im Regelfall OS/Distro-unabhängig (abgesehen von Debian+Derivate und ihren kranken Config-Strukturen).

BTW: Gentoo erlaubt für Apache die Angabe einer eigenen httpd.conf, so dass das Original unverändert bleiben kann.

BTW2: Du solltest Dir dringend ein lokales Testsystem zulegen, dann musst Du nicht am produktiven System try&error betreiben.
 
Guten Morgen zusammen :)

@PapaBaer,

Nunja... Stimmt sicher, was Du sagst: Zusätzliche Arbeit/Mehraufwand wenn der Mailserver mit auf dem Produktivsystem läuft. Gut, lasse ich so stehen. Vielleicht mache ich es irgendwann einmal anders. Vielleicht kommt mal ein kleinerer Server dau, auf dem dann NUR der Mailserver läuft und ich kann auslagern. Derzeit bin ich halt "alleine" was die ganze Wartung angeht... Logik: Ja, ich könnte die Mail-Sache anderweitig machen. Nur ist es irgendwie etwas persönliches. Es reizt mich einfach bis in die Haarspitzen einen Mailserver laufen zu haben... Gibts sowas wie "Mailserverfetischismus"? :D:confused: Nene, scherz.

Joe User said:
Apache hat ja auch nichts mit dem Mailserver zu tun ;-)
Click to expand...

Nicht direkt - Klar. Nur wenn man Postfixadmin nimmt, nach Debian-Dovecot-HowTo - braucht man ihn.... Ich setze apache php und mysql meist so und so in der make.conf, und die drei installieren sich gemäß nach package.use Inhalt mit nötigem "Drumherum" beim nächsten System-Update von selbst.

Joe User said:
Am Wichtigsten sind die Configs und die sind im Regelfall OS/Distro-unabhängig (abgesehen von Debian+Derivate und ihren kranken Config-Strukturen).
Click to expand...

Die Configs von gentoo gefallen mir auch besser... Also seit ich gentoo habe, geht mir sowieso einiges mehr von Debian und Konsorte NOCH mehr gegen die Hutschnur, als es vor der Begegnung mit gentoo war... Wenn ich die Anpassungsmöglichkeiten des Systems bei gentoo sehe und dann den vollautomatischen Debian-Klumpatsch, will man ihn entschlacken, man stundenlang zutun hat (länger als eine gentoo-Neuinstallation) - dann bereue ich, jemals mit was anderem als mit gentoo unterwegs gewesen zu sein.

Sorry, soll kein Flamewar werden! Ich bin sicher, das Debian einiges für sich hat. Meine Distribution ist sie und Ubuntu seit Unity jedenfalls nicht mehr.

Joe User said:
BTW2: Du solltest Dir dringend ein lokales Testsystem zulegen, dann musst Du nicht am produktiven System try&error betreiben.
Click to expand...

Ausser dem Mailserver war noch nicht viel drauf. Deswegen mache ich die Seite erst danach. Domain -> DNS mit Zonefile -> damit habe ich mich die Tage leicht gequält... aber das ist soweit fertig und funktioniert 1a.
Für den Webserver, vhosts usw. usf. hab ich hier ein Testsystem. Mein lokales gentoo. Doch den Mailserver kann ich schlecht testen, wegen -> fehlender Domain (gut, ich könnte das zonefile nochmal vergewohltätigen und auf meine feste IP von hier verbiegen) - nur da ist ne dip0-t-ipconnect.de... Heisst also, Üben wird schwer... Also wenn was rejected wird, werde ich nicht wissen, ob es an einem Fehler in der Config liegt oder daran, das die ip mit dem dip0... Host übersetzt wird und der meine Mail erhaltende Mailhost im Inet nur diesen Absender nicht mag. Aus dem Grund ist ja die Sache so verzwickt. Hätte ich die mailserversache hier üben können, hätt ich das schon getan die Zeit über.

Bücher habe ich mir auch schon angesehen. Hab auch einige hier. Nur, Du sagst ja oben selbst, "Debian+Kranke Configs). Hiesse, egal was ich in einem Buch mir anlese, letztendlich wird es doch wieder anders sein und ich auf dem Schlauch stehen. Letzte Woche - Ok -passt nicht zum thema - habe ich mich mit ner RAID-Installation befasst: Nur habe ich zwar von RAID nicht soviel gesehen im Leben, doch gentoos schon noch und nöcher installiert und was partitionieren usw. angeht, Installationen, da bin ich nicht von gestern... Daher sah ich auch direkt, das es nicht gehen kann, wenn man die Reihenfolge im HowTo beinehält - Thema Handbuch: Theorie != Praxis. Hier so, da anders.

Nagut, ich werds nachher weiterprobieren. Irgendwie krieg ich den *******-Mailserver schon hin.
 
Last edited by a moderator:
Du brauchst nur die Installationen und das grobe Zusammenspiel von Postfix, Dovecot und PostfixAdmin lokal zu testen und dafür reicht der gleiche Nameserver/hosts-Hack den Du auch für Apache genutzt hast.
Sobald die Authentifizierung per SMTP und IMAP klappt und Dir das selbst signierte SSL-Zertifikat präsentiert werden, passt eigentlich schon Alles. Ansonsten sind meine vorgeschlagenen Mail-Configs seit Jahren auf dutzenden Systemen weltweit nahezu unverändert im produktiven Betrieb und wurden bisher nicht bemängelt. Insofern kannst Du mir da ruhig vertrauen ;)

Bei den anderen Diensten (Apache, MySQL) sind meine Configs hingegen nur für 0815-Hobbyrootserver ausgelegt, aber auch dort seit Jahren als Basis bewährt. An das eigene System beziehungsweise dessen Nutzungsprofil muss man diese Configs irgendwann natürlich immer genauer anpassen, aber geschätzte 70% decke ich bereits mit meinen Configs ab.


Wer mehr als diese 0815-Hobbyinstallationen benötigt, der hat auch das nötige Wissen, um ohne irgendwelche (inklusive meinen) HowTos klarzukommen.
 
Hallo Joe User :)

Danke Dir für Deine Antwort :) ich werds auf meinem System hier mal testen. Hatte irgendwie immer geglaubt, man musse auf jeden Fall auf seinem System einen 100% laufenden Server haben, um die Funktion beurteilen zu können.

Respekt: Wenn Du Configs für Produktionsserver entwirfst, dann hast aber schon einige Jahre "auf dem Buckel" als Server-Admin :)

Äh, ja, was ich noch sagen wollte:

Joe User said:
Ansonsten sind meine vorgeschlagenen Mail-Configs seit Jahren auf dutzenden Systemen weltweit nahezu unverändert im produktiven Betrieb und wurden bisher nicht bemängelt. Insofern kannst Du mir da ruhig vertrauen ;)
Click to expand...

Sorry, wenn da Misstrauen "rübergekommen" war. So hatte ich es nicht gemeint, Joe User. Ich hatte mich halt nur schon durch einige Configs gekämpft und bei den gentoo-configs bin ichs irgendwie schon gewohnt, das es plötzlich zu Haken komen kann... und man dann auf sich und auf viel Glück angewiesen ist, wenn man was zum ersten Mal macht. Meine erste gentoo-Installation dauerte etwa 1 ganzen tag. Meine jetzigen 2 bis 3 Stunden. Nur der Weg zum gentoo-Nutzer war steinig. Er hat sich bestens gelohnt, ja - nur - ja Du weisst schon was ich meine.

Ich trau Deinen Configs schon, hab nur halt Schiss gehabt, etwas falsch umzusetzen evtl. Aber werds vorerst mal hier auf dem System testen, davon hab ich auch HDD-Abbilder... Wenn was passiert, System ist in 5 min neu drauf. Hoffe, die gentoo-Community hat grade nicht hingehört ;) (normalerweise repariert man ein System, statt ein Image zurückzuladen) ;))
 
Neutrino_2003 said:
Respekt: Wenn Du Configs für Produktionsserver entwirfst, dann hast aber schon einige Jahre "auf dem Buckel" als Server-Admin :)
Click to expand...

Für 0815-Setups wie sie auf den meisten gemieteten RootServern laufen, ist das Erstellen solcher Configs kein grosses Problem, da man nicht auf spezielle Anforderungen Rücksicht nehmen muss. Hinzu kommt dann noch ein bischen Erfahrung und das Vergleichen mit anderen Configs die einem im Laufe der Zeit über den Weg laufen. Das (immer wieder) Lesen der Original-Dokumentation ist ohnehin obligatorisch und regelmässiges Daily-Business.

Auf dem Buckel habe ich nur knapp 15 Jahre System-Administration, also nicht wirklich viel.
 
Joe User said:
Auf dem Buckel habe ich nur knapp 15 Jahre System-Administration, also nicht wirklich viel.
Click to expand...

Nicht viel? :rolleyes::confused: Würd ich aber schon so nennen :) Ich hab mal vor einigen Jahren nen 18monatigen Lehrgang zum Win2k Server/Advanced-Server gemacht. Aber eigentlich hab ich nie mit beiden Systemen jobmäßig danach zutun gehabt. Es folgten noch nen Linux-Lehrgang - aber absolutes Einsteiger-Niveau: Wir haben nicht mal Installationen durchgenommen. Hauptsächlich Editoren und Benutzerverwaltungen auf SuSE. Das war auch mein erstes Home-Linux. Irgendwie hatte ich Feuer für Linux gefangen. Da aber diese SuSE wie ein Sack Nüsse auf meinem damaligen Notebook lief, da etwa 1/2 der HW nicht erkannt wurde, hab ich damit recht wenig letztendlich zutun gehabt. Paar Jahre später hatte ich dann Debian für etwas mehr wie 2 Jahre. In einem irc-Chan, wo ich damals ansässig war, hatte ich einigen Kontakt zu Linux-Jüngern und auch einiges im Laufe der zeit mir angeeignet. Aber auch das war nur mit einem sid-Debian zu machen, da stable noch weniger als SuSE erkannte. (anderes Notebook). Aber trotzdem - war nicht schlecht damals. Dann Schule - Technischer Informatiker. und musste mich wieder mit Windows befassen. Hatte damals auch ne Website. Webpaket meines Providers T-Offline ;) Naja und um was "anständiges" im Inet auf die Beine zu stellen, hätt ich "root-Rechte" gebraucht. Nur meine Kenntnis von Roots, siehst ja, wieviel ich immernoch fragen muss - heute noch... damals waren sie aber wirklich 0. Naja, da man die Website niemandem zeigen konnte ;) absolute statische Seite, wie ein Foto im Netz - ohne Interaktivität ohne alles, hab ich sie wieder weggemacht. Arbeiten tu ich als PC-Techniker. Custom-PC und Service für PC- und Inet-Beginnende. Der Server jetzt, wo ich mich "verausgaben" kann (und der den Wuchs von grauen haaren immens beschleunigt... ;) - soll meine "Fähigkeiten" unter Gottes Sonne etwas bekannter machen ;)

15Jahre... Die Erfahrung hätt ich auch gern auf dem Gebiet :):o
 
Ich finde die Eingangsfrage: "Welches HowTo sollte man befolgen?" ist falsch gestellt. Die Frage ist vielmehr, welche Anforderungen hast Du? Welche Kapazitäten stehen Dir zur Verfügung?

Ein Beispiel: Du sagst, der Mailserver wäre für einen kleine Firma. Ist dafür wirklich ein Web-Interface a la PostfixAdmin zur Verwaltung der Mail-Domain erforderlich? Oder treten entsprechende Adminverwaltungsvorgänge so selten auf, dass sie per Hand erledigt werden können? Dies geht IMHO auch Hand in Hand mit der mySQL-Anbindung - diese macht die Konfiguration aufwendiger/komplexer und ggf. fehleranfälliger und lohnt sich m.M.n. nur bei einer größeren Anzahl von Mail-Domains und Usern.

Stichwort: IMAP-Dienst. Cyrus hat sehr viele Features aber hat den Ruf keine sonderlich gute Dokumentation zu haben. Courier IMAP fand ich für Standard-Fälle gut dokumentiert, aber bei Spezialfällen für shared folders stieß ich schnell auf Grenzen. Dovecot empfand ich z.B. als guten Kompromiss. Auch gilt, schau Dir die Software und insbesondere die Doku an, welche Du evtl. nutzen willst. Kommst du damit klar? Werden Deine Bedürfnisse davon abgedeckt? Auch ältere Tests können Dir einfacher einen Zugang zum Thema schaffen, z.B. http://www.linux-magazin.de/Heft-Abo/Ausgaben/2007/06/Auf-der-Teststrecke dabei gilt es natürlich, dies mit dem aktuellen Stand abzugleichen.

Joe User's Mailserver-Vorschlag berücksichtigt nicht den Aspekt der serverseitigen Mailfilterung (Spam, Viren, Vorsortierung der Mails) - eine Funktionalität, die aber durchaus eine gewichtige Rolle spielen kann. Sie hat Auswirkungen auf die Auswahl von MTA und MDA. Sicherlich bekommst Du jeden Viren-/Spamfilter an jeden MTA geflunsched. Postfix und Exim machen es jedoch leichter als QMail und bringen diverse on-Board-Filterungen selbst mit so dass man auf Monster wie Amavisd mglw. verzichten kann.

Möchtest Du Mails in Folders vorsortieren? Dann wird die MTA-interne Zustellung nicht ausreichend sein. Dovecot bringt einen MDA mit einigen Fähigkeiten mit. Reicht das? Oder ist vielleicht procmail nützlich, weil klein und mächtig? Oder das Feature-Monster sieve, welches auch gut mit dovecot spielt?

Zum MTA: Exim steht in dem Ruf sehr einfach konfigurierbar und inzwischen auch hinreichend sicher zu sein dafür aber nicht ganz so performant. Postfix ist um einiges komplexer zu konfigurieren und performanter? Was ist Dir lieber? Welches Mailaufkommen erwartest Du?

Fazit: Definiere Deine Anforderungen so genau wie möglich und beschäftige Dich primär mit der Original-Doku der Software. In der Praxis wirst Du dann nämlich mehrere HowTo zu rate ziehen. Endergebnis: Du weißt was, wie und warum auf Deiner Kiste läuft und kannst damit umgehen. Die ZEit, die Du am Anfang mehr investierst, wird sich später bei Updates und Änderungen auszahlen als wenn Du nur einem HowTo folgst und mit dem schnellen Ergebnis vorerst "zufrieden" bist (weil läuft).
 
Hallo TerraX,

ich bedanke mich bei Dir für die vielen "Anstöße" und "Gesichtspunkte", die Du mir in Deinem Post aufgezeigt hast:

Dann geh ich mal ins Detail:

Was ich tun möchte ist eine kleine Firma gründen. Ob das fruchtet oder nicht, ich bete zum Himmel, das es, aber man muss es abwarten. Ich bin bereit, alles, ja wirklich alles dafür zu geben, und zu investieren, damit die Sache Erfolg haben kann...

Firma: Befasse mich mit PC-Technik, wie ich es im Post an Joe User angedeutet hatte.

Es soll eine Webseite erstellt werden, die mein Angebot öffentlich macht. Evtl. möchte ich noch ein Forum (Habe eine Lizenz von wbb) erstellen. Aber das ist mehr "Freizeit" und "Just4Fun". Themen querbeet.

Die Webserver-Sache konnte ich hier am heimischen Linux-PC schon gut testen, bis halt auf einige hier nicht notwendige Sicherheitsaspekte...

Der Mailserver (der mittlerweile funktioniert aber noch nicht komplett ist, sollte folgendes erfüllen:

  • Flexible Erstellung von neuen Postfächern
  • Per Webinterface zu bedienen sein (was aber nicht unbedingt nötig ist) - Mailclienten würden auch reichen
  • Möchte für die Verwaltung von Mailbenutzern den Datenbankserver MySQL nutzen
  • Mailsystem soll Spamgeschützt sein (ich denke hier an Greylisting)
  • Evtl Virenschutz.

Von Amavisd habe ich gestern gelesen(http://www.gentoo.org/doc/en/mailfilter-guide.xml), als ich nach Greylisting suchte. Das ist wirklich eine sehr große Applikation. Ich werd zwar aus der HowTo schlau, ich traue mir zu, das hinzubekommen, aber ich weiss nicht, ob es SOOO viel besser ist, als wenn ich bei Spam nur auf Greylisting setze, was mit "gld" http://en.gentoo-wiki.com/wiki/Complete_Virtual_Mail_Server/Greylisting

Mein prinzip ist es, dafür Sorge zu tragen, Spam zu vermeiden, aber nicht den Server mit allem möglichen was es nur gibt zuzuknallen. Was ich gestern beispielsweise über amavisd in Punkto Recourcenfresser las, meint genau das, was ich vermeiden möchte. Postfix bringt - wie Du sagtest auch einen / einige (2) mechanismen mit, ist aber nicht so sicher. Im HowTo wurde gewarnt...

Warning: Do not create the greylisting database directory on a partition that might run out of space. While postfix can recover from no-space-left situations for the mail queue and mail box situations, this is not the case with the greylisting database. If the file becomes corrupted you may not be able to receive mail at all until you delete the file by hand.
Click to expand...

Now the setup of simple greylisting is complete...

Warning: I tried this on one box handling thousands of mails daily and the results were almost a complete disaster. After four days the box was bogged down with hundreds of old greylist.pl processes.
Click to expand...

Virenscanner: Das ist ein heisses Thema. Ich bin ehrlich, ich vertraue keinem Virenscanner. Auf Servern hatte ich keine Berührungen damit, naja indirekt vielleicht: Obwohl ich einige Zeit ein AV-Paket in einem kostenpflichtigen Webmail-Account hatte, hatte ich nicht weniger Schadsoftware in den Mails. Zuhause ist es das Gleiche. Hatte gestern Nachmittag ja den Wikipedia-Link in den anderen Thread gesetzt. Mag man mich für verrückt halten, aber so wie das Wikipedia beschreibt, scheinen viele Admins Virenscanner nur noch wegen Firmenrichtlinien einzusetzen...

Doch bevor das ein Flaming auslöst (was ich in diesem Forum zwar nicht glaube) - aber egal - habe meine Meinung dazu gesagt...

Was der Server noch haben sollte:

  • SSL-Support
Das wär mir sehr wichtig. Der server funktioniert wunderbar ohne. Er ist kein offenes Relay (habe den test auf Mailradar gemacht -> Alle Tests wurden bestanden) - er hat Passwörter, die "sich gewaschen haben". Ich benutze selten Passwörter von weniger als 20 Zeichen(!) Klein- Groß- Sonderzeichen... usw...

Nur es wird ein "Firmen-Mailserver". Ich denke, Kunden werden es begrüßen, wenn sie wissen, das ihre mails nicht von Dritten eingesehen werden können...

Der Mailserver ist solange er nicht komplett (ssl- und mindestens Greylisting-) hat, nicht am "Netz". Ich habe die Dienste abgeschaltet. Sie müssen keine Angriffsstellen bieten, solange das Mailsystem noch nicht "komplett" ist...

Nagut, das wär eigentlich alles...

Das HowTo nach der ich beim Mailserver vorgegangen war:

http://en.gentoo-wiki.com/wiki/Mail_server_using_Postfix_and_Dovecot

...und auch teils aus Joe User´s HowTo. Dort kann man die Configs komplett sehen und besser vergleichen, während mir in der gentoo-HowTo die einzelnen Schritte "näher" sind.

TerraX said:
Die ZEit, die Du am Anfang mehr investierst, wird sich später bei Updates und Änderungen auszahlen als wenn Du nur einem HowTo folgst und mit dem schnellen Ergebnis vorerst "zufrieden" bist (weil läuft).
Click to expand...

Das mach ich immer, TerraX. Ich bin "so schnell" nicht zufrieden. Mir bedeutet es erst etwas, wenn ich es verstanden habe, was ich da tue. Wie ich sagte, der Mailserver funktioniert, doch das/die HowTo´s - die begleiten mich min 10h am Tag ;) Ohne Übertreibung. Ich hab das Gefühl, ich vergess noch auf Toilette zu gehen irgendwann :o:o
 
Last edited by a moderator:
Eines vorweg:

Technik und IT-Sicherheit sind kein Selbstzweck sondern haben eine spezifische Aufgabe zu lösen und ihren Beitrag zum Unternehmenserfolg beizutragen. Sie sind Mittel zum Zweck und stehen daher nicht zwingend im Vordergrund. Bei Deinen Beiträgen beschleicht mich so ein bisschen das Gefühl von zuviel Perfektionismus - eine etwas pragmatischere Herangehensweise und Umsetzung ist durchaus wirtschaftlicher.

Ich habe mir mal einige Aspekte herausgegriffen:

Kleine Firma ... Flexible Erstellung von neuen Postfächern ... Möchte für die Verwaltung von Mailbenutzern den Datenbankserver MySQL nutzen
Click to expand...
Start als Ein-Mann/Frau-Unternehmen? Wieviele Mitarbeiter sind mittelfristig (3-5 Jahre) geplant? Flexible Erstellung von Postfächern, Aliasen etc. pp. ist per Shell möglich. Aber oki, die Übersichten, die Web-Interface zur Administration bieten, sind natürlich komfortabler.

Warum unbedingt mySQL? Wir gehen von einer Firma und damit von weiteren benötigten Diensten wie z.B. Fileserver, maybe ein Shop-und Warenwirtschaftssystem aus. Überall eigene User und Passwörter? Kann man machen, muss man aber nicht - ein Login dafür aber wirklich stark ist besser als viele Logins, die sich die Mitarbeiter nicht merken können und daher "anderweitig" notieren. Hat auch Vorteile wenn ein Mitarbeiter das Unternehmen verlässt.

Per Webinterface zu bedienen sein (was aber nicht unbedingt nötig ist) - Mailclienten würden auch reichen
Click to expand...
In einem Unternehmen läuft das vermutlich auf eine Groupware hinaus, wo es ja schöne dinge für alle möglichen Plattformen gibt. Aber btw, schonmal drüber nachgedacht, wie Du den Überblick über Kunden- und interne Kommunikation behalten willst, z.B. Übersicht der eKorrespndenz mit einem Kunden? Ooops, da wären wir bei CRM- und Ticketsystemen - zumindest perspektivisch. Wieder ein System mehr was Login/PW benötigt. Zentrale Anbindung an einen LDAP-Server wäre mglw. ein Ansatz.

Für die ersten 3-5 Kunden kann man sicherlich viel noch bei der Hand am Arm machen. Sobald es mehr werden, ist CRM- usw. (Vertragsverwaltung etc. pp.) sicherlich hilfreich - das gilt auch in Richtung Lieferanten.

Sicher muss man nicht von Anfang an gleich mit schweren Geschützen auffahren. Das Business muss ja erstmal ans Laufen kommen. Aber man darf den Zeitpunkt der Anpassung nicht verpassen. Und wenn man dann umfangreich erstmal migrieren bzw. gewisse Nachteile in Kauf nehmen muss, naja ...

Wenn Du z.B. ein CRM-System für die Kommunikation einsetzt, erübrigt sich in der Regel ein ausgefeilter MDA, das erledigt das CRM.

Wie soll also dein Business aussehen? (rhetorische Frage von mir).

Greylisting/Spamschutz ... Postfix bringt - wie Du sagtest auch einen / einige (2) mechanismen mit, ist aber nicht so sicher.
Click to expand...
Greylisting ist IMHO schlicht und einfach Mist. Manche Mailserver versuchen den Resend nach 5 min. manche erst nach 1h oder mehr. Es stört mehr als es nutzt, wenn man z.B. auf wichtige Mails wartet.

Für mich persönlich ist hartes Blacklisting mit Whitelist für bestimmte Provider das Mittel der Wahl. Reduziert den Workload für den Spamfilter um 70-80% effektiv.

Spamfilter mit serverseiter Verschiebung in entsprechende Ordner ist sicherlich sinnvoll. Ob DSpam oder SpamAssassin (SA) ist dabei Geschmacks- und Erfahrungsfrage. Für mich funktioniert SA sehr gut - allerdings haben wir auch an einigen Gewichtungen herumgeschraubt. False Positives bisher praktisch 0.

Postfix an sich ist schon sehr sicher und stabil.

... Virenscanner ...
Click to expand...
Das ist kein heisses Thema - sondern Standard. Ein Unternehmen sollte mind. die Standards gemäß IT-Grundschutz (siehe BSI) erfüllen. Wer sowas nicht beachtet, dem kann im Falle eines Falles zumindest mangelnde Sorgfalt und/oder Fahrlässigkeit vorgeworfen werden, denn das ist das Minimum von state-of-the-art. ClamAV und Co. machen schon Sinn, wenn sie richtig installiert sind. Ab mit dem Virenzeugs in die Quarantäne, das hat never ever was in den normalen Postfächern und auf den Clients zu suchen. Wobei auch selbstredend die Clients mit AV auszustatten sind - vorzugsweise ein anderes als auf dem Server.
 
Hallo TerraX,

Bei Deinen Beiträgen beschleicht mich so ein bisschen das Gefühl von zuviel Perfektionismus - eine etwas pragmatischere Herangehensweise und Umsetzung ist durchaus wirtschaftlicher.
Click to expand...

- Perfektionismus -

Was soll ichsagen: Auf frischer Tat ertappt?! ;) Ja, hast Recht, das ist so. Ich versuche oft zuschnell, ans Ziel zu kommen. Aber nicht durch "Experimentieren".
Ich sitze da, ich mache mir Gedanken, ich spiele verschiedene Konzepte durch, versuche sie im "reellen Fall" im Kopf zu durchdenken. Ich stelle die Situation an mich selbst, versuche in meine Lösung einene Wünsche einzubringen, also stelle MICH SELBST an die Stelle meines möglichen Kunden. Dabei versuche ich dann möglicherweise oft, ZU perfekt zu sein. In dem Fall freue ich mich, das Du das bei mir erkannt hast. Perfektionismus ist eine Art von Strebsamkeit und das wollte ich von mir zu verstehen geben.

Start als Ein-Mann/Frau-Unternehmen? Wieviele Mitarbeiter sind mittelfristig (3-5 Jahre) geplant? Flexible Erstellung von Postfächern, Aliasen etc. pp. ist per Shell möglich. Aber oki, die Übersichten, die Web-Interface zur Administration bieten, sind natürlich komfortabler.

Warum unbedingt mySQL? Wir gehen von einer Firma und damit von weiteren benötigten Diensten wie z.B. Fileserver, maybe ein Shop-und Warenwirtschaftssystem aus. Überall eigene User und Passwörter? Kann man machen, muss man aber nicht - ein Login dafür aber wirklich stark ist besser als viele Logins, die sich die Mitarbeiter nicht merken können und daher "anderweitig" notieren. Hat auch Vorteile wenn ein Mitarbeiter das Unternehmen verlässt.
Click to expand...

Aus diesem Grund habe ich das mit der Datenbankverwaltung auch in Erwägung gezogen. Ich habe während meiner Übungszeit mal bei mir selbst einen FTP-Server laufen gehabt. Anfangs hatte ich das über verschiedene am System angelegte Accounts gemacht. Nur, wenn man sich eine wachsende Zahl an Arbeitnehmern vorstellt (einfach mal pragmatisch gesprochen, ob es die bei mir geben wird, das muss die Zukunft zeigen) - müssten jedes Mal neue Accounts am System angelegt werden. Doch dann stelle ich mir schwieriger vor, einen Account so "einfach zu disablen" oder zu löschen, wenn ein Mitarbeiter "die Firma" verlässt. Was ich an der Datenbank sehr schätze, jetzt egal ob MySQL oder sagen wir Postgres, oder auch M$SQL, ist die "einfachere" Verwaltung wie ich es zum jetzigen zeitpunkt schätze, bzw. einschätze.

-Ticketsysteme-

Ja, das ist noch Zukunftsmusik. Ich glaube, würde ich zu dem, diesem besagten Moment zu Euch in dieses Forum gekommen sein, diesen Wunsch äussernd, dann würdet Ihr mich wahrscheinlich fragen, wieviel hundert Mitarbeiter ich in der nächsten zeit einzustellen/beschäftigen gedenke. :o
Das muss einfach die Zukunft mit sich bringen. Richtig, klar: Der Zeitpunkt, dies in Erwägung zu ziehen sollte nicht versäumt werden.

-Greylisting-

Ich fand es von den Spambekämpfungsmethoden eine nicht wegzudenkende Möglichkeit. Zudem man ja auch beim Greylisting eine Whitelist nutzen kann, was gar empfohlen wird, um Mails von zumindest "offiziellen Domains" durchzulassen. Webmail wird ja ohnehin nicht sogerne gesehen. Das habe ich beispielsweise bemerkt als ich mir den Server gemietet habe. Ich hatte früher eine Mail-Adresse von meinem Provider. Also eine, die auf eine "reelle Person" registriert ist/war. Lange Zeit jedoch war ich unsicher, ob ich wirklich einen Root mieten werde. Eine Idee war mal, einen Server von meiner DSL-Leitung aus zu betreiben. Doch allein schon wegen des wahrscheinlich aufgekommen Problems mit dem Mailserver bin ich davon schnell wieder abgekommen. Aber für den Anfang hätte meine 50/10 Leitung auch gereicht. Aber es soll nicht OT werden jetzt.

-Virenscanner-

TerraX, ich weiss nur soviel: Virenscanner, es war egal wann, auf welchem System und zu welchem Zeitpunkt ich sie eingesetzt hatte: Virenscanner sind (ja schlagt mich ruhig) ein Fall für die "Tonne". Auch wenn ich wieder etwas OT werde jetzt:
Auf einem 100% funktionierenden, neuen und sauberen Windoof XP/7 habe ich Virenscanner installiert. Einen Kaspersky, einen NOD32 (ESET), den ich persönlich noch für einen der wirksamsten halte... Es stellten sich innerhalb von Tagen die größten Probleme ein. Ich bin zwar noch nicht lange Linux-Root-Admin, aber PC-Betriebssysteme hatte ich nicht wenige im Leben, und Installationen zählen zu dem womit ich lange Zeit mein Geld verdiente. Kunden fragte mich gar, warum sie Probleme hätten, seit dem bei ihnen ein AV-rennt. Ich mag sie nicht. AV-Programme sind mir zuwider. Ich werde auf dem Server ClamAV evtl. einsetzen, aber auch nur wegen der Headerzeile in den von mir gesendeten E-Mails. Nicht weil ich ihnen vertraue.

Auf meinen Systemen (Clients) setze ich nur auf Firewalls. AV nutze ich nicht. Jedesmal diese duseligen Fehlalarme machen noch mehr unsicher. Von Avira wurde gar eine ASM Entwicklungsumgebung nicht nur einmal als Schadprogramm erkannt. "Ich könnte ihn ja auf die Whitelist setzen" sagte man mir. Dann muss ich aber kategorisch vorgehen, TerraX. Dann muss ich hingehen, im Voraus erahnen, welche Programme vom AV als Schadsoft erkannt werden könnten und sie whitelisten. Ist dieser administrative (künstlich herbeigefügte) Mehraufwand wirtschaftlich?

Sieh mal in Wikipedia unter AV-Programmen rein. Das habe nicht ich geschrieben, das sind Erfahrungen Anderer. Ich habe immer geglaubt, NUR ICH habe die Probleme, es war eine Erleichterung zu sehen, das manche Firmen-Serveradmins sie selbst "verdammen" und sie nur wegen Firmenrichtlinien einsetzen...
 
You must log in or register to reply here.
Back
Top