Datenschutzkonformer Mailserver aus der Hand der Digital Souveränen Schule

Server
, ,
1

Hi,

beim „Linux-Workshop“ (ZSL-Fortbildung) hat Raphael Dannecker von der FvS Schule Reutlingen die Mail-Lösung an seiner Schule vorgestellt. Zusammen mit Informationen aus dem Datenschutz-Umfeld, welche Mindestanforderungen ein Mailsytem für Schulen erfüllen müsste wenn es IMAP und SMTP kann, entsteht aktuell unter dem Dach der „Digital Souveränen Schule“ eine Lösung in Form eines Ansible-Playbooks. Der resultierende Mailserver ist im Gegensatz zur Mailcow nicht dockerisiert sondern wird auf Basis der aktuellen Pakete von Debian 12 installiert. Damit ist dieses Setup anpassbar, erweiterbar und hinsichtlich der Schulanforderungen umfassender als eine reine Mailcow. Auch die direkte Anbindung an das schulische User-Directory, damit auch Schüler:innen ein Mailkonto haben können, User-Gruppen, autom. Adressbücher, … sind zentrale Aspekte der Lösung.

Aktuelle Komponenten im bislang von Raphael erstellten Playbook sind: Postfix, Dovecot, Rspamd, ClamAV, SOGo. In dieser Konstellation funktioniert der Mailserver schon und entspricht größtenteils der Lösung der FvS Schule die in Esslingen vorgestellt wurde.

Die datenschutzrechtlich relevanten Features (MFA-VPN, OIDC, …) kommen dann noch. Wer schon mal reinschauen möchte, das evtl. auf einer Hetzner-Maschine schon mal laufen lassen will, … findet das Repo hier. Dort hat es auch noch mehr an Beschreibung.

Es existiert bereits eine von Tobias Heine aufgesetzte LMN-Testumgebung an die wir den Mailserver jeweils für Tests anbinden. Für die die LMN-Umgebung vergeben wir auch gerne Test-Accounts damit das System angeschaut werden kann.

Raphael Dannecker, Andreas Grupp, Tobias Heine, Andreas Mundt, …

9 „Gefällt mir“
2

Hallo Andreas, Raphael, Andreas und Tobi,

sehr cool: vielen Dank für eure Arbeit.
Ich gehe auch davon aus, dass ich das wohl brauchen werde.
BelWü hat mitgeteilt, dass nächstes Jahr im Juni Schluss ist mit den Mails meiner Schule bei ihnen.

Meine Schulleitung geht derzeit noch davon aus, dass der DAP verpflichtend sein wird und dass eigene Maillösungen vom KM aus verboten werden …
Das KM winkt ja ganz gerne mit solchen Aussagen (siehe die Anmerkungen von Herrn Schaub in moodleBW für Leute, die moodle lieber selber betreiben).
Ich glaube da aber nicht dran: weder bei moodle noch bei den emails. Und bis nächstes Jahr im Juni wird wohl der DAP schon da sein, und dann darf die Schulleitung gerne mal ausprobieren, wie sich das so anfühlt.
Wir hatten schon Gespräche darüber, wie wir dann mit
vertretungsplan@
oberstufenberatung@
support@
beratung@
und vielen weiteren Postfächern umgehen, die wir an der Schule so haben, hinter denen aber keine in ASV abbildbaren Personen stehen…

LG

Holger

1 „Gefällt mir“
3

Hallo Raphael, Andreas, Tobias, Andreas,
das ist eine Super Sache.
Ich bin voll begeistert.
Danke und viele Grüße
Ralf

1 „Gefällt mir“
4

Hallo zusammen,

kleines Update von mir zum datenschutzkonformen Mailserver via Ansible:

Im Rahmen des Mailserver-Playbooks entsteht gerade auch ein Ansible-Playbook zur Installation von Keycloak. Dabei wird dieses automatisch an das Benutzerverzeichnis der LinuxMuster.Net (via LDAP) angebunden. Authentifizierug via Kerberos gehört da genauso dazu, wie entsprechende Mapper für Gruppen und LinuxMuster.Net-spezifische Attribute. Via Ansible können dann Anwendungen, wie der Mailserver, automatisiert an das Keycloak angebunden werden.

Das Playbook stellen wir demnächst auch online bereit.
Bei der Fortbildungsveranstaltung Administrations Workshop (15.07.-17.07. in Esslingen) wird das keycloak-Playbook ebenso genutzt, wie das Mailserver-Playbook.

Viele Grüße

Raphael

5

Hallo allerseits,

wurde gerade informiert, dass der Mailserver-Workshop mangels Anmeldugen noch gar nicht zustande kommt. Das überrascht mich zwar, lässt bei mir Fragen aufkommen, aber so ist der Stand der Dinge.

Wer da also Lust drauf hat … bitte Beeilung! Nächste Woche Dienstag ist Meldeschluss und dann wird entschieden ob der ausfällt.

Noch mal die Komponenten die im fertigen Playbook gebrauchsfertig angewandt werden (d.h. man macht das nicht selbst sondern überlässt das Ansible):

  • Grundsätzlich Einführung in Ansible & Co. (so weit man das braucht Git)
  • Postfix, Dovecot
  • Keycloak als IdAM und 2FA/MFA-Anmeldung
  • Anbindung an schulischen LDAP-/AD-Server
  • SoGo als super Groupware mit Kalender, Adressbuch (CalDAV, CardDAV)
  • Wireguard-VPN-Zugang für IMAP/SMTP mit 2FA/MFA. Gerade dieser Punkt wird in naher Zukunft die Grundlage dafür sein, dass man Mails noch mit einem sicheren Endgerät auf Protokoll-Ebene abrufen darf!)
  • Ausblick wie sichere Endgeräte konfiguriert sein müssen um zugelassen zu sein!

Viele Grüße
Andreas

6

Hallo zusammen,
wie sehr sehr gerne würde ich mich in die Liste der Nutzer einreihen und stolz unserer Schule das DSS Siegel mit Patex auf die Stirn kleistern.

Aber: Mal hier noch zur Info von mir, dass zu verschiedenen Themen und verschiedenen Zeiten einige sicher vor dem Problem standen: Wer soll das bezahlen?
Wir haben einige Projekte und es steht die Forderung im Raum 2 Deputatsstunden für die Netzwerkberater in BW an Gymnasien durchzudrücken. Aus unserer Sicht / nach unserem Kenntnisstand ist diese Forderung von 2h genauso ungewiss im Raum wie " 2FA … wird in naher Zukunft die Grundlage dafür sein, dassMails … darf".
Ich bin natürlich gespannt und nehme eine Warnung aus deinem Mund sehr viel ernster als die 2h-Schreckankündigung.

Natürlich kann man - wie schon immer bei linuxmuster & co - sagen: „Jo, das ist dein Problem, das musst du mit deiner Schule lösen“. Und das hat auch bislang funktioniert. Aber an meiner Schule bin ich die Sollbruchstelle.

Lösungen dafür:

  • Ich müsste mit mindestens einer weiteren Person zur Fortbildung kommen.
  • Und bei der Fortbildung dürfte es nicht bleiben: Es muss einen Ausweg über einen externen Dienstleister geben, so dass meine Schule in der Lage wäre, mir das aus der Hand zu nehmen und dorthin zu geben. Das sehe ich momentan für mailcow bereits. Und es wäre urgent, dass das auch für eure Lösung existiert.

P.S. sucht mal einen schönen Namen dafür.
SAGS-DEM-KM = Sicherheitskonforme Autarke Groupware Soll Digitalsouveränen Endanwendern Mails Komfortabel Machen

LG, Tobias

7

Ja, dem habe ich / dem haben wir nichts entgegenzusetzen. Das steht in der Tat für „irgendwann“ zu befürchten. Und ob berufliche Schulen für „immer“ ihre Stunden behalten weiß auch keiner von uns, auch da gibt es Gerüchte.

Auch hier Zustimmung - ob … und wann das tatsächlich mal durchgesetzt wird, oder ob es weiterhin nur so eine Aussage bleibt und den Schulen die es anders machen nichts passiert, kann ich tatsächlich nicht sagen. Absolut richtig! Wenn ich mir anschaue, dass ohnehin allen Schulen die datenschutzkonform arbeiten von den MS365- und Google-Workspace-Schulen ins Gesicht gelacht wird, sind Projekte wie unseres bescheuert.

Aber wie diese Schulen, die trotz aller Widrigkeiten datenschutzkonform arbeiten wollen, sind auch wir immer etwas / ziemlich blauäugig und idealistisch unterwegs :- :thinking:

Dass es als Tandem mehr Sinn macht sehe ich auch so - und wenn Du einen zweiten hast meldet euch zu zweit an. Für Händler steht das ja offen - es ist ein GPL basierendes Projekt und wenn das einem Schulnetz-Händler nicht offen genug ist müssen wir das eben ändern, daran scheitert das nicht. Siehe DigitalSouveraeneSchule/mailbox: Ansible-Playbook zum Erstellen einer Mailbox-VM - Codeberg.org

Und es gibt, in Anlehnung an das sehr erfolgreiche Projekt von ca. 5 kooperierenden Schulen aus dem Raum Mössingen-Tübingen, oder noch besser in Anlehnung an infra.run die aus Cyber4edu hervor gingen, durchaus die Überlegung geben das auf irgendeiner gemeinschaftlich verwalteten / organisierten / betriebenen Basis zu machen. Aber das ist der Schnee von übermorgen … und das muss man mal sehen.

Die Alternative, …

  • Moodles die nicht an Mailserver angebunden sein dürfen,
  • nur noch Webmailer mit 2FA/MFA und ohne IMAP/SMTP
  • zugenagelte Nextclouds
  • über ganz BaWü zersplitterte Lösungen von iServ bis MS365 und GMail

sind halt auch „nicht wirklich schön“.

Aber noch mal: Dem Argument, dass die / der de-facto nicht adäquat bezahlten Schuladmin(s) die Sollbruchstelle sind, die Sachaufwandsträger das nicht mal bezahlen wollen weil es ja eine Lösung des Landes gibt, … habe ich nichts entgegenzusetzen - das ist so!

Mailcow sehen wir auch als gute Lösung. Ist aber halt ein ziemlich komplexer Docker-VM-Verbund und selbst daran rumbasteln ist weniger drin. Da wir wo immer es geht die Pakete aus der Distri nehmen, wo immer es geht nur über Ansible automatisierte Setups ausrollen, … hoffen wir an der Stelle flexibler zu sein und auch das mitmachen zu erleichtern.

Aber ja … ich versteh wie gesagt komplett was Du meinst!

LG, Andreas

1 „Gefällt mir“
8

@maxEG , @baumhof , @josefMNSR, @sven, @Ka-mil … wo sind die „GroßraumKarlsruher“? wie siehts aus?
Ist die Zeit für gemeinsame Projekte reif?
Was gibt’s zu gewinnen? was gibt’s zu verlieren?

LG, Tobias

9

Hallo!
Ich würde da gerne hin, muss das aber bei Family und Schule „durchdrücken“.
Dass bei uns die gleichen Probleme, wie bei Tobias und den anderen Schulen liegen, schreckt mich eigentlich nicht. Ich finde immer, dass es erstmal wichtig ist, dass ich mich selbst fortbilde, um weiterhin (einigermaßen) aussagekräftig zu sein. Ich forciere mal die Anmeldung.
LG
Max

1 „Gefällt mir“
10

angemeldet, alleine.

:cactus:

:desert:

:sunny:

⊹╰(⌣ʟ⌣)╯⊹

1 „Gefällt mir“
11

bin auch dabei :slight_smile:

2 „Gefällt mir“