ist das bei Nutzung (z.B.) der Mailcow sinnvoll?
SPF/DKIM/DMARC,rspamd,clamav,… ist doch alles schon da.
An welcher Stelle übersehe ich was?
LG Jesko
Nur noch mal der Hinweis, dass wir bei diesem Projekt aus gutem Grund keine Mailcow verwenden. Die Mailcow ist toll, aber sie erfüllt die Anforderungen die der LfDI an einen protokollbasierenden Zugang (IMAPS/SMTPS) hat erst mal nicht. Das Mailbox-Projekt nutzt u.a. deshalb die Konfigurationsflexibilität die aus der direkten Nutzung des Distributionspakete resultiert. Sobald ein vom LfDI akzeptierter Weg für einen weiteren Faktor bei der Authentifizierung auf Protokollebene vorliegt kann das direkt konfiguriert werden. Das mag dann mit der Mailcow auch gehen, ist aber dort dann sicher aufwändiger umzusetzen da solche Features eben Upstream nicht vorgesehen sind.
Hallo zusammen,
kann man irgendwo nachlesen, welche Anforderungen der LfDI an einen protokollbasierenden Zugang (IMAPS/SMTPS) stellt?
VG
Thomas
Hi @AnGry,
ich hatte die Mailcow stellvertretend für ein aufeinander optimiertes System bestehend aus Postfix, Dovecot, SoGo, Rspamd, ClamAV… gemeint (was ja im Grunde dem entspricht, was du beschrieben hast, nur halt vorkonfiguriert und gut verpackt, was Vor- aber auch Nachteil sein kann…
Aber das ist hier gar nicht mein Punkt, sondern ich wollte primär gefragt haben:
„Was haben die Römer je für uns getan?“
oder konkret: An welcher Stelle erhöht ein Proxmox Mailgateway meine Sicherheit bzw. wo ist es von Vorteil. … und ist dieser Vorteil so groß, dass er den zusätzlichen Aufwand eines weiteren zu pflegenden Servers ausgleicht?
LG Jesko
Hallo Jesko,
ich hatte mal das Problem, dass einige E-Mail-Provider trotz korrekter SPF, DKIM, DMARC etc. E-Mails abgelehnt haben. Die Schule hatte vor Belwue als Mail-Relay für den selbstgehosteten Mailserver genutzt. Nach Einstellung der Dienste seitens Belwue hat man versucht, statt eines externen Mail-Relays die eigene FIrewall als Mail-Relay zu nutzen → ohne Erfolg…der (deutsche) E-Mail-Dienstanbieter hat E-Mails aus der Domain trotz korrekter DNS-Records abgelehnt. Erst nachdem man (wieder) einen externen Mail-Relay-Provider genommen hatte, war das Problem behoben. Zusätzlich macht dieser (deutsche) Provider auch noch SPAM-Filtering. Hat neulich geholfen, als irgendwer mal das LDAP gegen den Mail-Server gesynct hat und dabei auch Postfächer für Systemaccounts (z.b. ldapuserirgndeindienst angelegt hatte, deren Kennwörter nicht die sichersten waren…Es dauerte nicht lange, bis irgendwer die Passwörter gehackt hatte und fleissig SPAM-Mails über ldapuserirgendeindienst@email.der.schule verschickt hatte. Ohne externes Mail-Relay/SPAM-Schutz wäre die Mail-Domain-Server der Schule jetzt Internetweit tot und geächtet → blacklisted
Also Mail-Relays haben schon ihren Sinn, sofern sie etwas mehr können, als nur E-Mails ins Internet zu schicken.
VG
Thomas
P.S.: Es gibt auch E-Mail-Lösung die per Design ein Mail-Relay erwarten und ohne diese gar nicht richtig funktionieren.
da steht viel richtiges, aber es geht glaub ich komplett an meinem Anliegen vorbei.
Wenn die Mails von meinem Mailserver der Schule abgelehnt werden, werden die auch über ein Proxmox MailGW in der Schulen nicht akzeptiert.
Mir geht es überhaupt nicht um den Sinn und Unsinn von einem externen smarthost.
LG Jesko
Hi,
es sollte auch ausgehender Mailverkehr denselben Filtern und Rateliming wie eingehender Verkehr unterzogen werden. Zugangsdaten kommen abhanden und reguläre Mailkonten werden für Spamversand verwendet. Das will ich nur einwerfen, weil oft nur der eingehende Teil betrachtet wird.
Ich will mal zwei Aspekte beispielhaft anführen, die für eine Lösung sprechen, die über das reine lokale selber hosten von Maildiensten hinaus gehen:
a) Das DFN betreibt für Hochschulen extra einen Dienst „DFN MailSupport“
weil es heutzutage nicht mehr so einfach ist, alle n Dienste im E-Mail-Kontext korrekt einzurichten, nachzujustieren, regelmäßig zu trainieren, usw., wobei es alle paar Jahre n+1 heißt, weil sämtliche Lösungen das Problem unvollständig abdecken. DFN-MailSupport nutzen über 180 Einrichtungen und ich vermute nicht, weil die grad keinen Stelle für einen Mailadmin haben, sondern weil die von Community/Cloud-Effekten bei Filtern, Reputationssystemen u.ä. profitieren wollen. Und im Angebot wird eingehender und ausgehender Mailverkehr berücksichtigt.
b) Wer mal reinschnuppern will, welche Katastrophe allein schon die simple Frage „Ist das ein gültiger E-Mail-Absender?“ aufwirft, der kann sich ja mal die Folien zu Spoofing? - Verfahren zur Absenderprüfung bei E-Mail von der letzten DFN-Betriebstagung ansehen.
Beide Aspekte können dafür sprechen, dass man das einem Anbieter überlässt, der sich ganztägig und ständig mit solchen Themen beschäftigt. Das kann dann ein Clouddienst sein, eine VM im on-premise Virtualisierungscluster oder auch eine Appliance für den eigenen 19-Zoll-Schrank. Klar, kann man das alles mit Open-Source-Software selber hosten. Die Frage ist wie viel Zeit hat man die Spam/Reputation-Situation seiner Server/Mailkonten regelmäßig zu überwachen und wie zeitnah zu reagieren.
Von DNSBL (1998) zu SPF (2006): 8 Jahre
Von SPF (2006) zu DKIM (2007): 1 Jahr
Von DKIM (2007) zu ARC (2019): 12 Jahre
macht im Schnitt alle 7 Jahre ein neues RFC zum Thema Spamabwehr und E-Mail-Validierung ist weiterhin inhärent kaputt.
Ehrlich, ich will das nicht mehr „nebenbei“ betreiben und muss es auch zum Glück nicht mehr und das sage ich als jemand, der das 15 Jahre lang für ca. 1000 Mailkonten getan hat.
VG
Buster
2 „Gefällt mir“
mit dem wagvpn und 2fa und keycloak…
kann man doch eigentliche alle lehrerdienste (Nextcloud, Mail und auch sonstige dienste die 2fa, oidc und so nciht können, webdav, caldav… usw) dann nur noch im internen Netz / VPN verfügbar machen. Dann wäre der VPN quasi ein Lehrernetz… oder spricht da irgendwas dagegen. Leistung?
für externe links und schülerzugang haben wir sowieso ne andere Nextcloud…
Hallo zusammen,
kleiner Zwischenstand was sich beim den Mailserver-Playbooks getan hat:
- Da Debian 13 vor der Tür steht, sind die Playbooks auf Trixie angepasst
- OpenID-Connect Anbindung an Keycloak (wird erstmals vom neuen SOGo Release unterstützt)
- Damit wird jetzt intern die Authentifizierung via XOAUTH2 gegen Dovecot möglich
- Shared Folders in Dovecot und SOGo
Viele Grüße
Raphael
gibt es ein skript, mit dem man in wag die registration tokens erzeugt und an die nutzer per mail sendet für das herunterladen der konfigurationsdatei für wireguard?