Arbeitsgruppe Mailserver/Konzept
Aus Freiheit statt Angst!
< Arbeitsgruppe Mailserver(Unterschied zwischen Versionen)
(Die Seite wurde neu angelegt: In einer Telefonkonferenz am 23.11.08, 21h waren folgende Anwesend: * Garry * Michi * niclas * Xabbu * ValiDOM dabei wurden wesentliche Punkte für den neuen Mailserve...) |
|||
(Der Versionsvergleich bezieht 25 dazwischen liegende Versionen mit ein.) | |||
Zeile 1: | Zeile 1: | ||
- | In einer Telefonkonferenz am 23.11.08, 21h waren | + | In einer Telefonkonferenz am 23.11.08, 21h waren die Folgenden anwesend: |
* Garry | * Garry | ||
* Michi | * Michi | ||
- | * | + | * Datenritter |
* Xabbu | * Xabbu | ||
* ValiDOM | * ValiDOM | ||
Zeile 20: | Zeile 20: | ||
* imaps (courier+mysql) | * imaps (courier+mysql) | ||
* pop3s (courier+mysql) | * pop3s (courier+mysql) | ||
- | * webmail (horde über apache2+php5+mysql (+memcached)) | + | * webmail ([http://www.horde.org/webmail/ horde groupware webmail] über apache2+php5+mysql (+memcached)) |
- | + | : Wieso nicht dovecot statt courier? Dovecot braucht weniger Resourcen, kann aber das gleiche (und mehr). --[[Benutzer:Roam|roam]] 09:07, 6. Dez. 2008 (CET) | |
Konkret: | Konkret: | ||
* packet: postfix als MTA, als backend mysql | * packet: postfix als MTA, als backend mysql | ||
- | * packet: greylisting (für postfix) | + | * packet: greylisting (''[http://postgrey.schweikert.ch/ postgrey]'' für postfix) |
- | * packet: mailscanner (virenscanner(optional, z.B. clamav), spamassian(unbedingt, tagged+topic) | + | *: was ist mit [http://www.policyd-weight.org/ policyd-weight] o.ä.? Der blockt bei mir nen Großteil des Spams weg. --[[Benutzer:Cebe|CeBe]] 01:03, 24. Nov. 2008 (CET) |
+ | *:: Die SPAM-Filterung läuft über [http://www.mailscanner.info mailscanner] --[[Benutzer:Xabbu|Xabbu]] 09:02, 24. Nov. 2008 | ||
+ | *::: Wenn bereits beim SMTP Spam abgelehnt wird, reduziert das die Last ... --[[Benutzer:Garry|Garry]] | ||
+ | * packet: [http://www.mailscanner.info mailscanner] (virenscanner(optional, z.B. clamav), spamassian(unbedingt, tagged+topic) | ||
+ | *: Virenscanner und Spamassasin über [http://amavisd.de.postfix.org/ amavis]? --[[Benutzer:Cebe|CeBe]] 01:03, 24. Nov. 2008 (CET) | ||
+ | *:: Nein. Auch der Virenscanner wird über das [http://www.mailscanner.info Mailscanner-Paket] eingebunden. --[[Benutzer:Xabbu|Xabbu]] 09:02, 24. Nov. 2008 | ||
* greylisting (mit whitelist) | * greylisting (mit whitelist) | ||
* packet: courier für imaps+pop3s, cert: cacert / openca | * packet: courier für imaps+pop3s, cert: cacert / openca | ||
* packet: apache2, +php5, +mod_ssl(cert: cacert / openca) | * packet: apache2, +php5, +mod_ssl(cert: cacert / openca) | ||
- | * openssh: nur keys, fail2ban eingerichtet | + | * packet: mysql5 |
+ | * openssh: nur keys, [http://www.fail2ban.org fail2ban] eingerichtet | ||
===Administration=== | ===Administration=== | ||
- | Durch das backend mysql als engine für user sollte es möglich sein eine Admin-Oberfläche zu finden. Openmailadmin bietet sich hier an, sollte das nicht funktionieren müsste sowas schnell in z.B. php entwickelt sein. | + | Durch das backend mysql als engine für user sollte es möglich sein eine Admin-Oberfläche zu finden. [http://openmailadmin.ossdl.de/ Openmailadmin] bietet sich hier an, sollte das nicht funktionieren müsste sowas schnell in z.B. php entwickelt sein. |
===Backup=== | ===Backup=== | ||
Ein vServer soll als Backup genutzt werden: | Ein vServer soll als Backup genutzt werden: | ||
* als Backup-MX ("MX 20") | * als Backup-MX ("MX 20") | ||
- | * Speicherplatz für backup zur verfügung stellen (per " | + | * Speicherplatz für backup zur verfügung stellen (per "[http://www.dirvish.org/ Dirvish]" (quasi rsync), macht: datenritter) |
===Umzug=== | ===Umzug=== | ||
* es werden keine Mails vom alten server übernommen | * es werden keine Mails vom alten server übernommen | ||
+ | * Werner stellt die Postfach-Liste alsbald zur Verfügung | ||
+ | :* nicht nur die Postfachliste, sondern auch eine Liste der E-Mail-Adressen mit den jeweiligen Weiterleitungen. Wer abekommt diese Liste? Bitte vorher mir den GnuPG-Key zusenden. Vor dem kommenden Wochenende schaffe ich das aber vermutlich nicht [[Benutzer:WernerH|Werner]] 00:28, 24. Nov. 2008 (CET) | ||
* der Umzug wird eine Woche vorher angekündigt (allen Mail-Benutzern+ML) | * der Umzug wird eine Woche vorher angekündigt (allen Mail-Benutzern+ML) | ||
* 2-3 tage vor dem Umzug muss der TTL des DNS-MX Eintrages auf 600 o.ä. runter gesetzt werden | * 2-3 tage vor dem Umzug muss der TTL des DNS-MX Eintrages auf 600 o.ä. runter gesetzt werden | ||
* den Usern werden mind. 2 tage vorher die neuen Zugangsdaten zugestellt | * den Usern werden mind. 2 tage vorher die neuen Zugangsdaten zugestellt | ||
* der alte Server muss 2 tage lang die alten accounts noch halten und mails annehmen | * der alte Server muss 2 tage lang die alten accounts noch halten und mails annehmen | ||
+ | :* das wird der ca. 7 Tage lang machen, sicher ist sicher! [[Benutzer:WernerH|Werner]] 00:26, 24. Nov. 2008 (CET) | ||
+ | |||
+ | ===Ablauf=== | ||
+ | * einrichten der (v)Server, root-account an [[Benutzer:Validom|ValiDOM]] (oder der nächste punkt wird direkt erfüllt) | ||
+ | * [[Benutzer:Validom|ValiDOM]] richtet die user-accounts für die admins, root über sudo, ssh-zugänge werden per mail (pgp) verschickt | ||
+ | * postfix mit mysql-backend wird zuerst installiert | ||
+ | * danach courier | ||
+ | * dann horde (inkl. apache etc.) | ||
+ | * ... | ||
===Weiteres=== | ===Weiteres=== | ||
* VDS: interessiert uns nicht (geschlossene Gruppe) | * VDS: interessiert uns nicht (geschlossene Gruppe) | ||
+ | :* Es werden also nur aufgabenbezogene E-Mail-Adressen vergeben. [[Benutzer:WernerH|Werner]] 00:25, 24. Nov. 2008 (CET) | ||
* Logging: max 3 Tage logs f. administrationszwecke, danach per logrotate löschen | * Logging: max 3 Tage logs f. administrationszwecke, danach per logrotate löschen | ||
+ | * ... | ||
+ | |||
+ | ===Status=== | ||
+ | |||
+ | Stand: 6.12.08 | ||
+ | |||
+ | * System Grundinstallation | ||
+ | * Webserver | ||
+ | * OTRS läuft | ||
+ | * horde läuft auch | ||
+ | * Postfix | ||
+ | * MySQL | ||
+ | * IMAP mit TLS ist betriebsbereit, auf Localhost muß er aber noch reagieren, damit SMTP-Auth läuft! | ||
+ | * MailScanner / SpamAssassin / ClamAV: Installation abgeschlossen, im Betrieb müßte die Qualität der Spam-Erkennung geprüft und ggf. zusätzliche SpamAssassin-Module installiert werden ... --[[Benutzer:Garry|Garry]] 08:38, 6. Dez. 2008 (CET) | ||
+ | ** ToDo: WebBug-Ersatz müßte auf einem Rechner beim AK gemacht werden, da derzeit auf einen externen Webserver verwiesen wird. Feld "Web Bug Replacement" muß danach angepaßt werden! | ||
+ | ** ToDo: Dokumentation für Updaten von MS/SA/ClamAV im Wiki anlegen! --[[Benutzer:Garry|Garry]] | ||
+ | ** Hinweis für zukünftige MS-Updates: Bitte unbedingt vorher das MailScanner-etc-Verzeichnis sichern, die allgemeine Source-Version von MS könnte es evtl. überschreiben! | ||
* ... | * ... |
Aktuelle Version
In einer Telefonkonferenz am 23.11.08, 21h waren die Folgenden anwesend:
- Garry
- Michi
- Datenritter
- Xabbu
- ValiDOM
dabei wurden wesentliche Punkte für den neuen Mailserver fest gelegt.
Inhaltsverzeichnis |
Hardware
Wir bedanken uns bei allen, die ihre Server für den neuen Server angeboten haben. Nach reichlicher überlegung sind wir dazu übereingekommen folgendes gern annehmen zu wollen:
- das Angebot von Armin (Hardware, Housing, Traffic) als Haupt-Mailserver
- das vServer-Angebot von morphium als Backup-MX und Backup-Server (rsync)
OS
Wir bevorzugen Debian (minimal-installation) stable (derzeit etch) plus volatile-packete.
Dienste
- (e)smtp (postfix+mysql)
- imaps (courier+mysql)
- pop3s (courier+mysql)
- webmail (horde groupware webmail über apache2+php5+mysql (+memcached))
- Wieso nicht dovecot statt courier? Dovecot braucht weniger Resourcen, kann aber das gleiche (und mehr). --roam 09:07, 6. Dez. 2008 (CET)
Konkret:
- packet: postfix als MTA, als backend mysql
- packet: greylisting (postgrey für postfix)
- was ist mit policyd-weight o.ä.? Der blockt bei mir nen Großteil des Spams weg. --CeBe 01:03, 24. Nov. 2008 (CET)
- Die SPAM-Filterung läuft über mailscanner --Xabbu 09:02, 24. Nov. 2008
- Wenn bereits beim SMTP Spam abgelehnt wird, reduziert das die Last ... --Garry
- Die SPAM-Filterung läuft über mailscanner --Xabbu 09:02, 24. Nov. 2008
- was ist mit policyd-weight o.ä.? Der blockt bei mir nen Großteil des Spams weg. --CeBe 01:03, 24. Nov. 2008 (CET)
- packet: mailscanner (virenscanner(optional, z.B. clamav), spamassian(unbedingt, tagged+topic)
- Virenscanner und Spamassasin über amavis? --CeBe 01:03, 24. Nov. 2008 (CET)
- Nein. Auch der Virenscanner wird über das Mailscanner-Paket eingebunden. --Xabbu 09:02, 24. Nov. 2008
- Virenscanner und Spamassasin über amavis? --CeBe 01:03, 24. Nov. 2008 (CET)
- greylisting (mit whitelist)
- packet: courier für imaps+pop3s, cert: cacert / openca
- packet: apache2, +php5, +mod_ssl(cert: cacert / openca)
- packet: mysql5
- openssh: nur keys, fail2ban eingerichtet
Administration
Durch das backend mysql als engine für user sollte es möglich sein eine Admin-Oberfläche zu finden. Openmailadmin bietet sich hier an, sollte das nicht funktionieren müsste sowas schnell in z.B. php entwickelt sein.
Backup
Ein vServer soll als Backup genutzt werden:
- als Backup-MX ("MX 20")
- Speicherplatz für backup zur verfügung stellen (per "Dirvish" (quasi rsync), macht: datenritter)
Umzug
- es werden keine Mails vom alten server übernommen
- Werner stellt die Postfach-Liste alsbald zur Verfügung
- nicht nur die Postfachliste, sondern auch eine Liste der E-Mail-Adressen mit den jeweiligen Weiterleitungen. Wer abekommt diese Liste? Bitte vorher mir den GnuPG-Key zusenden. Vor dem kommenden Wochenende schaffe ich das aber vermutlich nicht Werner 00:28, 24. Nov. 2008 (CET)
- der Umzug wird eine Woche vorher angekündigt (allen Mail-Benutzern+ML)
- 2-3 tage vor dem Umzug muss der TTL des DNS-MX Eintrages auf 600 o.ä. runter gesetzt werden
- den Usern werden mind. 2 tage vorher die neuen Zugangsdaten zugestellt
- der alte Server muss 2 tage lang die alten accounts noch halten und mails annehmen
- das wird der ca. 7 Tage lang machen, sicher ist sicher! Werner 00:26, 24. Nov. 2008 (CET)
Ablauf
- einrichten der (v)Server, root-account an ValiDOM (oder der nächste punkt wird direkt erfüllt)
- ValiDOM richtet die user-accounts für die admins, root über sudo, ssh-zugänge werden per mail (pgp) verschickt
- postfix mit mysql-backend wird zuerst installiert
- danach courier
- dann horde (inkl. apache etc.)
- ...
Weiteres
- VDS: interessiert uns nicht (geschlossene Gruppe)
- Es werden also nur aufgabenbezogene E-Mail-Adressen vergeben. Werner 00:25, 24. Nov. 2008 (CET)
- Logging: max 3 Tage logs f. administrationszwecke, danach per logrotate löschen
- ...
Status
Stand: 6.12.08
- System Grundinstallation
- Webserver
- OTRS läuft
- horde läuft auch
- Postfix
- MySQL
- IMAP mit TLS ist betriebsbereit, auf Localhost muß er aber noch reagieren, damit SMTP-Auth läuft!
- MailScanner / SpamAssassin / ClamAV: Installation abgeschlossen, im Betrieb müßte die Qualität der Spam-Erkennung geprüft und ggf. zusätzliche SpamAssassin-Module installiert werden ... --Garry 08:38, 6. Dez. 2008 (CET)
- ToDo: WebBug-Ersatz müßte auf einem Rechner beim AK gemacht werden, da derzeit auf einen externen Webserver verwiesen wird. Feld "Web Bug Replacement" muß danach angepaßt werden!
- ToDo: Dokumentation für Updaten von MS/SA/ClamAV im Wiki anlegen! --Garry
- Hinweis für zukünftige MS-Updates: Bitte unbedingt vorher das MailScanner-etc-Verzeichnis sichern, die allgemeine Source-Version von MS könnte es evtl. überschreiben!
- ...