Anbindung nach "DRAUSSEN"

FricklerAtHome

Benutzer
Mitglied seit
01. Okt 2017
Beiträge
598
Punkte für Reaktionen
50
Punkte
54
Liebe Kopanois,

es geht auf Weihnachten zu. Für mich traditionell die Zeit mal wieder etwas zu frickeln. Diesmal zu Thema "Internet-Anbindung".

Bei mir und bei allen betreuten Installationen läuft der Mail-Austausch zwischen Internet und Kopano strikt über "fetchmail" und "Mail-Relay". Das bedeutet alle E-Mails werden bei unseren Providern mittels POP-Protokol abgeholt. Alle zu versendenden Mails gehen über den autorisierten Relay-Mail-Server des Providers zurück in die Welt.
Das geschieht aus alter Sicherheitsparanoia. Wir wollen keinen offenen SMTP Port ins Internet freigeben.
Zusätzlich werden alle Mail's von FetchMail nicht direkt an Kopano gesendet sondern gelangen primär an den Synology Mail-Server. Hierdurch können die eingehenden Mail's sehr schön gemonitored werden und erste Antivirus und Antispam Mechanismen können greifen. Damit dies nicht zu einer großen Last für den Syno-Mail-Server wird machen wir das mit einem "MAIL-DOMÄNEN-SWITCH". Fetchmail holt alle Mail's unserer MAIL-DOMÄNE "@beispiel.de" ab, der Syno-Mail-Server verantwortet aber die MAIL-DOMÄNE "@zarafa.local". Er empfängt also zunächst die Mails. Kann sie aber keinem seiner lokalen Postfächer zustellen, weil es sie nicht gibt. Für alle möglichen Adressaten gibt es aber eingerichtete ALIAS Adressen. Alle Mails für diese Adressen werden vom Syno-Mail-Server dann an unser Kopano relayed (weitergeleitet) und erhalten damit als Empfänger-Adresse wieder das ursprüngliche "@beispiel.de". Durch diesen Umweg finden schon erste Kennungen der Mails für Viren und Spam statt. Quasi eine First-Line of Defence.
Durch den Umstieg auf DSM 7 (ja das läuft als VM auch auf einem DSM 6.x NAS) kam es bei der Einrichtung zu einer Fehlinstallation. In der VM wurde nicht der Syno-Mail-Server installiert, sondern der Syno-Mail-Server PLUS. Den hatten wir bisher gar nicht im Einsatz da er nur für 5 User kostenlos lizenziert ist. Jetzt mussten wir erleben das er trotzdem nutzbar ist. Real haben wir ihm mit der oben beschreiben ALIAS Taktik, gar keinen User zugeordnet. Alles ist über beliebig viele Alias-Adressen realisiert und in der Lizenz-Anzeige sind noch alle 5 freien User vorhanden, bzw. keine verbraucht. Dies hat den Vorteil das nun ein deutlich mächtigeres Bollwerk vor unserem Kopano steht. Mail-Plus unterstützt nativ RSPAMD und noch viele weitere Sicherheitsaspekte die so in Kopano nicht oder noch nicht umgesetzt sind.
Als Ergebnis konnten wir feststellen das die JUNK-MAIL Erkennung nun richtig gut (manchmal sogar zu gut) funktioniert. Es gibt kaum noch die Notwendigkeit Mails aus dem Posteingang in den Junk-Ordner zu packen, häufiger ist die andere Richtung. Da pflegen wir jetzt entsprechende White-Lists bzw. nutzen ein inotify-spamlearn script über die Web-App / Deskapp. Das ist noch nicht zu 100% ausgefuchst, bisher ist aber noch keine Mail verloren gegangen.

Über die Weihnachtstage werden wir nun alle betreuten Installationen entsprechend umstellen. Es geht wohl nach ersten Test auch rein mit DSM 6.x, da auch dort der Mail-Server-Plus angeboten wird. Vor Ort habe ich das aber noch nicht gesehen. Und meine Frage nach RSPAMD konnte der liebe Nachbar nicht beantworten.

Dies als vorweihnachtlicher Erfahrungsbericht. Mich würde noch interessieren wer von euch sein Kopano mit einem offenen SMTP Port direkt ins Internet hängt und aus welchen Gründen. Unser Kopano ist ohne diesen offen Port trotzdem auch immer aus dem Web zu erreichen, jedoch lediglich per ActiveSync.

Immer ein Licht bei der Nacht
F@H
 

FricklerAtHome

Benutzer
Mitglied seit
01. Okt 2017
Beiträge
598
Punkte für Reaktionen
50
Punkte
54
Noch als Ergänzung:

Der Mail-Server-Plus läuft auf einer DS220+ mit 18GB RAM und im RAID1 aus 2x 500GB SSD. Auf diese Kiste läuft als VM ein virtuelles DSM mit SAMBA, DNS und Synology Directory Server als Microsoft Active Directory Ersatz. Als VM weil hier selbst bei einem Hardwareausfall die VM auch auf anderen Kisten oder neuer Hardware einfach weiterläuft, ohne erneut ein AD aufbauen zu müssen.
Die Nutzlasten (freigegebenen Ordner und auch Kopano) liegen auf einer anderen Syno noch unter DSM 6.x. DSM 7 ist aber im Punkt Sicherheit deutlich besser und aktueller als DSM 6.x. Die durchschnittliche CPU Last dieser Maschine liegt bei unter 6%.

gefühlt sollte man jetzt schon das Licht einschalten
F@H
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat