Der eigene Mailserver auf Debian Basis- Teil 1

Veröffentlicht: / Letztes Update:

Die Ausgangssituation

Hin und wieder mal baut man einen neuen Server auf, welcher natürlich auch E-Mails empfangen und versenden soll.

Wenn man nicht gerade ein Provider mit eigenen IP-Spaces ist und sich z. B. einen dedizierten oder virtuellen Server mietet, erhält man vom Anbieter IP-Adressen aus deren Adressräumen und Zugang zu den Reverse DNS der jeweiligen IP-Adressen.

Das Ganze hat jedoch einen Haken. Die IP-Adressen, welche man bekommt, stehen häufig auf irgendwelchen Blacklisten oder sind bei den großen Providern gesperrt. Gleiches gilt auch für die dynamischen IP-Adressen eines Internetzugangs, zumal man dort auch keinen Zugriff auf die Reverse DNS hat.

Dieses Vorgehen dient letztlich dazu, den Versand von SPAM ein wenig zu unterbinden, da ein gut konfigurierter Mailserver nur E-Mails annimmt, die von Servern mit gültigen Reverse DNS versendet werden. Viele Provider erwarten aktuell sogar, dass man DKIM, SPF oder DANE verwendet.

Anbieter wie Google, Yahoo, GMX und web.de, nehmen Mails erst einmal grundlegend an, sobald man die Grundvoraussetzungen erfüllt. (Reverse DNS, statische IP usw.)

Dann gibt es aber auch Sonderfälle wie z. B. Outlook, Hotmail oder auch T-Online. Bei T-Online stehen viele IP-Netze auf einer Blacklist und es reicht in der Regel eine kurze Mail an die "Postmaster" zur Freischaltung. Man muss nur sicherstellen, dass man einen Abuse-Kontakt und ein paar grundlegende Informationen zur Verfügung stellt.
Wenn man bei T-Online auf der Blacklist steht, findet man in seinen Logs des Mailservers folgenden Hinweis: "refused to talk to me: 554 IP=xx.xx.xx.xx - A problem occurred. Ask your postmaster for help or to contact...".

Bei den Mailprodukten von Microsoft sieht es da schon etwas komplizierter aus. Egal ob outlook.com oder hotmail.com/.de. In den Logs wird die E-Mail fast immer als zugestellt markiert, jedoch kommt sie manchmal nicht im Postfach an.
Dies macht die Problemlösung dann auch sehr kompliziert, da es schon einem Krampf ähnelt, dort jemanden zu erreichen. Von ca. 15 Anfragen in den letzten 10 Jahren habe ich nur bei zwei oder drei eine Antwort erhalten. Na gut, die wollen halt, dass man deren Produkte nutzt...

Allgemein kann man jedoch sagen, am besten funktioniert die Kommunikation mit den europäischen Providern. - Ausgenommen Vodafone, OVH und einige kleinere aus den süd-östlichen Ländern.

Wie konfiguriere ich selbst?

Nun ja, es kommt immer darauf an, jedes Projekt ist individuell. Aber auch ich filtere eingehende Mails mit einer Mischung aus Blacklisten, Scores und Filtern.

Das Sperren von IP-Netzen erfolgt auch bei mir, jedoch beschränkt sich dies eher auf Adressräume aus Asien, Afrika, den USA sowie von OVH aus Frankreich.

OVH ist ein Sonderfall

Ich selbst habe lange Zeit Server des Anbieters OVH genutzt, da man dort eine gute Leistung zu einem guten Preis bekommen hat. Jedoch gibt es keinen Anbieter in Europa, bei dem noch mehr SPAM versendet wird.
Beachtlich ist auch, wenn man dort einen frischen Server hat und sich dann einmal mit Wireshark 2 - 3 Minuten den Traffic am Netzwerkinterface loggt, ist man schon erstaunt, wie viele Systeme in deren Netzwerk nach Schwachstellen des eigenen Systems suchen.

Woran liegt das? Die Antwort ist dort relativ einfach. OVH bietet unter dem Namen Kimsufi günstige Server an. Dort wurden zu Beginn der Kimsufi-Reihe dedizierte Server für 3-4 € angeboten, wodurch man natürlich sehr viele Server vermietet und es davon ausgegangen werden kann, dass ein Großteil davon nicht einmal eine grundlegende Absicherung bekommen hat.

Die Server selbst sind gut und auch die Anbindung ist top. Aber dort sind einfach zu viele Systeme, die gar nicht oder nur schlecht gewartet werden.

Gut zu erkennen war dies, als das Rechenzentrum SBG2 in Rauch aufgegangen ist und der SPAM kurzzeitig rapide abgenommen hat.

Wie richtet man jetzt einen guten Mailserver ein?

Hierzu werde ich in Bezug auf Debian 12 demnächst ein Tutorial erstellen, aktuell teste und vergleiche ich verschiedene Varianten zum Filtern von SPAM und Viren.