Mail Server Erfahrungsbericht: MailPlus im Privathaushalt einrichten.

[ebusynsyn]

Hallo

Ich habe mich in den letzten Wochen mal etwas genauer mit MailPlus auseinander gesetzt. Im Wesentlichen Wissen aneignen, es (versuchen) zu verstehen und in der Folge dann anwenden.

Hier im Forum gibt es einige Beiträge zu diesem Thema, die das Betreiben eines eigenen Mailservers in einem Privathaushalt - wohl zu Recht - kritisch hinterfragen. Trotzdem - und mit Respekt vor der Aufgabe - habe ich mich da mal ran gewagt.

Es gibt von Synology ein erst vor wenigen Wochen veröffentlichtes (offizielles) Video in welchem recht gut dargestellt wird, wie man vorgehen sollte. Ich habe mich zwar nicht in allen Punkten daran gehalten, aber es war doch recht Hilfreich. Auch recht hilfreich war ein etwas älterer Beitrag hier: https://my-digital-home.de/synology/mail-server-einrichten/#comment-34816

Ich habe die notwendigen (zwei) Apps auf meinem von extern via https und fixer IP erreichbaren NAS aufgesetzt. Dann habe ich eine Domain gebucht und eingerichtet. Ebenso die notwendigen Zertifikate von Letsencrypt besorgt.

Den Versand der Mails lasse ich allerdings über die angebotene Funktion ‚Relay-Host‘ beim Provider meines Vertrauens laufen. Das macht die Sache wesentlich einfacher. Ich habe nicht vor mit meinem Mail-Server direkt E-Mails zu versenden. Der Aufwand, meinen kleinen Home-Mail-Server in aller Welt als ‚vertrauenswürdig‘ bekannt zu machen ist mir zu aufwändig.

Unter dem Strich kann ich sagen, dass es gut geklappt hat. Ich kann Mails mit meiner eigenen NAS-Domain versenden, ohne dass diese beim Empfänger im SPAM landen. Ebenso kann auf dieser Mail-Adresse Nachrichten empfangen. Vorerst habe ich bei den aktuellen Mail-Providern eine Umleitung eingerichtet, ohne die Mails dort zu löschen. Sicher ist sicher ;-) Ob ich dann später alle Mails noch migrieren werde lasse ich mal offen. Wäre eine Gelegenheit Ballast abzuwerfen. Erstmal werde ich ein paar Wochen vielleicht Monate zweigleisig fahren und Erfahrungen sammeln.

Die MailPlus App für iPhone/iPad macht einen recht guten Eindruck. Funktional meinen Bedürfnissen genügend. Sogar der Synology-Kalender ist über diese Apps nutzbar. Eine Desktop-App gibt es für Mac OSX nicht. Mann kann aber über jede andere Desktop-MailApp auch auf seine Mails zugreifen. Backup 3-2-1 ist natürlich auch eingerichtet.

Dies ein kleiner Erfahrungsbericht aus einer für mich neuen Ecke des Synology DSM Universums. Wirklich spannend zu sehen, was dieses Kästchen aus schwarzem Plastik, etwas Blech, Elektronik und Software alles mit sich machen lässt.

 

[Kachelkaiser]

Danke für den Erfahrungsbericht.

 

[plang.pl]

Danke für den Erfahrungsbericht. Und gegen das Nutzen als Relay-Server spricht wesentlich weniger als wenn du direkt via SMTP nach extern versendest.
Nur die Portfreigabe für den externen Zugriff kann ein Sicherheitsrisiko darstellen, wenn nicht entsprechend abgesichert. Das hat aber eher weniger mit dem Mail-Server zu tun als mit den Sicherheitsvorkehrungen

 

[ebusynsyn]

@plang.pl

Hinsichtlich Sicherheit hast Du auf jeden Fall recht.

Um mich dieser Aufgabe zu stellen musste ich tatsächlich über meinen Schatten springen. Mein produktives NAS ist nur via WireGuard (auf einem Pi laufend) von extern erreichbar. Das für diese Aufgabe von extern erreichbare NAS hat die (wenigen) wichtigen Daten in einem verschlüsselten freigegebenen Ordner.

Mit diesem NAS probiere ich eine Art Dropbox zu bauen, die für mich und einige Bekannte/Freunde jederzeit und von jedem Gerät extern erreichbar ist.

Die für die Sicherheit relevanten Einstellungen habe ich schon gemacht und die von Synology und dem freien Internet empfohlenen Einstellungen habe ich auch umgesetzt. Aber eben… es ist natürlich von extern erreichbar und das ist immer ein Risiko. Es kann aber auch die offiziellen Mail-Anbieter treffen.

 

[Jo_Ke]

Hallo zusammen.

ich habe aus Neugier mich auch mit dem Thema auseinander gesetzt, ohne selbst beruflich Administrator bzw. im IT Bereich tätig zu sein (bin Mediziner). Ich habe tatsächlich eine feste IP, eine eigene Domain und ein PTR Eintrag. DKIM, DMARC und SPF war auch ohne Probleme möglich. mit den MX Record Checker habe ich das ganze gegenverifiziert: Es scheint alles sauber zu laufen (nicht-Relay-Betrieb!!!).

Ihr habt vorhin, richtigerweise, gesagt, dass offene Ports nach außen ein Sicherheitsrisiko darstellt. analytisch betrachtet: das Hauptproblem sehe ich vor allem an den Ports 25, 465 und 587, wobei 465 und 587 für Man-on-The-Middle Angriffe geschützt sind. IMAP kann ich ja sehr restriktiv freigeben.(s.u.).

Summa summarum sehe ich vor allem Port 25 kritisch. Welche Angriffs-Szenarien (über Ddos hinaus) sind dokumentiert bzw. denkbar? Da SMTP sehr häufig eingesetzt wird, kann ich mir gut vorstellen, dass es sehr gut dokumentiert ist, zumal Synology auf Linux basiert und die Server-Software im Hintergrund auch nicht unbekannt ist. Wie kann man sich davor schützen? (außer Einsatz einer SMTP-Authentifizierung, Anti-Viren und Anti-Spam-Software-Einsatz)?

Prinzipiell habe ich ein paar Ports (da rede ich jetzt nicht von Mail bzw. VPN) nach außen offen, aber die IP-Ranges auf die ip-Bereiche meines Internet-Anbieters bzw. Einsatzgebietes empfindlich eingeschränkt. Nur die SMTP-Ports sehe ich kritisch, weil ich diese ja global öffnen muss.

Ich versuche mit einem gesunden Augenmaß im Sinne eines Nutze-Risiko-Bewusstseins dran zu gehen, zumal wir jeden Tag im echten Leben teilweise hohe Risiken eingehen, die weitaus teurer sind. Das Risiko als solches will ich nicht abstreiten


Danke für eure Antwort.

Gruß

Jo

 

[der_janosch]

Ohne SMTP 25 freizugeben geht’s auch. MailPlus kann auch über Imap/Pop Mails von eurem Mailanbieter runterladen. So hab ich es mal am laufen gehabt. Über 25 kamen zu viele Zugriffe, die allerdings von meiner UDM-SE geblockt wurden. War mir trotzdem zu heikel.

 

[ebusynsyn]

Hallo @der_janosch

Ich habe den Port 25 offen. Wenn ich diesen schliesse, kommen die Mails nicht mehr an.

Wie hast Du die Umstellung - ohne offenen Port 25 realisiert?

Danke für einen Tipp...

 

[der_janosch]

https://kb.synology.com/de-de/DSM/tutorial/How_should_I_receive_external_email_messages_via_MailPlus

Hier wird es beschrieben

 

[ebusynsyn]

@der_janosch

Danke für den Link. Aber darin geht es um den Abruf eines Mail-Accounts und nicht um die Zustellung, bzw. den Empfang der E-Mails. Diesen Teil - also das abrufen von POP3/SMTP habe ich im Griff und funktioniert gut.

Der Link verweist auf: "Wie kann ich E-Mails von Gmail oder Outlook.com zu Synology MailPlus sichern?"

Ich frage mich, ob es möglich ist, dass der Port 25 nicht mehr offen ist, jedoch Mails die mir irgend jemand - auf meine MailPlus-E-Mail - sendet, bei mir angekommen. So habe ich Deine obigen Zeilen verstanden. Dazu habe ich in den weiten den Internets nichts gefunden.

 

[der_janosch]

In dem Link wird beschrieben, wie man Mail plus so einrichtet, dass die Synology die Mails von deinem Konto abruft. Wie ein normales E-Mail-Programm. Und so würde ich es aus Sicherheitsgründen auch einrichten, damit du über 25 keine Angriffe bekommst.

 

[ebusynsyn]

@der_janosch

Danke für die klärenden Zeilen.

Hier die Konfigurationsmöglichkeiten um den Port 25 zu schützen bzw. zu verhindern, dass der eigene Mail-Server zur Spam/Spoofing Schleuder wird.

https://kb.synology.com/de-de/DSM/help/MailPlus-Server/mailplus_server_delivery?version=7

Verbindungsrichtlinien erstellen:​

Legen Sie Richtlinien fest, um Client-Hosts zu blockieren, die nicht identifiziert werden können oder MailPlus Server überlasten könnten.

Wie zu Beginn erwähnt, befinde ich mich in der Testphase und probiere das eine oder andere aus. Ob ich einen vollwertigen MailServer (mit Relay-Host) betreiben will, oder auf die abgespeckte Variante gehe ist noch nicht entschieden. Dazu muss ich mich hinsichtlich Sicherheit noch weiter einlesen.

 

[der_janosch]

Wenn du kannst, lege dir zum Beispiel ein abgeschottetes VLAN an mit entsprechenden Firewall Regeln, falls es doch jemand mal auf Diskstation schafft. Dazu vielleicht entweder eine virtuelle DSM Instanz oder gleich ein zweites NAS, getrennt vom Produktivsystem. Ich wäre da sehr vorsichtig. Gerade, wenn man sich nicht gut mit dem Betrieb eines Mailservers auskennt.

 

[ebusynsyn]

@der_janosch

Tatsächlich steht dieses NAS an einem entfernten Standort und hat keine Verbindung zum produktiven System. Und ja, natürlich ich nehme die Hinweise von Euch Profis auf jeden Fall sehr ernst.

Die Lust, (Spieltrieb) mal so einen Server aufzusetzen hat mich halt dazu bewogen. Ihn dann auf lange Sich zu betreiben ist eine ganz andere Sache. Dazu fühle ich mich dann wohl eher nicht so ganz berufen.

Die Weiterleitungen meiner produktiven Mail-Accounts auf diesen Mail-Server habe ich bereits schon rückgängig gemacht.

Ob und auf welche Art er noch weiterläuft habe ich noch nicht entschieden.

 

[ebusynsyn]

Hallo

Ich habe mich noch weiter mit dem Betrieb eines eigenen Mail-Servers beschäftigt. Nicht zuletzt auch weil hier im Forum auf meinen Erfahrungsbericht hin einige gute Hinweise eingingen und ich bemüht bin, diese in mein Projekt einzubeziehen.

Aber: Vorerst werde ich den eigenen Mail-Server mal weiterlaufen lassen.

Nebst den vom MailPlus-Server angebotenen Sicherheitseinstellungen - siehe Foto - die auf bequeme Art geprüft werden können, habe ich weitere Aspekte berücksichtigt.



Zum Beispiel wird täglich ein Protokoll übermittelt, das Aufschluss darüber gibt, was denn so läuft. Das sieht übrigens sehr übersichtlich aus und kann auch von einem Laien wie mir gut interpretiert werden.

Der Mail-Server läuft auf einer entfernen Syno, die keine Verbindung zum produktiven System hat, ausser dass ein verschlüsselter freigegebener Ordner drauf ist, in welchen ich manuell auf monatlicher Basis ein Backup (nicht das einzige) meiner wichtigsten Daten mache.

Am betreffenden Router (Fritz!Box 6850 5G) wo dieses NAS hängt, sind keine weiteren Clients angehängt. Wlan läuft nicht. Die IP ist fix. Die notwendigen Port sind natürlich offen.

Auf diesem NAS läuft die Note Station, damit ich von jedem Ort und jedem Computer aus Notizen machen kann. Aber jede einzelne Notiz wird/ist verschlüsselt. Weitere Daten die auf diesem NAS manchmal zwischengelagert werden sind weder wichtig noch sensibel noch einzigartig.

Ausserdem nutze ich dort auch Synology Office um ebenfalls von jedem Ort und jedem Computer entsprechende Dokumente zu erstellen. Aber auch diese sind immer verschlüsselt und werden bei Bedarf dann ins produktive System übernommen.

Dieses entfernte NAS ist bestmöglich geschützt mit all den von Syno angebotenen und der Gemeinschaft empfohlenen Einstellungen.

Offen ist noch der Punkt des Outbound-SMTP-Relay. Da nutze ich noch meinen bisherigen Mail-Anbieter. Hier überlege ich mir, ob ich den kostenpflichtigen Dienst bei Dyna.com einrichten soll. Bei 10$ pro Jahr eine Überlegung wert, wenn es der Sicherheit zuträglich ist.

https://www.dynu.com/en-US/Email/Outbound-SMTP-Relay

Mir ist jedoch noch unklar, ob es ein Sicherheitsrisiko darstellt, den bisherigen Mail-Anbieter zu nutzen. Ich möchte natürlich verhindern, dass im Fall, dass böse Jungs/Mädels auf mein NAS gelangen, mein Mail-Anbieter einen Nachteil hat.

In irgend einem Forum habe ich gelesen, dass es möglich ist, via Cloudflare Argo Tunnel einen Mailserver zu betreiben, ohne dann am Router Ports zu öffnen. Klingt interessant würde aber wohl bedeuten, dass ein Cloudflare-Tunnel in mein NAS gebohrt werden müsste, was möglicherweise "meiner" Sicherheit nicht so zuträglich wäre.

Momentan - so denke ich - habe ich alles getan um den sicheren Betrieb meines eigenen MailServer sicher zu stellen.

Wenn - davon gehe ich aus - der Server mal eingerichtet ist, muss ich nicht täglich an irgendwelchen Einstellungen schrauben und somit sollte sich der Aufwand (hoffentlich) in Grenzen halten.

Beste Grüsse