Postfix konfigurieren, aber wie?

Sonstiges Spielwiese
1

Es hat mich jetzt schon einige Stunden an Zeit und Nerven gekostet…

Zuerst hab ich einen MX Record angelegt:

@                  IN A xxx.xxx.xxx.xxx
mail               IN A xxx.xxx.xxx.xxx
www                IN A xxx.xxx.xxx.xxx
@                  IN MX 10 mail.meine.domain.

der funktioniert.

Dann Postfix „konfiguriert“, /etc/postfix/main.cf:

myhostname = mail.meine.domain
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = meine.domain
relayhost =

Dann hab ich Aliases angelegt, /etc/aliases:

postmaster:		root
root:			benutzername

Die Aliases hab ich mit sudo newaliases zum Leben erweckt.

Jetzt funktioniert das Senden von und das Senden an benutzername@meine.domain.

Sende ich jetzt aber eine Mail an root@meine.domain, dann dampft die Kacke:

This is the mail system at host mail.meine.domain.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<benutzername@mail.meine.domain> (expanded from <root@meine.domain>): mail for
    mail.meine.domain loops back to myself

Hat jemand eine Idee?

2

Habs herausgefunden: https://www.howtoforge.com/postfix-mail-for-example.com-loops-back-to-myself

In der main.cf muss lediglich folgender Eintrag abgeändert werden:

mydestination = meine.domain mail.meine.domain

3

Ich denke, man kann den MX Resource Record auch so schreiben:

@                  IN A xxx.xxx.xxx.xxx
mail               IN A xxx.xxx.xxx.xxx
www                IN A xxx.xxx.xxx.xxx
@                  IN MX 10 mail

(Kein . am Ende!!!)

In /etc/aliases kann man die Einträge auch so organisieren:

postmaster:		benutzer
root:			benutzer
i-was:          benutzer

Dann sollte man auch die rDNS nicht vergessen…

Ich hab mich mal gerade getestet:

Checking xxx.xxx.xxx.xxx against 83 known blacklists...
Listed 0 times with 0 timeouts

und:
image

Jetzt sollte ich mir nur noch überlegen, ob und wie ich etwas gegen Spam machen möchte… Hat damit jemand Erfahrungen? Schönen Tag.

4

was heißt „gegen spam machen“ ?
gibt viele völlig verschiedene Lösungen dafür

5

Bis jetzt habe ich keinen Spam! Weil noch keiner meinen Hostname kennt… Aber es besteht die theoretische Möglichkeit, dass sich das ändern könnte und ich dann „zugemüllt“ werden könnte…

Am liebsten wär mir, den Absender gegen eine blacklist zu checken und die betreffende Mail dann zu droppen, wäre das möglich? Oder ist das überhaupt sinnvoll? Wie macht Gmail das? :smiley:

6

Blacklists sind ne Möglichkeit aber eigentlich eine schlecht, die meisten Systeme bauen auf spamassassin auf was mehr auf den Inhalt der Mails geht
das aufzusetzen war zumindest vor paar Jahren noch ein recht großer Kampf, keine Ahnung wie es aktuell ist.
Ich setz lieber auf fertige Systeme dafür

7

Dann schau auch mal in meinem anderen Thema vorbei: Welchen E Mail Anbieter wählen

8

das hat damit aber nichts zu tun, ich setze nicht auf Mailanbieter sondern nur auf Anbieter fertiger Software

und die Erkenntnisse von dir da drüben sind „merkwürdig“

9

Ja, die waren etwas „zusammengeschustert“… Gut möglich, dass ich einige male danebenlag… Aber es ist ja keine Diskussion entstanden, leider.

Proxmox gefällt mir :+1: Ich lese mich gerade ein.

10

ganz einfach, wenn nur halbgares Zeug da steht hat keiner Bock sich damit zu beschäftigen

11

Ich hab hier weitergemacht. Der Record sieht nun so aus:

@                  3600 IN A xxx.xxx.xxx.xxx
mail               3600 IN A xxx.xxx.xxx.xxx
www                3600 IN A xxx.xxx.xxx.xxx
autoconfig         3600 IN CNAME mail
@                  3600 IN TXT "v=spf1 +a +mx ?all"
_dmarc             3600 IN TXT "v=DMARC1; p=reject; rua=mailto:postmaster@xxxxxx;"
@                  3600 IN MX 10 mail
_autodiscover._tcp 3600 IN SRV 0 100 443 mail
_imaps._tcp        3600 IN SRV 0 100 993 mail
_pop3s._tcp        3600 IN SRV 0 100 995 mail
_submission._tcp   3600 IN SRV 0 100 587 mail

3600 ist ein ganz guter TTL-Mittelwert. Die SRV-Einträge sind, damit sich zum Beispiel Thunderbird automatisch konfigurieren kann. Der DMARC-Eintrag ist nun auch vorhanden.

Dennoch meckert er noch ein bisschen rum:

image
image937×522 17.7 KB

Hab ich auf „SOA“ Einfluss? Was ist denn das? :sweat_smile:

12

Gruselig, jetzt habe ich Postfix und Dovecot verkonfiguriert… Ich wollte wollte den Mailversandt via IMAPs/TLS auf Port 587 (für Thunderbird) anstellen. Dafür hab ich folgende Konfigurationsdateien bearbeitet:

  • /etc/postfix/main.cf
  • /etc/postfix/master.cf
  • /etc/dovecot/conf.d/10-ssl.conf

Jetzt geht gar nichts mehr, Mails gehen nicht mehr ein. Was mache ich nun?

13

alles löschen

14

Also, hier steht eigentlich sehr eindrucksvoll, dass das alles andere als trivial ist, zum Teil obsolet ist und nicht mit selbstsignierten Zertifikaten funktioniert: Enabling TLS/SSL on Postfix - Server Fault

Conclusion: Ich benötige das nicht unbedingt und lasse das.

15

klar funktioniert es mit selfsigned zertifikaten

17

Jetzt läuft alles. :smile:

Hab jetzt auch ein gültiges fremdsigniertes Zertifikat + 'ne DKIM-Signatur… Zudem sind die SRV-Records nicht so wichtig, sie stellen nur eine theoretische Möglichkeit für die autom. Konfiguration der Mail-Clients dar.

140 von 146 Tests wurden passiert, die fehlenden 6 Tests sind nur Warnungen bzgl. des SOA-Ablaufs und ich bin schon auf 3 Blacklists… (Warum auch immer… Hab nämlich nur 'ne E-Mail an mich selber gesendet…)

Zudem höchste Sicherheitsstufe… eingehende E-Mails verschlüsselt, ausgehende verschlüsselt und sicherheitsrelevante E-Mail-Header werden entfernt (Mailer, User-Agent usw…)

Falls das jemand nachmachen möchte: Das ist keine 5-Minuten-Sache! (Ich hatte 1 Stunde eingeplant und es wurden 3 Stunden) Von daher wäre, wie es eagleeye vorgeschlagen hatte, etwas Fertiges sicherlich nicht verkehrt.

18

Und ich weiß auch, wieso (das „schon“ war falsch)… SpamEatingMonkey hat mich gelistet, weil die Domain ja neu ist…

image
image958×438 17 KB

t-online lässt mich zum Beispiel nicht durch :face_with_symbols_over_mouth: :sweat_smile:

In 15 Tagen sollte ich (wegen „guter Führung“) entlistet werden. :sweat_smile:

19

Das Ganze ist sicherer als Fort Knox. :sweat_smile:

Aber eine Sache verstehe ich nicht, die Android Gmail App ändert einfach eigenständig das verwendete Protokoll von Starttls nach TLS/SSL (anderer Port des Posteigangservers), wodurch dann die Synchronisierung natürlich nicht mehr funktioniert, und ich weiß nicht wieso die App das macht…

Hier steht das Symptom, nicht die Ursache: https://support.google.com/mail/answer/6383854?hl=de

Außerdem sendet die Gmail App „Schmutz“ mit:

image

Was bedeutet das? Gmail will nur HTML versenden, nicht Text, und codiert dann den Text-Part base64. Außerdem lässt sie den Mime-OLE weg. Ich versteh ja, das Google etwas Eigenes kochen möchte, aber kann man sich nicht an den Standard halten?

Außerdem gab es schon einen kleinen Brute-Force-Angriff auf meinen Server (aus Italien), wobei aber nichts weiter passiert ist. Der betraf aber nicht das Mail-System selber, sondern einen anderen (proprietären) Service. Der Angriff kam zwar so nicht durch, ist so aber auch jetzt nicht mehr möglich.

20

äh ist doch völlig wurscht ob sie HTML oder nicht HTML verschicken will und wie das Codiert ist, das hat den Mailserver nichts zu interessieren.
Bei meinem kann ich auch einfach beides benutzen je nach Client

21

Das stimmt, nur können das Spam-Merkmale sein.

Beispiel: Will man HTML senden, so sollte es dennoch immer einen Plain-Part geben. Gmail sendet einfach nur HTML, intern als base64 codiert. Das ist eigentlich nicht üblich.

Ja, aber ich hatte mich gewundert, wieso sich Gmail einfach umstellt. Kann aber auch an mir gelegen haben… alles gut.