PCE-Forum

Hi Leute,

ich habe vor, mir in nächster Zeit einen vServer zuzulegen und darauf einen Mailserver (und andere Dienste) für mich einzurichten. Im Grunde genommen alles ganz einfach, das System habe ich lokal schonmal testweise aufgesetzt und läuft einwandfrei.

Ich benutze postfix zum empfangen/versenden von E-Mails, dovecot als IMAP/IMAPS-Server, fetchmail um meine GMX etc. Mails abzurufen und in mein IMAP-Konto zu schieben und dann noch squirrelmail über https, um meine Mails auch über ein Webinterface ansprechen zu können. Soweit so gut...

Bei postfix stelle ich die relaying-Funktion aus, damit dieser nicht von Spammern benutzt werden kann. Jedoch sagt mein Kollege (jahrelanger Sysadmin), dass er postfix nicht zum Empfangen von E-Mails einrichten würde, da Hacker/Spammer dann auf die Idee kommen können, jegliche SMTP-Hacks auszuprobieren, um das System zu kompromittieren und dann den Server evtl. als Spamschleuder benutzen zu können.

Bei seinem eigenen Server benutzt er stattdessen den zwischengeschalteten Mail-Server seines Providers, um seine E-Mails dann aus einem IMAPS-Postfach abzurufen. Ich würde aber doch ganz gerne _alles_ über meinen Server laufen lassen.

Ich weiß, das Thema ist sehr speziell, aber vielleicht kennt sich ja jemand mit diesem thema sehr gut aus. Wie sicher stuft ihr meine Konfiguration ein? Postfix wird btw bei zu versendenden E-Mails mit Auth betrieben... In iptables bzw. firewalls unter Linux werde ich mich dann noch einarbeiten, um vllt. DoS-Attacken etc. abwehren zu können.

Danke schonmal
#chillmensch

IPtables und Firewalls sind aber auch keine gute Lösung, ich würde da sehr aufpassen, denn auch IPtables und Firewalls können angegriffen werden - Und ausserdem: Wenn dein E-Mail-Server läuft muss er ja erreichbar/online sein, damit er Mails empfangen und schicken kann - Was also willst du blocken?

Ich hab meine Domain auch nur (noch) für E-Mails, weil mir das mit nem eigenen Server (wegen Spam-Risiko) zu heikel ist.

Falls du es trotz aller Risiken machen willst: Ich wünsche dir viel Erfolg, kann dir jedoch leider keine Tips beim Einrichten geben, würde mich jedoch sehr über deine Rückmeldung/Erfahrung mit dem eigenen Server freuen (Einrichten und Betrieb)

Man kann ja mit iptables nicht nur Ports öffnen und blocken. Man kann auch bestimmte Paketmuster abfangen (z.B. Bruteforce-Attacken oder ähnliches). Deinen Satz verstehe ich nicht ganz: Du hast deinen Server nurnoch für Mails, aber dir ist das mit dem Spam zu heikel. Du meinst, dass du keinen SMTP-Server, sondern nur ein IMAP/POP-Postfach auf deinem Server betreibst und von dort deine E-Mails abrufst, aber einen anderen Mailserver zum Versenden von E-Mails benutzt, korrekt?

Ein Tutorial zum Einrichten des Servers wie ich das beschrieben habe, habe ich bereits angefertig. Dieses wird dann noch um die sicherheitsrelevanten Teile ergänzt. Also konkret: Squirrelmail (Apache) über SSL (HTTPS). Dann die Verschlüsselung von IMAP (Dovecot) nach draussen mit SSL (IMAPS)... ja und dann halt noch wie man einen postfix-Server (SMTP) sicher selber betreiben kann, ohne kompromittiert zu werden und sich dann als SPAM-Schleuder Probleme einzufangen.

Eventuell kommt dann noch eine erweiterte Konfiguration mit Spamassasin, Virenscan und automatischen Umleitungsregeln beim IMAP-Server dazu. (omg so langsam nehme ich mir da was vor )

Vom letzteren Kollege rät mir mein Kollege ab, dafür gibt es die Webhoster, die sich darum kümmern. Da ich aber selbst später evtl. selbst richtig in die Systemadministration einsteigen möchte (alternative: Programmierer ) kann das nur hilfreich sein, solche Kenntnisse zu haben. Im Grunde genommen haben wir ja auch in der Firma einen (Exchange-)E-Mail-Server, der ja aber von Haus aus relativ gut gesichert wird und davor dann noch eine Astaro-Firewall alles "kritische" abfängt.

Also ich betreibe schon länger einen Server mit Postfix+Dovecot und ich hatte noch nie irgendwelche Probleme. Ich halte diese Aussage einfach für Schwachsinn !
Wenn du Postfix !richtig! konfigurierst, wirst du keine Probleme bekommen!

chillmensch hat geschrieben:Man kann ja mit iptables nicht nur Ports öffnen und blocken. Man kann auch bestimmte Paketmuster abfangen (z.B. Bruteforce-Attacken oder ähnliches). Deinen Satz verstehe ich nicht ganz: Du hast deinen Server nurnoch für Mails, aber dir ist das mit dem Spam zu heikel. Du meinst, dass du keinen SMTP-Server, sondern nur ein IMAP/POP-Postfach auf deinem Server betreibst und von dort deine E-Mails abrufst, aber einen anderen Mailserver zum Versenden von E-Mails benutzt, korrekt?

Nein, ich habe bei einem Provider eine Domain angemietet welche ich nur für E-Mails nutze

Jensomio hat geschrieben:Also ich betreibe schon länger einen Server mit Postfix+Dovecot und ich hatte noch nie irgendwelche Probleme. Ich halte diese Aussage einfach für Schwachsinn !
Wenn du Postfix !richtig! konfigurierst, wirst du keine Probleme bekommen!

Für das !richtig! konfigurieren reichen meine Kenntnisse derzeit (noch) nicht, das ist mein Problem. Darum ist mir das zu heikel.

also ich habe auch noch keine kenntnisse für iptables + postfix, aber im grunde genommen sollte es ja so sein: bei postfix alle kritischen funktionen deaktivieren (solange man die nicht unbedingt braucht) und bei iptables erst einmal "DROP ALL" und dann nach und nach die relevanten Ports konfigurieren: SMTP ausgehend darf dann schonmal an, weil ich ja E-Mails verschicken möchte (Relay ist aber deaktiviert). und dann für SMTP eingehend muss man sich mit iptables beschäftigen, was möglich ist. Also dass iptables modifizierte oder "komische" Pakete dropt.

@Jensomio: Was für Linux-Kenntnisse hast du? Kannst du dir sicher sein, dass dein Mailserver nicht missbraucht wird? Hast du dir mal die Logs angeschaut? Kann ja sein, dass du garnichts davon mitbekommst

War 2 Jahre Admin in einer Firma für Webentwicklung. Ich selbst bin selbstständiger Webdesigner und hoste meine Kunden. Arbeite seit 8 Jahren fast ausschließlich mit Linux (gentoo).