Mail Server HOWTO E-MAILS EINSAMMELN Mailstation/Mailserver - Thunderbird

[jahlives]

so wie RC funzt führt RC die Auth einfach nicht selber durch, sondern gibt sie an den Mailserver weiter und wertet dessen Antwort aus. Darum kann man das nicht mit der Photostation vergleichen, welche die Auth selber durchführt. Imho wäre es der einzige Weg, wenn man die Userdatenbank des Mailserver doppelt vorhält, damit auch RC eine Instanz dafür hat. Würde aber dazu führen, dass man den Datenbestand doppelt hätte und auch an zwei Orten "pflegen" müsste. Zudem könnte es dann in dieser Konstellation sein, dass RC den Login erlaubt, der Mailserver aber niet sagt z.B. weil das PW in der DB des Rc nicht mit dem PW in der DB des Mailservers übereinstimmt. Letztlich entscheidet immer der Mailserver ob du rein darfst oder nicht. Und dem Webserver (RC) erlauben auf die Userdatenbank des Mailservers zuzugreifen halte ich für sicherheitstechnisch bedenklich.
imho würde es am besten klappen wenn RC seine eigenen Logs auswertet und dann die IPs sperrt für welche zu häufig negative Loginresultate vom Mailserver erhalten haben. Dazu müsste aber Synology den RC patchen. Es gibt im RC afaik einen Hook login_failed dort könnte Synology den Autoblock irgendwie anhängen. Weil nur RC kennt die echte IP, in den Logs des Mailservers ist in diesen Fällen immer nur 127.0.0.1 drin

 

[harders]

Hallo zusammen

Wollte noch sagen, mir ist die grundlegende Technik von MAIL, IMAP, POP und und und, alles bestens bekannt ist. Das einzige, was mir nicht bekannt ist, bzw. was ich noch nicht ausprobiert habe,
wie das in der Software umgesetzt und gelöst ist.

Und was hier auch noch angesprochen wurde. Es macht durchaus Sinn, von extern die Mails abzuholen und bei dich zentral zu haben.

1. ich habe zu Hause mehr Platz als beim Provider
2. der Provider bietet vielleicht kein IMAP
3. ich will von verschiedenen Geräten auf die Mails zugreifen (Pad und Smartphone)
4. Das empfangen und versenden von Mails geht schneller (für den Client), der Mailclient versendet das Mail mit z.b. einen 15MB Anhang auf das Synology und ist dann schneller fertig, weil es lokal ist. Das Synology versendet danach die 15MB übers Internet. Dasselbe mit dem emfangen.



Gruss
Jürg

 

[jan_gagel]

Hallo,

aufgrund von diesem Faden hier hab ich das Ganze auch mal auf meiner "Spielwiese" umgesetzt. Funktioniert soweit ganz gut, was mir aber etwas aufstößt, ist die Tatsache daß die hier aufgezeigte Möglichkeit nur für den Empfang funktioniert. Senden muß man dann immer (via roundcube oder auch von jedem xbeliebigen Client aus) direkt zum SMTP-Server des Providers.

Das Schöne an einem internen Mailserver ist doch, daß man damit die EMails auch intern schnell zustellen kann und nicht den nächsten pop-Abruf abwarten muß. Von der Internet-Geschwindigkeit abgesehen.

EMails nach extern, wenn sie über den lokalen Mailserver verschickt werden, gehen auch schneller, bzw. bekommt der Client schneller eine Rückmeldung und der Server verschickt das Ganze.

So, hat man jetzt eine eigen Domain für Homepage und EMail, kann man ja einen Smarthoster / SMTP-Relay eintragen und ihn über eine globale Adresse (z. B. info@ oder email@) authentifizieren. Bei mir in der Firma werden so von allen Benutzern EMails mit ihren eigenen Namen und der Authentifizierung der info-Adresse versendet. Vorteil ist, daß man nicht für jeden EMail-Benutzer pop3 UND smtp pflegen muß.

Dies könnte mit dem Synology Mailserver auch so klappen. Habe ich jetzt aber bei einem Provider (z. B. web.de, gmx.de, hotmail.com) drei oder vier Adressen (ich meine jetzt drei oder vier Personen auf meiner DiskStation), kann man nicht über den SMTP-Relay senden. Denn wenn ich mit meiner Adresse mit gegenüber dem SMTP-Relay (z. B. bei web.de) authentifiziere, kann meine Freundin mit ihrem Namen nix schicken.

Also muß man in roundcube entweder den SMTP-Server vom Provider direkt eintragen (um eben aus rc raus senden zu können) oder aber im Mail-Client den Provider anstelle der DS eintragen.

Schön wäre es, wenn man im Mail-Server zwei Tabellen hätte, eine für den POP3-Empfang (Benutzer, POP3-Server, Postfach-lokal) und eine für den SMTP-Versand (Benutzer gegenüber SMTP-Server Provider). Dann wäre nämlich das außenrum-konfigurieren via roundcube und pop3 und smtp zum provider anstelle lokaler smtp, besser gelöst.

Was meint ihr dazu? Wenn richtiger Mailserver mit SMTP-Relay, dann schon richtig. Denn von dynamischen IPs versentete Mails landen ja so gut wie immer im Spam-Ordner, wenn sie die Provider überhaupt annehmen. Also ist die Lösung von Synology eben zwar ein "richtiger" Mailserver, trotzdem aber nur halb umgesetzt, da die meisten Firmen wohl eher POP3-Abruf und SMTP-Relay verwenen, oder nicht?

Ciao Jan

 

[jahlives]

ich würde es so machen: dem RC sagen, dass die DS zum Versand verwendet werden soll und dann die Postfix Konfig so anpassen dass der korrekte zum Absender passende Relay Server verwendet wird. Weiss aber ned ob das via DSM resp RC auch zu machen ist. Postfix kann pro Sender unterschiedliche Relays und Logins verwenden. Im Wiki haben wir dazu sicher mehr

 

[Puppetmaster]

Danke, Jan, für deine ausführliche Darlegung. Ich muß sagen, ich kann dir da nur zustimmen.
Nach ein paar Tagen herumspielen mit Roundcube und dem bordeigenen Mailserver der DS komme ich zu folgenden Schlüssen:
Es ist ganz angenehm, mit dem Mailclient auf diversen PCs per IMAP auf den Server zugreifen zu können und an jedem Rechner einen gleichen Stand zu haben. Auch das Versenden aus dem Client heraus über den Mailserver geht so wesentlich flotter als wenn man den Weg direkt zum Provider wählt. Die DS dient dazu als Puffer, gute Sache soweit. Allerdings merke ich auch, daß ein einzutragender SMTP-Relay im Mailserver nicht ausreichend ist. Das muß, wie in jedem Mailclienten inkl. Roundcube ja auch realisiert, Senderabhängig geregelt sein, so daß zu jedem Absender auch ein eigener Relay existiert. Ich habe z.B. diverse Mail-Konten für unterschiedliche Zwecke. Rein über Thunderbird gesteuert kann ich hier jeweils den Absender wählen, den ich gerade benötige. Gut, das geht jetzt auch noch, aber nur bei einem Absender geht der Weg über den Mailserver, bei den anderen geht die Mail direkt an den Provider. Das ist schon etwas unschön, bzw. nicht zu Ende gedacht.
Im Wiki habe ich nun flüchtig überflogen, daß es wohl die Möglichkeit gibt, mehrere Relays zu hinterlegen, das muß ich mir allerdings noch einmal ansehen, denn ganz klar ist mir das noch nicht. - Würde der Versand der Mails in diesem Fall denn auch vom Mailserver der DS protokolliert? So wie das jetzt mit dem einen Relay schon geht?

Dann habe ich noch eine andere Schwierigkeit, die in meinen Augen keinen Sinn ergibt: möchte ich aus Roundcube eine Mail über den Mailservers senden, so bekomme ich immer einen smtp Fehler (-1). Unter den Einstellungen in RC habe ich beim SMTP-Servereinstellungen den Mailserver der DS eingetragen. In den POP3-Einstellungen in RC gibt es ja unter Optionen auch immer einen zugehörigen SMTP-Eintrag, also die Verknüpfung von Mailadresse zu SMTP-Server (so wie es m.E. eigentlich im Mailserver der DS sein müßte). Wenn ich nun bei einem POP3-Konto in RC den Mailserver der DS als SMTP-Server auswähle, dann läßt sich über die zugehörige Mailadress in RC keine Mail mehr versenden! Es kommt immer ein SMTP Fehler (-1). Ich habe das natürlich mit einer Adresse versucht, die auch zum im Mailserver eingetragenen Relay gehört. Ich verstehe einfach nicht, warum das nicht geht.

Versteht bis hierher noch einer was ich sagen möchte?

 

[jan_gagel]

@puppetmaster:
ja, ich verstehe, was du meinst. Wie ich schon geschrieben hab, klappt das mit einem SMTP-Relay bei einem Provider, bei dem man eine ganze Domain hat und dort selbst die Mailboxen anlegt und quasi über eine globale Adresse den SMTP-Versand authentifizieren kann.

Meiner Meinung nach wäre es wirklich schön, wenn man im Mailserver direkt für jeden Mail-User dessen pop3-Server und SMTP-Server incl. Authentifizierung eintragen kann. Dann braucht man für die eigentliche Mailserver-Funktion auch keine MailStation alias roundcube nicht mehr. Wenngleich roundcube trotzdem interessant ist, wenn grad mal kein Mailclient zur Verfügung steht.

Oder man tätigt die pop3-Einstellungen und SMTP-Einstellungen gleich in der Systemsteuerung / Benutzer. Denn dort wird die EMail-Adresse ja schon eingetragen.

Was mir auch etwas komisch aufgestoßen ist, beim Testen eben, die DS nimmt als Mailserver-Adresse den dyndns-Eintrag, welcher ja von innen nicht erreichbar ist. Also läuft die SMTP-Anfrage von roundcube ins Nirvana. Ich hab das mal geändert und den internen Namen der DS (ds210j) eingetragen, welcher bei mir via DNS aufgelöst wird. Aber das funktioniert auch nicht, denn das ist ja keine Domain.

Deine Beobachtung mit dem SMTP-Fehler -1 hab ich auch erlebt, wenn ich einen SMTP-Relay eingetragen hab.

Ich hab mal versucht, das alles in englisch gepackt an den Syno-Support zu schicken. Bin mal gespannt, was die da schreiben. Ich hab auch geschrieben, daß Mails von dynamischen IPs bei den meisten Providern ignoriert werden, deshalb ist eine Relay-Lösung, die jeden User selbst authentifiziert eben besser, als nur einen globalen Relay einzutragen.

 

[Puppetmaster]

Noch was Grundsätzliches zu IMAP:

Lokal, bei mir zu Hause, ist es eine schöne Sache auf alles Rechnern den selben Stand zu haben. Aber meine Überlegung ist jetzt: was mache ich, wenn ich mit dem Notebook das Haus verlasse und in fremden Netzen arbeiten muß/will? Dann müßte ich doch, um IMAP auch aus dem Fremdnetz nutzen zu können, mindestens mal einen,eher zwei weitere Ports bei mir zu Hause öffnen (25, 143 z.B.). Ist das eine sichere Sache?
Klar jetzt kommt wieder jemand mit VPN. Prinzipiell ok, aber die Erfahrung zeigt mir doch, daß VPN noch lange nicht aus jedem Netz heraus funktioniert, daher ist das immer nur eine mögliche Lösung, aber kein Allheilmittel.
Daher muß ich dann wohl oder übel noch den parallelen Weg vom Client über POP3 und eigenem SMTP Eintrag gehen - eben so wie vorher auch.
Oder übersehe ich etwas?

Deine Beobachtung mit dem SMTP-Fehler -1 hab ich auch erlebt, wenn ich einen SMTP-Relay eingetragen hab.

Du schreibst leider nicht, ob du das lösen konntest, oder ob das bei dir auch generell nicht funktioniert(e). Letzteres wäre ja ein echter Bug, der das MailStation-Paket ein bißchen ad absurdum führt. Wieso handelt Synology da nicht? Bzw. wieso taucht das Thema hier im Forum nicht auf? Hab zumindest nix dazu gefunden.

 

[jahlives]

entweder die IMAP Ports öffnen und weiterleiten (143 und/oder 993) oder VPN benutzen

 

[Puppetmaster]

entweder die IMAP Ports öffnen und weiterleiten (143 und/oder 993) oder VPN benutzen

Ok, dann lag ich ja richtig.
Da VPN ja aus o.g. Gründen nicht der Königsweg ist: wie sicher ist das Öffnen der Ports? Ich kann das schwer einschätzen.

 

[jahlives]

es hängt vom Dienst ab wie sicher das ist. Zusätzlich von der Qualität deiner Passworte/Logins
Dovecot gilt als ziemlich sicher und wird sehr häufig eingesetzt.

 

[h1bast]

Genau,
hin und wieder versucht mal ein kleiner Chinese oder Russe sich in den Mailserver zu hacken, aber dank Fail2Ban sind die nach drei Versuchen auch schon wieder gesperrt .

h1

 

[jan_gagel]

@Puppetmaster:
Das mit dem SMTP-Fehler bei eingetragenem Relay, das Problem konnte ich noch nicht lösen. Entweder funktioniert dann die MailStation an sich nicht mehr, oder man muß dort ebenfalls den SMTP vom Provider eintragen.

Zu deinem Problem mit dem IMAP und den Ports. Wenn du in einem abgeschotteten Netz bist, wo kein VPN nach außen (zu dir) geht, könnte es auch sein, daß IMAP und SMTP nicht funktioniert. Meist haben bei größeren Firmen nur die Mail-Server direkten Zugang zum Netz und das "normale Surfen" geht über einen Proxy (z. B. Squid), wo nur Port 80 und 443 funktionieren. Manchmal könnte sogar FTP funktionieren, aber weitere Ports sind bestimmt oft gesperrt. Müßtest du höchstens mal testen, ob es funktioniert.

@h1bast:
gut zu wissen, daß die automatische Blockierung auch bei SMTP und Co. funktioniert.

 

[Puppetmaster]

hin und wieder versucht mal ein kleiner Chinese oder Russe sich in den Mailserver zu hacken, aber dank Fail2Ban sind die nach drei Versuchen auch schon wieder gesperrt .

Zumindest bei der Mailstation gilt das aber nicht. Dort werden keine IPs bei fehlgeschlagenen Anmeldeversuchen gesperrt.
Wie soll das beim Mailserver gehen?

 

[Puppetmaster]

Zu deinem Problem mit dem IMAP und den Ports. Wenn du in einem abgeschotteten Netz bist, wo kein VPN nach außen (zu dir) geht, könnte es auch sein, daß IMAP und SMTP nicht funktioniert.

Nein, so ist das nicht. Das beste Beispiel der letzten Zeit: 3 Wochen Hotelurlaub mit WLAN-Zugang. Keine erkennbaren Einschränkungen im Netz ausser VPN. Ich konnte keine Verbindung nach Hause aufbauen. (s)ftp etc. ging alles.
Und sowas findet man eben doch häufiger mal. Von daher ist VPN gut und schön, aber für den mobilen Einsatz, wo man auf wechselnde Netze angewiesen ist eben nur bedingt brauchbar.

Das mit dem SMTP-Fehler bei eingetragenem Relay, das Problem konnte ich noch nicht lösen.

Dann ist das doch ein Bug!? Was für einen Sinn sollte es machen, in der MailStation nicht den (zugehörigen) MailServer als SMTP zu wählen?
Wenn ich Zeit finde, mache ich dazu mal ein Ticket auf.

 

[h1bast]

@h1bast:
gut zu wissen, daß die automatische Blockierung auch bei SMTP und Co. funktioniert.

Äähh... nö, Fail2Ban ist nicht die automatische Blockierung, sondern ein extra Tool.

h1

 

[h1bast]

Zumindest bei der Mailstation gilt das aber nicht. Dort werden keine IPs bei fehlgeschlagenen Anmeldeversuchen gesperrt.
Wie soll das beim Mailserver gehen?

Schrieb ich doch: Fail2Ban.

h1

 

[jahlives]

Dazu habe ich einen Beitrag in meinem Wiki: http://syno.brain-force.ch/fail2ban_installieren
Wollte den auch in den Blog hier im forum stellen, aber leider fetzt die Forensoftware bestimmte Tags wieder raus. Werde es aber dann mal noch in unserem Wiki probieren, ob mir der Code dort auch verändert wird.
@Marc
ich kanns ja verstehen, wenn das Forum Tags im Text selber raushaut. Aber wenn das selbst innerhalb von Code-Tags passiert finde ich das ziemlich unpraktisch. Kannst du da was machen?

 

[Vertiefer]

Hallo noch einmal in die Runde, es ist schön, dass sich dieses Thema so entwickelt hat hier und das sich einige doch sehr intensive Gedanken damit / darüber machen.

Ich habe mal ein wenig die Beiträge verfolgt ;o) auch wenn ich ein paar Tage jetzt nichts schreiben konnte doch was ich vielleicht noch einmal hier benennen will:

@jahlives – man-oh-man, da ist „bissl“ Potential da – danke für die ausführliche Unterstützung – Veto weiter unten

@Puppetmaster – nur wer probiert – kanns richten ;o) aber nein allen Ernstes ich denke, dies Probleme habe ich nicht – Veto weiter unten

@harders – ein schöner konstruktiver Abriss – besser hätte ich es auch nicht beschreiben können

Ich möchte noch einmal in den Raum werfen warum ich diese in der anfänglich dargestellten Anleitung benannte Lösung gewählt habe und damit auf die Veto's auch eingehen.

Ziel meiner Übung ist 2 Notebooks (zu Hause) per WLAN an einem Speedport verbunden und eine NAS (Synology 112) miteinander reden zu lassen. Dabei möchte ich alle Mails für die im Haushalt lebenden Personen von diversen Account abholen und in einer E-Mail zusammenfügen (Roundcube) und letztlich dem eigentlichem Benutzer unter Windows 7 mit Thunderbird zur Verfügung stellen.

Ich möchte keine Domain!!! Kein öffentlichen Zugriff, habe keine Variante am laufen, wie NO-IP oder sonst was - sondern einfach nur einsammeln.

Richtig hier muss ich also in Thunderbird selbst an den jeweiligen Konten ein SMTP hinterlegen, wenn ich darüber senden will (separat). Will ich nur über einen SMTP versenden, weil ich nur z.B. über einen versenden will / kann oder was auch immer, dann muss ich ein Konto im TB anlegen. Will ich das für jedes E-Mail – Konto einzeln haben und darüber versenden, dann ist der Aufwand höher weil ich für jedes Konto auch ein entsprechendes Gegenkonto des SMTP benötige.

Wann macht dies eventuell mehr Sinn: z.B. eine Firma mit 10 Leuten im Support und alle mit unterschiedlichen realen E-Mails sollen über ein und die selbe E-Mail SMTP versenden – von mir aus support@firma.de. Hier liegt der Sinn ein wenig Nahe – wobei dies sicher keine Geschäftslösung ist. Ansonsten finde ich wie oben beschreiben die Auflistung von Jürg sehr sinn-voll, wenn man weitere Argumente benötigt.

Auf dem Server (Synolgy) selbst hätte ich somit eine komplette Version meiner Daten, diese welche ich nach belieben sichern – spiegeln oder extern auslagern kann, da gibt es ja nun einige Ansätze.

Local auf den einzelnen PC könnte ich auch noch ein Backup verfolgen, wenn ich dies wollte, doch dies lass ich derzeit nicht mit reinlaufen.

Meine Synology ist von außen nicht erreichbar – da sie ein lokal IP in meinem Netz hat und auch nicht den ganzen Tag an ist ;o). D.h. für den normalen Angreifer werde ich nicht leicht zu finden sein – meine Routerfirewall sollte den Rest übernehmen, da ich hier nix freigeschalten habe oder Port – geforwardet habe.

Übrigens sitze ich jetzt gerade euphorisch bei meinem Freund mit Linux / Debian – Umgebung + TB und hier funktioniert die ganze Problematik nicht so, wie in meiner Anleitung oben dargestellt. Also da knallt es schon eher.

Ich werde -so denke ich- nach Weihnachten noch einmal meine aktuellen Erfahrungen in ein Schriftstück packen und hier posten.

Ach so - ich wünsche (auch wenn es hier nicht hingehört) allen die dem Beitrage folgen aber besonders, denen die sich hier richtig engagieren ein wunderschönes Weihnachtsfest!!!

MFG Vertiefer

 

[jahlives]

Richtig hier muss ich also in Thunderbird selbst an den jeweiligen Konten ein SMTP hinterlegen, wenn ich darüber senden will (separat). Will ich nur über einen SMTP versenden, weil ich nur z.B. über einen versenden will / kann oder was auch immer, dann muss ich ein Konto im TB anlegen. Will ich das für jedes E-Mail – Konto einzeln haben und darüber versenden, dann ist der Aufwand höher weil ich für jedes Konto auch ein entsprechendes Gegenkonto des SMTP benötige.

und genau hier kommt die Eleganz eines zentralen Mailservers zum Tragen ;-)
Du hinterlegst immer denselben SMTP und der entscheidet anhand des Absenders (nicht anhand des SMTP-Logins) über welchen Weg die Mail an den Empfänger kommt (Relay oder direct-mx). Der SMTP Login kann also immer derselbe sein und trotzdem können die Mails unterschiedlich "geroutet" werden.
Mir persönlich wäre es zu aufwändig jedesmal all meine Accounts neu einzurichten, wenn ich mal eine Kiste plattmachen musste. Mit dem eigenen Server muss ich dann nur einen Account auf dem Client einrichten und habe meine Mails. Zudem kann ich all meine externen Adressen als Absender benutzen und der Server schaut dann, dass die Mails über den korrekten Provider rausgehen (inkl Auth beim SMTP des jeweiligen Providers)

Klar erfordert das Einrichten des Servers einigen Aufwand. Zudem sind ein paar Sachen über den DSM einfach nicht zu machen und man muss sich mit den Konfigfiles anfreunden. Aber man gewinnt sehr viel Flexibilität und Komfort.
Man muss ja nicht unbedingt Ports dafür öffnen: solange man nur Mails via externe Server verschicken will, braucht man den Port 25 ned zu öffnen und wenn man ned von aussen auf die Mails zugreifen will dann brauchts auch die Ports für IMAP/POP3 ned offen. Notfalls gäbe es ja noch VPN, aber das wurde hier glaub schonmal erwähnt ;-)

Gruss

tobi

 

[Puppetmaster]

Deine Beobachtung mit dem SMTP-Fehler -1 hab ich auch erlebt, wenn ich einen SMTP-Relay eingetragen hab.

Kleine Erfolgsmeldung hier: wenn ich in Roundcube bei den Einstellungen zum SMTP nicht den im Mailserver hinterlegten Domainnamen (also z.B. mailserver.home) eingebe, sondern ganz einfach die lokale IP der DS, dann funktioniert es auch aus Roundcube heraus Mails über das Relay zu senden.