Eigener Betrieb Mailserver?

Liebe Linuxmuster-Community,

mein erster Post hier. Ich bin seit einiger Zeit (als irgendwann mal studierter Informatiker und hauptberuflich in „der freien Wirtschaft“ tätig) ehrenamtlich für eine Grundschule zur Unterstützung der IT unterwegs (sozusagen als Hobby unter dem Motto „ein kleiner Beitrag zur Digitalisierung von Schule“). Ich lese nun schon einige Wochen hier aktiv mit und bin sowohl von Linuxmuster als auch der Community (der Unterstützung, dem Know-how und, und und) hier begeistert.

An der Schule sind Dank Jens Baumgärtner (ich soll beste Grüße ausrichten) viele Dinge schon da. U.a. ein LMN 6.2-Server (via Proxmox virtualisiert) und eine Glasfaser-Anbindung. Großes Thema ist nun - wie sicher für viele - die kommende Mailabschaltung durch Belwue (bisher bei Belwue Incoming der Spam- und Virenfilter - Postfächer dann auf dem eigenen Server unter der eigenen Domain, sowie ausgehender Mailserver).

Am Ende steht die Frage im Raum: schnell einen Dienstleister oder Lösung über den Schulträger finden (ist in Anfrage), oder trauen wir uns eine selbst administrierte Lösung zu. Dabei mache ich mir über die eingehenden Mails weniger Sorgen (dazu habe ich hier bereits einen hilfreichen Thread u.a. zum Proxmox Mail Gateway) hier gelesen. Zum ausgehenden Teil sind Erfahrungen mit DNS, SPF, DKIM, DMARC usw. vorhanden, aber die „Positionierung“ eines SMTP-Servers so, dass die großen Hoster die Mails auch dauerhaft und zuverlässig akzeptieren, ist sicher ein Thema.

Daher die Frage in die Runde: hat jemand Erfahrungen mit dem eigenen Betrieb eines Mailservers und könnte mal seine Einschätzung abgeben, wie viel Aufwand das über die Zeit (pro Woche/pro Monat) ist? Und natürlich steht auch die Frage im Raum, ob - wenn wir uns für den eigenen Betrieb entscheiden - hier Expertise vorhanden wäre, wenn Fragen aufkommen sollten.

An „meiner“ Schule sind das bisher nur wenige Mailaccounts des Kollegiums (sehr überschaubar); „nebenan“ sind es dann schon > 1.000 Mailaccounts (LuL und SuS).

Beste Grüße,
Jens

Hallo Jens.
Wir haben das gleiche Problem – sind aber nicht in BW, so dass uns Belwue noch nie zur Verfügung stand. Es gab ja hier mal eine Initiative einen eigenen Mailserver als docker-Container bereit zu stellen. Die Diskussionen dazu findest Du hier im Ask z.B. mit den Buzzwords „mail docker mailcow“. Wir haben zwar einen solchen docker-Container aber er läuft nicht 100%ig und einige der benötigten Features (eMail an Gruppen, Alias, …) sind nicht implementiert. Eine Anmeldung per LDAP/AD wäre unerlässlich. Ich bin aber alles andere als ein Mailserver-„Profi“. Die Meinungen zum Thema „Mailserver selbst hosten“ gehen ja selbst hier im Forum weit auseinander. Ich würde auch lieber einen Bogen darum machen aber es gibt immer wieder den Wunsch bzw die Notwendigkeit, dass alle SuS ohne große Klimmzüge automatisch eine (schulische) eMail-Adresse bekommen.

Wir haben übrigens einen Webserver bei Hosteurope, der mit Plesk verwaltet wird. Da könnte ich per Script in einem Rutsch Postfächer erstellen lassen. Aber eine echte User-Verwaltung ist das natürlich nicht, so dass es keine gute Lösung wäre.

Viele Grüße,
Michael

Hallo zusammen,
wir haben bislang (wie 382 andere Schulen in BW) die Mails vom BelWUE-Mailgateway direkt auf unseren Server bekommen umgekehrt verschickt. Es geht NICHT um die Einrichtung von Mailpostfächern, das macht unser linuxmuster.net 6.2-Server ganz alleine (User mit sophomorix anlegen - Postfach ist inklusive). Auch das Mailgateway macht uns keine Sorgen (da könnten wir ganz einfach das ProxMox-Mailgateway auf einen unserer Virtualisierer draufpacken und den MX-Record bei BelWUE setzen lassen - da ist eine ordentliche SPAM- und Virenfilterung dabei). Problematisch ist aber nicht der Betrieb des Mailgateways, sondern die SPAM-Problematik beim weltweiten Mailversand. Deshalb die Frage von Jens Herbers, ob jemand das Kunststück hinbekommen hat, einen Mailserver im täglichen Betrieb selbst zu betreiben ohne, dass man ständig das Problem hat, dass man keine Mails mehr rausgeschickt bekommt, weil man auf diversen Blacklists gelandet ist.

Noch weitergehend:
Wenn wir das Mailgateway nicht selber betreiben wollen/können stellt sich die Frage: Wer kann so etwas? Also ganz konkret: Welche Firma frage ich da an?
BelWUE selbst darf dazu keine Auskunft geben.

Politikum:
Die Landesregierung macht in BW grade ganz massiv Infrastruktur kaputt, weil sich das KM nicht mit dem Wissenschaftsministerium (Hochschulen, …) zusammentun kann, um den Schulen auch weiterhin eine funktionierende Infrastruktur anbieten zu können. Stattdessen kann jetzt jede Schule / jeder Schulträger selbst nach den Providern suchen.
Im Fall der Mailgateways: statt einmal zentral bei BelWUE für alle 382 Schulen wird es dann eben im worst case 382 Mailgateways geben, die alle gepflegt werden wollen - eine unheimliche Geldverbrennung, die da stattfindet.

Hallo zusammen

hat jemand schon mal diesen Service geprüft?
https://www.servercow.de/mailcow

Grüße Rainer

Hallo Rainer, ich habe denen schon zwei Mal eine eMail geschickt mit genau dieser Anfrage … und ob und wie das für eine Schule laufen könnte.
Auf beide eMails habe ich keine Reaktion erhalten … fand ich relativ schwach um nicht zu sagen enttäuschend

Viele Grüße,
Michael

Hallo zusammen,

der Mailserver ist ja nicht die einzige Baustelle: Webhosting, öffentliche IPs, Verwaltungsnetz …

Irgendwie gefällt es mir nicht, dass wir nun anfangen diesen Schwachsinn durch viel Mehrarbeit auszugleichen. Ein bisschen mehr Widerstand wäre mir lieber … vielleicht steigt dann mein Blutdruck nicht mehr so stark an, wenn ich Politiker von Digitalisierung reden höre.

Viele Grüße

Wilfried

Hallo,

wenn es ein eigener Mailserver sein soll und die damit verbundene öffentliche IP-Adresse nicht aus einem Bereich kommt, die bei den Empfänger-Maildiensten gewhitelistet ist, bleibt nur der Weg über einen Relayhost, wie z.B. Mailjet. Am Ende läuft die Mail über die und die haben die IPs um überall problemlos anzukommen.

Grüße

Steffen

Die IP ist nach wie vor unsere öffentliche IP, die wir von BelWUE erhalten haben.

Hallo,

ich hab im Januar 2021 einen eigenen Mailserver aufgesetzt.
Hat echt keinen Spaß gemacht … aber es hat sich gelohnt.
Inzwischen weiß ich nämlich folgendes:

1. Aufsetzen macht keinen Spaß, dauert aber nur einige Tage
2. das Ding so einrichten, dass möglichst alle die Mails auch annehmen
   macht auch keinen Spaß, dauert aber auch nur einige Tage
3. jetzt, über ein Jahr später muss ich sagen: ich hab nicht wieder
   hingelangt an das Ding in der zwischenzeit: und damit hat sich mein
   Blick auf Mailserver doch sehr verschoben.
   Ich dachte man hat riesen Stress beim Einrichten, beim Absichern und
   dann ist man alle naslang damit beschäftigt den neusten
   mailabsendersignierungsfirlefanzdingens hinterher zu konfigurieren,
   sonst schmollt wieder irgend ein Betreiber.
   War gar nicht so …

Was ich gemacht hab steht hier im Forum.

LG

Holger

Hallo,

Für den Fall, dass deine IP auf einer Blacklist steht, ist es von Vorteil eine zweite oder auch dritte öffentliche IP für den Mailversand in der Hinterhand zu haben auf die dann gewechselt werden kann. Das Entfernen von den Blacklisten geht in den meisten Fällen recht zügig, aber manch einer kann eben nicht etliche Stunden abwarten. Ein Problem, dass ich beim Betrieb für einen Verein hatte, war dass Nutzer ihre Zugangsdaten „verlieren“ (Schadsoftware diese aus Browsern oder Mail-Clients von Windows/Android) ausliest. Wenn ein Botnetz mit legitimen Zugangsdaten über deinen Server versendet, willst du in der Lage sein den Versand von E-Mails für das betroffene Mail-Konto sperren zu können, ohne gleich das gesamte Benutzerkonto zu sperren. Damit wird der Nutzer gezwungen zu handeln und du landest mit deinem Mailserver nicht gleich wieder auf der Blacklist. Es sollte auch ein Ratelimiting für Logins am SMTP-Server eingerichtet sein, um Brute-Force-Angriffen von Botnetzen zu begegnen. Zum Beispiel max. X Logins/Minute pro IP und pro Nutzer (jeweils als zwei separate Limits).

Einen externen SMTP-Relay zu nutzen, hilft wenn man selber keine öffentliche IP hat oder keine DNS-Einträge (für DKIM, SPF und DMARC) einrichten kann. Das hilft nicht gegen Spam-Versand mit gültigen Logindaten.

Ich habe seinerzeit check_dnsbl - Nagios Exchange genutzt, um rechtzeitig über Blacklisteinträge informiert zu sein.

MfG Buster

Hallo,

es ist definitiv möglich einen eigenen Mailserver zu betreiben. Postfix, Roundcube, Mailman, Fail2Ban und Rspamd können z.B. eine solche Lösung bilden. Wenn das ganze noch einfach und grafisch administrierbar sein soll, kann ich z.B. ISPConfig empfehlen. Diese Software bringt alle Teile der jeweiligen Server zusammen und macht sie leicht administrierbar, ganz wie bei einem externen ISP, nur das es den eigenen Server steuert. Damit kann man einen Mailserver, aber auch ein Webserver, ein DNS-Server, ein Dateiserver oder Datenbankserver aufbauen. Die erste Einrichtung ist vielleicht ein klein wenig aufwendiger, aber kein Hexenwerk. Wenn das Ganze aber einmal läuft, läuft es.

Bei einem Mailserver kann die genannte Software die Administration des Servers, den Maileingang mit Spamfilter, das Blocken von unerlaubten Zugriffen, das Bereitstellen von POP3-, IMAP- und SMTP-Zugängen, das Bereitstellen eines web-basierten Mailclients, das Setzen von Quotas und das Bereitstellen von Mailinglisten übernehmen.

Einzige Schwachstelle ist das Versenden und die Reaktion des Netzes darauf. Wenn die öffentliche IP nicht aus einem IP-Adressbereich kommt, der als „Privat-IP“ gekennzeichnet ist, wird auch der Versand funktionieren und alle Empfänger-Server werden die Mail akzeptieren.

Problematisch wird es erst dann, wenn der Mailserver und damit die „saubere“ IP tatsächlich zum Versand von Spam genutzt wird. Dann steht man richtigerweise auf der schwarzen Liste und bekommt keine Mails mehr versendet. Wenn andere IPs als Ausweichadresse zur Verfügung stehen hilft das, heißt aber auch den Übeltäter finden und dessen Arbeit unterbinden zu können.

Ein SMTP-Relay/Relayhost kann aber auch hier eine Hilfe sein und damit möchte ich Buster widersprechen. Der Relayhost hilft nicht nur bei privaten IPs oder wenn DNS-Einträge nicht gemacht werden können, sondern bietet auch eine zusätzliche Spam-Kontrolle, weil genau das die Aufgabe des Relayhosts ist.

Er sorgt dafür die Unzulänglichkeiten des eigenen Mailservers auszubügeln und die versendeten Mails so gut und gewhitelistet wie möglich zum Empfänger zu bringen. Dazu gehört auch eine Pre-Spamkontrolle. Ein Relayhost bietet damit sogar noch eine zusätzliche Möglichkeit nicht auf die Blacklist zu kommen oder ist zumindest die Fallback-Lösung, wenn die eigene IP „verbrannt“ ist.

Rein technisch ist der Mailserver kein Hexenwerk und schnell und gut machbar. Problematisch sind eventuell nur die Menschen die ihn nutzen dürfen oder angreifen wollen. Schwache Passwörter, „verlorene“ Logindaten und Angriffe aus dem Netz auf die offenen Ports müssen aktiv verhindert oder ausgebügelt werden. Aber auch hier unterstützt die Software und übernimmt einen Großteil der Arbeit.

Das Aufsetzen und das Betreiben selbst ist nicht das Problem. Den Server zu schützen und zu wissen was man tun kann und muss, wenn etwas passiert, ist das, was an Arbeit anfallen könnte. Bei mir konzentriert sich dies inzwischen fast ausschließlich auf die Angriffe von Außen. Aber! Fail2ban mit seinen Standardregeln und zusätzlichen Longterm-Regeln und einer Blacklist hilft hier ungemein. Aktuell letzte Eskalationstufe bei mir ist hier ein kürzlich eingeführtes Geoblocking in der Firewall.

Ach ja und natürlich fällt gelegentliches Updaten der Komponenten an.

Grüße Steffen

Hallo zusammen,

kann das bestätigen: nutze seit Jahren selbst für Privat einen eigenen Mailserver. Es ist dann kein Spaß mehr, wenn es aus solchen oder anderen Gründen nicht mehr weltweit klappt,… wenn z.B. ein großer Player deine E-Mails nicht mehr annimmt und du dich damit rumschlagen musst…

wie Holger sagt: klar, das geht.
aber wie Wilfried schreibt:

Hier stimme ich aber Wilfried zu:
Das wäre wichtig für alle: Mails zentral und zwar mindestens so professionell wie bei Belwü.
Nicht die Fortbildung aller Admins der Schulen und Schulträger zu Mailadmins.
Klar, dass hier jetzt mehr und mehr Letzeres aus der Not heraus passiert.
Aber bei Mailserver würde ich immer den Disclaimer schreiben:
– bitte nicht nachmachen. Stattdessen bei meinem Kultusministerium anfragen, warum diese grundlegende Infrastruktur nicht ab jetztissimo bereitgestellt wird.

VG, Tobias
p.s. ich würde meinen (oder einen ähnlichen) Beitrag als „Lösung“ markiert sehen, damit zukünftige Admins genau das lesen, wenn sie sich auf die Suche nach der Lösung eines so komplexen wie notwendigen Problems machen.

Hi zusammen,

ich kann euch dieses Projekt empfehlen, wenn ihr einen eigenen Mailserver aufbauen wollt:

Habe das nun seit 2 Jahren zu laufen - ohne Probleme. Auch die Updates waren immer einfach und stabil erledigt.

Viele Grüße,

Christian

Hallo Christian (@relecand),
ich frage ich, ob man dieses Setup zusätzlich mit auf einen BBB-Server, der ohnehin größtenteils arbeitslos da draußen läuft, packen könnte?
Vermutlich kommen die sich in die Quere … aber fragen kann man ja mal

Viele Grüße,
Michael

Hallo Michael,

Hallo Christian (@relecand https://ask.linuxmuster.net/u/relecand),
ich frage ich, ob man dieses Setup /zusätzlich/ mit auf einen
BBB-Server, der ohnehin größtenteils arbeitslos da draußen läuft, packen
könnte?
Vermutlich kommen die sich in die Quere … aber fragen kann man ja mal

die Versuchung ist groß: ich rate davon ab.
Du kannst es ja probieren, ich halte den BBB Server, bei dem so viele
unterschiedlichen Dienste reibungslos ineinander greifen müssen, für
keinen guten Ort um etwas „dazu“ zu stellen.

Stell dir mal vor es ist GLK in BBB und irgend jemand verschickt eine
Mail ans ganze KOllegium zu der Zeit: dann hast du vielleicht
Nebenwirkungen in der BBB Sitzung: zuerst merkt man das bei der
Echtzeitanwendung „Audio“…

LG

Holger

Hallo Holger – vermutlich sollte man das wirklich besser lassen. Ich glaube zwar nicht, dass das bisschen Mail-Zustellung während einer Konferenz spürbar wäre aber wenn man den BBB-Server upgraden muss, ist ja mitunter eine Neuinstallation fällig. Dann wären alle Postfächer weg … nicht gerade gewinnbringend

Wir hätten ja eine DMZ (mit „richtigem“ FQDN und LE-Zertifikat): Da wäre so ein Mail-Server vermutlich tatsächlich besser aufgehoben. Dennoch reiße ich mich nicht darum … vor allem die User-Verwaltung bei ständig wechselnden Usern und die schon öfter zitierten Features (Mail an ganze Gruppen, Alias etc…) sind weiterhin ein must-have, meine ich.

Viele Grüße,
Michael

Hallo Michael,

die demnächst abgeschaltet-werdenden 384 Schulen haben ihre Mail-Infrastruktur bei sich vor Ort (wir noch auf einem linuxmuster.net-6.2-Server). Wir brauchen definitiv „nur“ ein Mailgateway. Wenn ich das recht sehe, gab es davon so ungefähr acht Stück bei BelWUE, die das für 384 (!!) Schulen erledigt, haben. Ich sage nur: politisches Harakiri, was das KM da grade veranstaltet - gerne auch: Zerstörung von funktionierender IT-Infrastruktur, also das Gegenteil von Medienoffensive und Digitalpakt!

Grüße
Jens

Hallo Jens,

wenn ihr eine schnelle Lösung braucht, um die ihr euch nicht kümmern müsst, kann ich dir as hosting von Hetzner Empfehlen. Das nutzen wir an unserer Schule für die Homepage und die E-Mails des Kollegiums. Das Verwalten der Postfächer ist Kinderleicht, dadurch dass viele Leute es nutzen ist der Spamfilter entsprechend trainiert und Probleme mit ablehnenden anderen Hostern hatten wir noch nie. Die Kosten halten sich auch in Grenzen.

Liebe Grüße
Der Hoches

Hallo der Hoches,

wenn ihr eine schnelle Lösung braucht, um die ihr euch nicht kümmern
müsst, kann ich dir as hosting von Hetzner Empfehlen. Das nutzen wir an
unserer Schule für die Homepage und die E-Mails des Kollegiums. Das
Verwalten der Postfächer ist Kinderleicht, dadurch dass viele Leute es
nutzen ist der Spamfilter entsprechend trainiert und Probleme mit
ablehnenden anderen Hostern hatten wir noch nie. Die Kosten halten sich
auch in Grenzen.

was meinst du damit?
hetzner bietet auch Mailpostfächer an?
Oder nur ein mail relay?

Falls es richtige Postfächer sind: geht dann da auch ein WebLogin?

Wie heißt das Angebot den?

LG

Holger