Eigener Email Server - Pitfalls ?

  • Habe zum Lernen+Testen einen eigenen email Server aufgesetzt.

    vps + opensmptd + dovecot + letsencrypt Zertifikate


    Läuft soweit gut, empfängt für die definierte Domain Emails, sendet erfolgreich welche raus.


    Habe hier im Forum aber häufig von Problemen gelesen.


    * Was sind denn die häufigsten Pitfalls ?

    * Was könnte ich noch testen ?

    * Gibt es irgendwelche automatisierten Tests (wie z.B. ssllabs für das SSL Setup) ?

    * möchte jemand einen genauern Blick auf den Dienst werfen ?


    Vielen Dank für alle Tipps

  • Was meinst du konkret mit Absicherung ?

    Wenn man die allgemeine Systemsicherheit einmal außer Acht lässt und nur den Mailserver betrachtet: z.B. Open Relay, Backscatter, …


    Das sind so die Standardsachen, die man mit Konfigurationsfehlern schnell einbaut. Je nach installierten Diensten (SSH, Webserver, …) muss man sich natürlich auch um diese Konfigurationen kümmern.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Wieso willst du catchall deaktivieren?


    Du kannst damit z.B. rausfinden wer deine E-Mail Adressen weiterverkauft, wenn du pro "Anbieter" (Dropbox, Adobe, etc) eine eigene Mail-Adresse verwendest. Ebenso kannst du alles unerwünschte direkt für Bayes verwenden.

    "Security is like an onion - the more you dig in the more you want to cry"

  • @vmk: Die Idee pro Anbieter eine andere email Adresse zu verwenden nutze ich schon länger in meinem Haupt email Account. Genau diese Adressen sind im netcup als Alias angelegt - alles andere wird abgelehnt --> 0 Spam. Da verstehe ich nicht warum ich da Catchall einschalten sollte ?


    Nach den ersten Checks habe ich noch ein TXT record mit v=spf1 mx a -all ergänzt - das kannte ich noch nicht.

    Zusätzlich habe ich das netcup Webhosting als MX Falback mit niediger Prio eingetragen - macht ihr das auch ?


    @killerbees19: Danke für die 2 Begriffe, sieht soweit gut aus:


  • Catchall: Weil ich zu faul bin jedesmal eine neue Mailadresse anzulegen, vor allem für einmalige Aktionen wie z.B. anbieter-aktion-2017-01@


    MX Fallback: Der netucp Server nimmt auch für dich deine Mails an? Manchmal werden die Emails auch auf dem "falschen" MX eingeliefert. Wenn der dann ablehnt, dann wirst du mit etwas Glück vom jeweiligen Anbieter für Mailverkehr gesperrt mit "Mailserver rejected Mails"

    "Security is like an onion - the more you dig in the more you want to cry"

  • Ich habe diese DNS Setup für meine Domain:

    @ MX 10 mail.xxxx.de

    @ MX 50 mx2f1d.netcup.net


    mail.xxxx.de ist mein eigener opensmptd Server,

    und im netcup webhosting habe ich für die Domain ebenfalls ein email Konto angelegt, hier natürlich mit catchall, da ich die konkreten Adressen vom opensmptd nicht nachpflegen möchte.


    Falls mein Server also man ausfällt, sollten die emails stattdessen auf dem Netcup email Server landen.


    Ist das so richtig gedacht ?

  • vielleicht noch eine Sache: Mails an Microsoft domains (hotmail, live, ...) werden mit Sicherheit abgelehnt. Schau Dich hier im Forum mal um - Du wirst zunächst einige Mails in Richtung Microsoft schreiben müssen, die dann abgelehnt werden.

    Dann wirst Du Dich bei MS beklagen, und nach einiger Zeit vielleicht freigeschaltet.

    Bis MS Dich wieder blockt.


    Beachte, daß alle Dinge wie DKIM, SPF korrekt konfiguriert sein sollten.

    Beachte auch, daß die Testmails nicht wie Testmails aussehen sollten. Die werden gleich geblockt, und Deine Reputation bei Microsoft sinkt.


    google funktioniert mittlerweile ein wenig besser als früher.

    Ein übler block-Kandidat ist auch gmx.

  • Bezüglich dem Prio 50 MX:


    Problem: Spammer senden gerne an den niedrigst-Priprisierten Server weil die häufig schlechter gegen Spam gewappnet sind und den annehmen. Insbesondere bei ner Catchall Adresse als fallback klingt das in meinen Ohren suboptimal..


    Wenn du dich in der Lage fühlt bei einem Ausfall dein System innerhalb von 24 Stunden wieder an den Start zu bekommen, würde ich fast auf den Backup MX verzichten.


    Mehr ->

    Externer Inhalt youtube.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

  • Seltsam, gehört hatte ich das mit Google und MS auch, aber Testmails von meiner frischen Domain, frischem Server sind sowohl bei ***outlook.com als auch bei ***gmail.com angekommen - nur leider im Spam Ordner, aber das macht nichts.

  • Catchall: Weil ich zu faul bin jedesmal eine neue Mailadresse anzulegen, vor allem für einmalige Aktionen wie z.B. anbieter-aktion-2017-01@

    Kommt mir sehr bekannt vor. Mach ich auf meiner main Mail genau so. Hab quasi 2 Postfächer. Eins für rein private Sachen mit mail@ und mobile@

    Und eben ein catchall das ich für alles möglich nutze wie amazon@...

    War nen ganzes Stück Arbeit knapp 200 "alias" serverseitig je nach Adressat und Absender in den jeweiligen Ordner zu verschieben ??

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • Kommt mir sehr bekannt vor. Mach ich auf meiner main Mail genau so. Hab quasi 2 Postfächer. Eins für rein private Sachen mit mail@ und mobile@

    Und eben ein catchall das ich für alles möglich nutze wie amazon@...

    War nen ganzes Stück Arbeit knapp 200 "alias" serverseitig je nach Adressat und Absender in den jeweiligen Ordner zu verschieben ??

    da hilft Sieve, sovern rechtzeitig eingerichtet :)

    Ich hab catchall irgendwann abgeschafft, denke jetzt aber drüber nach, es wieder einzurichten, um Futter für die Spamfilter zu bekommen :)

  • An einer Stelle der opensmtpd Config bin ich noch unsicher:


    Code
    # accept from extern
    listen on ens3 port 25 pki xxxxx.de tls
    accept from any for domain <vdoms> virtual <vusers> deliver to maildir

    das tls bedeutet optional, man kann wohl stattdessen auch tls-require setzten.


    Kann ich davon ausgehen, dass alle vernünftigen email Server bei mir TLS verschlüsselt abliefern ?

  • Kann ich davon ausgehen, dass alle vernünftigen email Server bei mir TLS verschlüsselt abliefern ?

    Leider nein. Ich hatte es eine längere Zeit mal versucht, aber dann relativ schnell Fälle, bei denen z.B. Boardkarten für Flugtickets nicht ankamen, weil deren Email Server nicht über TLS versenden wollte. Daher würde ich selbst in 2019 noch davon abraten, generell TLS zu erzwingen. Kommunikation mit anderen Menschen ist in der Regel kein Problem, diese Mailserver können alle TLS. Probleme bereiten meist automatisierte Systeme, die einfach nur Emails versenden.


    Achja, und der Outlook "Protection" Server, der dir mitteilt, dass deine IP auf einer Blacklist steht, kann auch kein TLS. Hat mich auch einige Zeit gekostet, bis ich das heraus gefunden hatte.