International Forums > German - Deutsch
Postfix für die Mail-Verteilung
Emma2:
Hallo.
Ich will jetzt endlich die Ablösung meines Exchange-Servers angehen. Dazu möchte ich wie angekündigt zunächst einen Mail-Server für eine weitere Domain bei mir einrichten. Aus diesem Grunde kann ich ja nicht mehr eine einfache Portweiterleitung auf der opnSense betreiben, das habe ich verstanden. Aber wie muss ich konkret vorgehen?
Zunächst möchte ich das Postfix-Plugin zum Laufen bringen. Was muss ich dazu tun?
Reicht es, wenn ich die Domains, auf die ich lauschen will, unter "Domains" eintrage und als Ziel den jeweiligen Mailserver, etwa in der Art "myRealDomain.de -> myexchangeserver" und "myPlayDomain -> myexchangeserver"?
Dann schalte ich die NAT-Regeln für 143 (IMAP), aber insbesondere für SMTP (25 & 587) ab? Reicht das? Wird die opnSense eingehende Anfragen auf diesen Ports automatisch an das Plugin weiterreichen?
Kann ich dann im nächsten Schritt den neuen Server "mylinuxmailserver" aufsetzen und die eine Domain ändern "myPlayDomain -> mylinuxmailserver", und der sollte angesteuert werden? Ist es so einfach?
banym:
Hallo Emma2,
Postfix hat nichts mit IMAP zu tun.
Auch dein Port 587 wird vermutlich, auch wie der 25, bei dir im Mailserver Authentifizierung machen. Das bedeutet, du musst für das Versenden Benutzername & Passwort angeben. Die Daten dafür ommen momentan mit hoher Wahrscheinlichkeit aus dem gleichen Verzeichnis wie die Daten für das Abholen der Emails. Vllt. hat der alte Mailserver da ein LDAP/AD oder lokal eine Benutzerdatenbank die er ausliest.
Was du vermutlich machen möchtest ist ein Mailrelay eingehend so konfigurieren, dass die Emails nur wie eine Weiche entweder an den einen oder an den anderen Server weitergeleitet werden.
Das funktioniert bei Postfix normalerweise mit der transport Datei. Du musst hier aber einiges konfigurieren um das hinzubekommen und dem Postfix sagen, dass er aus dem Internet Emails annimmt und dann richtig weitergibt. Das richtig weitergeben ist der einfachste Teil. Da wird in der tranport Datei gepflegt welche Domain auf welche IP oder Hostnamen geht. Per default nutzt Postfix die aber nicht, das muss konfiguriert werden. Bin mir nicht sicher wie es bei der OPNsense da momentan gehandhabt wird.
Du musst auch das Verhalten von Postfix so konfigurieren, das es Regelkonform bei Problemen antwortet, Emails zwischencached wenn dein Server dahinter kurz nicht erreichbar ist.
Zusätzlich öffnet ein schlecht Konfigurierter Server an dieser Stelle Tür und Tor für Spam. Der Postfix kann ja evtl. noch garnicht entscheiden ob es Email oder Benutzer der die Mail empfangen kann überhaupt gibt. Also sollte oder muss er möglichst alles annehmen und dann weitergeben. Das kann zu Backscatter Attacken auf deinen Postfix führen.
Will damit nur sagen, hier ist ein wenig mehr Arbeit mit Postfix nötig, unabhängig von OPNsense ist das eine anspruchvollerer Aufgabe wenn man es dauerhaft haben möchte.
Ich kann die Postfix Handbücher empfehlen da steht viel drin und es sind viele gute Howtos im Netz verfügbar wie man sowas konfiguriert und auf was man aufpassen sollte.
VG,
Dominik
Emma2:
Hallo, Dominik.
Danke für die Erläuterungen... auch wenn Sie mir wenig Mut machen (bzw. zeigen, dass es nicht so einfach ist wie erhofft).
Dann - jetzt wird es OT - versuche ich es anders: ich setze an meinem anderen Standort einen Mail-Server auf und trage in die dortige opnSense ebenfalls die Port-Weiterleitungen ein. Wenn es dann dort läuft, weiß ich ja, wie ich es hier nachziehen muss...
Noch mehr OT, aber eine Frage zu MX-Records, was bedeuten die genau?
Meine Domäne ist mydomain.de, aber ich möchte, dass die Mails an die IP von myotherdomain.de geliefert werden. Ist es richtig, dass ich dann bei mydomain.de einen MX-Eintrag mit dem Inhalt "myotherdomain.de" mache. Ist ein MX-Eintrag also so etwas wie eine "Domain-Weiterleitung" für E-Mails?
lfirewall1243:
Ich würde dir aber empfehlen, falls du den Postfix auf der OPNsense als kompletten Exchange Ersatz nutzen möchtest, dies auf einer anderen Hardware zu nutzen. Aus Performance sowie Sicherheitsgründen. Die OPNsense würde ich wirklich nur als MailGateway zur Spam Filterung verwenden.
banym:
Hi Emma2,
nein die MX funktionieren ein wenig anders. Sie sind dein Adresseintrag im Telefonbuch.
Der MX Eintrag sagt welcher Server mit welcher Adresse für diese angefragte Domain zuständig ist.
Der Server dahinter wird dann angesprochen und wie er die Mails behandelt, weiterleitet oder was auch immer damit macht ist konfiguration des Servers.
Es muss also der Server so konfiguriert sein erstmal für die Domain um die es geht zuständig zu sein.
Nur einen MX Eintrag auf den einer anderen Domain zeigen zu lassen führt dazu, dass der andere Emailserver die Emails ablehnt wenn er nicht explizit dafür konfiguriert ist.
Gehört aber jetzt wirklich nicht hierher.
Hier aber ein paar Vorträge die dir evtl. helfen was sicheres funktionierendes auf die Beine zu stellen:
Grundlagen zum Thema Mail/DNS/MX/SMTP:
https://media.ccc.de/v/2018-159-email-wie-funktioniert-das-eigentlich-wirklich-#t=191
Hier eine einfache Methode für den Einstieg um was sicheres auf die Beine zu stellen
https://media.ccc.de/v/GLT18_-_363_-_de_-_g_ap147_005_-_201804281645_-_privater_mailserver_aber_sicher_-_patrick_lesky_-_wolfgang_berger
Würde den Mailserver aber auch nicht auf der Firewall betreiben!
VG,
Dominik
Navigation
[0] Message Index
[#] Next page
Go to full version