Die Aliases hab ich mit sudo newaliases zum Leben erweckt.
Jetzt funktioniert das Senden von und das Senden an benutzername@meine.domain.
Sende ich jetzt aber eine Mail an root@meine.domain, dann dampft die Kacke:
This is the mail system at host mail.meine.domain.
I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.
For further assistance, please send mail to postmaster.
If you do so, please include this problem report. You can
delete your own text from the attached returned message.
The mail system
<benutzername@mail.meine.domain> (expanded from <root@meine.domain>): mail for
mail.meine.domain loops back to myself
Bis jetzt habe ich keinen Spam! Weil noch keiner meinen Hostname kennt… Aber es besteht die theoretische Möglichkeit, dass sich das ändern könnte und ich dann „zugemüllt“ werden könnte…
Am liebsten wär mir, den Absender gegen eine blacklist zu checken und die betreffende Mail dann zu droppen, wäre das möglich? Oder ist das überhaupt sinnvoll? Wie macht Gmail das?
Blacklists sind ne Möglichkeit aber eigentlich eine schlecht, die meisten Systeme bauen auf spamassassin auf was mehr auf den Inhalt der Mails geht
das aufzusetzen war zumindest vor paar Jahren noch ein recht großer Kampf, keine Ahnung wie es aktuell ist.
Ich setz lieber auf fertige Systeme dafür
Ich hab hier weitergemacht. Der Record sieht nun so aus:
@ 3600 IN A xxx.xxx.xxx.xxx
mail 3600 IN A xxx.xxx.xxx.xxx
www 3600 IN A xxx.xxx.xxx.xxx
autoconfig 3600 IN CNAME mail
@ 3600 IN TXT "v=spf1 +a +mx ?all"
_dmarc 3600 IN TXT "v=DMARC1; p=reject; rua=mailto:postmaster@xxxxxx;"
@ 3600 IN MX 10 mail
_autodiscover._tcp 3600 IN SRV 0 100 443 mail
_imaps._tcp 3600 IN SRV 0 100 993 mail
_pop3s._tcp 3600 IN SRV 0 100 995 mail
_submission._tcp 3600 IN SRV 0 100 587 mail
3600 ist ein ganz guter TTL-Mittelwert. Die SRV-Einträge sind, damit sich zum Beispiel Thunderbird automatisch konfigurieren kann. Der DMARC-Eintrag ist nun auch vorhanden.
Gruselig, jetzt habe ich Postfix und Dovecot verkonfiguriert… Ich wollte wollte den Mailversandt via IMAPs/TLS auf Port 587 (für Thunderbird) anstellen. Dafür hab ich folgende Konfigurationsdateien bearbeitet:
/etc/postfix/main.cf
/etc/postfix/master.cf
/etc/dovecot/conf.d/10-ssl.conf
Jetzt geht gar nichts mehr, Mails gehen nicht mehr ein. Was mache ich nun?
Also, hier steht eigentlich sehr eindrucksvoll, dass das alles andere als trivial ist, zum Teil obsolet ist und nicht mit selbstsignierten Zertifikaten funktioniert: Enabling TLS/SSL on Postfix - Server Fault
Conclusion: Ich benötige das nicht unbedingt und lasse das.
Hab jetzt auch ein gültiges fremdsigniertes Zertifikat + 'ne DKIM-Signatur… Zudem sind die SRV-Records nicht so wichtig, sie stellen nur eine theoretische Möglichkeit für die autom. Konfiguration der Mail-Clients dar.
140 von 146 Tests wurden passiert, die fehlenden 6 Tests sind nur Warnungen bzgl. des SOA-Ablaufs und ich bin schon auf 3 Blacklists… (Warum auch immer… Hab nämlich nur 'ne E-Mail an mich selber gesendet…)
Zudem höchste Sicherheitsstufe… eingehende E-Mails verschlüsselt, ausgehende verschlüsselt und sicherheitsrelevante E-Mail-Header werden entfernt (Mailer, User-Agent usw…)
Falls das jemand nachmachen möchte: Das ist keine 5-Minuten-Sache! (Ich hatte 1 Stunde eingeplant und es wurden 3 Stunden) Von daher wäre, wie es eagleeye vorgeschlagen hatte, etwas Fertiges sicherlich nicht verkehrt.
Aber eine Sache verstehe ich nicht, die Android Gmail App ändert einfach eigenständig das verwendete Protokoll von Starttls nach TLS/SSL (anderer Port des Posteigangservers), wodurch dann die Synchronisierung natürlich nicht mehr funktioniert, und ich weiß nicht wieso die App das macht…
Hier steht das Symptom, nicht die Ursache: https://support.google.com/mail/answer/6383854?hl=de
Außerdem sendet die Gmail App „Schmutz“ mit:
Was bedeutet das? Gmail will nur HTML versenden, nicht Text, und codiert dann den Text-Part base64. Außerdem lässt sie den Mime-OLE weg. Ich versteh ja, das Google etwas Eigenes kochen möchte, aber kann man sich nicht an den Standard halten?
Außerdem gab es schon einen kleinen Brute-Force-Angriff auf meinen Server (aus Italien), wobei aber nichts weiter passiert ist. Der betraf aber nicht das Mail-System selber, sondern einen anderen (proprietären) Service. Der Angriff kam zwar so nicht durch, ist so aber auch jetzt nicht mehr möglich.
äh ist doch völlig wurscht ob sie HTML oder nicht HTML verschicken will und wie das Codiert ist, das hat den Mailserver nichts zu interessieren.
Bei meinem kann ich auch einfach beides benutzen je nach Client
Beispiel: Will man HTML senden, so sollte es dennoch immer einen Plain-Part geben. Gmail sendet einfach nur HTML, intern als base64 codiert. Das ist eigentlich nicht üblich.
Ja, aber ich hatte mich gewundert, wieso sich Gmail einfach umstellt. Kann aber auch an mir gelegen haben… alles gut.