Postfix, eher ungewöhnliche Anforderungen?

  • Moin moin!


    Ich verzweifle gerade an der Einrichtung von Postfix für meine Zwecke. Zuallererst eine Übersicht von dem, was ich erreichen möchte.


    Zu Hause hinter meinem Router steht ein Mail Server, auf dem ich meine Mails lagern möchte. Es ist ein Synology NAS.

    Die Einrichtung lief klasse und durch die DynDNS Domain kann ich auch die MX Einträge anpassen, dass meine Mails für name@foo.bar an die DS zugestellt werden.


    Jetzt ergibt sich natürlich das Problem, Emails auch versenden zu wollen. Nutze ich meine dynamische IP vom ISP, kommt natürlich nichts an. Daher möchte ich meinen Root als Relay nutzen.

    Auch möchte ich, dass dieser meine Mails sammelt, wenn das NAS mal nicht erreichbar sein sollte. Dies habe ich schon zum Laufen bekommen.


    Gut 20 Tutorials später bin ich leider noch immer nicht schlauer, wie ich mein Postfix einrichten soll, dass es als Relay und Backupserver läuft.

    Natürlich könnte ich die Authentifizierung weglassen und es würde klappen, aber ...nein. Ich möchte das ganze ja als Dauerlösung.


    Daher wende ich mich nun an das Forum, um hoffentlich Hilfe zu bekommen. Ich habe bei den ganzen Einstellungen nurnoch Emails vor den Augen.


    Wichig für mich: Das NAS möchte sich bei Postfix gern mit TLS authentifizieren und alles andere sollte im besten Fall gar nicht erst möglich sein.


    Meine Domain lautet als Beispiel foo.bar


    DNS Einstellungen:


    Code
    (foo.bar) A 100.200.300.400 (Domain foo.bar auf Root)
    smtp(.foo.bar) A 100.200.300.400 (Subdomain smtp.foo.bar)
    ds(.foo.bar) CNAME dyn.dns.adr
    MX 5 dyn.dns.adr (Zeigt auf meinen Heimanschluss mit wechselnder IP)
    MX 10 smtp.foo.bar


    Meine Postfix main.cf enthält momentan Folgendes (Gesamte Datei nochmal im Anhang, mit der Config läuft Postfix für mich super als Backup):


    Zusätzlich läuft bisher nur letsencrypt für die Zertifikate. Andere Datein habe ich nicht angefasst.


    Besonders verwirren mich die mynetwork settings. Ich kann einstellen, welchern IPs vertraut wird. Grundsätzlich eine feine Sache, aber bei einer dynamischen IP...


    Für Hilfe wäre ich sehr dankbar!

  • Macht es nicht mehr Sinn, den RS als einzigen bekannten MX zu betreiben (als SMTP Exchanger/SMTP Relay)?. Dieser leitet dann alle Mails an den internen Mailserver weiter. Hierfür würde ich dann eher ein VPN nutzen. Hierfür bietet sich OpenVPN oder vielleicht auch tinc VPN an.

  • ich kenn die Einstellmöglichkeiten auf dem NAS nicht, aber eventuell ist es einfacher, diese als smtp-client (also mit Authentifizierung) gegen den Postfix auf deinem root zu konfigurieren. mynetworks würde ich dann auf dem Default (m.E. localhost oder so) lassen.

    Gruss

  • @alhazred Den Mailserver in mein LAN einzubinden ist tatsächlich eine gute Idee, wäre für mich aber eher eine Notlösung. Dass meine Wunschkonfiguration irgendwie klappen muss, weiß ich. Denn wenn ich im NAS z.B. Google Mail als Relay eintrage, läuft alles wie geschmiert.


    @thys Entweder verstehe ich da was falsch, oder das ist genau das, was ich machen möchte. Siehe Screenshot.


    nasmail.PNG

  • Kodon: da hab ich dich missverstanden - ein Mailrelay ist fuer mich etwas anderes. Das würde man anders definieren (relayhost).

    Ich mach sowas in einzelnen Fällen so: (Auszug aus der main.cf)

    # sasl auth for postfix as client !

    #

    smtp_sasl_auth_enable = yes

    smtp_tls_security_level = may

    smtp_sasl_password_maps = hash:/etc/postfix/smtp_auth

    smtp_sasl_security_options = noanonymous

    smtp_sasl_tls_security_options = noanonymous


    in der smtp_auth steht dann:

    smtp.foo.bar user@foo.bar:passwort_user


    smtp.foo.bar wär dabei dein RS.

    (smtp_auth muss dann mit postmap "übersetzt" werden).

    (in diesem Fall schick ich Mails ueber eine Provider - andere Konfigs haben in dem Fall nicht funktioniert)

    Gruss

  • Hallo Kodon,


    Zunächst eine Anmerkung zur Verwendung eines Servers mit dynamischer IP-Adresse als MX: Auch wenn das Risiko, dass E-Mails eintrudeln, während die originäre Adresse schon einem anderen Nutzer zugeteilt wurde, während die eigene Reregistrierung mit neuer Adresse noch nicht "durch" ist, ggf. individuell als gering eingeschätzt wird, würde ich dies grundsätzlich nicht machen, auch nicht zu "Versuchszwecken". Da vernünftige Absender bei Übertragungsproblemen i.d.R. mehrere Versuche unternehmen, Mails zuzustellen, und ein als MX eingesetzter Rootserver i.d.R. über eine ebenfalls akzeptable Uptime verfügt/verfügen sollte, geht ja nichts verloren. Auch SPF-Einträge sind für dynamische Adressen nicht sinnvoll nutzbar.


    Was die Konfiguration der heimischen Postfix-Instanz anbelangt, wenn es um die Weiterleitung geht: Hier wird man unter den Stichworten "relay[ ]host", "smart[ ]host", "satellite system" fündig. (exemplarische Kurzanleitung: https://medium.com/@federicopa…u-relay-host-ad6ef39a1239)


    Zuletzt der Punkt Synchronisation/Duplizierung/Backup: Hier ist von der Beschreibung her nicht ganz klar, ob es um eine Instanz geht, die alles archivieren soll ("WORM"/Nur-Lese-Zugriff) oder ob es (neben einem sinnvollen Offline-Backup) um eine redundante, *synchronisierte* Ablage von Mails an zwei Orten (auf zwei Rechnern) geht, was alle Zusatzinformationen (Mail (un)gelesen/(un)markiert/dupliziert/verschoben/...) beinhaltet. Im letzten Fall würde ich keinen Abgleich via Postfix vornehmen/definieren, sondern über zwei via "dsync" verbundene Dovecot-Instanzen (lies: ich mache es so).


    Zu den beiden letzten Punkten gibt es einige Videos/Folienpräsentationen (einfach einmal online im Umfeld der FOSDEM/Linux-Tage suchen).

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • @m_ueberall Danke für den Hinweis mit der Wahrscheinlichkeit, dass Mails eventuell an die "alte" IP zugestellt werden könnten. Daran habe ich so noch gar nicht gedacht. Jedoch ist das Risiko meines Erachtens wirklich überschaubar. Zuerst müsste die Mail genau bei der Zwangstrennung durch den ISP eintreffen. Um die eingestellte Uhrzeit dafür bekomme ich, wenn überhaupt, nur Newsletter. Zum anderen müsste auf dem Anschluss, welcher die neue IP bekommt, auch ein Mailserver laufen, der zusätzlich auch noch Mails von meiner Domain akzeptieren müsste. Ich glaube ein 5er im Lotto ist wahrscheinlicher. Aber echt vielen Dankfür die Info.



    (auch @thys )

    Mein RS soll aber kein NICHT über einen anderen SMTP (Google, Microsoft, etc) senden, sondern die Mails selbst ausliefern.

    Dafür würde ich DKIM etc einstellen, damit auch was ankommt.


    Bei meinen Suchen nach Tutorials habe ich massenhaft Anleitungen gefunden, Mails über Google etc weiterzuleiten. Aber eben nicht dafür, wenn mein Postfix die "Endstation" sein soll.


    Ich danke soweit für die konstruktiven Vorschläge!

  • Du kannst auf deinem RS einen Benutzer anlegen, welcher von jeder E-Mail Adresse senden darf und für den Empfang ebenfalls diesen Postfix auf dem RS verwenden. Die Mails leitest du einfach über transport_maps an deine Synology NAS weiter. Das geht auch auf FQDNs.


    lg.

  • Ich habe es geschafft! Hat nur 11 Stunden gedauert. Die Lösung werde ich aufbereiten und zur Verfügung stellen. Aber nicht mehr heute.

    Danke an alle; Die Lösungen haben zwar nicht gepasst, aber die Ideen haben zur Lösung geführt!

  • Kodon nur mal ein Tipp bzw. Frage: wieso läßt Du den RS nicht auch POP-Server spielen und host vom Homeserver per fetchmail die Mails ab?

    (ich habe es ähnlich, nur ich relaye die Mails vom RS auf z.B. meinen ISP od mailbox.org weiter)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)