Linearer Modus

thosch97 · 01.03.2016 02:25

Ich plane, meine Mails und eventuell die meiner Familie selbst zu hosten und sammle dafür gerade Ideen. Dass ich das hier tue, hat natürlich den Sinn, dass ihr kommentieren könnt und auch Fragen beantworten. Parallelen zu einem anderen Thread sind nicht gewollt, ich habe außerdem vor auf Vorschläge einzugehen, erstmal zu sammeln, Server vernünftig zu konfigurieren und aktuell zu halten und so weiter.

Software: OpenSMTPD und Dovecot (wenn Cyrus besser sein soll lasse ich mich gerne überzeugen, ich habe nix gefunden). Darunter entweder Gentoo GNU/Linux oder OpenBSD. Webmail bin ich am schwanken, ob ich das will; Roundcube scheint das einzig nutzbare zu sein und PHP will ich jetzt nicht unbedingt.
Für Autoconfig brauchts einen Webserver und (wenn man sich auf Mozilla beschränkt und Microsoft und Apple ignoriert) eine statische Datei, das wird dann nginx oder der OpenBSD-httpd.
Userdatenbank: Für mich selbst direkt oder über PAM (bzw. BSDAuth) die /etc/passwd, meine Familie soll keinen Shellzugriff haben und deshalb jeweils nur virtuelles User sein (d.h. mein Maildir in ~, deren ihrs in /var/vmail oder so, Userdatenbank z.B. über separate passwd(5)-Datei). Wichtige Frage hierbei: Wie sollen die ihr Passwort ändern? Kann IMAP sowas oder brauch ich am Ende doch SSH oder $webzeugs? Doch einen richtigen Unix-User geben, aber die Shell aufs Passwort ändern beschränken? Userzertifikate wären wohl etwas arg umständlich, auch wenn die Clients meiner Eltern (Thunderbird und com.google.android.gm aka GMail.apk) das können müssten.
SSL: Welchen CN/SAN müssen die Zertifikate tragen? Den der Domain oder den des tatsächlichen Servers (also z.B. example.com vs. mail.infra.example.com)? SSL mit vernünftigen Ciphers wird dann selbstverständlich für Submission und IMAP enforcet.
Backup-MX: Wie funktioniert das prinzipiell? Ein primärer Server, der auch Mails entgegennimmt (und auch speicher), und ein Backup-Server, der Mails direkt an den primären weitergibt oder bei Bedarf solange cachet?
Hoster: Wird wahrscheinlich sinnvoller sein, als Hoster ein deutsches Unternehmen zu haben, bei dem die Server in Deutschland stehen?

Das ist alles, was mir jetzt gerade so einfällt. Änderungen in diesem Post werde ich kenntlich machen.

CHRiSNEW · 01.03.2016 21:10

Bisschen Brainstrom-Input: http://sealedabstract.com/code/nsa-proof...n-2-hours/

Roundcube nutzen wir auch für unsere Mailstacks. Das ist flexibel, erweiterbar und ist auch recht sauber gecodet.

thosch97 · 05.03.2016 23:01

So. OpenSMTPD und Dovecot laufen jetzt im Wesentlichen. Es fehlen noch: DKIM, Sieve/Pigeonhole, Catchall auf qsuscs.de (aktuell kommt halt nur das an blackhole.qsuscs.de auf diesem Server an), Autoconfig, Spamkrams … noch was?

/etc/mail/smtpd.conf

Code:

#  $OpenBSD: smtpd.conf,v 1.7 2014/03/12 18:21:34 tedu Exp $

# This is the smtpd server system-wide configuration file.

# See smtpd.conf(5) for more information.

pki blackhole.qsuscs.de certificate "/etc/ssl/blackhole.qsuscs.de.crt"

pki blackhole.qsuscs.de key "/etc/ssl/private/blackhole.qsuscs.de.key"

listen on lo0

listen on egress port 25 tls pki blackhole.qsuscs.de

listen on egress port 465 smtps pki blackhole.qsuscs.de

listen on egress port 587 tls-require pki blackhole.qsuscs.de auth

table aliases db:/etc/mail/aliases.db

accept from any for local alias <aliases> deliver to lmtp "/var/dovecot/lmtp"

accept from any for domain qsuscs.de relay via secure://sculptor.uberspace.de

accept from local for any relay

# doveconf -n

Code:

# 2.2.18: /etc/dovecot/dovecot.conf

# OS: OpenBSD 5.8 amd64  

first_valid_uid = 1000

mail_location = maildir:~/Maildir

mbox_write_locks = fcntl

mmap_disable = yes

namespace inbox {

  inbox = yes

  location = 

  mailbox Drafts {

    special_use = \Drafts 

  }  

  mailbox Junk {

    special_use = \Junk

  }

  mailbox Sent {

    special_use = \Sent

  }

  mailbox "Sent Messages" {

    special_use = \Sent

  }

  mailbox Trash {

    special_use = \Trash

  }

  prefix = 

  separator = .

}

passdb {

  driver = bsdauth

}

service imap-login {

  inet_listener imap {

    port = 143

  }

  inet_listener imaps {  

    port = 993

    ssl = yes

  }

}

service lmtp {

  unix_listener lmtp {

    mode = 0666

  }

}

ssl = required

ssl_cert = </etc/ssl/blackhole.qsuscs.de.crt

ssl_cipher_list = ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SH

ssl_key = </etc/ssl/private/blackhole.qsuscs.de.key

ssl_prefer_server_ciphers = yes

ssl_protocols = TLSv1.2

submission_host = localhost

userdb {

  driver = passwd

}

Von der Config gern inspirieren lassen, aber bitte nicht ohne Doku lesen einfach kopieren!

***Alpha*** · 05.03.2016 23:03

DNSSEC + DANE
Policy-Weight für Checks ala SPF, RBL etc..

CHRiSNEW · 06.03.2016 10:04

Hast du sa-learn irgendwo schon verdrahtet, um den Bayes-Filter von spamassassin zu trainieren?

thosch97 · 07.03.2016 03:20

qsuscs.de. 300 IN MX 1 blackhole.qsuscs.de.
Läuft. Die nächsten Tage kommt dann noch DKIM, Pigeonhole, Autoconfig und das ganze Spam-Handling. Bis auf Autoconfig ist das aber nichts, was vorher schon da war (und die Config bekomm ich auch so hin), das eilt jetzt nicht saumäßig.

Config nochmal angepasst:

Code:

#  $OpenBSD: smtpd.conf,v 1.7 2014/03/12 18:21:34 tedu Exp $

# This is the smtpd server system-wide configuration file.           

# See smtpd.conf(5) for more information.

pki blackhole.qsuscs.de certificate "/etc/ssl/blackhole.qsuscs.de.crt"

pki blackhole.qsuscs.de key "/etc/ssl/private/blackhole.qsuscs.de.key"

listen on lo0

listen on egress port 25 tls pki blackhole.qsuscs.de

listen on egress port 465 smtps pki blackhole.qsuscs.de auth-optional

listen on egress port 587 tls-require pki blackhole.qsuscs.de auth

table aliases db:/etc/mail/aliases.db

table vusers "/etc/mail/vusers"

accept from any for local alias <aliases> deliver to mda "/usr/local/libexec/dovecot/dovecot-lda -d %{user.username} -a %{rcpt} -f %{sender}"

accept from any for domain qsuscs.de virtual <vusers> deliver to mda "/usr/local/libexec/dovecot/dovecot-lda -d %{user.username} -a %{rcpt} -f %{sender}"

accept from local for any relay

Code:

# 2.2.18: /etc/dovecot/dovecot.conf

# OS: OpenBSD 5.8 amd64  

first_valid_uid = 1000

mail_location = maildir:~/Maildir

mbox_write_locks = fcntl

mmap_disable = yes

namespace inbox {

  inbox = yes

  location = 

  mailbox Drafts {

    special_use = \Drafts

  }

  mailbox Junk {

    special_use = \Junk

  }

  mailbox Sent {

    special_use = \Sent

  }

  mailbox "Sent Messages" {

    special_use = \Sent

  }

  mailbox Trash {

    special_use = \Trash

  }

  prefix = 

  separator = .

}

passdb {

  driver = bsdauth

}

protocols = imap

service imap-login {

  inet_listener imap {

    port = 143

  }

  inet_listener imaps {

    port = 993

    ssl = yes

  }

}

ssl = required

ssl_cert = </etc/ssl/blackhole.qsuscs.de.crt

ssl_cipher_list = ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

ssl_key = </etc/ssl/private/blackhole.qsuscs.de.key

ssl_prefer_server_ciphers = yes

ssl_protocols = TLSv1.2

submission_host = localhost

userdb {

  driver = passwd

}