Neue Antwort schreiben 
 
Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Mailserver aufsetzen
thosch97 Offline
All things have a right to grow

Beiträge: 9.846
Registriert seit: Feb 2010
Beitrag #1
Mailserver aufsetzen
Ich plane, meine Mails und eventuell die meiner Familie selbst zu hosten und sammle dafür gerade Ideen. Dass ich das hier tue, hat natürlich den Sinn, dass ihr kommentieren könnt und auch Fragen beantworten. Parallelen zu einem anderen Thread sind nicht gewollt, ich habe außerdem vor auf Vorschläge einzugehen, erstmal zu sammeln, Server vernünftig zu konfigurieren und aktuell zu halten und so weiter.

Software: OpenSMTPD und Dovecot (wenn Cyrus besser sein soll lasse ich mich gerne überzeugen, ich habe nix gefunden). Darunter entweder Gentoo GNU/Linux oder OpenBSD. Webmail bin ich am schwanken, ob ich das will; Roundcube scheint das einzig nutzbare zu sein und PHP will ich jetzt nicht unbedingt.
Für Autoconfig brauchts einen Webserver und (wenn man sich auf Mozilla beschränkt und Microsoft und Apple ignoriert) eine statische Datei, das wird dann nginx oder der OpenBSD-httpd.
Userdatenbank: Für mich selbst direkt oder über PAM (bzw. BSDAuth) die /etc/passwd, meine Familie soll keinen Shellzugriff haben und deshalb jeweils nur virtuelles User sein (d.h. mein Maildir in ~, deren ihrs in /var/vmail oder so, Userdatenbank z.B. über separate passwd(5)-Datei). Wichtige Frage hierbei: Wie sollen die ihr Passwort ändern? Kann IMAP sowas oder brauch ich am Ende doch SSH oder $webzeugs? Doch einen richtigen Unix-User geben, aber die Shell aufs Passwort ändern beschränken? Userzertifikate wären wohl etwas arg umständlich, auch wenn die Clients meiner Eltern (Thunderbird und com.google.android.gm aka GMail.apk) das können müssten.
SSL: Welchen CN/SAN müssen die Zertifikate tragen? Den der Domain oder den des tatsächlichen Servers (also z.B. example.com vs. mail.infra.example.com)? SSL mit vernünftigen Ciphers wird dann selbstverständlich für Submission und IMAP enforcet.
Backup-MX: Wie funktioniert das prinzipiell? Ein primärer Server, der auch Mails entgegennimmt (und auch speicher), und ein Backup-Server, der Mails direkt an den primären weitergibt oder bei Bedarf solange cachet?
Hoster: Wird wahrscheinlich sinnvoller sein, als Hoster ein deutsches Unternehmen zu haben, bei dem die Server in Deutschland stehen?

Das ist alles, was mir jetzt gerade so einfällt. Änderungen in diesem Post werde ich kenntlich machen.

PGP-Key E384 009D 3B54 DCD3 21BF 9532 95EE 94A4 3258 3DB1 | S/MIME-Key 0x1A33706DAD44DA
G d-@ s+:- a--- C+++ UB+L++ P--- L++@ E-@>++ W+ N o? K? w>++ !O !M !V PS+++ PE-- Y+>++ PGP++>+++ !t 5? X? !R tv b+++>++++ DI !D G>+ e>+++ h !r>++ !z
„Die Aachener gelten als Erfinder des 4. Hauptsatzes der Thermodynamik: ‚Thermo schreibt man zweimal.“‘
“Saying that Java is good because it works on all platforms is like saying oral sex is good because it works on all sexes.”
„Es gibt 10 Sorten von Leuten: Die einen verstehen das Binärsystem, die anderen nicht.“
„Manche Männer lieben Männer, Manche Frauen eben Frauen; Da gibt's nix zu bedauern und nichts zu staunen; Das ist genau so normal wie Kaugummi kauen; Doch die meisten werden sich das niemals trauen“
01.03.2016 03:25
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
CHRiSNEW Offline
Internetblasensammler

Beiträge: 2.862
Registriert seit: Jul 2008
Beitrag #2
RE: Mailserver aufsetzen
Bisschen Brainstrom-Input: http://sealedabstract.com/code/nsa-proof...n-2-hours/

Roundcube nutzen wir auch für unsere Mailstacks. Das ist flexibel, erweiterbar und ist auch recht sauber gecodet.

IPv6-Tunnel für dynamische IPv4-Endpunkte · dezentrales Hacker-VPN
01.03.2016 22:10
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
thosch97 Offline
All things have a right to grow

Beiträge: 9.846
Registriert seit: Feb 2010
Beitrag #3
RE: Mailserver aufsetzen
So. OpenSMTPD und Dovecot laufen jetzt im Wesentlichen. Es fehlen noch: DKIM, Sieve/Pigeonhole, Catchall auf qsuscs.de (aktuell kommt halt nur das an blackhole.qsuscs.de auf diesem Server an), Autoconfig, Spamkrams … noch was?

/etc/mail/smtpd.conf
Code:
#  $OpenBSD: smtpd.conf,v 1.7 2014/03/12 18:21:34 tedu Exp $

# This is the smtpd server system-wide configuration file.
# See smtpd.conf(5) for more information.

pki blackhole.qsuscs.de certificate "/etc/ssl/blackhole.qsuscs.de.crt"
pki blackhole.qsuscs.de key "/etc/ssl/private/blackhole.qsuscs.de.key"

listen on lo0
listen on egress port 25 tls pki blackhole.qsuscs.de
listen on egress port 465 smtps pki blackhole.qsuscs.de
listen on egress port 587 tls-require pki blackhole.qsuscs.de auth

table aliases db:/etc/mail/aliases.db

accept from any for local alias <aliases> deliver to lmtp "/var/dovecot/lmtp"
accept from any for domain qsuscs.de relay via secure://sculptor.uberspace.de
accept from local for any relay

# doveconf -n
Code:
# 2.2.18: /etc/dovecot/dovecot.conf
# OS: OpenBSD 5.8 amd64  
first_valid_uid = 1000
mail_location = maildir:~/Maildir
mbox_write_locks = fcntl
mmap_disable = yes
namespace inbox {
  inbox = yes
  location =
  mailbox Drafts {
    special_use = \Drafts
  }  
  mailbox Junk {
    special_use = \Junk
  }
  mailbox Sent {
    special_use = \Sent
  }
  mailbox "Sent Messages" {
    special_use = \Sent
  }
  mailbox Trash {
    special_use = \Trash
  }
  prefix =
  separator = .
}
passdb {
  driver = bsdauth
}
service imap-login {
  inet_listener imap {
    port = 143
  }
  inet_listener imaps {  
    port = 993
    ssl = yes
  }
}
service lmtp {
  unix_listener lmtp {
    mode = 0666
  }
}
ssl = required
ssl_cert = </etc/ssl/blackhole.qsuscs.de.crt
ssl_cipher_list = ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SH
ssl_key = </etc/ssl/private/blackhole.qsuscs.de.key
ssl_prefer_server_ciphers = yes
ssl_protocols = TLSv1.2
submission_host = localhost
userdb {
  driver = passwd
}

Von der Config gern inspirieren lassen, aber bitte nicht ohne Doku lesen einfach kopieren!

PGP-Key E384 009D 3B54 DCD3 21BF 9532 95EE 94A4 3258 3DB1 | S/MIME-Key 0x1A33706DAD44DA
G d-@ s+:- a--- C+++ UB+L++ P--- L++@ E-@>++ W+ N o? K? w>++ !O !M !V PS+++ PE-- Y+>++ PGP++>+++ !t 5? X? !R tv b+++>++++ DI !D G>+ e>+++ h !r>++ !z
„Die Aachener gelten als Erfinder des 4. Hauptsatzes der Thermodynamik: ‚Thermo schreibt man zweimal.“‘
“Saying that Java is good because it works on all platforms is like saying oral sex is good because it works on all sexes.”
„Es gibt 10 Sorten von Leuten: Die einen verstehen das Binärsystem, die anderen nicht.“
„Manche Männer lieben Männer, Manche Frauen eben Frauen; Da gibt's nix zu bedauern und nichts zu staunen; Das ist genau so normal wie Kaugummi kauen; Doch die meisten werden sich das niemals trauen“
06.03.2016 00:01
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Alpha Offline
Oskar

Beiträge: 15.851
Registriert seit: Jan 2009
Beitrag #4
RE: Mailserver aufsetzen
DNSSEC + DANE
Policy-Weight für Checks ala SPF, RBL etc..

Mark IV Style Motherfucker!
(Dieser Beitrag wurde zuletzt bearbeitet: 06.03.2016 00:04 von Alpha.)
06.03.2016 00:03
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
CHRiSNEW Offline
Internetblasensammler

Beiträge: 2.862
Registriert seit: Jul 2008
Beitrag #5
RE: Mailserver aufsetzen
Hast du sa-learn irgendwo schon verdrahtet, um den Bayes-Filter von spamassassin zu trainieren?

IPv6-Tunnel für dynamische IPv4-Endpunkte · dezentrales Hacker-VPN
06.03.2016 11:04
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
thosch97 Offline
All things have a right to grow

Beiträge: 9.846
Registriert seit: Feb 2010
Beitrag #6
RE: Mailserver aufsetzen
qsuscs.de. 300 IN MX 1 blackhole.qsuscs.de.
Läuft. Die nächsten Tage kommt dann noch DKIM, Pigeonhole, Autoconfig und das ganze Spam-Handling. Bis auf Autoconfig ist das aber nichts, was vorher schon da war (und die Config bekomm ich auch so hin), das eilt jetzt nicht saumäßig.

Config nochmal angepasst:
Code:
#  $OpenBSD: smtpd.conf,v 1.7 2014/03/12 18:21:34 tedu Exp $

# This is the smtpd server system-wide configuration file.          
# See smtpd.conf(5) for more information.

pki blackhole.qsuscs.de certificate "/etc/ssl/blackhole.qsuscs.de.crt"
pki blackhole.qsuscs.de key "/etc/ssl/private/blackhole.qsuscs.de.key"

listen on lo0
listen on egress port 25 tls pki blackhole.qsuscs.de
listen on egress port 465 smtps pki blackhole.qsuscs.de auth-optional
listen on egress port 587 tls-require pki blackhole.qsuscs.de auth

table aliases db:/etc/mail/aliases.db
table vusers "/etc/mail/vusers"

accept from any for local alias <aliases> deliver to mda "/usr/local/libexec/dovecot/dovecot-lda -d %{user.username} -a %{rcpt} -f %{sender}"
accept from any for domain qsuscs.de virtual <vusers> deliver to mda "/usr/local/libexec/dovecot/dovecot-lda -d %{user.username} -a %{rcpt} -f %{sender}"
accept from local for any relay
Code:
# 2.2.18: /etc/dovecot/dovecot.conf
# OS: OpenBSD 5.8 amd64  
first_valid_uid = 1000
mail_location = maildir:~/Maildir
mbox_write_locks = fcntl
mmap_disable = yes
namespace inbox {
  inbox = yes
  location =
  mailbox Drafts {
    special_use = \Drafts
  }
  mailbox Junk {
    special_use = \Junk
  }
  mailbox Sent {
    special_use = \Sent
  }
  mailbox "Sent Messages" {
    special_use = \Sent
  }
  mailbox Trash {
    special_use = \Trash
  }
  prefix =
  separator = .
}
passdb {
  driver = bsdauth
}
protocols = imap
service imap-login {
  inet_listener imap {
    port = 143
  }
  inet_listener imaps {
    port = 993
    ssl = yes
  }
}
ssl = required
ssl_cert = </etc/ssl/blackhole.qsuscs.de.crt
ssl_cipher_list = ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
ssl_key = </etc/ssl/private/blackhole.qsuscs.de.key
ssl_prefer_server_ciphers = yes
ssl_protocols = TLSv1.2
submission_host = localhost
userdb {
  driver = passwd
}

PGP-Key E384 009D 3B54 DCD3 21BF 9532 95EE 94A4 3258 3DB1 | S/MIME-Key 0x1A33706DAD44DA
G d-@ s+:- a--- C+++ UB+L++ P--- L++@ E-@>++ W+ N o? K? w>++ !O !M !V PS+++ PE-- Y+>++ PGP++>+++ !t 5? X? !R tv b+++>++++ DI !D G>+ e>+++ h !r>++ !z
„Die Aachener gelten als Erfinder des 4. Hauptsatzes der Thermodynamik: ‚Thermo schreibt man zweimal.“‘
“Saying that Java is good because it works on all platforms is like saying oral sex is good because it works on all sexes.”
„Es gibt 10 Sorten von Leuten: Die einen verstehen das Binärsystem, die anderen nicht.“
„Manche Männer lieben Männer, Manche Frauen eben Frauen; Da gibt's nix zu bedauern und nichts zu staunen; Das ist genau so normal wie Kaugummi kauen; Doch die meisten werden sich das niemals trauen“
(Dieser Beitrag wurde zuletzt bearbeitet: 07.03.2016 04:31 von thosch97.)
07.03.2016 04:20
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Neue Antwort schreiben 


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste