BW / Karlsruhe: Maillisten & Mails ins Verwaltungsnetz

Hallo zusammen, hoffe mal wieder auf eure Intelligenz aus dem Schwarm.

Vorraussetzungen:

  • Verwaltungsnetz lässt keine IMAP-Verbindungen zu (Karlsruhe definitiv, vielleicht viele Gemeinden in BW)
  • die Verwaltung der Computer im Verwaltungsnetz ist auch eingeschränkt. Outlook ist nicht diskutabel und wird eingesetzt. (Karlsruhe)
  • Mails des "Poststellen"kontos (oder der anderen Konten bei schule.bwl.de) werden mit Outlook auf jedem lokalen Rechner abgerufen (vermutlich per EWS).
  • Eigene Domäne meineschule.de der Schule mit eigenem Mailserver. alle KuK können per IMAP abrufen, per SMTP senden. Server ist mailcow.

Problembeschreibung:

  • Mails des Mailservers können im VW-Netz qua Konfiguration nicht abgerufen werden.
  • Mailverteiler die man als einfache „redirect“ über Filter bei mailcow einrichtet, haben folgende Probleme:
    • sind externe Partner in der Liste (gmx, web, yahoo, gmail), dann kann die Mailzustellung an einen Mailverteiler schwierig werden. Ein Grund: ein Absender „alice@gmx.de“ schreibt an „list@meineschule.de“, der Empfängerserver von „bob@yahoo.de“ ordnet die Mail als Spam ein oder bounced sie sogar, weil DKIM-Verifikation fehl schlägt/DMARC-policy streng ist oder das SPAM-Level zu hoch.
    • ist der BWL-Server (a.k.a poststelle) involviert als Empfänger einer Liste, dann gibt es ähnliche Phänomene. z.B. weil der Mailserver jegliche Office-Dateien ablehnt oder obige Probleme auch hier auftauchen. Letztlich kommen Mails nicht an oder - schlimmer noch - bouncen.
    • beiläufig: durch eine nicht so klevere Konfiguration gehen Bounces dann auch noch an den Mailverteiler, die dann auch jeder bekommt.

Fazit: Momentan kann man Mailverteiler nur mit Adressen der eigenen Domäne nutzen. Die „poststellen“-Adressen von Sekretariat etc. können also nicht Teil der Verteiler sein.

Lösungsansätze

  1. fix your mailserver. Ja, aber wie?
  • Wie erstellt man (mit mailcow) Mailinglisten, die das Sekretariat als Mailempfänger enthalten können?
  • Mailman extra laufen lassen?
  1. fix the verwaltungsnetz. Ja, aber wie?
    • eine Weiterleitung von poststelle@… → sekretariat@meineschule.de ist denkbar, aber nicht möglich.
    • Ein Empfang von sekretariat@meineschule.de im Verwaltungsnetz ist denkbar, aber ich komme an dieser Stelle nicht weiter: da geht es um EAS/EWS/MAPI fähige Clients und Server und momentan sieht es so aus: Outlook macht alles über EWS, mailcow (sogo) bietet aber „nur“ EAS, was für mobile Clients gedacht ist.
    • weiterleitung von sekretariat@meineschule.de nach sekretariat@meine2schule.de, welches auf einem EWS-fähigen Server Mails vorhält, oder eben mailcow gleich durch einen EWS-fähigen Mailserver ersetzen…
    • VPN… geht so was? vor allem, wenn die Rechner nicht selbstverwaltet werden, sondern von der Stadt.
  2. fix the mailclient. Ja. Der Einsatz eines VPN im Verwaltungsnetz für den Abruf per IMAP würde einiges vereinfachen. Ebenso die Lösung (zwangsweise momentan die einzige), sich dem Schicksal hinzugeben und poststellen-Mails abrufen zu können, mails von meineschule.de aber nur über den Webmailer. Ist ja beim DAP auch nicht anders.

Was für einen Rummel, nur um Mails im Verwaltungsnetz lesen zu können.

Für jegliche sachdienliche Hinweise bin ich offen und bereit, was beim nächsten Listengrillen zu bezahlen.

VG, Tobias

Ich ergänze mal die Lösungsansätze mit Software auf OpenSource Seite, wenn man auf Client-Seite dabei bleibt, es mit Outlook und ohne IMAP verbinden zu wollen:

  • Kopano (was: Zafara) hat in letzten 5 Jahren keine Doku, die darauf deutet, dass der Mailserver da nichts kann. Das Linuxmagazin sagt, dass wenigstens EAS tut, aber das reicht ja evtl. nicht.
  • Grommunio Groupware EWS Support ist scheinbar vielversprechend. Mit Evolution als Linuxclient zum Testen als einzige sinnvolle Variante, die auch EWS kann.
  • Zimbra EAS Support und Zimbra EWS Support (requires a license key, was auch immer das heißt) zeigen, dass Zimbra als Mailserver taugt.
  • OX = OpenExchange kann vermutlich was, finde aber keine Dokumentation auf den ersten paar Suchseiten, die mir das irgendwie zeigt. Ist es nicht so, dass die poststelle@… Adressen bei bwl.de auch über OX bereitgestellt werden?
  • SOGo / mailcow Anleitung zeigt nochmal deutlich, wo die Grenzen von mailcow/sogo sind (EAS für mobile Geräte oder spezielle Outlook-Versionen aber kein EWS)

Diese obigen Alternativen wären z.B. geeignet, um

  • im Internet/DMZ einen eigenen Server hinzustellen, der die relevanten meineschule.de Adressen vom eigentlichen Mailserver holt und für die PCs im Verwaltungsnetz per EWS bereitstellt (quasi: meine2schule.de)
  • den bestehenden eigenen Server im Internet/DMZ zu ersetzen, weil er mehr bietet als maillcow/SOGo

Kopano ist tot, da geht nur noch die Cloudloesung.

Falls sich das seit meiner letzten Recherche nix geaendert hat, was ich vermute, tut Grommunio auch nur wenn man die Firma mit Geld bewirft, das Open Source-Blabla ist aus meiner Sicht fake.

Gruss Harry

Hi,

TbSync :: Add-ons für Thunderbird zusammen mit Provider für Exchange ActiveSync :: Add-ons für Thunderbird befähigt Thunderbird Exchange ActiveSync (EAS) zu sprechen, allerdings nur für kontakte und Kalender und nicht für E-Mails. Das kostenpflichtige Addon Eule für Exchange :: Add-ons für Thunderbird kann E-Mail und Kontakte via Outlook Web Access (OWA).

Um das Problem mit dem eigenen Mailserver zu fixen:
Mailingliste mit DMARC, DKIM, SPF, ARC und ARC - Authenticated Received Chain beschreiben den technischen Hintergrund ganz gut und DMARC und Mailing-Listen bestätigt, dass eine mögliche Lösung aus DKIM, DMARC und Authenticated Received Chain (ARC) besteht.

VG
Buster

1 „Gefällt mir“

Ich würd ja sagen, nutz doch des Carddav-Protokoll von Sogo - aber: Outlook findet offene Protokolle ja doof.

Mailman wäre eine Option, alternativ könnte ja auch etwas wie Listmonk etwas sein.

die beste Variante wäre natürlich, wenn die Firewall so konfiguriert würde, dass der Mailserver per IMAP / SMTP erreicht werden kann. Dann lösen sich viele andere Probleme von selbst.
Wenn das nicht möglich ist, kann man ggf. mit SSH ausbrechen und die Ports lokal zur Verfügung stellen - oder wie du sagst ein VPN.

Ich glaube andere Lösungen sind auch nicht wirklich zielführend. Ich kenne keinen ActiveSync-Server, der so gut funktioniert wie der Exchange-Server - alle anderen machen irgendwie auch immer Stunk. MailCow selbst schreibt ja auch zu seiner Active-Sync-Schnittstelle „dont do it!“.
Die „anderen Alternativen“ zu Exchange, können da natürlich nix für. Ist halt rein propritäres Protokoll von MS…

Hi @Buster,
vielen Dank. Das sind sehr hilfreiche Links und ich kann erkennen, dass hier das Mailinglistenproblem angegangen werden kann.

EAS für nicht-Outlook-Programme: Das ist sicher wichtig, wenn man die Verwaltung mal auf Open Source und digital souverän aufstellen will. (Ist bei uns jetzt nicht der Fall)

EDIT:
hi @irrlicht , danke für die Einschätzung zu kopano und grommunio. Das würde ich dann vermutlich auch sehen.

und hi @Tw33ki ,
danke auch dir.

Verstehe ich dich richtig, dass du keinen echten Mailverteiler damit meinst, sondern einfach, dass Outlook alle relevanten Adressen über CArddav (oder ein anderes Mittel der Wahl) zusammenstellt und dann eine Mail „an alle Kollegen“ schreibt, was in wirklichkeit nur ein CC oder BCC an jede einzelne E-Mail-Adresse ist?

Ich weiß zmindest, dass eine SChule hier in der Nachbarschaft mailman einsetzt. Tatsächlich behebt sich das Problem (glaube ich) aber erst, wenn man (ich) die DKIM/DMARC/ARC Probleme verstanden und im Griff hat. Denn: Mail will immer mehr verifiziert sein und ein Mailverteiler (egal wie gestrickt) schreibt den Absender und das muss eben richtig gemacht sein, damit alle Empfängerserver (gmx, apple, gmail, etc.) die MAils auch akzeptieren.

Ich glaube, es funktionieren keine Ports außer https. Ausbrechen ist nicht möglich, da die Stadt die Hand über die Protokolle hält, die sie rauslässt und sich da sehr vorsichtig zu sein scheint.

toi,toi,toi, dass es doch irgendwie klappt. Zumindest im kleinen Maßstab (nur die wenigen Outlookinstanzen, die im VW-Netz eingesetzt werden)
VG, Tobias

Ja, ich denke wenn es so wenige Zieladressen sind, sollte das kein wesentliches Problem darstellen.
Ein organisatorischer Nachteil ist, dass sich die Benutzer nicht selbst in den Verteiler eintragen können.

Sofern keine deep-Packet-Inspection eingestellt ist, kann man da viel machen (nicht dass ich es empfehlen würde)…

Ich bin gar nicht sicher, aber sofern das „VON:“-Feld der Absender-Domain matched, dürfte es doch kein Problem geben?

Hi,

Welches der vielen Von-Felder? Es gibt mindestens diese Mail-Header zur Auswahl: From, Sender, Envelope-From, Return-Path

Je nach eingesetzter Software/Verteilmethode (normaler E-Mail-Client oder echte Mailingliste) muss bei DKIM/ARC das eine oder andere Header-Feld ignoriert, umgeschrieben oder bei Änderung erneut signiert werden.

VG
Buster