lokaler mailserver für mehrere externe accounts.

[Kay Martinen]

Hallo Gruppe

Ich will nun endlich (wieder) einen lokalen Linux-Mailserver einrichten
der ein paar externe Mailkonten per fetchmail abholen soll (nun ja wohl
verschlüsselt) diese lokal per IMAP vorhalten soll und idealerweise
ausgehende Mail auch verschlüsselt an den Provider sendet. Dabei habe
ich mehrere eigene Domains mit je einem Konto, eine mit mehreren und
zwei andere konten bei jew. anderen Diensten.

Von früher kenne ich exim, weiß aber aktuell nicht ob der mit mehreren
Domänen klar kommt, also wäre Postfix wohl die alternative.

Zusätzlich soll dort havp o.ä. und spamassassin laufen. Und 1-x
Virenscanner. Wenn es eine Webmin-artige Oberfläche für die
Alltags-Wartung gäbe wäre das optimal. Versucht habe ich bisher Zentyal,
aber das finde ich zu wackelig und einschränkend. Und, es wollte mir
nicht gelingen dort erfolgreich Mails ab zu holen.

Mit Postfix bin ich aber gar nicht vertraut und überblicke dessen
virtuelle Domains noch nicht so recht.

Als OS soll Debian oder Ubuntu 12 Server dienen und als Hardware ein HP
Proliant.

Generell möchte ich die Mails auf meinem Server lieber nach Konto und
Domain getrennt halten und da lieber in einem maildir im jeweiligen
Homedir, statt alles unter /var. Ich weiß nicht so recht auf welchem
Wege man welchem MTA das einfacher beibringen kann.

Lokal will ich die Mails mit Thunderbird oder irgend einem anderen
Programm von Win oder Linux aus lesen.

Die offenen Fragen die ich habe sind dabei:

Kann man bei beiden MTA für jeden einzelnen User einen getrennten
smarthost festlegen, und wie? Bei Exim (3?) hab ich es nicht gefunden.

Kann man zusätzlich evtl.. für eine Domain einen smarthost einrichten
der bei einer ausgehenden Mail von User x auf die credentials von User x
bekommt? Und ebenso für User y, User z u.s.w. Oder geht das nur auf dem
obigen wege?

Weiter frage ich mich ob es Sinn macht z.b. die admin-Accounts aller
Domänen in ein lokales Konto zusammen zu führen. Ich hatte immer
Schwierigkeiten bei antworten die dann mit der richtigen
Absender-Adresse heil durch den MTA durch zu bekommen. Da fehlt mir
entweder ein kniff, es geht nicht, nicht sauber oder exim konnte das vor
Jahren (noch?) nicht.

Das gleiche würde ich gern für private Mail nutzen, wenn es klappt, dort
aber dann mit User@dom1 userx@dom2 und usery@dom3.

Eine frühere Installation mit exim und uwimapd hat dank exim-config fast
out of the box funktioniert, darum bin ich mit dem internen datenfluß
noch nicht so gut vertraut. Deswegen vielleicht ne blöde frage aber:
Brauche ich einen LDA und wenn, wozu genau? Wo klingt sich da z.b.
procmail ein - wenn ich es zum vor sortieren benutzen wollte.

Welcher imap-server macht am wenigsten Probleme mit den üblichen
Mailprogrammen und bietet zugleich sinnvolle Funktionen damit der MUA
nicht so viel ackern muss. uwimapd hat m.w. quasi keine Konfiguration.
Dovecot höre ich öfter in Verbindung mit postfix... gibt es bessere?

Mir ist bei der Einrichtung wichtig das es eine solide Basis bleibt,
ohne frickellösungen, eigencompilate oder anpass-scripte und das es erst
mal ohne eigene Datenbank oder ldap-verz. aus kommt. Ich bevorzuge
Textdateien für diese Konfiguration. Es wäre aber super wenn die
Möglichkeit geboten ist später auf eine Datenbank um zu stellen, evtl.
sukzessive oder mit migrations--Hilfen.

Das wären erstmal im Groben die offenen Punkte. Für Hilfestellungen,
Tips zu guten HowTos oder Vorschlägen danke ich schon mal.

Kay

[Matthias Taube]

Am 01.04.2014 04:33, schrieb Kay Martinen:

> Ich will nun endlich (wieder) einen lokalen Linux-Mailserver einrichten
> der ein paar externe Mailkonten per fetchmail abholen soll (nun ja wohl
> verschlüsselt) diese lokal per IMAP vorhalten soll und idealerweise
> ausgehende Mail auch verschlüsselt an den Provider sendet. Dabei habe
> ich mehrere eigene Domains mit je einem Konto, eine mit mehreren und
> zwei andere konten bei jew. anderen Diensten.

Ich mache das mit exim, fetchmail, dovecot

dann noch spamassassin, clamav, procmail sowie roundcube als Webmailer

> Generell möchte ich die Mails auf meinem Server lieber nach Konto und
> Domain getrennt halten und da lieber in einem maildir im jeweiligen
> Homedir, statt alles unter /var. Ich weiß nicht so recht auf welchem
> Wege man welchem MTA das einfacher beibringen kann.

Das kannst Du exim bei der Debian-Standardinstallation beibringen.

> Kann man bei beiden MTA für jeden einzelnen User einen getrennten
> smarthost festlegen, und wie? Bei Exim (3?) hab ich es nicht gefunden.

Ich mache das beim Exim4, das Bedarf aber einiger Anpassungen in der
Konfiguration.

> Brauche ich einen LDA und wenn, wozu genau? Wo klingt sich da z.b.
> procmail ein - wenn ich es zum vor sortieren benutzen wollte.

Procmail kannst Du sowohl beim Fetchmail als auch beim Exim einklinken.

> Welcher imap-server macht am wenigsten Probleme mit den üblichen
> Mailprogrammen und bietet zugleich sinnvolle Funktionen damit der MUA

Da hat jeder seine eigenen Präferenzen. Ich bin halt mit Dovecot sehr
zufrieden.

> Mir ist bei der Einrichtung wichtig das es eine solide Basis bleibt,
> ohne frickellösungen, eigencompilate oder anpass-scripte und das es erst
> mal ohne eigene Datenbank oder ldap-verz. aus kommt. Ich bevorzuge

Ich komme ohne Datenbank, ldap und Eigencompilate aus. Aber die
Konfiguration wirst Du wohl immer mehr oder weniger anpassen müssen.

[Frank Elsner]

On 01.04.2014 20:20, Matthias Taube wrote:
> Am 01.04.2014 04:33, schrieb Kay Martinen:
>
>> Ich will nun endlich (wieder) einen lokalen Linux-Mailserver einrichten
>> der ein paar externe Mailkonten per fetchmail abholen soll (nun ja wohl
>> verschlüsselt) diese lokal per IMAP vorhalten soll und idealerweise
>> ausgehende Mail auch verschlüsselt an den Provider sendet. Dabei habe
>> ich mehrere eigene Domains mit je einem Konto, eine mit mehreren und
>> zwei andere konten bei jew. anderen Diensten.
>
> Ich mache das mit exim, fetchmail, dovecot

fetchmail will man nicht. Da gehen die Envelopes verloren.

Ein richtiger Mail-Server holt die Mails nicht ab, er bekommt sie.

[ ... ]

>> Brauche ich einen LDA und wenn, wozu genau? Wo klingt sich da z.b.
>> procmail ein - wenn ich es zum vor sortieren benutzen wollte.
>
> Procmail kannst Du sowohl beim Fetchmail als auch beim Exim einklinken.

Der exim kann's sogar selber machen.

>> Welcher imap-server macht am wenigsten Probleme mit den üblichen
>> Mailprogrammen und bietet zugleich sinnvolle Funktionen damit der MUA
>
> Da hat jeder seine eigenen Präferenzen. Ich bin halt mit Dovecot sehr zufrieden.

+1

Gruß, Frank

[Matthias Andree]

Am 02.04.2014 15:13, schrieb Frank Elsner:
> On 01.04.2014 20:20, Matthias Taube wrote:
>> Am 01.04.2014 04:33, schrieb Kay Martinen:
>>
>>> Ich will nun endlich (wieder) einen lokalen Linux-Mailserver einrichten
>>> der ein paar externe Mailkonten per fetchmail abholen soll (nun ja wohl
>>> verschlüsselt) diese lokal per IMAP vorhalten soll und idealerweise
>>> ausgehende Mail auch verschlüsselt an den Provider sendet. Dabei habe
>>> ich mehrere eigene Domains mit je einem Konto, eine mit mehreren und
>>> zwei andere konten bei jew. anderen Diensten.
>>
>> Ich mache das mit exim, fetchmail, dovecot
>
> fetchmail will man nicht. Da gehen die Envelopes verloren.

Die Envelopes werden entweder beim IMAP-Server korrekt hinterlegt [1]
oder eben nicht. Dafür kann aber der IMAP-Client nichts. M. a. W.
Fetchmail ist nicht die Ursache für den Verlust der Envelopes.

[1] http://mandree.home.pages.de/mail/multidrop

>>> Brauche ich einen LDA und wenn, wozu genau? Wo klingt sich da z.b.
>>> procmail ein - wenn ich es zum vor sortieren benutzen wollte.
>>
>> Procmail kannst Du sowohl beim Fetchmail als auch beim Exim einklinken.
>
> Der exim kann's sogar selber machen.

Man will aus verschiedenen Gründen (Syntax, fehlende Fehlerbehandlung,
fehlende Pflege) kein procmail. Maildrop oder ggf. auch dovecot-lda
sind da eher zu empfehlen.

[Kay Martinen]

Am 02.04.2014 18:57, schrieb Matthias Andree:

> Die Envelopes werden entweder beim IMAP-Server korrekt hinterlegt [1]
> oder eben nicht. Dafür kann aber der IMAP-Client nichts. M. a. W.
> Fetchmail ist nicht die Ursache für den Verlust der Envelopes.

Ich benutze zwar akt. einen MUA der direkt den Provider-IMAP abfragt,
ich will das aber eigentlich so umbauen das Fetchmail vom provider mit
pop3 abholt, lokal einwirft und der MTA es im lokalen imap ablegt. Erst
von dort soll es dann per imap vom MUA gelesen werden.

> [1] http://mandree.home.pages.de/mail/multidrop

Ich habe einzelne konten die pop3 und imap können. Multidrop brauche ich
also nicht. Ich sehe darin für mich auch keine Vorteile, eher nachteile,
wie dort geschildert.

> Man will aus verschiedenen Gründen (Syntax, fehlende Fehlerbehandlung,
> fehlende Pflege) kein procmail. Maildrop oder ggf. auch dovecot-lda
> sind da eher zu empfehlen.

Procmail war von mir mehr als beispiel für "sortieren auf dem server"
genannt und optional. Ich meine das ich mich damit auch noch befassen
kann wenn das setup soweit steht.

Dann werde ich mir die genannten Alternativen mal ansehen. Danke.

Kay

[Erik Heinz]

* Frank Elsner wrote:
>
> fetchmail will man nicht. Da gehen die Envelopes verloren.

Nicht notwendigerweise. Es gibt workarounds.

> Ein richtiger Mail-Server holt die Mails nicht ab, er bekommt sie.

Ausnahme: ATRN

Gruß,
Erik

[Matthias Taube]

Am 02.04.2014 18:57, schrieb Matthias Andree:

> Man will aus verschiedenen Gründen (Syntax, fehlende Fehlerbehandlung,
> fehlende Pflege) kein procmail. Maildrop oder ggf. auch dovecot-lda
> sind da eher zu empfehlen.

Es ist halt so, dass jeder "man" andere Anforderungen hat und deshalb
auch zu anderen Empfehlungen kommt.

Bei mir werden aus bestimmten Gründen die von fetchmail abgeholten Mails
nicht über exim ausgeliefert, sondern über procmail. Die direkt per smtp
beim Exim eingeworfenen Mails werden unmittelbar vom Exim ins Maildir
sortiert.

[Bastian Blank]

Erik Heinz wrote:
> * Frank Elsner wrote:
>> fetchmail will man nicht. Da gehen die Envelopes verloren.
> Nicht notwendigerweise. Es gibt workarounds.

Sie meinten "Würgarounds"?

>> Ein richtiger Mail-Server holt die Mails nicht ab, er bekommt sie.
> Ausnahme: ATRN

Nein. Richtige Mail-Server bekommen Mails per SMTP, im Zweifel muss man
das halt stark authentifizieren oder tunneln.

Bastian

[Erik Heinz]

* Bastian Blank wrote:
>> Ausnahme: ATRN
>
> Nein. Richtige Mail-Server bekommen Mails per SMTP,

ATRN ist SMTP. Lies RFC 2645.

Gruß,
Erik

[Ulli Horlacher]

Bastian Blank <use...@waldi.eu.org> wrote:

> Nein. Richtige Mail-Server bekommen Mails per SMTP

Behaupten die, die erst spaet ins Internet kamen und nichts anderes mehr
kennen :-)


--
Ullrich Horlacher Informationssysteme und Serverbetrieb
Rechenzentrum IZUS/TIK E-Mail: horl...@tik.uni-stuttgart.de
Universitaet Stuttgart Tel: ++49-711-68565868
Allmandring 30a Fax: ++49-711-682357
70550 Stuttgart (Germany) WWW: http://www.tik.uni-stuttgart.de/

[Ignatios Souvatzis]

Ulli Horlacher wrote:
> Bastian Blank <use...@waldi.eu.org> wrote:
>
>> Nein. Richtige Mail-Server bekommen Mails per SMTP
>
> Behaupten die, die erst spaet ins Internet kamen und nichts anderes mehr
> kennen :-)

Sagt der Fan des UUCP auf Steroiden von IBM. ;-)

-is
--
A medium apple... weighs 182 grams, yields 95 kcal, and contains no
caffeine, thus making it unsuitable for sysadmins. - Brian Kantor

[Juergen P. Meier]

Erik Heinz <eh1404...@42net.de>:

> * Frank Elsner wrote:
>>
>> fetchmail will man nicht. Da gehen die Envelopes verloren.
>
> Nicht notwendigerweise. Es gibt workarounds.

Haessliche, instabile und ueberfluessige Workarounds.

>> Ein richtiger Mail-Server holt die Mails nicht ab, er bekommt sie.
>
> Ausnahme: ATRN

Auch da bekommt er die Mails und holt sie sich nicht ab. Er bestimmt
lediglich den Zeitpunkt, wann er sie bekommt.

Im Gegensatz zu Fetchmail verliert man damit bei Problemen aber idR.
keine Mails - weil SMTP.

[Bastian Blank]

Ulli Horlacher wrote:
> Bastian Blank <use...@waldi.eu.org> wrote:
>> Nein. Richtige Mail-Server bekommen Mails per SMTP
> Behaupten die, die erst spaet ins Internet kamen und nichts anderes mehr
> kennen :-)

Sie meinen sowas hier?
https://bblank.thinkmo.de/blog/new-software-lmtp-to-uucp-gateway

Bastian

[Bastian Blank]

Nein:
| On-Demand Mail Relay is a restricted profile of SMTP [SMTP, ESMTP].
| Port 366 is reserved for On-Demand Mail Relay.

ATRN ist nicht für normales SMTP spezifiziert.

Bastian

[Kay Martinen]

Am 02.04.2014 15:13, schrieb Frank Elsner:

> Ein richtiger Mail-Server holt die Mails nicht ab, er bekommt sie.

Was den Punkt angeht habe ich Bedenken wegen der Sicherheit und
Erreichbarkeit. Soweit ich von "früher" erinnere ist es generell keine
gute Idee einen Mailserver in einem Privaten LAN von außen erreichbar zu
machen.

Und ohne das kann er keine Mails bekommen! Aber auch nicht von Spam
überflutet, bei Fehlern als offenes relay missbraucht werden, nicht von
Hackern oder anderen Schädlingen angegriffen werden u.s.w.

Außerdem habe ich keine Feste IP. Das heißt, wenn ich offline sein
sollte oder die Zwangstrennung zu schlägt schlagen ankommende Mails
irgendwo, nur nicht bei mir auf. Dafür jedes mal den MX-Eintrag zu
ändern scheint mir zu viel Aufwand, und ein dyndns-account mit MX kostet
m.W. inzwischen auch Geld und nützt hier nur im Fall der Zwangstrennung was.

Außerdem: Ebenso wie viele Server keine Mails aus dial-up-zugängen
annehmen, vermute ich es umgekehrt ebenfalls, das sie dorthin keine
Mails versenden.

Habe ich noch was vergessen?

Das war der Stand von vor ein paar Jahren. Heute dürfte es m.E. noch
"wilder" sein. Aber neue oder bessere Wege sind mir nicht bekannt.

Gibt es welche?

Kay

[Arno Welzel]

Frank Elsner, 2014-04-02 15:13:

> On 01.04.2014 20:20, Matthias Taube wrote:
>> Am 01.04.2014 04:33, schrieb Kay Martinen:
>>

[...]

>>> Welcher imap-server macht am wenigsten Probleme mit den üblichen
>>> Mailprogrammen und bietet zugleich sinnvolle Funktionen damit der MUA
>>
>> Da hat jeder seine eigenen Präferenzen. Ich bin halt mit Dovecot sehr zufrieden.
>
> +1

+2

Tut hier schon seit etlichen Jahren völlig problemlos seinen Dienst,
auch bei sehr umfangreichen Mailboxen mit mehreren GB Umfang.


--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de
http://fahrradzukunft.de

[Burkhard Ott]

On Sat, 05 Apr 2014 20:36:29 +0200, Arno Welzel wrote:

> Frank Elsner, 2014-04-02 15:13:
>
>> On 01.04.2014 20:20, Matthias Taube wrote:
>>> Am 01.04.2014 04:33, schrieb Kay Martinen:
>>>
> [...]
>>>> Welcher imap-server macht am wenigsten Probleme mit den üblichen
>>>> Mailprogrammen und bietet zugleich sinnvolle Funktionen damit der MUA
>>>
>>> Da hat jeder seine eigenen Präferenzen. Ich bin halt mit Dovecot sehr
>>> zufrieden.
>>
>> +1
>
> +2
>
> Tut hier schon seit etlichen Jahren völlig problemlos seinen Dienst,
> auch bei sehr umfangreichen Mailboxen mit mehreren GB Umfang.

cyrus 2.2 (ohne saslauthd und cram, digets etc.)

[Kay Martinen]

Also ohne verschlüsselung? Gibt es da Probleme?

Kay

[Burkhard Ott]

Keine Probleme (seit Jahren) und Verschluesselung geht trotzdem, ich
meinte ich have keinen saslauthd laufen der frisst mir zu viel
Speicher :).

[David Seppi]

Kay Martinen schrieb:

> Außerdem habe ich keine Feste IP. Das heißt, wenn ich offline sein
> sollte oder die Zwangstrennung zu schlägt schlagen ankommende Mails
> irgendwo, nur nicht bei mir auf. Dafür jedes mal den MX-Eintrag zu
> ändern scheint mir zu viel Aufwand, und ein dyndns-account mit MX kostet
> m.W. inzwischen auch Geld und nützt hier nur im Fall der Zwangstrennung was.

Der MX-Eintrag muß nicht dynamisch sein. Es reicht aus, wenn Du einen
dynamischen A-Record hast. (MX ist sowieso optional.)

--
David Seppi
1220 Wien

[Kay Martinen]

Am 06.04.2014 17:36, schrieb David Seppi:
> Kay Martinen schrieb:

>
>> ändern scheint mir zu viel Aufwand, und ein dyndns-account mit MX kostet
>> m.W. inzwischen auch Geld und nützt hier nur im Fall der Zwangstrennung was.
>
> Der MX-Eintrag muß nicht dynamisch sein. Es reicht aus, wenn Du einen
> dynamischen A-Record hast. (MX ist sowieso optional.)

Der MX braucht aber m.W. einen FQDN und der darf kein Alias sein. Geht
denn das dann mit einem dyndns-provider? Wenn, dann vermutlich nicht mit
den kostenlosen angeboten.

Wenn man einen eigenen MTA hinter einem Dialup-zugang betreiben wollte
ist der MX m.E. aber nicht mehr optional sondern essentiell. Wie sollen
ihn andere MTA sonst finden?

Kay

[Juergen Ilse]

Hallo,

Kay Martinen <k...@martinen.de> wrote:
> Wenn man einen eigenen MTA hinter einem Dialup-zugang betreiben wollte
> ist der MX m.E. aber nicht mehr optional sondern essentiell. Wie sollen
> ihn andere MTA sonst finden?

Wer auch nur absatzweise zuverlaessige Kommunikation haben moechte,
verzichtet darauf, einen Mailserver hinter einer dynamisch vergebenen
IP-Adresse zu betreiben. Ja, das meine ich ernst, und ich weiss, warum
ich das schreibe.

Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

[Kay Martinen]

Am 06.04.2014 20:16, schrieb Juergen Ilse:
>
> Wer auch nur absatzweise zuverlaessige Kommunikation haben moechte,
> verzichtet darauf, einen Mailserver hinter einer dynamisch vergebenen
> IP-Adresse zu betreiben. Ja, das meine ich ernst, und ich weiss, warum
> ich das schreibe.

Deshalb habe ich das auch nie gemacht und ziehe den Umweg über den
smarthost des Providers immer noch vor. Aber die Meinungen sind ja
durchaus geteilt dazu. Kannst du deine bitte näher begründen damit ich;
und andere; das warum auch verstehen?

Kay

[Heiko Schlichting]

Es gibt eine ganze Reihe von Problemen, die mir auf den ersten Blick
einfallen:

-- Bei der Einlieferung von Mails:

-- Man hat kein passendes Zertifikat, weil die IP-Adresse variabel ist,
ebenso der DNS-Name.
-- Nameserver machen Caching, Mailserver fragen A und MX aus diesem
Cache ab. Ist die TTL zu kurz, wird das schlicht als DoS abgetan und
ignoriert. Mind. 300 Sekunden sollte die TTL sein. wenn die
IP-Adresse wechselt, gibt es also eine Zeitspanne, wo diese auf
einen falschen Host zeigt -- und bei dem kommt dann die Mail an.
Oder der weist die Mail ab. Beides führt zu Mailverlusten und ist
völlig indiskutabel. Mal davon abgesehen, dass Dritte ggf. auch den
Inhalt der Mail zu sehen bekommen können.
-- Das Umschalten von A und MX richtig hinzubekommen, damit es die für
E-Mail nötige Qualität hat, schafft man mit dynamischen IP-Adressen
nicht.

-- Bei der Auslieferung von Mails:

-- Man bekommt den HELO-EHLO-Namen ggf. nicht richtig hin, weil sich
der Name mit der IP-Adresse ändert. (Ok, das liesse sich durch
Abfragen lösen, wenn der Provider denn reverse DNS-Einträge macht.)
-- Man wird quasi überall blockiert, weil man aus einem Netz mit
dynamischen IP-Adressen kommt, was ein sehr gutes Kriterium für
Spammer ist.
-- Man hat mit wechselnden IP-Adressen Probleme Greylisting zu
überwinden.
-- Man "erbt" die Reputation der IP-Adresse und die kann sehr, sehr
schlecht sein und man findet sich ggf. gleich auf einer Blacklist
wieder, wenn der Vorgänger ein Spammer war.
-- SPF macht Probleme (na gut, das nimmt sowieso niemand für voll)

Es gibt bestimmt noch viel mehr, aber die sind mir mal gleich eingefallen.
Lies: Nein, das will man nicht. Man nehme den Mailserver des eigenen oder
spezialisieren¹ Providers oder - wenn man das nicht möchte *und* sich gut
auskennt - setzt einen Mailserver auf einem gemieteten Server bei einem
geeigneten Anbieter auf.

¹ Ich fand es interessant, dass es jetzt offenbar einen Markt für
ordentliche, spezialisierte Mailanbieter gibt. Damit meine ich z.B. sowas
wie https://mailbox.org/

Heiko

[Kay Martinen]

Hallo Heiko

Am 06.04.2014 21:06, schrieb Heiko Schlichting:
>
> Es gibt eine ganze Reihe von Problemen, die mir auf den ersten Blick
> einfallen:
>
> -- Bei der Einlieferung von Mails:
>

> -- Bei der Auslieferung von Mails:
>

> Es gibt bestimmt noch viel mehr, aber die sind mir mal gleich eingefallen.
> Lies: Nein, das will man nicht. Man nehme den Mailserver des eigenen oder

Danke für die Klare Zusammenfassung. Einen teil davon kannte ich, einen
anderen ahnte ich und mit SPF hab ich noch keine Erfahrungen. Das Fazit
für mich bleibt bestehen, fetchmail und smarthosts, wie ich es auch
früher schon betrieb.

Kay

[David Seppi]

Kay Martinen schrieb:

> Der MX braucht aber m.W. einen FQDN und der darf kein Alias sein. Geht
> denn das dann mit einem dyndns-provider?

Bei den mir bekannten Dyndns-Providern bekommt man A-Records, z.B.
"foo.dyndns.example A 10.0.0.1" (mit dynamisch wechselnder IP).
Du kannst dann den Eintrag "meinedomain.example MX foo.dyndns.example"
anlegen. Dafür muß Dein Dyndns-Provider nichts von MX wissen.
Alternativ kannst Du <bl...@foo.dyndns.example> als Mailadresse verwenden
und brauchst gar keinen MX-Record.
Die von Heiko beschriebenen Probleme existieren natürlich. Da muß man
abwägen, wie schwerwiegend die sind.

> Wenn man einen eigenen MTA hinter einem Dialup-zugang betreiben wollte
> ist der MX m.E. aber nicht mehr optional sondern essentiell. Wie sollen
> ihn andere MTA sonst finden?

Wenn kein MX-Record existiert, dann wird der A-Record verwendet.

[David Seppi]

Heiko Schlichting schrieb:

> -- Bei der Einlieferung von Mails:
>
> -- Man hat kein passendes Zertifikat, weil die IP-Adresse variabel ist,
> ebenso der DNS-Name.

In der Regel kommt die IP-Adresse aus einem bekannten Pool und hat einen
rDNS-Record der Form *.blah.provider.example.

> -- Nameserver machen Caching, Mailserver fragen A und MX aus diesem
> Cache ab. Ist die TTL zu kurz, wird das schlicht als DoS abgetan und
> ignoriert. Mind. 300 Sekunden sollte die TTL sein. wenn die
> IP-Adresse wechselt, gibt es also eine Zeitspanne, wo diese auf
> einen falschen Host zeigt -- und bei dem kommt dann die Mail an.

Das hängt vom Povider ab. Die Wahrscheinlichkeit, daß die IP-Adresse
schnell genug an wen anderen vergeben wird, der ebenfalls einen
SMTP-Server betreibt und auch noch fremde Mails annimmt, kann durchaus
gering genug sein. Das hängt natürlich auch vom Einsatzzweck ab.

> Oder der weist die Mail ab. Beides führt zu Mailverlusten und ist
> völlig indiskutabel.

Nicht alle Mails sind wichtig. Vermutlich wird aber sowieso die
eingehende Verbindung abgelehnt.

> -- Man hat mit wechselnden IP-Adressen Probleme Greylisting zu
> überwinden.

Greylisting bremst normalerweise deutlich weniger als eine Stunde aus.
Die IP-Adressen sind aber meistens mindestens einen Tag gültig.

> -- SPF macht Probleme (na gut, das nimmt sowieso niemand für voll)

Wenn man selbst den Eintrag setzen kann?

[Heiko Schlichting]

David Seppi <dse...@a1.net> wrote:
> Heiko Schlichting schrieb:
>
>> -- Bei der Einlieferung von Mails:
>>
>> -- Man hat kein passendes Zertifikat, weil die IP-Adresse variabel ist,
>> ebenso der DNS-Name.
>
> In der Regel kommt die IP-Adresse aus einem bekannten Pool und hat einen
> rDNS-Record der Form *.blah.provider.example.

Dafür kann man sich dann ein selbst-signiertes Wildcard-Zertifikat basteln.
Man hat aber nicht unter Kontrolle, wenn der Provider das Namensschema
erweitert oder ändert. Das passiert ja durchaus häufiger und nicht nur,
wenn mal wieder eine Firma von einer anderen übernommen wurde.

>> -- Nameserver machen Caching, Mailserver fragen A und MX aus diesem
>> Cache ab. Ist die TTL zu kurz, wird das schlicht als DoS abgetan und
>> ignoriert. Mind. 300 Sekunden sollte die TTL sein. wenn die
>> IP-Adresse wechselt, gibt es also eine Zeitspanne, wo diese auf
>> einen falschen Host zeigt -- und bei dem kommt dann die Mail an.
>
> Das hängt vom Povider ab. Die Wahrscheinlichkeit, daß die IP-Adresse
> schnell genug an wen anderen vergeben wird, der ebenfalls einen
> SMTP-Server betreibt und auch noch fremde Mails annimmt, kann durchaus
> gering genug sein.

Das hat man allerdings auch nicht unter Kontrolle und muss darauf
vertrauen, dass die anderen Nutzer vernünftiger sind als man selbst. Das
ist in diesem Fall weniger mutig als normalerweise.

>> Oder der weist die Mail ab. Beides führt zu Mailverlusten und ist
>> völlig indiskutabel.
>
> Nicht alle Mails sind wichtig.

Das ist eine "robuste" Einstellung zum Betrieb eines Mailservers.
Insbesondere, wenn man nicht der einzige Nutzer auf diesem ist, sondern
weitere Empfänger existieren. Nach Murphy trifft es aber vermutlich die
Einladung zu einem Bewerbungsgespräch und nicht die 37 Mio $ Offerte aus
Nigeria. MTA "Zufall" wird es richten.

>> -- Man hat mit wechselnden IP-Adressen Probleme Greylisting zu
>> überwinden.
>
> Greylisting bremst normalerweise deutlich weniger als eine Stunde aus.

Das hängt von der MTA-Konfiguration und dem Retry- sowie
Queue-Run-Intervall ab.

Man *kann* es machen. Aber man *sollte* es nicht.

Heiko ("Alle Mails sind wichtig")

[Juergen Ilse]

Hallo,

Kay Martinen <k...@martinen.de> wrote:

Es ist nicht sichergestellt, dass DynDNS-Eintraege nicht auch mal
auf Rechner anderer Nutzer zeigen. Wenn darauf dann auch ein Mail-
server laeuft, lehnt dieser dann im guenstigsten Fall die Mail mit
einem 5xx Fehlercode ab (permanenter Fehler) und der Absender wird
darueber informiert, dass die Mail nicht zugestellt wurde (erneute
Zustellversuche finden nicht statt), im unguenstigsten Fall nimmt
der die Mail an und der Absender bekommt noch nicht einmal mit, wenn
die Mail auf dem falschen Mailserver versackt ist ...

Bei DNS kann man sich (aufgrund von caching) nicht darauf verlassen,
dass jede Antwort immer minutenaktuell ist, daher ist die Kombination
staendig wechselnde DNS-Eintraege im Zusammenhang mit E-Mail (das
auf zutreffende DNS-Antworten angewiesen ist, um korrekt zu funktio-
nieren) eine eher saudumme Idee.

[Paul Muster]

On 06.04.2014 22:32, David Seppi wrote:

> Nicht alle Mails sind wichtig.

Mit der Einstellung sollte man weder selbst einen Mailserver betreiben
noch andere diesbezüglich beraten.


mfG Paul

[Juergen P. Meier]

Paul Muster <exp-3...@news.muster.net>:

Nicht wirklich.

E-Mails per se sind erst mal alle Unwichtig, wichtiges verschickt man
nicht per E-Mail.

[Kay Martinen]

In zeiten von (a)sozialen Netzen und Schlaufon-wanzen habt ihr
wahrscheinlich beide zugleich recht und unrecht.

Bemerkt ihr auch den Trend weg von der eMail hin zur "sogenannten" PN in
diesen "netzen"? Ich denke viele sind sich nicht bewusst das solche
nachrichten (m.E.) noch weniger Privatheit besitzen als eine eMail. Die;
unverschlüsselt; heut erst recht eher den Charakter einer Postkarte hat.

Kay

[David Seppi]

Paul Muster schrieb:

Wieso? Solange man dafür sorgt, daß die wichtigen Mails von robust
aufgesetzten Servern behandelt werden, ist doch alles in Ordnung.
Postzustellung vor die Haustür ist auch nicht gerade sicher (würde
keiner für wichtige Briefe akzeptieren), aber für die Zeitung ist es
akzeptabel. Wieso soll man nicht ähnliche Unterscheidungen bei
Mailservern machen?

[Arno Welzel]

David Seppi, 2014-04-07 23:00:

Das macht aber wohl niemand - wer einen "robust aufgesetzten Server"
hat, wird wohl kaum parallel dazu eine Kiste an einer Dial-Up-Adresse
betreiben. Die "Wegwerf-Adressen" für unwichtigere Anwendungen können da
ja ebenso eingerichtet werden. Umgekehrt sind die "Heimserver" meist
deshalb in Betrieb, weil die jeweiligen Nutzer ja eben *nicht* den
Server bei einem Provider oder Hoster verwenden möchten.