Arbeitsgruppe Mailserver/Konzept

From Freiheit statt Angst!

< Arbeitsgruppe Mailserver
Revision as of 06:40, 20 July 2009 by Wir speichern nicht! (Talk)
(diff) ←Older revision | Current revision (diff) | Newer revision→ (diff)
Jump to: navigation, search

In einer Telefonkonferenz am 23.11.08, 21h waren die Folgenden anwesend:

  • Garry
  • Michi
  • Datenritter
  • Xabbu
  • ValiDOM

dabei wurden wesentliche Punkte für den neuen Mailserver fest gelegt.

Contents

Hardware

Wir bedanken uns bei allen, die ihre Server für den neuen Server angeboten haben. Nach reichlicher überlegung sind wir dazu übereingekommen folgendes gern annehmen zu wollen:

  • das Angebot von Armin (Hardware, Housing, Traffic) als Haupt-Mailserver
  • das vServer-Angebot von morphium als Backup-MX und Backup-Server (rsync)

OS

Wir bevorzugen Debian (minimal-installation) stable (derzeit etch) plus volatile-packete.

Dienste

  • (e)smtp (postfix+mysql)
  • imaps (courier+mysql)
  • pop3s (courier+mysql)
  • webmail (horde groupware webmail über apache2+php5+mysql (+memcached))
Wieso nicht dovecot statt courier? Dovecot braucht weniger Resourcen, kann aber das gleiche (und mehr). --roam 09:07, 6. Dez. 2008 (CET)

Konkret:

  • packet: postfix als MTA, als backend mysql
  • packet: greylisting (postgrey für postfix)
    was ist mit policyd-weight o.ä.? Der blockt bei mir nen Großteil des Spams weg. --CeBe 01:03, 24. Nov. 2008 (CET)
    Die SPAM-Filterung läuft über mailscanner --Xabbu 09:02, 24. Nov. 2008
    Wenn bereits beim SMTP Spam abgelehnt wird, reduziert das die Last ... --Garry
  • packet: mailscanner (virenscanner(optional, z.B. clamav), spamassian(unbedingt, tagged+topic)
    Virenscanner und Spamassasin über amavis? --CeBe 01:03, 24. Nov. 2008 (CET)
    Nein. Auch der Virenscanner wird über das Mailscanner-Paket eingebunden. --Xabbu 09:02, 24. Nov. 2008
  • greylisting (mit whitelist)
  • packet: courier für imaps+pop3s, cert: cacert / openca
  • packet: apache2, +php5, +mod_ssl(cert: cacert / openca)
  • packet: mysql5
  • openssh: nur keys, fail2ban eingerichtet

Administration

Durch das backend mysql als engine für user sollte es möglich sein eine Admin-Oberfläche zu finden. Openmailadmin bietet sich hier an, sollte das nicht funktionieren müsste sowas schnell in z.B. php entwickelt sein.

Backup

Ein vServer soll als Backup genutzt werden:

  • als Backup-MX ("MX 20")
  • Speicherplatz für backup zur verfügung stellen (per "Dirvish" (quasi rsync), macht: datenritter)

Umzug

  • es werden keine Mails vom alten server übernommen
  • Werner stellt die Postfach-Liste alsbald zur Verfügung
  • nicht nur die Postfachliste, sondern auch eine Liste der E-Mail-Adressen mit den jeweiligen Weiterleitungen. Wer abekommt diese Liste? Bitte vorher mir den GnuPG-Key zusenden. Vor dem kommenden Wochenende schaffe ich das aber vermutlich nicht Werner 00:28, 24. Nov. 2008 (CET)
  • der Umzug wird eine Woche vorher angekündigt (allen Mail-Benutzern+ML)
  • 2-3 tage vor dem Umzug muss der TTL des DNS-MX Eintrages auf 600 o.ä. runter gesetzt werden
  • den Usern werden mind. 2 tage vorher die neuen Zugangsdaten zugestellt
  • der alte Server muss 2 tage lang die alten accounts noch halten und mails annehmen
  • das wird der ca. 7 Tage lang machen, sicher ist sicher! Werner 00:26, 24. Nov. 2008 (CET)

Ablauf

  • einrichten der (v)Server, root-account an ValiDOM (oder der nächste punkt wird direkt erfüllt)
  • ValiDOM richtet die user-accounts für die admins, root über sudo, ssh-zugänge werden per mail (pgp) verschickt
  • postfix mit mysql-backend wird zuerst installiert
  • danach courier
  • dann horde (inkl. apache etc.)
  • ...

Weiteres

  • VDS: interessiert uns nicht (geschlossene Gruppe)
  • Es werden also nur aufgabenbezogene E-Mail-Adressen vergeben. Werner 00:25, 24. Nov. 2008 (CET)
  • Logging: max 3 Tage logs f. administrationszwecke, danach per logrotate löschen
  • ...

Status

Stand: 6.12.08

  • System Grundinstallation
  • Webserver
  • OTRS läuft
  • horde läuft auch
  • Postfix
  • MySQL
  • IMAP mit TLS ist betriebsbereit, auf Localhost muß er aber noch reagieren, damit SMTP-Auth läuft!
  • MailScanner / SpamAssassin / ClamAV: Installation abgeschlossen, im Betrieb müßte die Qualität der Spam-Erkennung geprüft und ggf. zusätzliche SpamAssassin-Module installiert werden ... --Garry 08:38, 6. Dez. 2008 (CET)
    • ToDo: WebBug-Ersatz müßte auf einem Rechner beim AK gemacht werden, da derzeit auf einen externen Webserver verwiesen wird. Feld "Web Bug Replacement" muß danach angepaßt werden!
    • ToDo: Dokumentation für Updaten von MS/SA/ClamAV im Wiki anlegen! --Garry
    • Hinweis für zukünftige MS-Updates: Bitte unbedingt vorher das MailScanner-etc-Verzeichnis sichern, die allgemeine Source-Version von MS könnte es evtl. überschreiben!
  • ...
Personal tools
Toolbox
  • What links here
  • Related changes
  • Upload file
  • Special pages
  • Printable version