Krautkanal.com

Veröffentlicht am 2017-02-20 15:49:33 in /c/

/c/ 217179: Eigener Mailserver?

artheft_ua Avatar
artheft_ua:#217179

Macht es Sinn? Habt ihr einen? Lieber auf eigener Hardware oder auf einem VPS?
Linux oder BSD? Reicht es einmal einzurichten und dann nur hin und wieder upzudaten?

bobwassermann Avatar
bobwassermann:#217182

>Macht es Sinn

In 99% der Fälle nicht.

Um die Daten- und Ausfallsicherheit hinzubekommen (bzw. daran zu kratzen) die Profis bieten, musst du schon gut Geld in die Hand nehmen und Arbeit reinstecken.
Kauf dir ne fertiglösung, das ist besser (idR), billiger und stressfreier.

samihah Avatar
samihah:#217184

Definitiv ja.
Ja.
VPS.
Linux.
Ja.

umurgdk Avatar
umurgdk:#217189

>>217184
Warum sägend?
Hattest du keine Probleme wegen Schwarzlisten oder dergleichen? Was für ein Setup empfiehlst du?

turkutuuli Avatar
turkutuuli:#217190

Das Problem bei raus gehendem Mehl ist, dass es im Spamfilter landet, wenn man keine renommierte Adresse hat. Das heißt man nutzt entweder direkt den Server eines Anbieters oder einen eigenen, der dann den Server eines Anbieters als Smarthost (~Proxy) bedient. Ich tue letzteres mit postfix, würde aber in weniger komplexen Fällen davon abraten, weil nutzlos.

Die Mehl-Sammlung zum Lesen würde ich hingegen unter keinen Umständen aus der (physikalischen) Hand geben, da private Sachen darin stehen. Bei mir läuft dovecot auf dem HTPC und es wird mittels getmail und sieve gefüttert.

Die erwähnten Programme laufen sowohl unter BSD als auch Linux; ich nutze Debian stabil, weil faul. Merkmal-Komplett sind sie auch, da fuchst man sich an einem Wochenende rein und das wars.

carloscrvntsg Avatar
carloscrvntsg:#217192

Tu es nicht, vertrau mir. Virenscanner, aktueller Spamfilter etc. sind den Wartungsauffand einfach nicht wert.
Also die beste Möglichkeit für mich war einfach eine Domain zu kaufen und mit Zohomail dann die Email einzurichten.
Damit hast du dann [email protected] oder Ähnliches. Dieses Postfach verfügt über einen Virenscanner und ggf. Spamfilter. Das kannst du dann mit irgendeinem Clienten den du hast syncen. Es tut genau das was du willst mit minimalem Geld- und Aufwandseinsatz.

Hier mal ne Anleitung (funktioniert mit jedem DNS, ist halt nur Eigenwerbung, ich hab meine bei hover):
https://www.digitalocean.com/community/tutorials/how-to-set-up-zoho-mail-with-a-custom-domain-managed-by-digitalocean-dns

Du zahlst so nur deine Domain, zoho ist bis 10 Nutzer kostenfrei.
(https://www.zoho.com/mail/)

hampusmalmberg Avatar
hampusmalmberg:#217198

>>217192
>Wartungsauffand
Hmm, das kann man doch alles automatisieren. Ich kann mir nicht vorstellen dass das Updaten ein Problem ist.
Was aber definitiv ein Problem ist, ist
1. aus diversen Gründen auf Schwarzlisten kommen
2. bei Störungen herauszufinden, was genau das Problem ist. Angeblich ist Debugging nicht trivial.

wahidanggara Avatar
wahidanggara:#217209

>>217198
Ich habe mich vor ner Weile intensiv mit dem Thema auseinander gesetzt und es ist die Hölle. Kauf einfach eine Domain und nutz zoho oder Ähnliches, du wirst es mir danken.

dutchnadia Avatar
dutchnadia:#217212

Dovecot bekommt übrigens gerade eine von Mozilla spendierte Sicherheits-Auditierung. Entsprechende Aktualisierung irgendwann im laufe dieses oder des nächsten Jahres anberaumt. An der Konfiguration wird sich aber bestimmt nichts ändern, die ist ja nur schrecklich und nicht unsicher.

>>217192
Dann solltest du dir aber keine Kinderpornos mehr schicken lassen, wenn jeder deine Mails auf dem Server durch gehen kann.

zackeeler Avatar
zackeeler:#217213

>>217182
>In 99% der Fälle nicht.
Wäre interessiert zu wissen was du denn so brutal wichtiges tust das du einen Mail-Cluster wie gmail benötigst.

>>217192
Dumm viel? Du pflegst 1-2 DNS BL, konfigurierst Greylisting und dkim. Virenscanner auf Mailservern ist unzuverlässig und wenn du der Meinung bist sowas zu brauchen, dann bist du sehr wahrscheinlich auch dafür anfällig wie ein Kacknoob. Deaktiviere JS und den ganzen Scheiß auf Client-Seite und benutz dein Hirn.

>>217209
>es ist die Hölle
Es ist nur die Hölle wenn man keine Ahnung hat. Und das ist der wichtigste Punkt bei so Dingen wie #Neuland. Wenn man keine Ahnung hat, es sein lassen aber auch aufhören Scheiße zu verzapfen.


Betreibe meine Büchse (früher Postfix, mittlerweile OpenSMTPD) seit knapp 4 Jahren und hab nur Untenzeit wenn Updates fahren. Meine Crypto, mein Blech, die Gesetze des Landes in dem die Büchse steht, keine personalisierte Werbung, etc, etc

ma_tiax Avatar
ma_tiax:#217215

>>217213
>mailserver hat downtime
>sagt, andere haben keine Ahnung

Geh grillen

murrayswift Avatar
murrayswift:#217216

>>217189
> Warum sägend?
Ausversehen.

> Hattest du keine Probleme wegen Schwarzlisten oder dergleichen?
Noch nie. Ich verschicke allerdings auch keinen Spam.

> Was für ein Setup empfiehlst du?
1. VPS klicken
2. Devuan draufbügeln
3. Zugang vernünftig sichern:
SSH mit Schlüssel, Passwortlogin abschalten,
Am Besten noch Portknocking mit festen, im voraus vergebenen Sequenzlisten einrichten um sshd kurz zu starten.
4. MTA installieren (exim4)
5. MDA installieren (cyrus)
6. Konfiguration frickeln

Zumindest habe ich das so gemacht, deine Kilometerleistung mag abweichen.

craighenneberry Avatar
craighenneberry:#217246

>>217216
Kannst du sagen, was das an Ram braucht? Ich habe einen sehr günstigen VPS gemietet, der hat aber nur 512MB.

degandhi024 Avatar
degandhi024:#217247

>>217246
Hat meiner auch. Ist ausreichend.

chrstnerode Avatar
chrstnerode:#217249

>>217213
Bernd betreibt seit einigen Jahren einen Mailserver zu Hause (feste IP mit rDNS), hat sich aber aus Faulheit noch nicht besonders viel damit beschäftigt und überlässt das ISPConfig. Dementsprechend ist der kacke konfiguriert und müsste mal komplett neu gemacht werden.
Was Bernd eigentlich sagen will: Selbst professionelle Anbieter haben Probleme mit dem Konfigurieren ihres Mailservers. 99% sind kein Problem, aber wenn dann Mails auch zu Googlemail gehen sollen, stehen alle ratlos da, weil die Mails mal angenommen und mal abgelehnt werden, wobei die Zustellung über IPv4 wohl zuverlässiger funktioniert als über IPv6. Niemand weiß genau, warum Google manche Mails nicht annimmt und Google selbst äußert sich nicht dazu.
Quelle: DENOG-Mailingliste, Archiv ist leider nur noch nach Anmeldung lesbar.

mutlu82 Avatar
mutlu82:#217253

Postfix, Dovecot, Nginx für Roundcube, fail2ban, Amavisd mit SpamAssassin, MariaDB als Rückseite. Das alles gehostet auf einem billigen Gebrauchtserver mit CentOS in einem billigen Rechenzentrum. Fertig ist der eigene Mailserver, dessen einziger Wartungsaufwand darin besteht, alle zwei Wochen mal den Updater zu starten.

>>217215
Wirf' mal einen Blick auf Abschnitt 4.5.4.1. von RFC 5321. Welchen Grund gäbe es für einen Bernd bei seinem privaten Mailserver auf Hochverfügbarkeit zu setzen? Kosten und Aufwand stehen in keiner Relation zum Nutzen.

jpotts18 Avatar
jpotts18:#217254

>>217253
>Wirf' mal einen Blick auf Abschnitt 4.5.4.1. von RFC 5321.
Solltest du mal machen. Dann würdest du auch wissen, dass das Ganze eine Einstellungssache ist, und du dich darauf verlassen müsstest, dass es nicht deaktiviert ist. Spaßfakt: Die meisten Provider machen das, weil sie erstens nicht kehren, und um nicht zu versuchen, toten Servern über 9000 Mails jeden Tag zuzustellen.

>Kosten und Aufwand stehen in keiner Relation zum Nutzen.
Klar, 5€ im Monat und einmalig 5 Minuten für die Registrierung bei einem ordentlichen Provider sind für NEET-Bernd schon schwer zu bewältigen m(
Wenn das Ding eh im Rechenzentrum steht, warum nicht gleich richtig? Bei einem lokalen Server hätte ich es noch verstanden wenn man sowas wegen Paranoia macht. Und wenn du Ahnung hättest, würdest du noch ein Relay dazwischen schalten.

maiklam Avatar
maiklam:#217255

Ich habe hier ein paar Authentifizierungsschwächen.

-Meine subdomain, die auf den server zeigt heißt smtp.XYZ.de
-Auf der habe ich die DNS-Einstellungen mit A, MX (mail.smtp.XYZ.de) und TXT records gesetzt
-Mein server heißt server.XYZ.de (FQDN)

-Das MTA programm (exim4) hat mich nach der FQDN gefragt und nach den lokalen Sendern.
-Jetzt wird mir von einem Testprogramm alles mögliche bemängelt anhand meines lokalen servernamen.
-Ich nehme an ich muss exim4 explizit sagen, das root ein Sender ist, aber was kA was ich wegen der anderen Probleme machen soll.
Ich bin gerade völlig überfragt wo ich was wie benennen soll.

(Bin ein Anfänger in Sachen DNS, Verzeihung.)

trickyolddog Avatar
trickyolddog:#217259

>>217255
Oh, mir wird gerade klar, dass man ein extra Programm benötigt für Athentifizierung.
https://github.com/Exim/exim/wiki/Authentication

heikopaiko Avatar
heikopaiko:#217261

>>217179
> Macht es Sinn? Habt ihr einen? Lieber auf eigener Hardware oder auf einem VPS?
Ja. Ist auch einfach. Es sei denn du möchtest sicherstellen keine Spampunkte zu bekommen. Microsoft ist sehr streng da.
> Linux oder BSD? Reicht es einmal einzurichten und dann nur hin und wieder upzudaten?

Linux, BSD völlig egal. Hardware auch egal, wenns nur für dich ist läuft es auch auf einem Raspberry Pi noch flott genug.
Also nimm einen VPS für 5 Eur im Monat, da bekommst du schon was ordentliches bei Anbietern die dir auch 99,9% Uptime garantieren.

Vergiss die ganzen ISP-Style-Mail Howtos, die brauchst du nicht. Lerne inzu postmap und Flachen Dateien, damit kannst du auch alias, catchall und so weiter umsetzen. Das an MySQL zu binden ist für dich allein Overkill.

vicivadeline Avatar
vicivadeline:#217262

>>217216
> 4. MTA installieren (exim4)
> 5. MDA installieren (cyrus)
nimm postfix und dovecot, spar die Kopfschmerzen.

steynviljoen Avatar
steynviljoen:#217268

>>217262
alle 4 sind in Händen von Möchtegern-Admins ein Ärgernis für jeden seriösen Admin, erst gestern wieder einen 1a boune-loop aller 120sec gehabt, weil Mail erst mal angenommen wird und dann erst geprüft wird, ob das Postfach überhaupt so große Mails annehmen darf, völlig beknattert, Exchange lehnt sofort mit einer klaren Fehlermeldung ab.

christianoliff Avatar
christianoliff:#217270

Ich weiß gar nicht warum ich mir jetzt zwei Tage so eine Mühe gemacht habe, wenn ich letztendlich nicht mal die Möglichkeit habe korrekte Selektoren für TXT-Einträge bei meinem Domainanbieter einzustellen (für DKIM und DMARC). Und rDNS nicht veränderbar ist, da VPS über einen Hostervermittler.
Ich weiß jetzt immerhin das Exim4 Horror ist und Postfix dank Arch-Wiki machbar. Vielleicht kann ich dann irgendwann bei einem besseren Domain- und VPS-Hoster eine ordentliche Mail bauen.

Frage ist, was mach ich jetzt mit meinem 1€ VPS stattdessen für Spielereien?

pehamondello Avatar
pehamondello:#217272

>>217270
> 1€ VPS

Das hätte ich dir auch vorher sagen können wenn du es mal erwähnt hättest, für 1€ bekommst man seltensten Fällen eine echte IP sondern fast immer nur NAT.
Wenn der VPS im Ausland steht kannste dir höchstens noch ein Proxy/VPN draus bauen um YT-Sperren o.Ä. zu umgehen oder du nutzt ihn als private Cloud mit Nextcloud/Seafile/usw.

Gerade wenn an eh nicht viel Ahnung hat von Mailservern würde ich lieber empfehlen irgendein Hosting-Paket z.B.
https://www.netcup.de/bestellen/produkt.php?produkt=1351
2€/Monat für de-Domain und 100 Mailadressen und kannst da auch so Spielchen wie DKIM usw machen

Falls du trotzdem beim VPS bleiben willst, die haben auch einen für 1,99€ wenn man 12 Monate nimmt. Da bekommst du aber mit Sicherheit eine eigenen IP und kannst alle DNS-Einträge ändern. ich habe das selber einen größeren VPS.
https://www.netcup.de/bestellen/produkt.php?produkt=1710

itsracine Avatar
itsracine:#217274

>>217272
Der VPS steht in Nürnberg bei Hetzner, hat eine feste IP und läuft über KVM. (Xeon E31275 @ 3.40GHz) Das ist für knapp über 1€ wohl kaum zu schlagen.

hibrahimsafak Avatar
hibrahimsafak:#217282

>>217274
Und trotzdem geht es nicht :^)

roybarberuk Avatar
roybarberuk:#217288

>>217282
>>217272
Die VPS Preise bei netcup sind ja ziemlich gut, aber wenn die schreiben:

"Einzig die dedizierten CPU-Kerne, die Zufriedenheitsgarantie und die sehr hohe garantierte Mindestverfügbarkeit von 99,9% im Jahresmittel sind bei den VPS nicht enthalten."

Hört sich irgendwie nicht so schön an: Wenn sie dieses Produkt kaufen können wir ihnen nicht garantieren, dass sie zufrieden sind.

breehype Avatar
breehype:#217289

>>217288
Und wie ist das, sind bei Netcup alle Ports frei? Oder sperren die da welche? Und wie ist die Geschwindigkeit? Unbeschränkter Traffic?

VinThomas Avatar
VinThomas:#217297

>>217254
>Solltest du mal machen. Dann würdest du auch wissen, dass das Ganze eine Einstellungssache ist
Davor wirfst Du aber nochmal einen Blick auf die Bedeutung des mondsprachigen Modalverbs "must", das dort nicht völlig ohne Grund IN VERFICKTEN GROSSBUCHSTABEN steht. Protip: Es ist kein falscher Freund.

trueblood_33 Avatar
trueblood_33:#217353

>>217213
Was dieser Bernd sagt. Ja, initial hoher Aufwand, aber lohnt sich, weil man weiß, dass Freunde und Co im Grunde sicher kommunizieren können. Und nich jeder nutzt PGP bzw. kann es nutzen... Und wenn es nur darum geht die Geheimdienste etwas zu ärgern, ist auch schon was erreicht.

saarabpreet Avatar
saarabpreet:#217376

>>217289
Kein vernünftiger VPS-Anbieter sperrt Ports. Aber wenn du anfängst zu spammen oder an einem DoS teilnimmst kannst du davon ausgehen, dass ziemlich schnell alle Ports zu sein (bzw. dein Server aus). Also sicher das verdammte Teil gut ab.

>>217353
Genau. Wenn zumindest alle Nerds TLS nutzen und Server-to-Server TLS korrekt eingerichtet haben (Testen! Mailheader zeigen dir, ob es mit TLS empfangen wurde und Mailheader z.B. von gmail ob dein Server via TLS sendet) sind alle passiven Lauscher raus.
Jetzt die schlechte Nachricht: Die aktiven nicht, weil kein Mailserver Zertifikate prüft. Du kannst bei bekannten Servern allerdings eine Whitelist einrichten bei welchen geprüft wird und vor allem bei welchen Verschlüsslung erzwungen wird.

davidcazalis Avatar
davidcazalis:#217378

>>217376
>Kein vernünftiger VPS-Anbieter sperrt Ports
Linode sperrt Ports und das wird überall empfohlen.

im_jsmith Avatar
im_jsmith:#217383

>>217378
> Linode
> VSA-Provider
> sperrt Ports

aluisio_azevedo Avatar
aluisio_azevedo:#217384

>>217262
Habe keine Probleme mit exim und cyrus.

hoangloi Avatar
hoangloi:#217385

Ich benutze Debian + OpenSMTPD + Dovecot auf einem V-Server, tut. Obwohl ich die Adresse jetzt schon ein Jahr nutze habe ich bisher keine Probleme mit Spam. Entsprechend habe ich auch die Installation von SpamAssasin noch immer aufgeschoben.

Für andere würde ich aber keine Mail machen, das ist nur für mich. Entsprechend simpel ist die Konfiguration, da ist kein Datenbankkrebs notwendig.

murrayswift Avatar
murrayswift:#217527

>>217179
>Macht es Sinn?
Unendlich temp-addressen und dienst-bezogene Addressen? Ja bitte

>Lieber auf eigener Hardware oder auf einem VPS?
VPS, noobuntu

>Reicht es einmal einzurichten und dann nur hin und wieder upzudaten?
unattended-upgrades an, ich logge mich auf dem ding nur ein mal im Jahr ein wenn's probleme mit autoupdates gab

karsh Avatar
karsh:#217528

>>217190
Ich habe 0 Probleme mit rausgehemdem Mehl. Einfach DKIM und SPF einrichten, dann besteht der Judencheck bei den ganzen Anbietern. Am besten noch mit gültigem TLS-Zert (LassUnsVerschlüsseln)

kinday Avatar
kinday:#217651

>>217528
> Ich habe 0 Probleme mit rausgehemdem Mehl. Einfach DKIM und SPF einrichten, dann besteht der Judencheck bei den ganzen Anbietern
> DKIM und SPF

Oh danke Berndi, wusste nicht, dass es sowas gibt!

HenryHoffman Avatar
HenryHoffman:#217653

>>217528
Aals ob! Ausgerechnet DKIM landet regelmäßig in Antispamfiltern, die damit nicht umgehen können!

breehype Avatar
breehype:#217678

>>217653
Ich sage Bullenscheiße. DKIM ist mittlerweile soweit verbreitet das das selbst die letzten Ranzfilter beherschen. Und selbst wenn nicht, DKIM ist erstmal nichts weiter als noch ein weiterer Header in der E-Mail den Antispamlösungen einfach ignorieren wenn sie damit nicht umgehen können.
ABER: Viele kommerzielle Spamfilter benutzen den öffentlichen DKIM-Key in einen Reputationssystem, wenn man also mit seinen neuen Mailserver + neuen DKIM-Key dort ankommt hat der Key erstmal keine positive Reputation und die Mail bekommt ein paar Spampunkte. Je nach eigenen Mailaufkommen legt sich das aber nach ein paar Wochen bis Monaten.

t. Mailadmin bei dem mehrere Millionen Mails am Tag über die Server gehen