• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Mail im privaten LAN

Hallo Forum,

ich habe mal eine ganz grundsätzliche Frage zur "Archtitektur" des Mailbetriebs in meinem LAN.

Mailempfang:
Der Mailserver, Opensuse Leap 42.3, holt die für uns bestimmten Mails bei unseren diversen Mailprovidern (t-online, web.de, freenet, yahoo etc.) ab (fetchmail), prüft sie (clamav/amavis) und schiebt sie dann mit postfix in die IMAP-Postfächer (cyrus) der User.

Eingehende Mails bspw. für
Code:
anna-1@t-online.de
anna.meier@web.de
a.meier@yahoo.de
bertix@t-online.de
bert23@freenet.de
usw. werden auf die Postfächer anna und berti verteilt.

Die Anwender sitzen vor Ubuntu-Clients und schauen mit Thunderbird auf ihre IMAP-Postfächer und verwalten damit ihre Mails. Soll ein Mail verschickt werden, spricht Thunderbird direkt mit dem jeweiligen Mailprovider, der sich bei Antworten automatisch ergibt, bei initialen Nachrichten ausgewählt werden kann/muss.

Das alles läuft seit Jahren stabil.

Frage 1: macht man das so oder gibt es dafür bessere Wege - und triftige Gründe das zu ändern?


Wir würden uns gerne lokal im LAN untereinander Mails schicken: anna@meinedomain.de -> berti@meinedomain.de was aber nicht funktioniert.

Unser Router könnte mir Informationen per Mail zusenden, klappt aber genausowenig.

Nach meinem Verständnis müssten die Clients (Thunderbirds und der Router) diese Mails dem postfix unterjubeln. Der Mailserver (mailserver.meinedomain.de) nimmt aber keine smtp-Anfragen entgegen.

Frage 2: Was muss ich tun? Worauf muss ich achten, daß ich nicht unbemerkt ein offenes relay baue?

Vielen Dank für Eure Tipps.

Gruß,
radiergummi
 

spoensche

Moderator
Teammitglied
radiergummi schrieb:
Mailempfang:
Der Mailserver, Opensuse Leap 42.3, holt die für uns bestimmten Mails bei unseren diversen Mailprovidern (t-online, web.de, freenet, yahoo etc.) ab (fetchmail), prüft sie (clamav/amavis) und schiebt sie dann mit postfix in die IMAP-Postfächer (cyrus) der User.

Das Abrufen der Mails ist so ok. Fetchmail macht beim Abrufen der e-Mails quasi nix anderes als Thunderbird und leitet sie anschließend per SMTP weiter an den Postfix.


radiergummi schrieb:
Frage 1: macht man das so oder gibt es dafür bessere Wege - und triftige Gründe das zu ändern?

Beim Abruf der Mails ist es ok.

Beim Versand kannst du mittels Canonical Absender basierender SASL Authentication das ausgehende e-Mails (also ins Internet) anhand der lokalen e-Mail der richtigen ISP e-Mail Adresse zu geordnet und über diesen Account versendet werden.

Siehe dazu:
http://www.postfix.org/SOHO_README.html


radiergummi schrieb:
Wir würden uns gerne lokal im LAN untereinander Mails schicken: anna@meinedomain.de -> berti@meinedomain.de was aber nicht funktioniert.

Der Postfix muss für die Domain meinedomain.de zuständig sein und die Mailboxen müssen existieren.

radiergummi schrieb:
Unser Router könnte mir Informationen per Mail zusenden, klappt aber genausowenig.

Mehr Infos bitte. Wo genau hängts? Schon bei der Authentifizierung des Routers beim Postfix?
Soll der Router über extern oder den internen Mail Server Mails verschicken?

Wenn intern:

1. Der Router muss eine Mailbox, also dem Postfix bekannter e-Mail Account vorhanden sein.
2. Auf dem Router muss als SMTP- Server die IP des lokalen Mailservers eingetragen sein.

radiergummi schrieb:
Frage 2: Worauf muss ich achten, daß ich nicht unbemerkt ein offenes relay baue?

1. Das der Postfix nur authentifizierten Benutzern den Versand erlaubt.
2. Authentifizierte Benutzer müssen lokale e-Mail Accounts sein.
3. Die IP des Absenders muss in $mynetworks auffindbar sein.
4. Die Ziel Domain muss per DNS auflösbar sein.
5. Die Ziel Domain bzw. die lokale Domain muss ein FQDN sein.

Stichwort: SMTP Recipient Restrictions.
 
OP
R

radiergummi

Member
Hallo Spoensche,
danke für die Antwort und den Lesestoff.

Direkte Rückfragen habe ich auch schon:
spoensche schrieb:
[...] ausgehende e-Mails (also ins Internet) anhand der lokalen e-Mail der richtigen ISP e-Mail Adresse zu geordnet und über diesen Account versendet werden.
Das klingt nach einer 1:1-Beziehung (lokal:Mailprovider). Der Link zeigt mMn auch eine 1:1-Beziehung
Code:
4 /etc/postfix/generic:
5     his@localdomain.local             hisaccount@hisisp.example
6     her@localdomain.local             heraccount@herisp.example

Ich habe es aber mit einer 1:n-Beziehung zu tun.
In der fetchmailrc gibt es n Einträge mit "... is anna here" und m Einträge mit "... is berti here"

Code:
lokal anna@meinedomain.de ist draußen anna-1@t-online.de
lokal anna@meinedomain.de ist draußen anna.meier@web.de
lokal anna@meinedomain.de ist draußen a.meier@yahoo.de

lokal berti@meinedomain.de ist draußen bertix@t-online.de
lokal berti@meinedomain.de ist draußen bert23@freenet.de

Wenn die lokale Anna initial ein Mail verschickt, muss sie sagen, über welchen Provider das gehen soll, oder es ist eine Antwort, dann hat der Header des zuvor empfangenen Mails den Provider im Bauch. Die generic-Datei kann nicht wissen welche Mail-Identität Anna annehmen möchte.
Vielleicht verstehe ich hier aber noch nicht alles.

spoensche schrieb:
Der Postfix muss für die Domain meinedomain.de zuständig sein [...]

Ich hätte mir jetzt mal diese Variablen angesehen:

myorigin?
mynetworks?
relay_domains?
relayhost?
relay_recipient_maps?

spoensche schrieb:
[... ]und die Mailboxen müssen existieren.

Als IMAP-Mailboxen existieren die. Die meinst Du aber nicht, oder?

Zum Rest Deiner Hinweise muss ich erst noch mehr lesen, bevor ich passend antworten kann.

Vielen Dank auf jeden Fall für Deine Hilfe soweit.

Gruß,
radiergummi
 
radiergummi schrieb:
Wenn die lokale Anna initial ein Mail verschickt, muss sie sagen, über welchen Provider das gehen soll...
Nein, das muß sie nicht sagen und soll es auch gar nicht dürfen.
@spoensche gibt oben mehrere wichtige und strikte Regeln vor.
Beispiel anna@meinedomain.de
Dazu schreibt spoensche:
spoensche schrieb:
Der Postfix muss für die Domain meinedomain.de zuständig sein [...]
d.h. anna@meinedomain.de wird ausnahmslos vom lokalen postfix bearbeitet und verschickt.
Nun kann es natürlich sein, dass Anna auch noch anna@gmx.de als Adresse verwendet.
Doch das bedeutet keineswegs, dass Anna sich direkt mit dem mail provider gmx.de verbinden kann.
Deshalb möchte ich die spoensche Regel erweitern:
>> Der Postfix muss für die Domain meinedomain.de zuständig sein UND
>> alle anderen domains, die nicht meinedomain.de lauten, als Relay bearbeiten.

d.h.
anna@gmx.de wird vom lokalen postfix empfangen. Da die domain nicht meinedomain.de lautet,
sucht postfix in der address_mapping Liste nach folgendem Eintrag:
Code:
anna@gmx.de				mail.gmx.de
Wenn das vorhanden ist, dann sucht postfix weiters in der password liste nach:
Code:
anna@gmx.de			username:password
Das sind username:password für mail.gmx.de
Weiters gibt es noch eine Liste für die policy, in der die Verschlüsselung nach mail.gmx.de genau beschrieben ist.

Postfix sendet dann entsprechend dieser Angaben EINHEITLICH verschlüsselt (TLS/SSL, SSH oder gar VPN) nach mail.gmx.de (Relaying)

Alle user im LAN haben also nur EINEN smtp server für das Senden von mails eingetragen, der da lautet:
smtp.meinedomain.de

Berherzigst du das nicht und jeder user kann tun und lassen was er will, dann wird dein mailing system irgendwann
zu einem Wirrwarr, Unsicherheitsfaktor und ist kaum mehr wartbar.

Gruß
Gräfin Klara
 
Oben