Ein paar Worte vorweg<\/strong><\/p>\n Einen Mailserver im Internet zu betreiben ist eine verantwortungsvolle Aufgabe. Arbeitet man hier nicht sorgf\u00e4ltig, schafft man leicht ein sogenanntes Open Relay<\/a>, welches sehr schnell als Spamschleuder missbraucht werden wird. Um genau dies zu verhindern, muss man bei jedem Arbeitsschritt die Sicherheit des Systems im Hinterkopf behalten und die eigene Konfiguration permanent auf m\u00f6gliche Schwachstellen hin \u00fcberpr\u00fcfen.<\/p>\n Mit der Installation und Konfiguration ist es nicht getan. Der dauerhafte Betrieb eines Mailservers bringt einige wiederkehrende Aufgaben mit sich. Der Server ist regelm\u00e4\u00dfig zu warten. Sicherheitsupdates m\u00fcssen installiert werden, die verwendeten Dienste sollten stets auf die aktuellste Version aktualisiert werden und von Zeit zu Zeit sollte man die Logdateien auf ungew\u00f6hnliche Vorkommnisse hin \u00fcberpr\u00fcfen.<\/p>\n Diese Artikelreihe wird keine Schritt-f\u00fcr-Schritt Anleitung. Grundlegende Kenntnisse in Linux, der Arbeit in einem Terminal, der Nutzung eines Texteditors und der Umgang mit der Paketverwaltung werden vorausgesetzt. Auch solltet ihr in der Lage sein, euch eure eigene Domain zu shoppen. ;-)<\/p>\n Wer auf all dies keine Lust hat, h\u00f6rt am besten hier zu lesen auf. Allen anderen w\u00fcnsche ich viel Spa\u00df und Erfolg auf dem Weg zum eigenen Mailserver.<\/p>\n Wie ist diese Reihe aufgebaut?<\/strong><\/p>\n Dieser Artikel gibt eine Einf\u00fchrung in die E-Mail Terminologie. Anschlie\u00dfend gehe ich auf das verwendete Betriebssystem und die Dienste ein, welche zur Realisierung des Mailservers zum Einsatz kommen.<\/p>\n Die Links im Text f\u00fchren euch auf Seiten, die weiterf\u00fchrende Informationen zum verwendeten Begriff bieten. Die f\u00fcr diese Artikelreihe verwendeten Quellen werden als Fu\u00dfnoten am Ende des jeweiligen Artikels aufgef\u00fchrt. Ben\u00f6tigt ihr zur Durchf\u00fchrung einzelner Schritte weitere Informationen, so helfen euch diese Quellen weiter.<\/p>\n Die folgenden Artikel f\u00fchren durch die Tiefen der Konfiguration, der hier vorgestellten Rollen und Dienste und beschreiben, wie man sein System h\u00e4rtet, um es so gut wie m\u00f6glich vor Missbrauch zu sch\u00fctzen.<\/p>\n Ein Mailserver<\/a> ist kein einzelner Dienst. Vielmehr setzt sich ein Mailsystem aus unterschiedlichen Komponenten zusammen, die nicht einmal auf demselben Rechner laufen m\u00fcssen (und es bei gr\u00f6\u00dferen Installationen meist auch nicht tun).[2. Mailserver-Einf\u00fchrung<\/a>]<\/p>\n Diese Artikelreihe orientiert sich an der Terminologie aus der Mailserver-Einf\u00fchrung<\/a> im Wiki von ubuntuusers.de<\/a>. Die wichtigsten Begriffe m\u00f6chte ich hier wiedergeben.<\/p>\n F\u00fcr einen echten E-Mailserver ben\u00f6tigt man einen Server mit einer \u00f6ffentlichen IP-Adresse, welche im Internet geroutet wird. Hostingprovider, welche diese Server f\u00fcr eine monatliche Geb\u00fchr anbieten, findet man mit der Suchmaschine seiner Wahl reichlich im Netz.<\/p>\n Bei der Auswahl eines Hostingproviders kann man sich das erste Mal Gedanken \u00fcber die Sicherheit machen. Hier empfiehlt es sich auf einen Anbieter setzen, der sich nach dem internationalen Standard ISO 27001<\/a> zertifizieren l\u00e4sst. Diese Norm spezifiziert Anforderungen f\u00fcr die Implementierung geeigneter Sicherheitsmechanismen. So hosten z.B. auch Gro\u00dfbanken ihre Dienste in Rechenzentren, die sich an den Vorgaben der ISO 27001 orientieren.<\/p>\n Wenn man sich einen Root-Server sucht, sollte man au\u00dferdem darauf achten, dass der Provider neben der normalen IPv4 Adresse dem Server auch eine IPv6 Adresse spendiert. So stellt man von Anfang an sicher, dass der eigene Mailserver auch \u00fcber das neue IP-Protokoll erreichbar ist.<\/p>\n Als Betriebssystem f\u00fcr einen Linux Mailserver kann im Prinzip jede beliebige Linux-Distribution dienen, solange die im n\u00e4chsten Abschnitt genannten Pakete f\u00fcr die gew\u00e4hlte Distribution verf\u00fcgbar sind.<\/p>\n Aufgrund pers\u00f6nlicher Vorlieben habe ich mich f\u00fcr Ubuntu Server 14.04.1 LTS<\/a> entschieden. Diese Version verf\u00fcgt \u00fcber Long Term Support<\/a> und wird bis April 2019 mit Sicherheitsaktualisierungen versorgt.<\/p>\n Dar\u00fcber hinaus ist Ubuntu eine sehr beliebte Distribution, die bei fast allen Hostingunternehmen zur Verf\u00fcgung steht. Ubuntu stellt dabei ein Metapaket<\/a> bereit, welches es uns erm\u00f6glicht, z\u00fcgig und sicher ein vollst\u00e4ndiges Mailsystem aufzusetzen. Doch sp\u00e4ter mehr dazu.<\/p>\n Hat man seinen Root-Server bestellt und das Betriebssystem installiert, erfolgt der Zugriff darauf meist via SSH<\/a>. Der SSH-Dienst wird \u00fcber die Datei \/etc\/ssh\/sshd_config<\/strong> konfiguriert. Bei Ubuntu ist die Standardkonfiguration schon ganz akzeptabel und bei Verwendung eines starken Passworts<\/a> auch ausreichend sicher. Statt der Authentifizierung \u00fcber Benutzername und Passwort kann man sich alternativ auch via Pulbic-Key[3. Authentifizierung \u00fcber Public Keys<\/a>] authentifizieren. Damit ist man selbst vor dem unwahrscheinlichen Fall gesch\u00fctzt, dass jemand das verwendete Passwort err\u00e4t.<\/p>\n Dar\u00fcber hinaus werden noch einige Optionen in der \/etc\/ssh\/sshd_config<\/strong> wie folgt gesetzt (Erkl\u00e4rung siehe Kommentar im Code):<\/p>\n Anschlie\u00dfend nicht vergessen, die ge\u00e4nderte Konfiguration neu zu laden.<\/p>\n Auf dem Server l\u00e4uft au\u00dfer dem OpenSSH-Server noch kein weiterer Dienst. Ob dies so ist, kann man mit dem Kommando netstat<\/em> \u00fcberpr\u00fcfen, welches folgende Ausgabe liefern sollte:<\/p>\n Ok. Damit ist der Root-Server soweit, dass er nur auf SSH-Verbindungen wartet und diese nur akzeptiert, wenn sich ein autorisierter Benutzer mittels publickey authentifiziert.<\/p>\n Der SSH-Dienst ist ein beliebtes Ziel f\u00fcr Brute-Force-Angriffe. Um auch f\u00fcr diese ger\u00fcstet zu sein und den Server im Fall einer Attacke etwas zu entlasten, kann man noch zus\u00e4tzlich das Paket fail2ban<\/em><\/a>[4. Manual Fail2Ban 0.8<\/a>] installieren. Mit diesem Paket ist es m\u00f6glich, Brute-Force-Angriffe zu erkennen und die IP-Adresse des oder der Angreifer f\u00fcr eine gewisse Zeit zu blockieren. Hierzu setzt fail2ban<\/em> automatisch die ben\u00f6tigten iptables-Regeln.<\/p>\n Neben dem Betriebssystem ben\u00f6tigt man noch eine ganze Reihe weiterer Dinge. Da sind<\/p>\n All diese Dienste gilt es zu h\u00e4rten und abzusichern. Die Kommunikationsverbindungen werden mit SSL\/TLS gesichert. F\u00fcr die eigene Maildomain werden DKIM<\/a> und SPF<\/a> konfiguriert.<\/p>\n Und ganz am Ende haben wir nicht nur einiges \u00fcber Linux und die Absicherung von Diensten im Internet gelernt, sondern sind ebenfalls im Besitz unseres eigenen Mailservers.<\/p>\n Bevor es jetzt weitergehen kann, m\u00fcssen die beiden folgenden Voraussetzungen erf\u00fcllt sein:<\/p>\n Hat man sich bei der Wahl des Betriebssystems f\u00fcr Ubuntu entschieden, hat man es jetzt leicht. Denn hier gibt es ein Metapaket, welches postfix<\/em> und dovecot<\/em> in einem Rutsch installiert und beide Anwendungen so konfiguriert, dass sie miteinander spielen m\u00f6gen. Dazu f\u00fchrt man folgenden Befehl aus.<\/p>\n Nach einem kleinen Augenblick erscheint ein Bildschirm, der dazu auffordert, zu entscheiden, ob man ein selbstsigniertes SSL-Zertifikat f\u00fcr Dovecot nutzen m\u00f6chte oder nicht.<\/p>\n Konfiguriere dovecot-core: Wollen Sie ein selbstsigniertes SSL-Zertifikat erstellen?<\/p><\/div>\n F\u00fcr eine reine Testumgebung reicht ein selbstsigniertes Zertifikat aus. M\u00f6chte man den Server mit eigener Domain im Internet betreiben, w\u00e4hlt man hier lieber „No“. In Teil 2 dieser Artikelreihe werde ich noch darauf eingehen, wie man an ein SSL-Zertifikat kommt, dem die g\u00e4ngigen Browser und Betriebssysteme vertrauen.<\/p>\n Einen Moment sp\u00e4ter erscheint eine Konfigurationsabfrage zu Postfix. Hier w\u00e4hlt man die Option „Internet Site“ aus, um sp\u00e4ter im Internet E-Mails senden und empfangen zu k\u00f6nnen.<\/p>\n Postfix Configuration: Internet Site<\/p><\/div>\n Der n\u00e4chste Konfigurationsdialog fordert dazu auf, den Domain-Namen des E-Mailsystems anzugeben. Hier wird der Name der eigenen Domain eingetragen. M\u00f6chte man den Server ausschlie\u00dflich in einer Testumgebung im lokalen LAN betreiben, kann man hier auch so etwas wie testdom.local eintragen.<\/p>\n Postfix Configuration: System-E-Mail-Name<\/p><\/div>\n Anschlie\u00dfend l\u00e4sst man die Installation bis zu Ende durchlaufen.<\/p>\n Weiter geht es in Teil 2 dieser Artikelreihe. Dort werde ich beschreiben, wie man ein SSL\/TLS Zertifikat bekommt sowie wo und wie die Namen und Kennw\u00f6rter von E-Mail Benutzern samt der zugeh\u00f6rigen Postf\u00e4cher gespeichert werden. Am Ende von Teil 2 ist das Mailsystem schon fast voll funktionsf\u00e4hig. Doch ich bin noch lang nicht fertig.<\/p>\n Denn es fehlt noch an AntiSpam, AntiVirus, Filter-Regeln, DKIM, SPF und unser Webmailer Roundcube. Also bleibt dran, es gibt noch viel zu entdecken.<\/p>\n","protected":false},"excerpt":{"rendered":" Wie man den eigenen Mailserver mit eigener Domain m\u00f6glichst sicher im Internet betreibt wird Gegenstand einer kleinen Artikelreihe sein. Die Idee dazu kam mir, nachdem ich eine englischsprachige Artikelreihe zum Thema auf ars technica gelesen habe.[1. Hutchinson, Lee (17.02.2014). How to run your own e-mail server with your own domain, part 1: Gmail? Apple? The [Weiterlesen…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_metis_text_type":"","_metis_text_length":0,"_post_count":0,"footnotes":""},"categories":[51],"tags":[280,75,275,58,278,277,279,305,276,230,35,37,231,60],"class_list":["post-852","post","type-post","status-publish","format-standard","hentry","category-linux","tag-dovecot","tag-e-mail","tag-imap","tag-linux","tag-mda","tag-mta","tag-mua","tag-planet","tag-pop3","tag-postfix","tag-server","tag-sicherheit","tag-smtp","tag-ubuntu"],"_links":{"self":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/852","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/comments?post=852"}],"version-history":[{"count":24,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/852\/revisions"}],"predecessor-version":[{"id":955,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/852\/revisions\/955"}],"wp:attachment":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/media?parent=852"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/categories?post=852"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/tags?post=852"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Die Terminologie<\/h2>\n
\n
Der Server – Das Betriebssystem<\/h2>\n
# Niemand kann sich direkt als root einloggen.\r\nPermitRootLogin no\r\n# Nur die hier aufgef\u00fchrten Benutzer d\u00fcrfen sich einloggen.\r\nAllowUsers JohnDoe JaneDoe\r\n# Hiermit wird die Anmeldung mit Benutzername und Passwort deaktiviert.\r\nPasswordAuthentication no \r\n<\/pre>\n
john@server:~$ sudo netstat -tulpen\r\nActive Internet connections (only servers)\r\nProto Recv-Q Send-Q Local Address Foreign Address State User Inode PID\/Program name\r\ntcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 150403263 1527\/sshd \r\ntcp6 0 0 :::22 :::* LISTEN 0 150403265 1527\/sshd \r\njohn@server:~$\r\n<\/pre>\n
Was wird sonst noch ben\u00f6tigt?<\/h3>\n
\n
\n
Und ab daf\u00fcr<\/h3>\n
:~$ sudo apt-get install mail-stack-delivery\r\n<\/pre>\n
![\"Konfiguriere](\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2014\/12\/dovecot-core-800x627.png\")
<\/a>![\"Postfix](\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2014\/12\/postfix-configuration-800x627.png\")
<\/a>![\"Postfix](\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2014\/12\/system-e-mail-name-800x627.png\")
<\/a>