Proxmox-Mail-Gateway -- sinnvoll?

Hallo.

Ok, eMails funktionieren nun und kommen von außen auch an … da ist es natürlich nur eine Frage der Zeit, wann die ersten Viren / Malware / Spam / $was-weiß-ich auf dem Mailserver landen. Ich habe mich daher schon öfter gefragt, ob jemand von Euch das Proxmox Mail Gateway verwendet?

Das Setup ist ja denkbar einfach, wenn man es direkt als LXC Container aufsetzt … und in diesem Video wird gezeigt, wie einfach es einzurichten wäre:

Verwendet das einer von Euch?
Viele Grüße,
Michael

Hallo Michael,

ich habe mehrere Installationen des PMG am laufen und bin sehr zufrieden damit. Ich habe alle „Eigenbau-Lösungen“ damit ersetzt. Allerdings verwende ich es bisher nicht im pädagogischen Netzwerk. Hier an der Schule verwenden wir eine Sophos-Firewall als Mailgateway für Spam/Viren-Scan.

Viele Grüße
Tom

Hallo Tom.
Ich würde das PMG ja eigentlich gerne mit dem linuxmuster-docker-mail-Container verbinden. Das sollte theoretisch ja ganz einfach sein, da sämtliche eMails ja nur durch das PMG laufen und erst dann am mail-Container landen. Auf der OPNSense müsste es ja genügen, wenn man die Portweiterleitung, die im Moment auf den Mailserver zeigt, auf das PMG umbiegt. Aber dann: Der Mailserver muss ja ebenfalls umgestellt werden, damit er alle eMails nun vom PMG holt … darüber wird in dem Tutorial leider nichts gesagt.

Das PMG ist auf jeden Fall sehr intuitiv und genauso gut bedienbar, wie man es auch von den anderen Proxmox-Oberflächen kennt … super Sache!

Viele Grüße,
Michael

Hallo Michael,

sofern du nicht über fetchmail deine Mails holst, sondern diese normal per SMTP angeliefert werden, muss der mail-container m.E. eigentlich nicht angepasst werden. Vorher wurden ihm per SMTP/Port 25 die Mails über die OPNSense-IP übergeben, jetzt kommen die eMails von der IP des PMG. Beim Versenden muss man auch nicht zwingend etwas ändern.
Letztlich muss also nur in der OPNSense der Port 25 tcp auf das PMG geleitet werden und im PMG der Docker-Mailserver als Empfänger für alle lokalen Mails konfiguriert werden.

Viele Grüße,
Tom

Hallo Tom,
ok, das klingt ja noch einfacher … in dem oben verlinkten Video heißt es ja, dass man auch das Versenden der internen eMails über das PMG leiten lassen kann bzw soll, damit auch auf diesem Weg keine Schadsoftware rausgeht. Für den Fall müsste der Mailserver dann vermutlich nur bei den Relay-Einstellungen die neue IP des PMG erhalten, richtig?
Wenn ich das richtig sehe, sollte das mit einer einzigen Änderung in einer Zeile der docker-compose.yml Datei erledigt sein!??

Viele Grüße,
Michael

Hallo Tom,
ich habe es vorhin umgestellt – sämtliche eMails landen nun beim PMG, welches diese auch entgegen nimmt und prüft. Der Posteingang funktioniert also schon mal!

Dann soll alles an den docker-Container weitergeleitet werden — und genau da klemmt es. Die eMails kommen als unzustellbar zurück, weil der docker-Container dem PMG nicht „vertraut“.
Die Meldung lautet:

 host 172.17.17.201[172.17.17.201 (das ist der Mailserver)] said: 550
    5.7.1 Service unavailable; client [172.17.17.172 (das ist das PMG)] blocked using
    zen.spamhaus.org (in reply to RCPT TO command)

Daher ist die Frage, wo man dem Mail-Server beibrigen kann, dass er dem PMG IMMER vertrauen soll!??
Viele Grüße,
Michael

Hallo Michael,

wenn Du den Spamfilter nicht möchtest, dann postscreen in postfix/master.cf deaktivieren. Sollte ja jetzt das PMG machen, oder postscreen_dnsbl_sites in postfix/main.cf anpassen.

Viele Grüße
Klaus

Hi Klaus,
also das PMG läuft hier seit ein paar Tagen … die Installation ist ja wirklich so einfach, dass ich mich frage, warum ich das nicht schon längst mal ausprobiert habe. Gerade weil das so einfach ist, meine ich, dass man diesen Weg vielleicht weiterverfolgen sollte und den Mailserver dahinter von unnötiger Last (nochmal eigene Spam-Kontrolle usw usw) befreien könnte?!?

Ich hatte ja schon an anderer Stelle geschrieben, dass der ursprüngliche tvial-docker-Container durch seinen Nachfolger ersetzt wurde. Da haben sich offenbar ein paar Pfade geändert, so dass die alte docker-compose.yml nicht ootb mit der aktuellen Version zusammenläuft.

Es ist ja zudem so, dass die linuxmuster-Version des Containers nochmal speziell von @thomas (HappyBasher?) an den v7-Server angepasst wurde?! Wird der linuxmuster-Container denn nun weiterhin maintained oder wurde das Projekt aufgegeben? (Letzte commits von 2019…?).

@Arnaud ist dort ja auch an Contributor angegeben – vielleicht hast Du ja auch noch eine Idee, wie man am besten vorgehen kann?

Viele Grüße,
Michael

Hallo Michael,

um das linuxmuster-mail habe ich mich in der Tat seither nicht mehr gekümmert, da es ja eine alternative Vorgehensweise für das Aufsetzen von Dockercontainern gibt und ich auch keine Ressourcen mehr dafür habe.

VG, Thomas

Hallo Thomas @thomas

wie meinst Du das genau? Einen docker-Container haben ja die meisten von uns … aber deshalb haben wir noch keinen mail-Container.

Ich fand das Projekt super, habe aber zu wenig Wissen über Mail-Server, um es fortführen geschweige denn weiterentwickeln zu können. Daher wäre es ja durchaus elegant, wenn man sowas machen könnte wie z.B. den aktuellen docker-mailserver zusammen mit einem PMG zu nehmen und die LDAP-Anbindung an den v7-Server zu wuppen. Im Prinzip war das ja 2019 schon alles fertig und lief … es scheiterte ja nur an ein paar Kleinigkeiten.

Viele Grüße,
Michael

Hi,

ich konnte meinen Mailserver einfach updaten, indem ich den heruntergefahren und das Image in der docker-compose.yml einfach nach
docker.io/mailserver/docker-mailserver:latest
geändert habe. Danach wieder hochfahren, passt!
Vorher aber auf jeden Fall ein Backup machen.

AFAIK gab es doch hier mal ein Projekt Container per Ansible halb-automatisch aufzusetzen, was ja cooler ist als das per Debian-Paket zu machen.

VG, Thomas

Hi. Genau das habe ich auch versucht … aber es gibt schon erhebliche Unterschiede:


(… das zieht sich auch durch die Unterverzeichnisse: Im neuen Container rechts heißt das z.B. docker-data/dms/ usw)

Das ist aber imho auch in der Versenkung verschwunden, oder? Oder gibt’s da Neuigkeiten, die ich verpasst habe?
Wie gesagt: Das Beispiel auf der Seite vom aktuellen docker-mail-container zeigt ja eine LDAP-Anbindung. So schwer sollte das nicht sein … es sind eher die Details, die laufen müssen: eMail an eine ganz Gruppe, Alias-Adresse für Lehrer usw …

Viele Grüße,
Michael

Wie beschrieben habe ich nur meinen bestehenden Mailserver aktualisiert.