In der Entstehung: HowTo zur Einrichtung eines Mailgateways auf der OPNsense

[cklahn]

Hallo Community,

ich möchte an dieser Stelle ein HoTo für das korrekte Einrichten eines Mailgateways auf der OPNsense schreiben.
Zum Einen, um selbst zu lernen, weil ich selbst zu wenig Ahnung habe und zum Anderen als Vorlage für die vielen Anderen,
denen es ähnlich geht wie mir. Vielleicht kann der Thread dann ja irgendwann mal angepinnt werden.

Dazu bin ich natürlich auf die Hilfe der Community und auf die Hilfe der alten Hasen angewiesen. Ich würde gerne
im obersten Thread diesen Text belassen und das eigentliche HoTo im zweiten Thread beschreiben.

Hintergrund: Ich löse gerade eine ganze Reihe SOPHOS-UTMs ab, die das Mailhandling aus meiner Sicht super gemacht hat. Diese
Funktionalität möchte ich möglichst gut mit der OPNsense abbilden.

Beginnen möchte ich mit der Annahme eines gängigen und klassichen Szenarios und mit einer offenen Sammlung an Fragen,
die sich dann nach und nach beantworten lassen.

Annahme:
Firma Max Meier GmbH hat einen VDSL oder FTTH-Anschluß bei irgendeinem Anbieter mit fester IPv4 und seine Domain bei einem
der gängigen Provider (IONOS, Strato, All Inkl. o.ä.) gehostet und ruft derzeit seine E-Mails per POP3 oder IMAP ab.
Ziel soll es sein, dass er OnPremise einen eigenen E-Mail-Server betreibt. Die Firewall soll eine OPNsense sein.
Die OPNsense ist bereits vorhanden und es soll zusätzlich das Mailgateway eingerichtet werden.

Deklarationen:
Feste IPv4:   80.90.100.110
Domain: max-meier.de
IP-Kreis LAN: 192.168.0.0/24
IP OPNsense: 192.168.0.1
IP Microsoft Windows-Server als DC: 192.168.0.10
IP Microsoft Exchange-Server: 192.168.0.20


Fragensammlung:
- Was benötigt mal alles auf der OPNsense an Plugins?

  a) Hier würde ich zunächst nach der Anleitung aus der Online-Hilfe der OPNsense vorgehen:
     https://docs.opnsense.org/manual/how-tos/mailgateway.html
   
    Installation der folgenden Plugins
    - ClamAV
    - Postfix
    - Redis
    - Rspamd
   
    und Standard-Einrichtung nach der Online-Hilfe.
   
    Wir können das ja später selbst schreiben, wenn es Abweichungen dazu geben wird.

- Wie sind die Plugins der OPNsense einzurichten?
  Siehe zuvor a)

- Was ist beim Provider einzustellen?

- Was muss man alles im DNS des Providers umstellen?

  a) Anlegen eines A Records: gw.max-meiner.de mit Verweis auf die feste IP 80.90.100.110
  b) Anlegen eines MX-Records als CNAME auf gw.max-meier.de

  Damit würden die eingehenden E-Mails schonmal nicht mehr beim Provider anklopfen, sondern
  am WAN-Interface der OPNsense.


- Wie stellt man den Reverse-Proxy ein? Muss man den überhaupt einstellen?

- Was ist spf?

- Was ist DKIM?

- Was ist DMARC?

- Greifen die spf und DMARC-Einträge beim Provider noch, wenn der MX-Record vom Mailserver des Providers auf
die feste IP der Firma umgestellt wird? Falls nein, wie sind die dann bei den Plugins einzustellen.

- Wie wird die OPNsense als Smarthost eingerichtet und konfiguriert, wenn der Exchange-Server die ausgehenden Mails
an die OPNsense sendet und diese wiederum die Mails beim Provider einliefert?

[cklahn]

... Blankopost für das spätere HoTo ...