Office365 Business Essentials durch Mailcow auf RS1000 G8 ersetzen / Eure Tipps

    Hallo zusammen,


    ich habe die letzten Tage etwas hier im Forum gelesen und bin dadurch auf Mailcow aufmerksam geworden.

    Bisher hatte ich für 5 Familienmitgleider eMail-Fächer bei Microsoft angemietet als Office 365 Business Essentials; hierfür fallen ca. 30 EUR Kosten pro Monat an (nur Hosted Exchange).


    Installiere ich auf einem RS 1000 G8 mir selber Mailcow und ziehe die Familienpostfächer dorthin um, dann ergibt sich ein recht hohes Einsparpotential :D8o

    Wobei die Funktionen wohl nahezu gleich bleiben sollten.


    Ich habe nun Mailcow: Dockerized zunächst einmal auf dem RS 1000 G8 installiert.

    Dann die Postfächer eingerichtet und gerade kopieren meine eMails.


    Da ich bisher nur einen FreePBX-Server bei Netcup betreibe bei welchem es im Standard-Image eine komplett fertige und über WebGUI konfigurierbare Firewall hat (die ich so beschränkt habe, dass nur - mit Ausnahme von SSH - die Telefone sich anmelden können und ausgehend nur Verbindungen zu den einzelnen VOIP-Providern zugelassen sind) würde mich aktuell brennend interessieren, wie ich Mailcow bzw. die Docker-Installation am besten absichern sollte.


    Gibt es hier Tipps von euch?


    MfG,

    MacGyver

    Haha, wie mir scheint, hab ich da einiges mit der Mailkuh losgetreten ?


    Was die Absicherung angeht, hab ich mir auch schon mal Gedanken gemacht.

    Ich würde mal davon ausgehen, das es reicht, sämtlichen Incoming Traffic per iptables zu droppen und eben nur die Ports frei zu geben, die für mailcow und ssh benötigt werden.


    Wahrscheinlich würde ich das sogar mit ner stateless firewall regeln, um Ressourcen zu sparen. Bin auf dem Gebiet aber kein Experte.


    Bei Office 365 hast aber glaube ich noch die Office Produkte mit drin, oder? Also Word & Co, nicht nur die mails.

    Auf dem Smartphone läuft Active Sync stabil wie nen Exchange Server, bei Outlook hingegen brauchte ich nen zusätzliches Plugin für Sogo, was sich um Cal und Carddav kümmert.

    Hab ich auch erst hier im Forum gelernt, die Protokolle sind nicht zwangsläufig kompatibel.

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

    Zitat von geekmonkey

    Bei Office 365 hast aber glaube ich noch die Office Produkte mit drin, oder? Also Word & Co, nicht nur die mails.


    In der aktuell günstigsten Variante Business Essentials sind keine PC-Programme inklusive.

    Evtl. Office Webapps; aber da kann ich mich nicht erinnern die mal ausführlich genutzt zu haben.


    Hauptsächlich ging es mir immer um ActiveSync, damit die eMails auch am iPone bzw. zwischenzeitlich Android direkt gelesen werden können.

    Und Möglichkeiten den Spamfilter selbst umfangreich einstellen zu können (IP-Blacklist, Domain-Blacklist, Adress-Whitelist, etc.) mit einer Quarantäne (statt einem Junk-Mail-Ordner; d.h. SPAM-Verdächtige eMails landen in einem Web-GUI und werden entweder freigegeben oder eben nicht.


    Und irgendwie scheint es als würde man das mit Mailcow auch hinkriegen können - evtl. muss man ein bisschen dran basten; aber unmöglich scheint es nicht ;)

    Zitat von geekmonkey

    Was die Absicherung angeht, hab ich mir auch schon mal Gedanken gemacht.

    Ich würde mal davon ausgehen, das es reicht, sämtlichen Incoming Traffic per iptables zu droppen und eben nur die Ports frei zu geben, die für mailcow und ssh benötigt werden.


    Wahrscheinlich würde ich das sogar mit ner stateless firewall regeln, um Ressourcen zu sparen. Bin auf dem Gebiet aber kein Experte.


    Wäre es eventuell vorstellbar einfach z.B. CSF (https://www.configserver.com/cp/csf.html) zu installieren?

    Dann hätte ich wieder ein GUI wo ich mich etwas auskenne ;)


    Grüße,

    MacGyver

    Zitat von geekmonkey

    Auf dem Smartphone läuft Active Sync stabil wie nen Exchange Server, bei Outlook hingegen brauchte ich nen zusätzliches Plugin für Sogo, was sich um Cal und Carddav kümmert.

    Hab ich auch erst hier im Forum gelernt, die Protokolle sind nicht zwangsläufig kompatibel.

    Kalender und Kontakte laufen bei mir mit Outlook auch ohne zusätzliches Plugin. SOGo kann das! Wie es mit dem Mailcow Paket aussieht kann ich dir allerdings nicht sagen, evtl. ist das ein wenig anders konfiguriert. Wie schon im anderen Thema geäußert, habe ich bisher keine bessere ActiveSync bzw. Exchange Alternative gefunden als SOGO. Wenn man mal weiß, wie man es konfigurieren muss, läuft es 1A :)

    Servus.


    UFW ist ein heißer Tipp zur Konfiguration und Absicherung. Ist einfach zu bedienen und übersetzt im Hintergrund quasi für iptables.

    Hier würde ich eingehend lediglich die entsprechenden Ports für die Mailcow zulassen. Als Default-Action alles auf "drop" und anschließend den SSH Port ändern und ebenfalls durchlassen.


    Im nächsten Schritt würde ich Fail2Ban installieren & einrichten, die Authentifizierung auf SSH Keys umstellen und den Root-Benutzer für SSH deaktivieren.


    UFW: https://www.digitalocean.com/c…u-and-debian-cloud-server

    Fail2Ban: https://www.digitalocean.com/c…-fail2ban-on-ubuntu-14-04

    SSH-Keys: https://www.digitalocean.com/c…p-ssh-keys-on-ubuntu-1604


    In der sshd.conf zusätzlich noch die Zeile "PermitRootLogin" auf "no" ändern.


    lg.

    Zitat von oliver.d

    Kalender und Kontakte laufen bei mir mit Outlook auch ohne zusätzliches Plugin. SOGo kann das! Wie es mit dem Mailcow Paket aussieht kann ich dir allerdings nicht sagen, evtl. ist das ein wenig anders konfiguriert.

    Wie genau hast du die Sachen denn bei Outlook hinzugefügt? Einfach mit der mailadresse? Ich habe gar keine Möglichkeiten bei Outlook mail.domain.de/SOGo oder dergleichen einzugeben :/

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

    Zitat von oliver.d

    SOGo kann das!

    Sagen wir mal, Outlook kann das, nämlich ActiveSync. Die Einrichtung sollte nämlich durchaus funktionieren, in der Praxis ist das nicht immer der Fall. Die Mac-Version von Outlook unterstützt es wohl gar nicht und die aktuelle Outlook 2016 Version unter Windows scheint auch Probleme zu machen, während es mit dem Vorgänger problemlos funktionieren soll ... ihr könnt ja mal Versionen vergleichen ;) Das klingt alles danach, als hätte MS ein furchtbares Protokoll auch noch furchtbar und unterschiedlich implementiert (unter iOS, Android, ... funktioniert es ja einwandfrei) ...


    Die Einrichtung von ActiveSync sollte, sofern Autodiscover richtig im DNS hinterlegt wurde (https://mailcow.github.io/mail…ed-docs/prerequesite-dns/) keine URL oder ähnliches benötigen.


    Zitat von MacGyver2016

    Und irgendwie scheint es als würde man das mit Mailcow auch hinkriegen können - evtl. muss man ein bisschen dran basten; aber unmöglich scheint es nicht

    Eine selbstgehostete mailcow ist selbstredend mehr Aufwand als ein Managed Exchange Service von MS, aber mit dieser Einstellung ist das sicher kein Problem :thumbup:Tatsächlich sollten die von Dir genannten Features out-of-the-box funktionieren.

    Zitat von Ringelnatz

    Die Einrichtung von ActiveSync sollte, sofern Autodiscover richtig im DNS hinterlegt wurde (https://mailcow.github.io/mail…ed-docs/prerequesite-dns/) keine URL oder ähnliches benötigen.

    Die entwickler sagen zwar, dass richtig configurierte autoconfig DNS reichen, aber ich hab jetzt noch mal komplett die SRV Einträge übernommen. Werd das Ganze noch mal in 48h testen :)

    Sonst liegts vllt wirklich an der Version :/

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

    Zitat von Ringelnatz

    Das stimmt, ich habe auch gar keine SRV-Records eingerichtet. Der Rest reicht dafür aus. Welche Outlook-Version nutzt Du denn?

    Immer die neuste, quasi im Office365 Paket enthaltene.


    Sowohl unter Windows, als auch Mac.

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

    Bei mir läuft auch Outlook 2016 aus Office 365. Autodiscover habe ich auch konfiguriert (Eigenlösung), funktioniert manchmal, manchmal nicht. Allerdings lässt sich Outlook auch manuell konfigurieren!

    Falls Interesse besteht, kann ich in absehbarer Zeit gerne mal eine Anleitung verfassen, wie ich meinen Server konfiguriert habe.

    Zitat von oliver.d

    Bei mir läuft auch Outlook 2016 aus Office 365. Autodiscover habe ich auch konfiguriert (Eigenlösung), funktioniert manchmal, manchmal nicht. Allerdings lässt sich Outlook auch manuell konfigurieren!

    Falls Interesse besteht, kann ich in absehbarer Zeit gerne mal eine Anleitung verfassen, wie ich meinen Server konfiguriert habe.

    Okay, ActiveSync läuft nun ohne Probleme.

    Man muss das Ganze nur eben manuell, außerhalb von Office anlegen.

    Quick&Dirty:

    Systemsteuerung -> nach mail suche -> Mail (Microsoft Outlook 2016) auswählen -> EMail Konten -> neu ... und dann alles wie gewohnt auswählen/eingeben

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...