Toggle sidebar

Mail Server Mail Station ohne VPN

V

vanne1992

Benutzer
Registriert
08. Feb. 2025
Beiträge
2
Reaktionspunkte
0
Punkte
1
Hallöchen,

nach dem Tod meines Vaters (2022) hab ich alles was mit Domain, NAS, PC usw. In Verbindung ist unter meine Fittiche genommen. Mama und Schwester haben 0 Ahnung. Mein Kenntnisstand würde ich mal als gehobener Laie durch meine Ausbildung als Elektronikerin für Geräte und Systeme / Elektrotechnikerin bezeichnen. Nun mal zu meinem Problem.

Wir haben eine DS418 am laufen. Der Mail Server im Verbund mit Mail Station holt beim Provider unserer eigenen Domain die E-Mails mit POP3 ab. Gesendet wird mit SMTP Relay. Zugriff der Clients (PC,Tablet, Handy) erfolgt über lokale IP per IMAP, Benutzername und Passwort. Im Heimnetz natürlich alles tutti. Außerhalb gehen wir den Umweg über eine VPN. Das funktioniert schon mehr als 10 Jahre tadellos.

Ich würde gerne wissen ob und wie man den Umweg über die VPN ausknipsen kann? Man muss noch dazu sagen, dass der Zugriff auf Kontaktdaten, Kalender, WebDav, etc. derzeit schon über xxxxx.synology.me........ auch eingerichtet ist und funktioniert.

Vielen Dank im Voraus!

Gruß Vanessa
 
Erstmal noch: Willkommen im Forum.

Der Mailserver ist einer der Dienste der hier im Forum so gut wie keine Unterstützung mehr erfährt, da man da schon wissen muss was man macht. Was gut klingt ist dass ihr über einen Relay versendet. (Ich hoffe es ist auch so wie ich es verstehe). Klar kann man den Umweg über das VPN ausknipsen. Eigentlich hast du es auch schon denn wenn du über synology.me auf dein NAS kommst dann solltest du auch auf den Mailserver kommen. Eventuell die Ports noch öffnen, die für imap oder pop3 eingerichtet sind oder port 80 (lieber nicht, besser 443) um auf die Mailstation zu gelangen. Aber nochmal, bevor du den Mailserver wirklich "vollständig" (zusammen mit dem Sende Relay Server) betreibst, beschäftige dich mit SPF, DKIM, DMARC. Denn ohne dass ist ziemlich schnell Schluss mit dem Versenden über den eigenen Mailserver, auch über den Relay hinweg. Und denke an die Firewall im NAS wenn sie von außen direkt erreichbar ist.
 
Hallo Vanessa,
dein Vater hat die DS418 ja offensichtlich mit viel Sachverstand eingerichtet. Ohne jetzt genau die gesamte Konstruktion zu kennen, würde ich den "Umweg" über VPN nicht aufgeben, Sicherheit sollte immer vor Bequemlichkeit gehen.
Andererseits musst Du dir bewusst machen, dass das NAS aus dem Modelljahr 2018 stammt und irgendwann an seine Altersgrenze stoßen wird. Kannst Du es im Falle eines Defekts reparieren oder sogar alles neu einrichten auf einem Nachfolgegerät?
Die Alternative wäre, die Konstruktion Schritt für Schritt wieder zurückzubauen, d. h. E-Mail-Konten beim Provider anlegen und alle Geräte direkt auf die Konten beim Provider zugreifen lassen. Kalender, Kontakte und Web-Speicher kann man heutzutage sehr bequem und sicher über die Cloud-Dienste von Apple bzw. Google synchronisieren. VPN ist dann komplett überflüssig.
Ein eigener Mail-Server ist m. E. nur sinnvoll, wenn eine signifikante Menge an E-Mails hausintern vermittelt werden muss. Das ist bei Privathaushalten eigentlich eher selten der Fall, sondern trifft auf meistens auf Unternehmen zu. Ohnehin läuft heutzutage ein Großteil der Kommunikation über Messenger.
Das wird sicherlich keine leichte Entscheidung, aber ich wollte gerne meine Gedanken dazu mit dir teilen.
 
Hallo Vanessa ,

die 2 haben ja schon das meiste gesagt .
Ich vertrete da auch die gleiche Meinung. Eigener Mailserver nur wenn es unbedingt sein muss.
Selbst ich hab Privat keinen eigenen Mailserver am Laufen. Und ich bin IT Administrator .

Aber zurück zur eigentlichen Frage.
Grundlegend kann man das alles umstellen das es ohne VPN geht.
Aber dann ist halt zum Thema Sicherheit wieder viel zu tun . So das man das eigentlich nur bedingt macht.



Mal so eine Grundlegende Fragen.
Thema Backup und Absicherung vom NAS ,hast das im Blick?

Gern auch mal den Link in meiner Signatur durchlesen.
 
Hallöchen an alle,

Viel Dank für die Antworten!

@heavy Ja wir versenden über Relay unsere E-Mails. Das hast du richtig verstanden. Vielleicht schaff ich es ja, mit dem xxx.synology.me auf den Mailserver zu kommen. Da liegt noch ein bisschen der Hase im Pfeffer. Ich muss mich noch rein Fuchsen was ich wo einstellen muss. Wenn ich es nicht schaffe bleibt der Weg über die VPN einfach bestehen. Mich tiefer gehend mit speziellen wissen zu Mailserver zu beschäftigen und den genannten Abkürzungen fehlt mir leider die Zeit. Ich bin Mami einer 14 Monate alten Tochter. Alles was ich an der NAS werkel mach ich ab und an Abend wenn die kleine schläft und der Haushalt erledigt ist. Dieser Text entstand gerade beim Mittagschlaf auf mir 😅. Mein Mann ist beim Thema NAS leider keine Hilfe. Die rührt er nicht an. Er hat ungefähr den selben Kenntnisstand wie ich. Wie haben die selbe Weiterbildung zum Elektrotechniker genossen.

@Hagen2000 Ja mein Papa hat das beruflich gemacht. Er war Fernmeldeamt Handwerker und hat als ich ein laufender Meter war die Abendschule besucht und eine zweite Ausbildung als IT System Administrator absolviert. Im Falle eines Defekts würde es zwar etwas dauern aber ich glaube ich würde alles eingerichtet bekommen. Wir haben Backups. Zurück bauen und dann die Clients auf den Provider zugreifen lassen würde ich hin bekommen. Papa war halt immer ein Freund davon seine Mails zu sich zu holen weil dann muss man sich um Speicherplatz keine sorgen machen. Kalender, Kontakt und Dateien ja geht mittlerweile gut über Google und Co. Nur von dem ganzen bei Google hätt ich wiederum keine Ahnung 😅. Auch da hat Papa denen bei Google und Co kein Meter über den Weg getraut. Meine Daten bleiben bei mir war das Motto.

@metalworker In dem Abschnitt für Hagen habe ich schon geschrieben wie und warum der Mailserver bei uns so entstanden ist. Thema Backup jaaaaaa da hat Anfang Mitte der 2000er mein Papa schon sein Lehrgeld gezahlt als damals unser richtiger Server kaputt ging. Die DS418 fährt 2 mal in der Woche nachts eine Datensicherung auf USB Festplatte mit hyper Backup.
Weiterhin steht bei meiner Schwester ich meine eine DS216. Die synchronisiert mit der DS418. Bis zu Papas Tod hatte ich seine alte DS214 bei mir auch in Synchronisation und mit USB Backup. Papa hatte kurz vor seinem Tod einen Gutschein für IT Equipment von der Firma bekommen wegen einem Dienstjahre Jubiläum. Den Gutschein haben wir geerbt und eine DS220 mit neuen Festplatten angeschafft. Die hat die alte DS214 bei mir ersetzt. Die DS220 synchronisiert natürlich auch und macht auch 2 mal die Woche ein USB Backup.
 
Ja mit 14 Monaten ist das stressig .
Aber genieße es . Meiner ist 14 Jahre alt , und ich frag mich wo die Zeit hin ist.


Zum Thema Backup . Prüfe ob du zu deiner Schwester aber eine Versionierte Sicherung schiebst. Und kein sync machst.
Das nützt dir dann bei Schadcode befall dann unter umständen wenig.


Und wenn du es ohne VPN machen willst . dann musst im Router die Ports öffnen.
 
Das klingt alles vernünftig mit guter Selbsteinschätzung. Ja mit einem Kleinkind beleibt wenig Zeit sich mit der Materie auseinander zu setzten. Die Abkürzungen sind Einstellungen die getroffen werden müssen damit die Mails bei den großen Anbietern nicht als Spam geblockt werden. Gerade Appel ist da sehr streng. Habe ich es z.B. geschafft wenigstens von einer Mailadresse einer meiner Domains aus direkt an Google Mails schicken zu können, ging selbst von der keine zu Appel durch. Und auch über den Relay wollte Appel nicht alle Mails annehmen so lange eben SPF und Co. nicht aktiv (eingerichtet) war. Das weiter Problem ist halt, ich könnte dir helfen die Dinge einzurichten (wenn der Domainhoster "Selfhost" ist, bei den anderen kenne ich mich nicht aus. Was ich weiß ist dass es bei manchen Anbietern völlig andere Einträge braucht als bei Selfhost) nur muss man auch danach auf dem laufenden bleiben. Vor allem ist es sehr hilfreich wenn man sich die Meldungen der DS als Mails schicken kann und einen Fernzugriff auf den Router hat um ihn neu starten zu können (hilft aber nur wenn er nach dem erneuten Eeinwählen eine neue öffentliche IP erhält) um eventuelle Angriffe abzuwehren.
 
Ich betreibe meinen eigenen MailPlus Server auf einer Synology DS218+ seit Mitte letzten Jahres (eigene Domain, Catch-All). Ich weiß überhaupt nicht, warum hier im Forum so oft davor gewarnt wird. Ich habe NULL Probleme.
Der Versand läuft nicht über meine eigene IP-Adresse sondern über einen Relay. Von daher werde ich auch nirgends gesperrt o.Ä. Alle meine Mails kommen an, sowohl rein als auch raus.
Die Sicherheitseinstellungen sind einfach zu verstehen und meist nicht mal nötig, wenn man seine Mailadresse nicht bei jedem Gewinnspiel hinterlässt.
Sorry, aber ich musste hier jetzt mal eine Lanze brechen für den Mailserver.
Schon wegen des Datenschutzes (Mails liegen ausschließlich zu Hause) ist es ein gutes Gefühl.
Nix für ungut. ☺
 
Du hast aber damit nur einen dahinter geschalteten Server.
Wenn ich das richtig Verstehe Empängst und Sendest du alles über deinen Domain Provider. Pop3 und SMTP .

Wovon generell gewarnt wird das betreiben als "vollen" Mailserver. Spricht mit MX Record und allen drum und drann.
Dann gehen die Mails direkt zu deinem Mailserver.
Das ist dann schon eine andere Hausnummer.

In dem Thread ging es vermehrt um die Geschichte VPN und co.
Und dort SMTP und IMAP Ports offen zu haben ist halt ein Angriffspunkt.
Man muss halt immer schauen das alle Updates eingespielt werden und das es keine offenen Lücken gibt.

Wenn man sich der Risiken bewusst ist , dann ist das auch ok.
Aber viele stellen es sich einfach vor. Richten es einmal ein , und lassen es dann Jahre lang unangetastet laufen.
Und wundern sich dann wenn es auf einmal kracht.
 
Nein, vollwertiger Server mit MX-Records beim Domainanbieter. Inklusive Auto-Update für die IP-Adresse, wenn meine Fritzbox mal eine neue IP bekommen sollte (was wegen Cable-Anschluss fast nur mal vorkommt, wenn ich die Box neu starte).

Also insofern ein echter Mailserver. Meine Mails kommen direkt vom Absender in meiner Synology an - ohne Umweg.

Wie gesagt, der Versand erfolgt dann über einen anderen Mailprovider, der als Relay hinterlegt ist bzw. in den Clients ist das so eingestellt. Die Clients versenden direkt, ohne Umweg über die DiskStation. Aber auch die ausgehenden Mails enthalten meine eigene Domain als Absender. Das geht glaub ich nicht mit jedem Mailprovider.
 
Wir raten davon ab, bzw. geben keine Hilfe, weil es eben mit dem was du, mutmaßlich. nur eingestellt hast nicht getan ist, und es ein hohes Risiko darstellt zu einer Spamschleuder zu werden. Vor allem, wenn du so manche Anleitung aus dem Netz dazu genommen hast. Wenn du kein DKIM, DMARC, SPF eingestellt hast, dann kannst du dich darauf einstellen dass Appel deine Mails nicht annimmt, auch nicht über den Relay. Gmail fängt an zu zicken wenn die Einträge nicht vorhanden sind. Und meiner lehnt sie auch komplett ab wenn die Einträge fehlen oder nicht korrekt sind. Denn bei mir werden die Einträge vorausgesetzt sonst werden sie sofort verworfen. Wenn du ihn wirklich auch zum versenden einsetzt. Wenn du natürlich da so ein komisches Hybrid Ding machst (die Clients ignorieren beim Senden die DS), dann sieht das anders aus, aber dann betreibst du auch keinen vollwertigen Server, denn dann empfängt er ja nur. Und dazu braucht es wirklich nicht viel. Das senden ist das Problematische. Und ganz ehrlich dieser Satz hier lässt doch sehr zweifeln:
syn_squan schrieb:
Die Sicherheitseinstellungen sind einfach zu verstehen und meist nicht mal nötig,
Zum Vergrößern anklicken....
Wer es nicht für nötig hält die Sicherheitseinstellungen vorzunehmen sollte sich die ganze Sache wirklich nochmal überlegen. Ich bin mittlerweile im IT Support tätig und bekomme da jetzt mit, was es für einen Aufwand ist einen Exchange Server zu administrieren und das sind nicht nur 3 Klicks und ein paar Einträge, nur damit die Mails von den anderen Servern akzeptiert werden, da sitzt man Stundenlang dran. Und ja ich habe auch den Mailserver am Start aber wirklich als Server incl. Versand über die DS. Und dass sogar für eine Zeitlang OHNE Relay. Nach 3 Monaten bin ich dann wieder zurück zu einem Relay Server meines Anbieters, weil mir der Aufwand zu groß wurde. Aber selbst der Relay Server stand mal 4 Wochen auf einer Blacklist und es kamen keine Mails mehr bei Appel und Gmail an. Und alleine der Aufwand den man betreiben muss um von der wieder runterzukommen ist einfach unverhältnismäßig dazu, nur damit die Mails daheim liegen.
 
  • Like
Reaktionen: Synchrotron
@syn_squan Ich muss es jetzt doch einmal schreiben.

Wenn du DKIM und DMARC nicht an hast dann ist deine Domain ungeschützt, was bedeutet dass ich sie übernehmen und in meine 100, auf der Welt verteilten, Mailserver eintragen kann. Somit kann ich dann in deinem Namen, ja sogar mit deiner kompletten Emailadresse (syn_squan@deineDomain.tld, oder was du halt sonst so selber verwendest) Mails verschicken, und dass eben ohne deinen Mailserver hacken zu müssen. Wenn ich dann Spam-Mails oder Phising-Mails verschicke dann bist DU der Verantwortliche dafür und dann must DU deinen Kopf dafür hinhalten. Die Anbieter wie Spamhouse haben 100erte Mailadressen, wenn dann bei diesen Spammails eingehen, kommst du mit deiner Domain auf die Blacklist und alle Anbieter die diese Listen verwenden nehmen dann deine Mails (auch nicht die, die durch den Relay gesendet werden) mehr an. Des weiteren kannst du deinen Account bei Selfhost verlieren wenn die mitbekommen dass "du" Spam verschickst, ohne dass du von der Zahlungspflicht dann befreit wärst. Die melden dich dann wiederum bei der DENIC und dann verlierst du deine Domain (-s solltest du mehrere haben, auch die unbetroffenen) und wirst für die Zukunft gesperrt. Das heißt du kannst nie mehr (wenigstens für die nächsten 5 bis 10 Jahren) eine Domain auf dich registrieren lassen. Sollte durch die Phising Mails Schaden entstehen, dann musst auch DU dafür gerade stehen. Solltest du bestimmte Mailadressen nicht eingerichtet haben, dann verlierst du (vielleicht) nicht deinen Account bei Selfhost aber wiederum deine Domain bei der DENIC, auch können dann Bußgelder folgen.

Ich hoffe du siehst wie "bescheuert" deine Aussage ist

"Die Sicherheitseinstellungen sind einfach zu verstehen und meist nicht mal nötig, wenn man seine Mailadresse nicht bei jedem Gewinnspiel hinterlässt."

Ich habe jetzt auf der Arbeit mehrfach Mails bekommen mit "Bitte den Anhang folgender Mail "..." nicht öffnen, die stammt nicht von Uns. Oder "Wir haben keine neue Bankverbindung, die Mail die rumgeht stammt nicht von uns" und bei allen ist eins gemeinsam, sie haben diese Einträge nicht gesetzt. Und wenn dann eine Firma die nächste Rechnung in Millionenhöhe ( oder bei Kleinen Firmen, Selbständigen, die ja hier auch im Forum vertreten sind, entsprechend weniger, aber auch 5000 oder 10000€ werden denen weh tun) bezahlt aber das Geld nicht auf das eigentliche Konto der Firma, sondern dann auf dass der Phisher überweist, dann ist dass das Problem der Firma die eben die Einträge nicht gesetzt hat.

Und dass ist eben der Grund warum wir keine Hilfe geben und davon abraten einen eigenen Mailserver zu betreiben wenn man nicht weiß was man macht.

Ps. So lange du nicht ein "Hosting mit Mail" Paket bei Selfhost kaufst werden diese Einträge / Mail Adressen, nicht von Selfhost gesetzt (bzw. ich weiß nicht mal ob dann). Das bedeutet, auch wenn du nur über den Server von Selfhost Mails verschickst bist du vor den ganzen Konsequenzen nicht geschützt.

Ach und komm nicht mit "meine ist nicht bekannt weil ich sie ja nicht überall hinterlasse" erstens gibt es genug Datenlecks wo deine Domain dann öffentlich werden kann und dann wird auch einfach "geraten" und mit Bots Millionen von Domains einfach generiert. Irgendwann ist dann auch deine darunter.

PPS. ich bin auch bei Selfhost, und es war deren Relay Server der auf der Blacklist stand.
 
Zuletzt bearbeitet:
@heavy ich stimme dir in allen Punkten zu, daher nicht falsch verstehen. Aber hättest du für den Absatz mit dem rechtlichen Konsequenzen eine Quelle? Das wäre mir nämlich komplett neu und ich finde dazu auch nichts. Das es mir komplett neu ist, heißt natürlich nichts, aber ich würde mich gerne informieren. Ich finde nur, dass es Pflicht ist, wenn man an die großen Anbieter sehr viele Emails am Tag versenden will. Aber von den Anbietern und nicht vom Gesetz her...
 
Das stand damals in einem Schreiben der Denic was mir zugetragen wurde, und wurde in meiner Ausbildung nochmal von einem der Ausbilder (der 30 Jahre im Support war) bestätigt (habe es nur leider nicht mehr). In den AGB der Denic steht der Verlust drin, wenn man gegen Gesetze und Regeln verstößt. Du müsstest aber wissen welche Email Adresse ich meine oder? Bei Selfhost steht der Spam Passus in den AGB (auch wenn da primär über die eigenen Server gesprochen wird). Hast du mal in der Telekommunikations – Kundenschutzverordnung (TKV) nachgelesen? Ab einer gewissen "Größe" (ja für den einzelnen Privatmann eher weniger) gilt die auch für uns. Des weiteren greift auch erstmal das UWG und je nachdem auch die DSGVO (denn nicht ich als Spamversender sondern du als Domain Inhaber bist derjenige der dann die Abmahnung bekommt, somit kannst du dich nicht erstmal damit rausreden dass du ja gar kein "Gewerbe" betreibst, denn bei der Anzahl von Mails wird immer erstmal ein Gewerbe angenommen). Und was auch kaum einer auf dem Schirm hat, so wie man nicht der einzige ist der den Sever benutzt braucht man eine Datenschutz Erklärung, die der Benutzer unterschreiben muss, da wir ja sehen können an wen und von wem Mails an den Benutzer gehen. Wenn ich Zeit habe suche ich nochmal das Buch raus was ich habe mit den Vorschriften und Regeln zum betreiben eines Mailservers.
 
Ich frage explizit nach einer Quelle, weil du ja explizit DMARC, DKIM und SPF erwähnt hast. Dies ist dann aber für alle relevant die eine eigene Domain haben. Ich muss keinen Mailserver betreiben um Spam über die Domains zu versenden. Angenommen du hast bei deinem Registrar nur eine Domain registriert ohne weitere Dienste, dann werden dir diese Einträge fehlen. Die sind nicht von Haus aus drin bei den DNS Records. Und somit würde alles greifen was du beschrieben hast.
Die Einträge sind halt nicht nur relevant zum betreiben eines Mailservers. Die sollen allgemein Spam verhindern bzw. Domain Missbrauch vorbeugen.
Aber ich finde gerade keine Quelle wo es explizit Pflicht ist, dass man dies verwendet. Man muss aber allgemein was dagegen tun, dass man gegen Spam vorgeht. Und nochmal. Es ist dabei egal ob du einen Mailserver betreibst oder nicht. Ein eigener Mailserver der nicht richtig gesichert ist, wird halt eher zu einer Spamschleuder und die eigenen Mails kommen wahrscheinlich bei vielen nicht an oder man bekommt viel Spam. Aber für die rechtliche Sachen mit DMARC, DKIM usw. ist das nicht mehr relevant.
 
Rechtlich, was soll das bringen?
Einfach ein Mail Provider setzt diese Anforderung und wenn jemand mit seinem Server kommunizieren will, dann muss er sich anpassen. Der stärkere gewinnt.
 
Ja @JohneDoe es geht um Mails / Mailserver, und DKIM kann man ja ohne einen Mailserver nicht eintragen, da einem das Zertifikat fehlt. Aber SPF und DMARC sollte man auch einrichten, auch wenn man nur eine Domain registriert um eine Webseite zu betreiben. "Pflicht " ist es seit 1.2.2024 aber mehr durch die Anbieter, und ja erstmal nur bei Servern die mehr als 5000 Mails pro Tag versenden. Und das rechtliche ist die Abuse Emailadresse die vorhanden sein muss, ohne die es Ärger geben kann.
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten