[Eisfair] [e64] mail extern

[Detlef Paschke]

Am 09.01.2022 um 13:22 schrieb Marcus Röckrath:
> Hallo Detlef,

Hallo Marcus,

> Detlef Paschke wrote:
> 
>> Abschließend eine Frage um auf der sicheren Seite zu sein.
>> Im Router gibt es ausschließlich Portforwarding für die Ports 80, 443
>> und 25. Ist Mailabruf von außen nötig, erfolgt der nur per Roundcube.
>> Mein Mailserver soll nichts anderes machen, als externe Mails von
>> t-online abrufen und auf lokale Konten verteilen. Jetzt kommt neu hinzu,
>> dass *@schabau.eu direkt hier, ohne jeden Umweg, gehostet werden sollen.
>> FETCHMAIL und MAIL_USER, dass bleibt alles unverändert.
> 
> Fetchmail aber nur für die t-online-Adressen.

ja genau, Nachrichten an *@schabau.eu landen ja direkt hier und müssen
nicht von FETCHMAIL abgerufen werden.

>> Am SMTP habe ich 
>> auch nichts verändert, einzig SMTP_LOCAL_DOMAIN_4='schabau.eu' habe ich
>> hinzugefügt. Bei SMTP_RELAY habe ich nichts verändert, es darf nichts
>> raus.
> 
> Mails für schabau.eu werden dir aber nun von beliebigen - möglicherweise
> auch privaten Mailservern - direkt eingeliefert.

Ich denke, damit werde ich leben können. Wie intensiv *@schabau.eu
genutzt wird, zeigt sich in der Zukunft.

> Warum nur den Port 25 für eingehende Mails öffnen? Was ist mit Gegenstellen,
> die auf den anderen SMTP-Ports (587/465) Mails einliefern wollen?

Ich will so wenig wie möglich öffnen und soweit ich finden konnte, soll
Port 25 wohl immer das Backup sein, das immer funktioniert.

> Aus Sicherheitsgründen sollte der Connect verschlüsselt sein:
> 
> SMTP_SERVER_TRANSPORT='tls'

Steht derzeit noch auf 'both'.

> Wie sieht das übrigens mit deinem SMTP-(exim)-Zertifikat aus? Selbst
> erstelltes Zertifikat?
> 
> Das sollte dann aber ein echtes weltweit gültiges sein, wenn du
> verschlüsselt Mails empfangen willst, sonst können die Gegenstellen dein
> Zertifikat nicht verifizieren, also z. B. letsencrypt.

Und da geht das Durcheinander mit den Zertifikaten los, bei dem ich wohl
nie durchsteigen werde. Ich habe inzwischen ein letsencrypt Zertifikat
für schabau.eu und die Subdomains. Das benutze ich für meine Webseiten.
Das ist kein Problem, da jeder VHOST ein Zertifikat zugewiesen werden
kann. Seiten die nur lokal verwendet werden, haben ein selbst signiertes
Zertifikat für home.lan.
Bei Mail hänge ich aber fest. Mail benutze ich als *@home.lan wie auch
als *.schabau.eu. Hatte ich das schabau.eu letsencrypt Zertifikat unter
SMTP_TLS_CERT_NAME eingetragen, kam keine lokale Veränderungsmail von
der Fritte mehr an. Weiter habe ich gar nicht probiert. Ich nehme an,
über home.lan oder fritz.box wäre nix gegangen, weil das letsencrypt
Zertifikat home.lan und fritz.box natürlich nicht kennt.

Ich wüsste wohl zwei bzw. VHOST smtp fahren. Einen internen und einen
externen um das so konfigurieren zu können. Das geht bei Mail ja nicht.

>> SMTP_AUTH_TYPE='user'
> 
> Betrifft ja nur lokale User, wie sollte auch ein x-beliebiger Einlieferer an
> Zugangsdaten kommen.
> 
> Von außen muss jeder jederzeit rankommen können, sonst nutzt dir die lokal
> gehostete Mail nichts.

Okay, dann habe ich es in der Doku falsch verstanden.
Meine Annahme war, dass bei SMTP_AUTH_TYPE='user' (auch von außen)
zunächst einmal nur Nachrichten angenommen werden, deren Domain auf dem
Server konfiguriert sind, bei SMTP_AUTH_TYPE='user_light' aber auch
Nachrichten an eine auf dem Server nicht bekannte Domain.

>> So sollte die Konfiguration doch halbwegs sicher sein oder sieht jemand
>> Verbesserungsbedarf?
> 
> IMHO ok, denn ein lokaler Mailserver erfordert ein an diesem Punkt offenes
> System.

Dann lasse ich es mal so arbeiten.

Viele Grüße
Detlef Paschke

-- 
Das "Zitat des Augenblicks" gibt es nur auf
http://schabau.eu
Meine "Merkzettel"
http://helpdesk.schabau.eu