Datenschutzkonformer Mailserver aus der Hand der Digital Souveränen Schule

Hi,

beim „Linux-Workshop“ (ZSL-Fortbildung) hat Raphael Dannecker von der FvS Schule Reutlingen die Mail-Lösung an seiner Schule vorgestellt. Zusammen mit Informationen aus dem Datenschutz-Umfeld, welche Mindestanforderungen ein Mailsytem für Schulen erfüllen müsste wenn es IMAP und SMTP kann, entsteht aktuell unter dem Dach der „Digital Souveränen Schule“ eine Lösung in Form eines Ansible-Playbooks. Der resultierende Mailserver ist im Gegensatz zur Mailcow nicht dockerisiert sondern wird auf Basis der aktuellen Pakete von Debian 12 installiert. Damit ist dieses Setup anpassbar, erweiterbar und hinsichtlich der Schulanforderungen umfassender als eine reine Mailcow. Auch die direkte Anbindung an das schulische User-Directory, damit auch Schüler:innen ein Mailkonto haben können, User-Gruppen, autom. Adressbücher, … sind zentrale Aspekte der Lösung.

Aktuelle Komponenten im bislang von Raphael erstellten Playbook sind: Postfix, Dovecot, Rspamd, ClamAV, SOGo. In dieser Konstellation funktioniert der Mailserver schon und entspricht größtenteils der Lösung der FvS Schule die in Esslingen vorgestellt wurde.

Die datenschutzrechtlich relevanten Features (MFA-VPN, OIDC, …) kommen dann noch. Wer schon mal reinschauen möchte, das evtl. auf einer Hetzner-Maschine schon mal laufen lassen will, … findet das Repo hier. Dort hat es auch noch mehr an Beschreibung.

Es existiert bereits eine von Tobias Heine aufgesetzte LMN-Testumgebung an die wir den Mailserver jeweils für Tests anbinden. Für die die LMN-Umgebung vergeben wir auch gerne Test-Accounts damit das System angeschaut werden kann.

Raphael Dannecker, Andreas Grupp, Tobias Heine, Andreas Mundt, …

7 „Gefällt mir“

Hallo Andreas, Raphael, Andreas und Tobi,

sehr cool: vielen Dank für eure Arbeit.
Ich gehe auch davon aus, dass ich das wohl brauchen werde.
BelWü hat mitgeteilt, dass nächstes Jahr im Juni Schluss ist mit den Mails meiner Schule bei ihnen.

Meine Schulleitung geht derzeit noch davon aus, dass der DAP verpflichtend sein wird und dass eigene Maillösungen vom KM aus verboten werden …
Das KM winkt ja ganz gerne mit solchen Aussagen (siehe die Anmerkungen von Herrn Schaub in moodleBW für Leute, die moodle lieber selber betreiben).
Ich glaube da aber nicht dran: weder bei moodle noch bei den emails. Und bis nächstes Jahr im Juni wird wohl der DAP schon da sein, und dann darf die Schulleitung gerne mal ausprobieren, wie sich das so anfühlt.
Wir hatten schon Gespräche darüber, wie wir dann mit
vertretungsplan@
oberstufenberatung@
support@
beratung@
und vielen weiteren Postfächern umgehen, die wir an der Schule so haben, hinter denen aber keine in ASV abbildbaren Personen stehen…

LG

Holger

1 „Gefällt mir“

Hallo Raphael, Andreas, Tobias, Andreas,
das ist eine Super Sache.
Ich bin voll begeistert.
Danke und viele Grüße
Ralf

1 „Gefällt mir“

Hallo zusammen,

kleines Update von mir zum datenschutzkonformen Mailserver via Ansible:

Im Rahmen des Mailserver-Playbooks entsteht gerade auch ein Ansible-Playbook zur Installation von Keycloak. Dabei wird dieses automatisch an das Benutzerverzeichnis der LinuxMuster.Net (via LDAP) angebunden. Authentifizierug via Kerberos gehört da genauso dazu, wie entsprechende Mapper für Gruppen und LinuxMuster.Net-spezifische Attribute. Via Ansible können dann Anwendungen, wie der Mailserver, automatisiert an das Keycloak angebunden werden.

Das Playbook stellen wir demnächst auch online bereit.
Bei der Fortbildungsveranstaltung Administrations Workshop (15.07.-17.07. in Esslingen) wird das keycloak-Playbook ebenso genutzt, wie das Mailserver-Playbook.

Viele Grüße

Raphael