App installieren
How to install the app on iOS
Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: This feature may not be available in some browsers.
Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder ein alternativer Browser verwenden.
Du solltest ein Upgrade durchführen oder ein alternativer Browser verwenden.
Eigener Mailserver - Wie vorgehen?
- Ersteller Dalai
- Erstellt am
Dalai
Grand Admiral Special
- Mitglied seit
- 14.06.2004
- Beiträge
- 7.420
- Renomée
- 262
- Standort
- Meiningen, Thüringen
- Mein Laptop
- Thinkpad T43 mit 15" UXGA (1600x1200), 2x 1 GiB RAM, 100GB HD, Bluetooth, GBit LAN, ATi X300
- Prozessor
- AMD Ryzen 5 2600 (Pinnacle Ridge)
- Mainboard
- ASUS Prime X370-A
- Kühlung
- Noctua NH-U12S mit 1x NF-F12
- Speicher
- Crucial Ballistix Sport LT weiß (BLS2K8G4D32AESCK): 2x 8 GiB DDR4-3200 (CL16) @ 1,25V
- Grafikprozessor
- Zotac GeForce GTX 1060 6GB AMP Edition
- Display
- Dell U2410, 24 Zoll, IPS, 16:10
- SSD
- Samsung 850 Evo 250 GB
- HDD
- WD40EZRZ (WD Blue) 4000GB SATA3, WD20EZRX (WD Green) 2000GB SATA3
- Optisches Laufwerk
- Pio DVR-212 (DVD-RAM), ASUS E818A6T (DVD-ROM), Pio DVD-106S (Slot-in DVD-ROM)
- Soundkarte
- Creative SoundBlaster Audigy 2 ZS PCI
- Gehäuse
- Lian Li PC-8NB Midi-Tower
- Netzteil
- Enermax EMP400AGT MaxPro 400W
- Betriebssystem
- Windows 7 Professional x64 und immer mal wieder ein neues Linux :-)
- Webbrowser
- Mozilla Firefox mit diversen Erweiterungen
- Verschiedenes
- 2x 120mm Gehäuselüfter (Front und Rückwand), DVBSky T9580, Sharkoon Frontpanel B (2x USB 3.0)
Langsam . Fertig ist das Ding noch lange nicht. Es werden noch Weiterleitungen gebraucht, ne grafische Oberfläche zur Konfiguration derselben (*) und sicher noch andere Sachen wie Statistikauswertung.[...] dann kann man dir wohl zur erfolgreichen Einrichtung gratulieren!
(*) Momentan ist Confixx im Einsatz, aber da das proprietär ist, weiß ich noch nicht, was man als Alternative benutzen kann. Aber das wird sich zeigen.
MfG Dalai
Herr Rossi
Lt. Commander
- Mitglied seit
- 31.07.2003
- Beiträge
- 110
- Renomée
- 2
Wenn du da was sinnvolles gefunden hast, dann teile uns das hier mal mit. Die bisherigen freien Lösungen, die ich kenne, sind leider eher bescheiden. Ein schönes Statistiktool würde mich daher auch sehr interessieren.
Dalai
Grand Admiral Special
- Mitglied seit
- 14.06.2004
- Beiträge
- 7.420
- Renomée
- 262
- Standort
- Meiningen, Thüringen
- Mein Laptop
- Thinkpad T43 mit 15" UXGA (1600x1200), 2x 1 GiB RAM, 100GB HD, Bluetooth, GBit LAN, ATi X300
- Prozessor
- AMD Ryzen 5 2600 (Pinnacle Ridge)
- Mainboard
- ASUS Prime X370-A
- Kühlung
- Noctua NH-U12S mit 1x NF-F12
- Speicher
- Crucial Ballistix Sport LT weiß (BLS2K8G4D32AESCK): 2x 8 GiB DDR4-3200 (CL16) @ 1,25V
- Grafikprozessor
- Zotac GeForce GTX 1060 6GB AMP Edition
- Display
- Dell U2410, 24 Zoll, IPS, 16:10
- SSD
- Samsung 850 Evo 250 GB
- HDD
- WD40EZRZ (WD Blue) 4000GB SATA3, WD20EZRX (WD Green) 2000GB SATA3
- Optisches Laufwerk
- Pio DVR-212 (DVD-RAM), ASUS E818A6T (DVD-ROM), Pio DVD-106S (Slot-in DVD-ROM)
- Soundkarte
- Creative SoundBlaster Audigy 2 ZS PCI
- Gehäuse
- Lian Li PC-8NB Midi-Tower
- Netzteil
- Enermax EMP400AGT MaxPro 400W
- Betriebssystem
- Windows 7 Professional x64 und immer mal wieder ein neues Linux :-)
- Webbrowser
- Mozilla Firefox mit diversen Erweiterungen
- Verschiedenes
- 2x 120mm Gehäuselüfter (Front und Rückwand), DVBSky T9580, Sharkoon Frontpanel B (2x USB 3.0)
Ich komme mal wieder nicht weiter. Problemstellung ist wie folgt. Es gibt einen Nutzer wartung im System, alle anderen Nutzer existieren nur im LDAP; für den Problembericht greife ich mir jetzt mal administrator raus. Das Verschicken der Mails an wartung@domain.biz und administrator@domain.biz klappt einwandfrei.
Nun zum eigentlichen Problem: die Mailadressen, die bisher existieren und genutzt werden, sind nach dem Schema vorname.nachname@domain.biz aufgebaut und nicht nur vorname@domain.biz. Im LDAP existieren aber nur Konten, die dem jeweiligen Vornamen des Nutzers entsprechen (macht die Anmeldung im Samba einfacher). Daher habe ich versucht, den vollen Namen im Gecos-Feld für den Nutzer wartung (/etc/passwd) und für administrator (LDAP) zu ändern - und zwar in den sinnlosen Namen k.wartung bzw. k.administrator - in der Hoffnung, Postfix würde darauf zurückgreifen - leider Fehlanzeige. Mails an diese Namen werden nicht zugestellt.
Aliase sind zwar eine Idee, aber gelten die auch für ausgehende Mails, so dass eben nicht vorname@domain.biz im Absender steht sondern vorname.nachname@domain.biz? Hat jemand einen Tip, wo ich ansetzen muss?
MfG Dalai
Nun zum eigentlichen Problem: die Mailadressen, die bisher existieren und genutzt werden, sind nach dem Schema vorname.nachname@domain.biz aufgebaut und nicht nur vorname@domain.biz. Im LDAP existieren aber nur Konten, die dem jeweiligen Vornamen des Nutzers entsprechen (macht die Anmeldung im Samba einfacher). Daher habe ich versucht, den vollen Namen im Gecos-Feld für den Nutzer wartung (/etc/passwd) und für administrator (LDAP) zu ändern - und zwar in den sinnlosen Namen k.wartung bzw. k.administrator - in der Hoffnung, Postfix würde darauf zurückgreifen - leider Fehlanzeige. Mails an diese Namen werden nicht zugestellt.
Aliase sind zwar eine Idee, aber gelten die auch für ausgehende Mails, so dass eben nicht vorname@domain.biz im Absender steht sondern vorname.nachname@domain.biz? Hat jemand einen Tip, wo ich ansetzen muss?
MfG Dalai
Zuletzt bearbeitet:
mj
Technische Administration, Dinosaurier, ,
- Mitglied seit
- 17.10.2000
- Beiträge
- 19.529
- Renomée
- 272
- Standort
- Austin, TX
- Mein Laptop
- 2,4kg schwer
- Prozessor
- eckig... glaub ich
- Mainboard
- quadratisch, praktisch, gut
- Kühlung
- kühler?
- Speicher
- ja
- Grafikprozessor
- auch
- Display
- viel bunt
- HDD
- ist drin
- Optisches Laufwerk
- ist auch drin (irgendwo)
- Soundkarte
- tut manchmal tuuut
- Gehäuse
- mit aufkleber!
- Netzteil
- so mit kabel und so... voll toll
- Betriebssystem
- das eine da das wo dingenskirchen halt, nech?
- Webbrowser
- so ein teil da... so grün und so
- Verschiedenes
- nunu!
Für eingehende Mails läuft das wie du geschrieben hast über die Alias-Tabellen. Für ausgehende Mails sind die smtp_generic_maps dein Freund, siehe http://www.postfix.org/ADDRESS_REWRITING_README.html#generic
X_FISH
Grand Admiral Special
- Mitglied seit
- 03.02.2006
- Beiträge
- 4.238
- Renomée
- 1.968
- Aktuelle Projekte
- distributed.net (seit 2000), BOINC (seit 2017)
- BOINC-Statistiken
Ich werfe mal ein paar Links in den Thread (auch wenn er schon ein wenig älter ist):
www.x-fish.org - Mailserver daheim: Postfix
www.x-fish.org - http://www.x-fish.org/blog/100831/Mailserver_daheim:_dovecot_und_fetchmail/
Mailserver daheim: Senderabhängige Authentifizierung
www.x-fish.org - Roundcube: IMAP Error: Empty startup greeting
Ich habe mir Ende 2010 einen Mailserver daheim in einer VM aufgesetzt. Diese wird von Linux oder Windows aus betrieben. Als Client entweder Webmail (Roundcube) oder Thunderbird dank IMAP. Funktioniert sehr gut und zuverlässig.
Kleinere Zusätze wie SpamAssassin und die Filterung per Procmail erleichtern die Verwaltung der Datenflut.
Abgeschickt werden die Mails über mehrere »richtige« Mailserver von Anbietern (GMX, Google, eigener Provider der Website, etc.) -> daher die senderabhängige Authentifizierung.
Grüße, Martin
www.x-fish.org - Mailserver daheim: Postfix
www.x-fish.org - http://www.x-fish.org/blog/100831/Mailserver_daheim:_dovecot_und_fetchmail/
Mailserver daheim: Senderabhängige Authentifizierung
www.x-fish.org - Roundcube: IMAP Error: Empty startup greeting
Ich habe mir Ende 2010 einen Mailserver daheim in einer VM aufgesetzt. Diese wird von Linux oder Windows aus betrieben. Als Client entweder Webmail (Roundcube) oder Thunderbird dank IMAP. Funktioniert sehr gut und zuverlässig.
Kleinere Zusätze wie SpamAssassin und die Filterung per Procmail erleichtern die Verwaltung der Datenflut.
Abgeschickt werden die Mails über mehrere »richtige« Mailserver von Anbietern (GMX, Google, eigener Provider der Website, etc.) -> daher die senderabhängige Authentifizierung.
Grüße, Martin
Dalai
Grand Admiral Special
- Mitglied seit
- 14.06.2004
- Beiträge
- 7.420
- Renomée
- 262
- Standort
- Meiningen, Thüringen
- Mein Laptop
- Thinkpad T43 mit 15" UXGA (1600x1200), 2x 1 GiB RAM, 100GB HD, Bluetooth, GBit LAN, ATi X300
- Prozessor
- AMD Ryzen 5 2600 (Pinnacle Ridge)
- Mainboard
- ASUS Prime X370-A
- Kühlung
- Noctua NH-U12S mit 1x NF-F12
- Speicher
- Crucial Ballistix Sport LT weiß (BLS2K8G4D32AESCK): 2x 8 GiB DDR4-3200 (CL16) @ 1,25V
- Grafikprozessor
- Zotac GeForce GTX 1060 6GB AMP Edition
- Display
- Dell U2410, 24 Zoll, IPS, 16:10
- SSD
- Samsung 850 Evo 250 GB
- HDD
- WD40EZRZ (WD Blue) 4000GB SATA3, WD20EZRX (WD Green) 2000GB SATA3
- Optisches Laufwerk
- Pio DVR-212 (DVD-RAM), ASUS E818A6T (DVD-ROM), Pio DVD-106S (Slot-in DVD-ROM)
- Soundkarte
- Creative SoundBlaster Audigy 2 ZS PCI
- Gehäuse
- Lian Li PC-8NB Midi-Tower
- Netzteil
- Enermax EMP400AGT MaxPro 400W
- Betriebssystem
- Windows 7 Professional x64 und immer mal wieder ein neues Linux :-)
- Webbrowser
- Mozilla Firefox mit diversen Erweiterungen
- Verschiedenes
- 2x 120mm Gehäuselüfter (Front und Rückwand), DVBSky T9580, Sharkoon Frontpanel B (2x USB 3.0)
Auch wenn der Thread im Moment eingeschlafen aussieht (oder sogar ist), so bin ich immernoch am Thema dran. Ich bin leider noch nicht dazu gekommen, eine Statusmeldung zu geben, weil noch ein paar Dinge geklärt werden müssen. Ich werde mich in jedem Fall wieder melden, bevor die Kiste produktiv geht.[...] (auch wenn er schon ein wenig älter ist) [...]
MfG Dalai
Zuletzt bearbeitet:
Dalai
Grand Admiral Special
- Mitglied seit
- 14.06.2004
- Beiträge
- 7.420
- Renomée
- 262
- Standort
- Meiningen, Thüringen
- Mein Laptop
- Thinkpad T43 mit 15" UXGA (1600x1200), 2x 1 GiB RAM, 100GB HD, Bluetooth, GBit LAN, ATi X300
- Prozessor
- AMD Ryzen 5 2600 (Pinnacle Ridge)
- Mainboard
- ASUS Prime X370-A
- Kühlung
- Noctua NH-U12S mit 1x NF-F12
- Speicher
- Crucial Ballistix Sport LT weiß (BLS2K8G4D32AESCK): 2x 8 GiB DDR4-3200 (CL16) @ 1,25V
- Grafikprozessor
- Zotac GeForce GTX 1060 6GB AMP Edition
- Display
- Dell U2410, 24 Zoll, IPS, 16:10
- SSD
- Samsung 850 Evo 250 GB
- HDD
- WD40EZRZ (WD Blue) 4000GB SATA3, WD20EZRX (WD Green) 2000GB SATA3
- Optisches Laufwerk
- Pio DVR-212 (DVD-RAM), ASUS E818A6T (DVD-ROM), Pio DVD-106S (Slot-in DVD-ROM)
- Soundkarte
- Creative SoundBlaster Audigy 2 ZS PCI
- Gehäuse
- Lian Li PC-8NB Midi-Tower
- Netzteil
- Enermax EMP400AGT MaxPro 400W
- Betriebssystem
- Windows 7 Professional x64 und immer mal wieder ein neues Linux :-)
- Webbrowser
- Mozilla Firefox mit diversen Erweiterungen
- Verschiedenes
- 2x 120mm Gehäuselüfter (Front und Rückwand), DVBSky T9580, Sharkoon Frontpanel B (2x USB 3.0)
Update
Der Mailserver ist inzwischen aufs Produktivsystem umgezogen, aber vorerst weiterhin mit einer Testdomain, so dass keine Beeinflussung stattfindet. Im Zuge der Umstellung haben sich ein paar Fragen ergeben, die ich hier stellen möchte, um das System besser zu verstehen:
MfG Dalai
Der Mailserver ist inzwischen aufs Produktivsystem umgezogen, aber vorerst weiterhin mit einer Testdomain, so dass keine Beeinflussung stattfindet. Im Zuge der Umstellung haben sich ein paar Fragen ergeben, die ich hier stellen möchte, um das System besser zu verstehen:
- Wie unterscheidet ein Mailserver - hier konkret Postfix - ob ein Client oder ein Server eine Mail bei ihm abliefern will?
Hintergrund der Frage ist folgende Sachlage: Der Server ist - soweit ich das anhand der Postfix-Config beurteilen kann - so eingestellt, dass er Authentifizierung verlangt. Soweit so gut. Wenn aber ein anderer Mailserver eine Mail bei uns abliefern will, muss der sich ja nicht authentifizieren - oder muss er das doch, und wenn ja, wie?
- Aus voriger Frage ergibt sich eine weitere ähnlich gelagerte: Kann man verhindern, dass der SMTP von außen zum Verschicken von Mails durch einen Client benutzt wird? Oder anders ausgedrückt: Kann man das Verschicken von Mails auf das interne Netz beschränken?
Hintergrund: Es existieren einige Benutzerkonten mit einfachen und kurzen Benutzernamen, die nur mit einem einfachen Passwort ausgestattet sind. Nun haben wir uns gefragt, welche Möglichkeiten der Missbrauchsvorbeugung (also dass jemand von außen diese Benutzername/Passwort-Kombination errät) es gibt. Klar, die naheliegendste ist natürlich, ein komplizierteres Passwort zu verwenden , aber ich möchte erstmal die Möglichkeiten sammeln.
- Wie und womit kann man den eigenen Server darauf testen, ob er ein offenes Relay ist? Ich hab einige auf dieser Webseite gelistete Testseiten ausprobiert und alle (funktionierenden) kommen zu dem Ergebnis, alle Versuche abgelehnt zu haben; /var/log/mail.log bestätigt das. Trotzdem bleibt natürlich eine Unsicherheit.
MfG Dalai
BoMbY
Grand Admiral Special
- Mitglied seit
- 22.11.2001
- Beiträge
- 7.468
- Renomée
- 293
- Standort
- Aachen
- Prozessor
- Ryzen 3700X
- Mainboard
- Gigabyte X570 Aorus Elite
- Kühlung
- Noctua NH-U12A
- Speicher
- 2x16 GB, G.Skill F4-3200C14D-32GVK @ 3600 16-16-16-32-48-1T
- Grafikprozessor
- RX 5700 XTX
- Display
- Samsung CHG70, 32", 2560x1440@144Hz, FreeSync2
- SSD
- AORUS NVMe Gen4 SSD 2TB, Samsung 960 EVO 1TB, Samsung 840 EVO 1TB, Samsung 850 EVO 512GB
- Optisches Laufwerk
- Sony BD-5300S-0B (eSATA)
- Gehäuse
- Phanteks Evolv ATX
- Netzteil
- Enermax Platimax D.F. 750W
- Betriebssystem
- Windows 10
- Webbrowser
- Firefox
Also Grundsätzlich unterscheidet ein Mailserver erstmal nicht wirklich zwischen einem Mailclient und einem anderen Server. Im Prinzip stellt man das durch die Konfiguration so sicher, dass der Versand an nicht lokale Empfänger nur möglich ist, wenn der Client authentifiziert ist.
Gegen schlechte Passwörter hilft alles nicht lange. Mit den main.cf Parametern 'smtpd_soft_error_limit', 'smtpd_hard_error_limit', 'smtpd_error_sleep_time', 'smtpd_client_connection_count_limit' und 'smtpd_client_connection_rate_limit' sollte man auf jeden Fall Bruteforce-Angriffe verlangsamen können.
Gegen schlechte Passwörter hilft alles nicht lange. Mit den main.cf Parametern 'smtpd_soft_error_limit', 'smtpd_hard_error_limit', 'smtpd_error_sleep_time', 'smtpd_client_connection_count_limit' und 'smtpd_client_connection_rate_limit' sollte man auf jeden Fall Bruteforce-Angriffe verlangsamen können.
tomturbo
Technische Administration, Dinosaurier
- Mitglied seit
- 30.11.2005
- Beiträge
- 9.455
- Renomée
- 665
- Standort
- Österreich
- Aktuelle Projekte
- Universe@HOME, Asteroids@HOME
- Lieblingsprojekt
- SETI@HOME
- Meine Systeme
- Xeon E3-1245V6; Raspberry Pi 4; Ryzen 1700X; EPIC 7351
- BOINC-Statistiken
- Mein Laptop
- Microsoft Surface Pro 4
- Prozessor
- R7 5800X
- Mainboard
- Asus ROG STRIX B550-A GAMING
- Kühlung
- Alpenfön Ben Nevis Rev B
- Speicher
- 2x32GB Mushkin, D464GB 3200-22 Essentials
- Grafikprozessor
- Sapphire Radeon RX 460 2GB
- Display
- BenQ PD3220U, 31.5" 4K
- SSD
- 1x HP SSD EX950 1TB, 1x SAMSUNG SSD 830 Series 256 GB, 1x Crucial_CT256MX100SSD1
- HDD
- Toshiba X300 5TB
- Optisches Laufwerk
- Samsung Brenner
- Soundkarte
- onboard
- Gehäuse
- Fractal Design Define R4
- Netzteil
- XFX 550W
- Tastatur
- Trust ASTA mechanical
- Maus
- irgend eine silent Maus
- Betriebssystem
- Arch Linux, Windows VM
- Webbrowser
- Firefox + Chromium + Konqueror
- Internetanbindung
-
▼300
▲50
Durch mydomain, myhostname, mydestination und mynetworks unterscheidet der Mailserver was von extern oder was von intern kommt und natürlich anhand der Absende- und Empfangsadresse in der mail.
Dadurch kommt entweder ein relaying oder nicht zustande.
Was der Mailserver eben ablehnt oder nicht.
Da ist keine Unsicherheit wenn alles richtig definiert ist.
Wenn sich alles im normalen Rahmen abspielt missbraucht auch niemand einen account.
Als Auswertetool hat sich mailgraph ganz gut bewährt, dort kann man eventuell Ausreisser sehen und dann entsprechend handeln.
Ich sehe viel weniger die Gefahr, dass ein Mailserver übernommen wird, als dass ein anderes Programm wie ein Webserver mit php oder ein Javaprozess zum Mailversand missbraucht wird. Mailserver selbst sind schon so lange am Markt, dass hier nur ganz selten wieder Sicherheitslücken auftauchen.
lg
__tom
Dadurch kommt entweder ein relaying oder nicht zustande.
Was der Mailserver eben ablehnt oder nicht.
Da ist keine Unsicherheit wenn alles richtig definiert ist.
Wenn sich alles im normalen Rahmen abspielt missbraucht auch niemand einen account.
Als Auswertetool hat sich mailgraph ganz gut bewährt, dort kann man eventuell Ausreisser sehen und dann entsprechend handeln.
Ich sehe viel weniger die Gefahr, dass ein Mailserver übernommen wird, als dass ein anderes Programm wie ein Webserver mit php oder ein Javaprozess zum Mailversand missbraucht wird. Mailserver selbst sind schon so lange am Markt, dass hier nur ganz selten wieder Sicherheitslücken auftauchen.
lg
__tom
Dalai
Grand Admiral Special
- Mitglied seit
- 14.06.2004
- Beiträge
- 7.420
- Renomée
- 262
- Standort
- Meiningen, Thüringen
- Mein Laptop
- Thinkpad T43 mit 15" UXGA (1600x1200), 2x 1 GiB RAM, 100GB HD, Bluetooth, GBit LAN, ATi X300
- Prozessor
- AMD Ryzen 5 2600 (Pinnacle Ridge)
- Mainboard
- ASUS Prime X370-A
- Kühlung
- Noctua NH-U12S mit 1x NF-F12
- Speicher
- Crucial Ballistix Sport LT weiß (BLS2K8G4D32AESCK): 2x 8 GiB DDR4-3200 (CL16) @ 1,25V
- Grafikprozessor
- Zotac GeForce GTX 1060 6GB AMP Edition
- Display
- Dell U2410, 24 Zoll, IPS, 16:10
- SSD
- Samsung 850 Evo 250 GB
- HDD
- WD40EZRZ (WD Blue) 4000GB SATA3, WD20EZRX (WD Green) 2000GB SATA3
- Optisches Laufwerk
- Pio DVR-212 (DVD-RAM), ASUS E818A6T (DVD-ROM), Pio DVD-106S (Slot-in DVD-ROM)
- Soundkarte
- Creative SoundBlaster Audigy 2 ZS PCI
- Gehäuse
- Lian Li PC-8NB Midi-Tower
- Netzteil
- Enermax EMP400AGT MaxPro 400W
- Betriebssystem
- Windows 7 Professional x64 und immer mal wieder ein neues Linux :-)
- Webbrowser
- Mozilla Firefox mit diversen Erweiterungen
- Verschiedenes
- 2x 120mm Gehäuselüfter (Front und Rückwand), DVBSky T9580, Sharkoon Frontpanel B (2x USB 3.0)
Also Grundsätzlich unterscheidet ein Mailserver erstmal nicht wirklich zwischen einem Mailclient und einem anderen Server. Im Prinzip stellt man das durch die Konfiguration so sicher, dass der Versand an nicht lokale Empfänger nur möglich ist, wenn der Client authentifiziert ist.
Ah, verstehe. Es ist also nur dann eine Authentifizierung nötig, wenn der Client/Server an eine Domain ungleich $mydomain/$mydestination versenden will. Und da ein externer Mailserver höchst selten selbst Mails vom eigenen Mailserver aus versenden sondern nur abliefern will, braucht es keine Auth. Danke für die gute und einleuchtenden Erklärung .Durch mydomain, myhostname, mydestination und mynetworks unterscheidet der Mailserver was von extern oder was von intern kommt und natürlich anhand der Absende- und Empfangsadresse in der mail.
Dadurch kommt entweder ein relaying oder nicht zustande.
Was der Mailserver eben ablehnt oder nicht.
Ich nehme schon an, dass die wesentlichen Parameter richtig definiert sind. Um es konkreter zu machen, hier nochmal eine überarbeitete main.cf:tomturbo schrieb:Da ist keine Unsicherheit wenn alles richtig definiert ist.
Code:
#
smtpd_banner = $myhostname ESMTP
biff = no
append_at_myorigin = yes
append_dot_mydomain = no
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
# Falls kanonische Namen verwendet werden sollen!
sender_canonical_maps = hash:/etc/postfix/canonical
myorigin = /etc/mailname
myhostname = mail.domain.biz
mydomain = domain.biz
mydestination = $myhostname, $mydomain, localhost.$mydomain, localhost
mynetworks = 127.0.0.0/8 192.168.1.0/24 192.168.115.0/24
#mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
# Größe der Mailboxen: 100 MiB
mailbox_size_limit = 104857600
message_size_limit = 10485760
# Größe der Mails: 10 MiB
strict_rfc821_envelopes = yes
recipient_delimiter = +
inet_interfaces = all
disable_vrfy_command = yes
# TLS-SSL! Optional falls SSL benutzt werden soll
smtp_tls_note_starttls_offer = yes
smtpd_use_tls = yes
smtpd_tls_security_level = may
smtpd_tls_key_file = /etc/ssl/private/mailcert.key
smtpd_tls_cert_file = /etc/ssl/certs/mailcert.pem
#smtpd_tls_CAfile = /etc/ssl/datei.ca-bundle
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1
#smtpd_tls_received_header = no
# SMTPD
smtpd_helo_required = yes
smtpd_recipient_limit = 100
#
smtpd_sasl_auth_enable = yes
smtpd_sasl_auth2_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = mail.domain.biz
broken_sasl_auth_clients = yes
smtpd_sasl_path = smtpd
# SMTP
#smtp_host_lookup = dns,native
# oben auskommentiert lassen, da T-Online Mails sonst gebounct werden!!!
#
smtp_sasl_auth_enable = no
smtp_always_send_ehlo = yes
smtp_helo_timeout = 150s
smtp_skip_4xx_greeting = no
smtp_skip_5xx_greeting = no
smtp_rcpt_timeout = 40s
## SPAM Abwehr! Optional
mime_header_checks=pcre:/etc/postfix/header_check
#header_checks = pcre:/etc/postfix/check_header
#body_checks = pcre:/etc/postfix/check_body
smtpd_client_restrictions = permit_inet_interfaces,
permit_mynetworks,
permit
smtpd_helo_restrictions = permit_mynetworks,
reject_invalid_hostname,
reject_unauth_pipelining,
permit
smtpd_sender_restrictions = permit_sasl_authenticated,
permit_mynetworks,
reject_invalid_hostname,
reject_unknown_sender_domain,
reject_unknown_address,
reject_rhsbl_sender dsn.rfc-ignorant.org,
permit
smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_mynetworks,
reject_invalid_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unauth_pipelining,
#
# reihenfolge nicht ändern - wegen spf
reject_unauth_destination,
check_policy_service unix:private/spfcheck,
# reihenfolge nicht ändern - wegen spf
#
reject_rhsbl_sender dsn.rfc-ignorant.org,
# check_client_access hash:/etc/postfix/polw_client_whitelist,
# check_recipient_access hash:/etc/postfix/polw_recipient_whitelist,
check_policy_service inet:127.0.0.1:12525
#
policy_time_limit = 3600
spfcheck_time_limit = 3600
#
######################################################################
#
# content_filter = scan:[127.0.0.1]:10025
home_mailbox = Mail/
mailbox_command = /usr/bin/procmail -t
# The number of errors a remote SMTP client is allowed to make without delivering mail
# before the Postfix SMTP server slows down all its responses.
smtpd_soft_error_limit = 5
# The maximal number of errors a remote SMTP client is allowed to make without delivering mail.
# The Postfix SMTP server disconnects when the limit is exceeded.
smtpd_hard_error_limit = 12
# With Postfix version 2.1 and later: the SMTP server response delay after a client has
# made more than $smtpd_soft_error_limit errors, and fewer than $smtpd_hard_error_limit
# errors, without delivering mail.
smtpd_error_sleep_time = 2s
# The maximal number of connection attempts any client is allowed to make to this
# service per time unit.
# The time unit is specified with the anvil_rate_time_unit configuration parameter.
smtpd_client_connection_rate_limit = 10
# How many simultaneous connections any client is allowed to make to this service.
# By default, the limit is set to half the default process limit value.
# smtpd_client_connection_count_limit = 50
# The maximal time a message is queued before it is sent back as undeliverable.
maximal_queue_lifetime = 3d
# The maximal time a bounce message is queued before it is considered undeliverable.
# By default, this is the same as the queue life time for regular mail.
bounce_queue_lifetime = 3d
Nunja, der "normale Rahmen" könnte ja auch ein Spinner sein, der auf existierende Accounts prüft. Die fraglichen Benutzernamen und Passwörter sind nur je 3 Zeichen lang und bestehen nur aus Buchstaben. Und genau daraus ergibt sich für mich eine gewisse Unsicherheit.tomturbo schrieb:Wenn sich alles im normalen Rahmen abspielt missbraucht auch niemand einen account.
Im Moment bleiben wir bei den (mitgelieferten) Munin-Plugins, auch wenn man dort nicht die Anzahl der gesendeten/empfangenen Mails getrennt (nur "delivered") sowie keine Anzahl der Bounces (nur "rejected" nach Fehlercodes getrennt) einsehen kann. Sollten wir mehr brauchen, kann man das noch einarbeiten.tomturbo schrieb:Als Auswertetool hat sich mailgraph ganz gut bewährt, dort kann man eventuell Ausreisser sehen und dann entsprechend handeln.
Einen Webserver gibt's natürlich in der Firma, aber nach außen sind (bei fertigem Mailserver) genau 2 Ports offen: SSH (nicht auf 22) und SMTP (25), sonst ist alles dicht. Insofern könnte höchstens intern irgendwas missbraucht werden, aber da auf dem Webserver noch keine für die tägliche Arbeit notwendigen Sachen laufen, müsste da schon jemand hergehen und ein eigenes Skript oder gar einen eigenen Webserver mitbringen; die Wahrscheinlichkeit halte ich für gering .tomturbo schrieb:Ich sehe viel weniger die Gefahr, dass ein Mailserver übernommen wird, als dass ein anderes Programm wie ein Webserver mit php oder ein Javaprozess zum Mailversand missbraucht wird.
Ja, deswegen denken wir schon darüber nach, ob wir die Passwörter ändern (länger und mit zusätzlichen Ziffern). Mal schauen.BoMbY schrieb:Gegen schlechte Passwörter hilft alles nicht lange.
Danke für die Info, ich hab's mit eingearbeitet .BoMbY schrieb:Mit den main.cf Parametern 'smtpd_soft_error_limit', 'smtpd_hard_error_limit', 'smtpd_error_sleep_time', 'smtpd_client_connection_count_limit' und 'smtpd_client_connection_rate_limit' sollte man auf jeden Fall Bruteforce-Angriffe verlangsamen können.
MfG Dalai
Dalai
Grand Admiral Special
- Mitglied seit
- 14.06.2004
- Beiträge
- 7.420
- Renomée
- 262
- Standort
- Meiningen, Thüringen
- Mein Laptop
- Thinkpad T43 mit 15" UXGA (1600x1200), 2x 1 GiB RAM, 100GB HD, Bluetooth, GBit LAN, ATi X300
- Prozessor
- AMD Ryzen 5 2600 (Pinnacle Ridge)
- Mainboard
- ASUS Prime X370-A
- Kühlung
- Noctua NH-U12S mit 1x NF-F12
- Speicher
- Crucial Ballistix Sport LT weiß (BLS2K8G4D32AESCK): 2x 8 GiB DDR4-3200 (CL16) @ 1,25V
- Grafikprozessor
- Zotac GeForce GTX 1060 6GB AMP Edition
- Display
- Dell U2410, 24 Zoll, IPS, 16:10
- SSD
- Samsung 850 Evo 250 GB
- HDD
- WD40EZRZ (WD Blue) 4000GB SATA3, WD20EZRX (WD Green) 2000GB SATA3
- Optisches Laufwerk
- Pio DVR-212 (DVD-RAM), ASUS E818A6T (DVD-ROM), Pio DVD-106S (Slot-in DVD-ROM)
- Soundkarte
- Creative SoundBlaster Audigy 2 ZS PCI
- Gehäuse
- Lian Li PC-8NB Midi-Tower
- Netzteil
- Enermax EMP400AGT MaxPro 400W
- Betriebssystem
- Windows 7 Professional x64 und immer mal wieder ein neues Linux :-)
- Webbrowser
- Mozilla Firefox mit diversen Erweiterungen
- Verschiedenes
- 2x 120mm Gehäuselüfter (Front und Rückwand), DVBSky T9580, Sharkoon Frontpanel B (2x USB 3.0)
Update
Seit vergangenem Freitag ist der Server live, inkl. offiziellem SSL-Zertifikat, MX & Reverse MX und nunmehr ohne rfc-ignorant.org . Ein Problem, das sich noch aufgetan hatte und zu massig Meldungen mit "authentication failure" führte (aber trotzdem alles funktionierte), habe ich zwischenzeitlich auch lösen können. Da ich schreibfaul bin, verweise ich mal zu Ubuntuusers, wo ich nachfragte, und schließlich doch (mal wieder ) selbst die Ursache und eine mögliche Lösung fand.
MfG Dalai
Seit vergangenem Freitag ist der Server live, inkl. offiziellem SSL-Zertifikat, MX & Reverse MX und nunmehr ohne rfc-ignorant.org . Ein Problem, das sich noch aufgetan hatte und zu massig Meldungen mit "authentication failure" führte (aber trotzdem alles funktionierte), habe ich zwischenzeitlich auch lösen können. Da ich schreibfaul bin, verweise ich mal zu Ubuntuusers, wo ich nachfragte, und schließlich doch (mal wieder ) selbst die Ursache und eine mögliche Lösung fand.
MfG Dalai
Dalai
Grand Admiral Special
- Mitglied seit
- 14.06.2004
- Beiträge
- 7.420
- Renomée
- 262
- Standort
- Meiningen, Thüringen
- Mein Laptop
- Thinkpad T43 mit 15" UXGA (1600x1200), 2x 1 GiB RAM, 100GB HD, Bluetooth, GBit LAN, ATi X300
- Prozessor
- AMD Ryzen 5 2600 (Pinnacle Ridge)
- Mainboard
- ASUS Prime X370-A
- Kühlung
- Noctua NH-U12S mit 1x NF-F12
- Speicher
- Crucial Ballistix Sport LT weiß (BLS2K8G4D32AESCK): 2x 8 GiB DDR4-3200 (CL16) @ 1,25V
- Grafikprozessor
- Zotac GeForce GTX 1060 6GB AMP Edition
- Display
- Dell U2410, 24 Zoll, IPS, 16:10
- SSD
- Samsung 850 Evo 250 GB
- HDD
- WD40EZRZ (WD Blue) 4000GB SATA3, WD20EZRX (WD Green) 2000GB SATA3
- Optisches Laufwerk
- Pio DVR-212 (DVD-RAM), ASUS E818A6T (DVD-ROM), Pio DVD-106S (Slot-in DVD-ROM)
- Soundkarte
- Creative SoundBlaster Audigy 2 ZS PCI
- Gehäuse
- Lian Li PC-8NB Midi-Tower
- Netzteil
- Enermax EMP400AGT MaxPro 400W
- Betriebssystem
- Windows 7 Professional x64 und immer mal wieder ein neues Linux :-)
- Webbrowser
- Mozilla Firefox mit diversen Erweiterungen
- Verschiedenes
- 2x 120mm Gehäuselüfter (Front und Rückwand), DVBSky T9580, Sharkoon Frontpanel B (2x USB 3.0)
Hier haben wir uns vorerst für Webmin entschieden, in dem wir einen separaten Nutzer angelegt haben, der ausschließlich auf die Postfix-Konfiguration Zugriff hat. Dieser Zugriff gilt zwar vollumfänglich für das ganze Postfix-Modul, und das hat gestern auch schon zum kurzzeitigen Lahmlegen des Postfix geführt, weil Cheffe auf den "Postfix beenden"-Button drückte , aber andererseits war das ein schönes Lehrstück dafür, wie man dieses Modul besser nicht bedienen sollte, wenn man noch Mails verschicken können will . Wenn jemand eine Idee hat, was besser für diesen Zweck geeignet ist, die aber nicht zuviel Aufwand bedeutet (und für normale Mitarbeiter zu bedienen ist), bitte Bescheid geben.Es werden noch Weiterleitungen gebraucht, ne grafische Oberfläche zur Konfiguration derselben (*) [...]
Hierfür habe ich noch zwei weitere Plugins für Munin geschrieben, die die Mailgröße (Summe ein-/ausgehend sowie größte einzelne Mail ein-/ausgehend) und die Größe der Mailboxen erfasst. In Verbindung mit den Plugins, die Munin (oder Postfix) schon beilagen, reicht das erstmal aus, um zu erfassen und zu überwachen, wenn etwas aus dem Ruder läuft.[...] und sicher noch andere Sachen wie Statistikauswertung.
MfG Dalai
tomturbo
Technische Administration, Dinosaurier
- Mitglied seit
- 30.11.2005
- Beiträge
- 9.455
- Renomée
- 665
- Standort
- Österreich
- Aktuelle Projekte
- Universe@HOME, Asteroids@HOME
- Lieblingsprojekt
- SETI@HOME
- Meine Systeme
- Xeon E3-1245V6; Raspberry Pi 4; Ryzen 1700X; EPIC 7351
- BOINC-Statistiken
- Mein Laptop
- Microsoft Surface Pro 4
- Prozessor
- R7 5800X
- Mainboard
- Asus ROG STRIX B550-A GAMING
- Kühlung
- Alpenfön Ben Nevis Rev B
- Speicher
- 2x32GB Mushkin, D464GB 3200-22 Essentials
- Grafikprozessor
- Sapphire Radeon RX 460 2GB
- Display
- BenQ PD3220U, 31.5" 4K
- SSD
- 1x HP SSD EX950 1TB, 1x SAMSUNG SSD 830 Series 256 GB, 1x Crucial_CT256MX100SSD1
- HDD
- Toshiba X300 5TB
- Optisches Laufwerk
- Samsung Brenner
- Soundkarte
- onboard
- Gehäuse
- Fractal Design Define R4
- Netzteil
- XFX 550W
- Tastatur
- Trust ASTA mechanical
- Maus
- irgend eine silent Maus
- Betriebssystem
- Arch Linux, Windows VM
- Webbrowser
- Firefox + Chromium + Konqueror
- Internetanbindung
-
▼300
▲50
Ich verwende für all meine postfix-Installationen postfixadmin.
Das ist allerdings eine Multidomain Datenbanklösung.
Ansonsten kann ich nur sagen. Der Editor ist immer noch das beste, wenn es sich um eine überschaubare Anzahl an Benutzern handelt.
Es sollte immer nur der Postfixadmin darin rumfummeln und nicht irgend welche Leute mit Halbwissen in der Hierachie .....
Ist aber denen schwer beizubringen, ich weiß.
lg
__tom
Das ist allerdings eine Multidomain Datenbanklösung.
Ansonsten kann ich nur sagen. Der Editor ist immer noch das beste, wenn es sich um eine überschaubare Anzahl an Benutzern handelt.
Es sollte immer nur der Postfixadmin darin rumfummeln und nicht irgend welche Leute mit Halbwissen in der Hierachie .....
Ist aber denen schwer beizubringen, ich weiß.
lg
__tom
Dalai
Grand Admiral Special
- Mitglied seit
- 14.06.2004
- Beiträge
- 7.420
- Renomée
- 262
- Standort
- Meiningen, Thüringen
- Mein Laptop
- Thinkpad T43 mit 15" UXGA (1600x1200), 2x 1 GiB RAM, 100GB HD, Bluetooth, GBit LAN, ATi X300
- Prozessor
- AMD Ryzen 5 2600 (Pinnacle Ridge)
- Mainboard
- ASUS Prime X370-A
- Kühlung
- Noctua NH-U12S mit 1x NF-F12
- Speicher
- Crucial Ballistix Sport LT weiß (BLS2K8G4D32AESCK): 2x 8 GiB DDR4-3200 (CL16) @ 1,25V
- Grafikprozessor
- Zotac GeForce GTX 1060 6GB AMP Edition
- Display
- Dell U2410, 24 Zoll, IPS, 16:10
- SSD
- Samsung 850 Evo 250 GB
- HDD
- WD40EZRZ (WD Blue) 4000GB SATA3, WD20EZRX (WD Green) 2000GB SATA3
- Optisches Laufwerk
- Pio DVR-212 (DVD-RAM), ASUS E818A6T (DVD-ROM), Pio DVD-106S (Slot-in DVD-ROM)
- Soundkarte
- Creative SoundBlaster Audigy 2 ZS PCI
- Gehäuse
- Lian Li PC-8NB Midi-Tower
- Netzteil
- Enermax EMP400AGT MaxPro 400W
- Betriebssystem
- Windows 7 Professional x64 und immer mal wieder ein neues Linux :-)
- Webbrowser
- Mozilla Firefox mit diversen Erweiterungen
- Verschiedenes
- 2x 120mm Gehäuselüfter (Front und Rückwand), DVBSky T9580, Sharkoon Frontpanel B (2x USB 3.0)
Den hab ich mir ebenfalls angeschaut, aber für diesen Zweck als unpassend einsortiert. Webmin war eh schon drauf wegen der anderen Dienste, von daher bot sich das an. Und: ja, Webmin wird sparsam eingesetzt, es wird hauptsächlich zum Angucken benutzt, nur selten fürs Verändern von Einstellungen.Ich verwende für all meine postfix-Installationen postfixadmin.
Meinst du einen bestimmten Editor? Oder meintest du "irgendein Editor"? Ich selbst verwende natürlich einen Editor (mcedit) zum Einstellen so ziemlich aller Dienste, sofern möglich. Mal in ein Webinterface reinzuschauen, hat aber schon was .Ansonsten kann ich nur sagen. Der Editor ist immer noch das beste, wenn es sich um eine überschaubare Anzahl an Benutzern handelt.
Es geht schlicht nur darum, dass ein Mitarbeiter (und der Chef) Aliase - und damit den/die Empfänger einer Mail - verändern können, falls irgendein Mitarbeiter krank wird, Urlaub hat oder anderweitig vertreten wird. Und das soll auch dann möglich sein, wenn der Admin gerade mal nicht erreichbar ist. Keine Sorge, das Passwort für diesen Webmin-Nutzer haben nur die nötigen Personen und Webmin ist so eingestellt, dass alle Dateiänderungen protokolliert werden, sodass man im Zweifel nachvollziehen kann, was verändert wurde. Zusätzlich wird natürlich (unabhängig davon) täglich das /etc gesichert.Es sollte immer nur der Postfixadmin darin rumfummeln und nicht irgend welche Leute mit Halbwissen in der Hierachie .....
MfG Dalai
ghostadmin
Grand Admiral Special
Sind für Postfixadmin nicht auch Virtual User und eine Datenbank erforderlich? Habe ich jedenfalls so am laufen.
Würde auch nicht empfehlen das da jemand ohne Ahnung in der Konfig rumpfuscht. Aber Postfixadmin ist da eigentlich noch am einfachsten.
Würde auch nicht empfehlen das da jemand ohne Ahnung in der Konfig rumpfuscht. Aber Postfixadmin ist da eigentlich noch am einfachsten.
tomturbo
Technische Administration, Dinosaurier
- Mitglied seit
- 30.11.2005
- Beiträge
- 9.455
- Renomée
- 665
- Standort
- Österreich
- Aktuelle Projekte
- Universe@HOME, Asteroids@HOME
- Lieblingsprojekt
- SETI@HOME
- Meine Systeme
- Xeon E3-1245V6; Raspberry Pi 4; Ryzen 1700X; EPIC 7351
- BOINC-Statistiken
- Mein Laptop
- Microsoft Surface Pro 4
- Prozessor
- R7 5800X
- Mainboard
- Asus ROG STRIX B550-A GAMING
- Kühlung
- Alpenfön Ben Nevis Rev B
- Speicher
- 2x32GB Mushkin, D464GB 3200-22 Essentials
- Grafikprozessor
- Sapphire Radeon RX 460 2GB
- Display
- BenQ PD3220U, 31.5" 4K
- SSD
- 1x HP SSD EX950 1TB, 1x SAMSUNG SSD 830 Series 256 GB, 1x Crucial_CT256MX100SSD1
- HDD
- Toshiba X300 5TB
- Optisches Laufwerk
- Samsung Brenner
- Soundkarte
- onboard
- Gehäuse
- Fractal Design Define R4
- Netzteil
- XFX 550W
- Tastatur
- Trust ASTA mechanical
- Maus
- irgend eine silent Maus
- Betriebssystem
- Arch Linux, Windows VM
- Webbrowser
- Firefox + Chromium + Konqueror
- Internetanbindung
-
▼300
▲50
Ja, ich meinte nur irgend einen normalen Texteditor.Meinst du einen bestimmten Editor? Oder meintest du "irgendein Editor"? Ich selbst verwende natürlich einen Editor (mcedit) zum Einstellen so ziemlich aller Dienste, sofern möglich. Mal in ein Webinterface reinzuschauen, hat aber schon was .
Das Problem aller Webinterfaces ist immer, dass man nicht sicher sein kann was sie wirklich tun und was sie noch für Dateien im hintergrund verwursteln.
lg
__tom
Ähnliche Themen
- Antworten
- 5
- Aufrufe
- 5K
- Antworten
- 0
- Aufrufe
- 1K