Mailserver mit Dovecot, Postfix und MySQL auf Ubuntu 14.04 Server einrichten

Wer einen eigenen Root- oder vServer besitzt kann diesen relativ einfach zu einem vollständigen Mailserver machen. So kann man seine E-Mail Konten selbst hosten und muss sich nicht fremden Anbietern anvertrauen. Ein E-Mail System benötigt nicht besonders viele Ressourcen und müsste theoretisch schon auf einem Raspberry Pi zufriedenstellend laufen.

In dieser Anleitung erkläre ich euch, wie ihr einen Mailserver mit Dovecot und Postfix + MySQL Datenbank unter Ubuntu Server aufsetzt und benutzt. Die Anleitung funktioniert ähnlich auch mit anderen Linux-Systemen.

Allgemeines: Die E-Mail Architektur

Für die Installation und Konfiguration eines Mailservers ist es hilfreich, zu wissen, wie ein E-Mail System grundlegend funktioniert. Ein E-Mail Serversystem besteht i.d.r. aus einzelnen (Software-) Servern die verschiedene Aufgaben haben. Eine Komponente ist nur für den Transport von E-Mails von Client weg zum Server und für den Transport zwischen den Servern zuständig. Diesen Job übernimmt in dieser Anleitung Postfix, ein sogenannter Mail Transfer Agent (MTA). Dieser kommuniziert über das SMTP-Protokoll mit dem E-Mail Client und anderen Mailservern.

Eine andere Komponente, der Mail Delivery Agent (MDA) – hier Dovecot – ist für die Einsortierung der ankommenden E-Mails in die richtigen Postfächer verantwortlich. Außerdem kommt mit Dovecot ein IMAP-Server mit, der es dem Client erlaubt, auf die Mailbox zuzugreifen. Das POP Protokoll ist nicht mehr zeitgemäß und lässt beispielsweise keine geräteübergreifende Synchronisation zu („Gelesen-Status“ etc), aus diesem Grund wird hier auf POP verzichtet und stattdessen IMAP genutzt.

Dovecot übernimmt also sowohl die Rolle eines MDAs, als auch die Rolle eines IMAP-Servers.

Mailserver Schema

MTA (Postfix):

• Nimmt E-Mails vom Client entgegen und leitet sie an andere Mailserver weiter
• Nimmt E-Mails von anderen Servern entgegen und leitet diese E-Mails an den MDA weiter
• => Transportaufgaben

MDA (Dovecot):

• „Einsortierung“ der ankommenden E-Mails in die korrekten Postfächer
• => „Logistik“

IMAP Server (Dovecot):

• Gibt auf Anfrage den Inhalt der Mailbox zurück
• Abgleich der Mailbox über mehrere Geräte hinweg
• => Speicher-/Mailboxverwaltung

Außerdem dient Dovecot in unserem Fall auch noch als Authenfizierungsserver. Postfix fragt z.B. bei Dovecot an, ob eine bestimmte Mail versendet werden darf. Dazu durchsucht Dovecot die Benutzerdatenbank und gibt dann ggf. ein „OK“ an Postfix.

MySQL Server vorbereiten

Die Benutzerkonten werden hier in einer MySQL Datenbank abgespeichert. Es lassen sich zwar auch andere Methoden nutzen, wie z.B. die Benutzung von echten Linux Benutzeraccounts, doch mit MySQL hat man einen entscheidenden Vorteil:

Es lässt sich hervorragend eine große Anzahl von virtuellen Accounts bereitstellen, die einfach zu managen ist. Man stelle sich ein E-Mail Sytem mit 400 Nutzern vor, dass auf PAM Benutzeraccounts basiert. Man müsste dann 400 echte Benutzeraccounts auf dem Server anlegen. Mit der MySQL Datenbank haben wir die Möglichkeit, alle Benutzer einfach in einer Tabelle aufzulisten – zusammen mit Passwort und Benutzereinstellungen. Dovecot und Postfix benutzen diese Tabellen, um Nutzer, Aliase und Domains zu finden.

Es werden drei verschiedene Tabellen angelegt: Eine Tabelle „users“, in denen alle Benutzernamen mit Passwort eingetragen sind, eine Tabelle „domains“, in der alle Domains enthalten sind, für die das Mailsystem E-Mails bearbeiten soll und eine Tabelle „aliases“, die Aliasbezeichnungen für E-Mail Konten enthält.

MySQL installieren

Zunächst muss ein MySQL Server installiert und eingerichtet werden:

sudo -s
apt-get update && apt-get upgrade
apt-get install mysql-server

Bei der Installation wird man nach einem Passwort für den Benutzer „root“ gefragt. Damit ist nicht der root-Systemnutzer gemeint, sondern der MySQL root, der alle Rechte auf dem Datenbankserver hat. Für diesen muss ein Passwort festgelegt werden.

Tabellen anlegen

Jetzt werden die drei Tabellen für das E-Mail System angelegt. Loggt euch dafür in MySQL ein…

mysql -u root -p

und gebt folgende SQL Befehle ein:

create database vmail;
use vmail;

# Tabelle für Benutzerkonten erstellen
create table users (id INT UNSIGNED AUTO_INCREMENT NOT NULL, username VARCHAR(128) NOT NULL, domain VARCHAR(128) NOT NULL, password VARCHAR(128) NOT NULL, UNIQUE (id), PRIMARY KEY (username, domain) );

# Tabelle für Domains
create table domains (id INT UNSIGNED AUTO_INCREMENT NOT NULL, domain VARCHAR(128) NOT NULL, UNIQUE (id), PRIMARY KEY (domain));

# Tabelle für Aliase
create table aliases (id INT UNSIGNED AUTO_INCREMENT NOT NULL, source VARCHAR(128) NOT NULL, destination VARCHAR(128) NOT NULL, UNIQUE (id), PRIMARY KEY (source, destination) );

Zum Schluss wird noch ein neuer Datenbankbenutzer „vmail“ erstellt (Passwort anpassen!), der vollen Zugriff auf diese Datenbank erhält. Unter ihm werden Dovecot und Postfix später auf die Datenbank zugreifen:

GRANT ALL ON vmail.* TO 'vmail'@'localhost' IDENTIFIED BY 'vmailpasswort';

Die benötigten Tabellen sind fertig und es kann mit „exit“ aus der MySQL Konsole gewechselt werden.

vMail Verzeichnis und Benutzer einrichten

Die E-Mail Postfächer sollen nicht – wie standardmäßig festgelegt – in /var/mail liegen, sondern in /var/vmail. Innerhalb dieses Verzeichnis wird eine Maildir Verzeichnisstruktur aufgebaut nach dem Muster /var/vmail/domain/benutzername/. Im Benutzerverzeichnis liegen schließlich die Ordner für Inbox, Entwürfe, gesendete Mails etc.

mkdir /var/vmail

Die Maildir Verzeichnisstruktur wird später automatisch von Dovecot angelegt. Jetzt muss noch ein neuer Benutzer eingeführt werden, der vollen Zugriff auf dieses Mailverzeichnis hat: Der Nutzer „vmail“. Unter diesen Benutzer werden die Mailserver im dem Verzeichnis arbeiten.

useradd vmail

Der vmail User wird Besitzer von /var/vmail:

chown -R vmail:vmail /var/vmail
chmod -R 770 /var/vmail/

Dovecot installieren und konfigurieren

Jetzt ist es soweit – Dovecot kann installiert werden:

apt-get install dovecot-common dovecot-imapd dovecot-mysql dovecot-lmtpd

(Ab Ubuntu 14.04 heißt das Paket „dovecot-common“ „dovecot-core“)

Die letzten Pakete stellen Funktionen wie IMAP Zugriff für den Client, MySQL Datenbankanbindung und LMTP Protokoll zur Verfügung. Letzteres wird zum Ablegen von E-Mails im Postfach genutzt, sobald der MTA eine Mail empfangen hat. Während der Installation kann gewählt werden, ob ein selbst ausgestelltes SSL Zertifikat generiert werden soll. Wenn ihr noch kein Zertifikat von einer CA habt, wählt hier „Ja“.

Los geht’s mit der Konfiguration! Einige Stellen in den vorhandenen Konfig-Dateien müssen angepasst werden.

cd /etc/dovecot/

Konfiguration der Postfächer

Im Verzeichnis conf.d findet ihr die Datei „10-mail.conf“. Setzt folgende Einstellungen (Kommentarzeichen # ggf. entfernen!):

mail_home = /var/vmail/%d/%n
mail_location = maildir:~/mail:LAYOUT=fs
mail_uid = vmail
mail_gid = vmail
mail_privileged_group = vmail

Dovecot wird damit mitgeteilt, nach welchem Muster die Postfächer angelegt werden sollen und unter welchem Benutzer darauf zugegriffen werden soll. In unserem Fall ist das der Nutzer „vmail“.

Authentifizierung über MySQL Datenbank

Im nächsten Schritt wird die Benutzerauthentifizierung über die MySQL-Datenbank eingestellt. Öffnet dazu die Datei „/etc/dovecot/dovecot-sql.conf.ext“

Setzt die Einstellungen in der Datei folgendermaßen (vmail Passwort anpassen!):

driver = mysql
connect = host=127.0.0.1 dbname=vmail user=vmail password=vmailpasswort
default_pass_scheme = SHA512-CRYPT

password_query = \
SELECT username, domain, password \
FROM users WHERE username = '%n' AND domain = '%d'

Der erste Teil der Konfiguration enthält die Zugangsdaten zur MySQL Datenban „vmail“, der zweite Teil besteht aus der SQL Abfrage, die der Mailserver ausführen muss, um Nutzerinfos zu erhalten.
Die Zeile

iterate_query = SELECT username, domain FROM users

am Ende der Datei wird ebenfalls „einkommentiert“ und entsprechend abgeändert. (Kommentarzeichen # entfernen).

Update: In einigen Fällen wird diese letzte Zeile nicht vom Mailserver benötigt, was in den Maillogs zu einer Warnung führt. In diesem Fall kann „iterate_query“ wieder auskommentiert werden.

Abspeichern, weiter geht’s!

Authentifizierungseinstellungen

Für eine sichere Anmeldung am Mailserver werden jetzt noch ein paar Einstellungen in conf.d/10-auth.conf gesetzt:

disable_plaintext_auth = yes
auth_mechanisms = plain login

Die erste Zeile legt fest, dass Klartextkennwörter nur an den Server übertragen werden können, wenn vorher eine verschlüsselte Verbindung hergestellt wurde. Die zweite Einstellung wurde um „login“ erweitert. Dies stellt die Kompatibilität zu Windows Mail und Outlook her. Wer diese Software nicht nutzt, kann es auch weglassen.

Vor die Einstellung

#!include auth-system.conf.ext

wird ein Kommentarsymbol „#“ gesetzt, um diese unwirksam zu machen. Sie bindet eine weitere Datei ein, die Einstellungen für die PAM Authentifizierung enthält. Weil wir aber eine MySQL Datenbank nutzen, wird PAM nicht gebraucht.

Die Datei „/etc/dovecot/dovecot.conf“ enthält bereits viel Text, den wir aber nicht benötigen. Für eine bessere Übersicht wird der Inhalt der Datei gelöscht:

> /etc/dovecot/dovecot.conf

… und folgender Inhalt eingefügt:

# Enable installed protocols
!include_try /usr/share/dovecot/protocols.d/*.protocol

listen = *, ::

base_dir = /var/run/dovecot/

# Greeting message for clients.
login_greeting = Dovecot ready.

!include conf.d/*.conf
!include_try local.conf

# Passdb SQL
passdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}

Darin werden grundlegende Einstellungen von Dovecot festgelegt, z.B. die aktiven Protokolle, die zu benutzenden Netzwerkschnittstellen und die Begrüßungsnachricht für den Mailclient. Außerdem werden via include alle Konfigurationsdateien in conf.d eingebunden. Der passdb Abschnitt legt fest, dass die SQL Abfragen in dovecot-sql.conf.ext genutzt werden sollen, um einen Nutzer zu authentifizieren.

SASL Authentifizierung

Postfix fragt bei Dovecot nach, ob ein Benutzer berechtigt ist, eine E-Mail zu versenden, deshalb muss Dovecot einen Socket für solche SASL Anfragen bereitstellen. Dieser Auth-Socket wird nun unter conf.d/10-master.conf eingestellt. Die „service auth“-Sektion muss so aussehen:

service auth {
    unix_listener auth-userdb {
        mode = 0600
        user = vmail
        group = vmail
    }

    # Postfix smtp-auth
    unix_listener /var/spool/postfix/private/auth {
        mode = 0660
        user = postfix
        group = postfix
    }
}

LMTP Socket für Postfix

Zusätzlich zum SASL Socket soll Dovecot auch noch einen Socket für das LMTP-Protokoll für Postfix bereitstellen. Im Gegensatz zum ähnlichen SMTP Protokoll wird LMTP genutzt, um vom MTP empfangene Mails innerhalb eines Mailsystems an den MDA und damit die Postfächer weiterzugeben (Siehe Grafik oben).

In derselben Datei „10-master.conf“ wird die LMTP Service Konfiguration wie folgt geändert:

service lmtp {
    unix_listener /var/spool/postfix/private/dovecot-lmtp {
      mode = 0660
      group = postfix
      user = postfix
    }
    user = vmail
}

Da für das LMTP Protokoll auch Einstellungen für den LDA (Local Delivery Agent) genutzt werden, die sich in /etc/dovecot/conf.d/15-lda.conf befinden, wird auch diese Datei für eine kleine Änderung geöffnet. Hier muss unbedingt

postmaster_address =

„einkommentiert“ und auf eine gültige E-Mail Adresse gesetzt werden. An diese Adresse gehen Benachrichtigungen, wenn der E-Mail Transport fehl schlägt.

Sichere SSL Verbindungen aktivieren

E-Mails sollten nur noch verschlüsselt abgerufen werden – alles andere wäre grob fahrlässig. Deshalb werden nun noch ein paar Einstellungen zu SSL/TLS vorgenommen. Öffnet dazu die Datei conf.d/10-ssl.conf.

ssl = required
ssl_cert = </etc/dovecot/dovecot.pem
ssl_key = </etc/dovecot/private/dovecot.pem

Die oberste Zeile legt fest, dass E-Mails ausschließlich über eine sichere Verbindung abgerufen werden können. Verbindungsversuche ohne Verschlüsselung werden nicht ermöglicht. „ssl_cert“ und „ssl_key“ geben den Pfad zu den SSL Zertifikatsdateien an. Die hier angegebenen Zertifikate funktionieren zwar, erzeugen aber auf den Clients eine Warnmeldung, weil es sich um selbst ausgestellte Zertifikate handelt und nicht um „offizielle“,  Zertifikate einer anerkannten CA.

Wenn das private Zertifikat mit einem Passwort gesichert ist, kann dieses unter „ssl_key_password“ angegeben werden. Für besonders sichere SSL-Verbindungen wird für „ssl_cipher_list“ der Chipher-String von bettercrypto.org angegeben und SSLv3 deaktiviert:

ssl_cipher_list = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
ssl_protocols = !SSLv2 !SSLv3

Clients werden angewiesen, diese Cipher-Reihenfolge zu berücksichtigen:

ssl_prefer_server_ciphers = yes

Postfix installieren und konfigurieren

Dovecot ist fertig installiert – jetzt ist Postfix, der Mail Transfer Agent, an der Reihe. Installiert die folgenden Postfix-Pakete:

apt-get install postfix postfix-mysql

Nach der Installation sollte ein kleines Setup starten. Falls nicht, kann es mit dem Befehl

sudo dpkg-reconfigure postfix

(neu) gestartet werden.

Ansonsten folgt ihr einfach dem Setup-Programm und stellt folgendes ein:

• „Internet Site“
• System-E-Mail-Name wählen: Domainname (oder Hostname im LAN z.B. ubuntu-server.local)
• (Sollten weitere Fragen gestellt werden … einfach nach besten Wissen ausfüllen ;) )

Eine Testmail versenden

Die grundsätzliche Funktion von Postfix kann kurz mit einer Testmail überprüft werden. Installiert dazu das Paket „bsd-mailx“ und führt diesen Befehl aus:

echo "Hallo Welt Text" | mailx -s "Hallo Welt" root@ubuntu-server

(Hostnamen ersetzen!) Um zu prüfen, ob die E-Mail angekommen ist, öffnet ihr einfach das Postfach des Benutzers root. Darin sollte sich der E-Mail Quellcode befinden:

nano /var/mail/root

/etc/postfix/main.cf anpassen

In die Datei /etc/postfix/main.cf werden grundlegende Einstellungen zum MTA geschrieben. Auch diese Datei wird zuerst einmal komplett geleert und dann mit neuem Inhalt gefüllt:

> /etc/postfix/main.cf

Neuer Inhalt:

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

append_dot_mydomain = no

readme_directory = no

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mydestination =
mailbox_size_limit = 51200000
message_size_limit = 51200000
recipient_delimiter =
inet_interfaces = all
myorigin = ubuntu-server
inet_protocols = all

Für „myorigin“ wird der Hostname des Servers oder die Domain eingetragen. mailbox_size_limit legt die maximale Mailboxgröße in Bytes fest, message_size_limit die maximale Größe einer E-Mail. Trifft eine E-Mail ein, die größer ist, wird die Übertragung abgebrochen.

SSL / TLS Unterstützung aktivieren

Damit E-Mails nicht nur verschlüsselt via Dovecot empfangen, sondern auch verschlüsselt gesendet werden können, muss auch Postfix SSL/TLS unterstützen. Fügt dazu folgende Konfiguration in die Datei main.cf ein:

##### TLS parameters ######
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

Wer gültige SSL Zertifikate von einer anerkannten CA besitzt, sollte diese nutzen und die Pfade entsprechend anpassen. Außerdem kann mit gültigen Zertifikaten eine erweiterte SSL-Konfiguration durchgeführt werden, die verschlüsselte Server-Server-Verbindungen zulässt. So funktioniert auch „E-Mail made in Germany“ von GMX, Web.de und der Telekom. => Erweiterte Postfix SSL Konfiguration

SASL Auth und Submission aktivieren

Im nächsten Schritt wird Postfix so eingestellt, dass dieser den zuvor eingerichteten Auth Socket von Dovecot nutzt, um Benutzerberechtigungen zu ermitteln (in die Datei main.cf einfügen):

###### SASL Auth ######
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes

In der Datei „/etc/postfix/master.cf“ wird Submission Support + SASL aktiviert. Der komplette „submission“-Block inkl -o Parameter wird gelöscht (Zeile löschen in nano mit STRG+K) und durch folgenden Block ersetzt:

submission inet n       -       -       -       -       smtpd -v
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_type=dovecot
  -o smtpd_sasl_path=private/auth
  -o smtpd_sasl_security_options=noanonymous
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

LMTP aktivieren

Postfix soll zum Zustellen von empfangenen E-Mails den LMTP Socket von Dovecot nutzen. Bearbeitet dazu wieder die Datei main.cf

###### Use Dovecot LMTP Service to deliver Mails to Dovecot ######
virtual_transport = lmtp:unix:private/dovecot-lmtp

Relay Einstellungen

Postfix muss mitgeteilt werden, in welchen Fällen E-Mails wohin geleitet werden dürfen. Ist diese Einstellung fehlerhaft, ist es beispielsweise möglich, über einen fremden Mailserver E-Mail zu versenden. Das kann einem Serverbetreiber großen Ärger einbringen, vor allem wenn über den eigenen Server Spam- oder Phishingmails verschickt werden.

Aus diesem Grund wird der E-Mail Versand nur erlaubt, wenn der Absender der Server selbst ist oder der Nutzer über die Datenbank identifiziert werden konnte. Fügt folgende Zeilen noch in die Datei main.cf ein:

##### Only allow mail transport if client is authenticated or in own network (PHP Scripts, ...) ######
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

Bei Postfix Versionen ab 2.10 heißt die Einstellung „smtpd_relay_restrictions“. (Ubuntu 14.04 kommt mit Version >= 2.11)
Wer will, kann über diese Einstellung übrigens auch die Annahme von E-Mails verweigern, die von bekannten SPAM-Servern kommen: Postfix: Annahme von SPAM E-Mails blockieren mit Spamhaus

MySQL Anbindung

Auch Postfix bekommt eine Anbindung an die MySQL Datenbank (in main.cf):

###### MySQL Connection ######

virtual_alias_maps = mysql:/etc/postfix/virtual/mysql-aliases.cf
virtual_mailbox_maps = mysql:/etc/postfix/virtual/mysql-maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/virtual/mysql-domains.cf
local_recipient_maps = $virtual_mailbox_maps

Normalerweise werden z.B. die Domainnamen, für die E-Mails empfangen werden sollen, direkt in der Datei angegeben. Stattdessen nutzen wir die MySQL Datenbank, die schnelle Anpassungen erlaubt. Um die Mailunterstützung für eine neue Domain zu aktivieren, muss lediglich ein neuer Datensatz in die „domains“-Tabelle eingetragen werden. Die eben festgelegten Einstellungen verweisen auf drei SQL-Dateien, die jetzt erstellt werden:

Wechselt in den Ordner /etc/postfix/ und erstellt einen neuen Ordner „virtual“

sudo mkdir /etc/postfix/virtual
sudo chmod 660 /etc/postfix/virtual/
cd /etc/postfix/virtual

Darin erstellt ihr eine neue Datei „mysql-aliases.cf“ und schreibt folgendes hinein (vmail Passwort anpassen!):

user = vmail
password = vmailpasswort
hosts = 127.0.0.1
dbname = vmail
query = SELECT destination FROM aliases WHERE source='%s'

Dasselbe macht ihr auch für die Dateien „mysql-maps.cf“ und „mysql-domains.cf„. (Auch hier die Passwörter für den vmail MySQL Benutzer korrekt setzen!)

Inhalt der mysql-maps.cf:

user = vmail
password = vmailpasswort
hosts = 127.0.0.1
dbname = vmail
query = SELECT * FROM users WHERE username='%u' AND domain='%d'

Inhalt der mysql-domains.cf:

user = vmail
password = vmailpasswort
hosts = 127.0.0.1
dbname = vmail
query = SELECT * FROM domains WHERE domain='%s'

Das war’s auch schon! Bevor die Server neu gestartet und die Einstellungen übernommen werden, müssen aber zunächst gültige Datensätze in die MySQL Datebank eingetragen werden.

MySQL Datenbank mit Inhalten füllen

Loggt euch in die Datenbank ein:

mysql -u root -p
use vmail;

Domain hinzufügen

Damit das Mailsystem funktioniert, muss ihm mitgeteilt werden, für welche Domains E-Mails verarbeitet / empfangen werden dürfen. Die Domains werden in der Tabelle „domains“ verwaltet. Eine neue Domain wird über folgendes SQL Kommando hinzugefügt:

insert into domains (domain) values ('domain.tld');

Neuen Benutzeraccount / Mailadresse hinzufügen

Bevor ein neuer Datensatz für eine Mailadresse eingetragen werden kann, muss zunächst der Hash des gewünschten Benutzerpassworts errechnet werden. In der Dovecot Konfiguration wurde dafür ein sehr starker SHA-512 Hash gewählt. Verlasst ggf. die MySQL Konsole mit „exit“ und gebt folgenden Befehl in die Kommandozeile ein:

doveadm pw -s SHA512-CRYPT

Ihr werdet aufgefordert das gewünschte Passwort zwei mal einzugeben. Danach erhaltet ihr den Hash. Das „{SHA512-CRYPT}“ vor dem eigentlichen Hash kann entfernt werden – es dient nur der Identifizierung des gewählten Hash-Schemas. Da von uns aber nur CHA512-CRYPT genutzt wird, ist es nutzlos. Den Rest der langen Zeichenkette kopiert ihr euch am besten in die Zwischenablage und fügt ihn in das SQL Kommando ein, das einen neuen Benutzer in die Datenbank einfügt: (wieder in MySQL Konsole wechseln – wie oben)

insert into users (username, domain, password) values ('benutzer', 'domain.tld', '$6$A3ZAyqvdkl4nc8BM$bz8YAW7/0B1DcE2I37epHO/p33MbdVKb0FbGH56Ey1KVO1.m3NPL/s5v35NwFrSZMPTBkrc6DDX6rx2MCQhUa0');

Neuen Alias hinzufügen

Eine Alias-Adresse, die z.B. Mails von „alias1@ubuntu-server.de“ auf „benutzer@ubuntu-server.de“ umleitet, wird wie folgt in die Datenbank eingetragen:

insert into aliases (source, destination) values ('alias1@ubuntu-server.de', 'benutzer@ubuntu-server.de');

Verlasst die MySQL Kommendozeile wieder mit „exit“.

Übrigens: Ihr könnt auch sog. Catch-All Aliase einrichten. Wenn z.B. alle eingehenden E-Mails auf domain.tld auf ein bestimmtes Benutzerkonto umgeleitet werden sollen, erstellt einen Alias mit source: „@domain.tld“ und destination: „postfach@anderedomain.tld“.

Sollen hingegen nur E-Mails eingesammelt werden, die an Adressen gehen, die nicht existieren, muss der Catch-All beschränkt werden. Alles weitere dazu findet ihr in diesem Beitrag.

Mailserver neu starten

Damit die Konfigurationen übernommen werden, werden Dovecot und Postfix neu gestartet:

service dovecot restart
service postfix reload
service postfix restart

DNS Einstellungen

Wenn ihr euren Mailserver nicht nur im lokalen Heimnetzwerk nutzen wollt, sondern im direkt im Internet und er dementsprechend über eine Domain erreichbar ist, muss sichergestellt werden, dass die Einstellungen im DNS Zonefile korrekt sind. Für Mailserver werden unbedingt sog. MX-Records benötigt. Diese legt ihr jeweils für IPv4 und IPv6 an.

Außerdem verlangen manche Mailprovider wie z.B. Freenet sog. Pointer Resource Records. Sie verhalten sich gegenteilig zu den normalen DNS Records und ordnen einer IP Adresse einen Domainnamen zu. Wenn kein PTR angelegt wird, schlägt der Mailversand an Freenet z.B. fehl. Denkt daran, nicht nur für eure IPv4 Adresse einen PTR Eintrag zu erstellen, sondern auch für IPv6 ;)

Wer den Mailprogrammen die Suche nach der richtigen Domain erleichtern will, kann im DNS Zonefile die Subdomains imap.domain.de und smtp.domain.de anlegen und auf die Domain verweisen, unter der der Mailserver erreichbar ist. Die meisten Mailprogramme suchen beim Einrichten eines neuen Kontos nämlich nach diesen Serveradressen.

Portfreigaben?

Wer seinen Mailserver Zuhause stehen hat, muss darauf achten, die jeweiligen Ports (143 und 587) in der Firewall des Routers freizuschalten. Die meisten modernen Router können UPnP, was dazu führen kann, dass Mails zwar verschickt werden können, jedoch nie ankommen, weil sie von außen an Port 143 (IMAP) scheitern und nicht wieder zum Mailserver zurück finden. Für den Mailzugriff von außerhalb muss Port 587 (SMTP) ebenfalls freigegeben werden.

E-Mail Account im Mailclient einrichten

Der IMAP Server auf Port 143 ansprechbar; der SMTP Server unter Port 587. Beide Server werden via STARTSSL angesprochen. Die Authentifizierung findet über ein „Plain Password“ / „Normal Password“ statt.

Wenn die selbstsignierten SSL-Zertifikate genutzt werden (standard), kann es sein, dass der E-Mail Client (wie z.B. Mozilla Thunderbird) eine SSL Warnung ausgibt und die Zertifikate zuerst akzeptiert werden müssen. Das passiert beim ersten Aufruf der Mailboxen und beim ersten Versenden einer E-Mail. Wer auf so eine Warnung verhindern will, muss sich ein anerkanntes SSL-Zertifikat von einer der bekannten CAs kaufen, das auf den Domainnamen des Servers passt.

Logging reduzieren

Standardmäßig loggt Postfix (bzw sein Submission Prozess) jeglichen Datenverkehr mit den Clients mit. Damit wird eine Fehlersuche erheblich erleichtert. Sobald alles funktioniert, kann man auf die detaillierten Logfiles aber verzichten und spart sich über die Zeit eine Menge Speicherplatz. Das detaillierte Logging im „Verbose“ Modus kann man abschalten, indem man in der /etc/postfix/master.cf in der „submission“-Zeile das „-v“ hinter „smtpd“ entfernt und Postfix neu startet.

Tipps für Server in freier Wildbahn

Für E-Mail Server, die im großen, freien Internet und nicht im kleinen Heimnetzwerk betrieben werden,  gelten spezielle Regeln. Es gibt einige Dinge zu beachten, damit der eigene Mailserver nicht auf der Blacklist eines bekannten E-Mail Providers wie z.B. web.de oder der Telekom landet.

Eine feste Domain, unter der der Sever erreichbar ist, ist quasi ein „muss“. Ebenso eine fixe IP Adresse. Viele Provider kontrollieren Domain und IP vor der Entgegennahme einer E-Mail, um gegen Spamserver vorzugehen.

Und natürlich gilt: Verschickt nicht unnötig automatisiert E-Mails, dann landet ihr nämlich relativ schnell auf einer Blacklist ;)

Hat dir diese Anleitung geholfen?

Wenn ich dir mit dieser Anleitung helfen konnte, deinen Mailserver aufzusetzen, ist dir das vielleicht ein paar Euros wert. Wie du dir sicherlich vorstellen kannst, war es eine Menge Arbeit, diese Anleitung zu erproben und zu formulieren. Da freue ich mich natürlich riesig über ein wenig finanzielle Unterstützung, sodass ich beispielsweise Test-Server für diese und andere Anleitungen mieten kann. Wie du mir etwas zukommen lassen kannst, erfährst du hier: Unterstützen

Fehlerbehebung

Möglicherweise führt diese Anleitung nicht sofort zum Erfolg, obwohl sie mehrmals auf jungfräulichen Systemen getestet und für funktionierend befunden wurde. Bevor ihr bei Problemen eine Mail an mich schreibt, oder das Problem in den Kommentaren schildert, solltet ihr euch folgende Fragen stellen:

• Sind bei einem lokalen Server tatsächlich die Ports für E-Mail am Router freigegeben? (Siehe oben)
• Wurde ein entsprechendes Mailkonto in der Datenbank angelegt? (Username und Passwort nochmal prüfen! Passwort ggf. nochmal hashen!)
• Welche Fehler und Warnungen werden in den Log-Dateien /var/log/mail.log und /var/log/mail.err ausgegeben?
• Konnte eine Verbindung mit der MySQL Datenbank hergestellt werden? Stimmen die Zugangsdaten? (Siehe auch Log)
• Wurde zuvor bereits ein Versuch unternommen, einen Mailserver aufzusetzen? Sind noch alte Konfigurationen aktiv?
• Wurde die Konfiguration korrekt aus der Anleitung übernommen? (Tippfehler, Fehler beim Abtippen, vergessen, Anpassungen an eigenes System zu machen z.B. bei Passwörtern)
• Ist das Server Betriebssystem aktuell?
• Sind Firewalls oder andere Schutzmechanismen auf dem Server aktiv, die einen Mailversand verhindern könnten?
• Sind die Einträge im DNS Zonefile (MX Record, PTR Record) gültig? Sind die Änderungen schon im DNS verfügbar? (Dauert bis zu 24 Stunden!)
• Wurde eine E-Mail über eine IPv6-Adresse verschickt, die keinen PTR Record hat? (Siehe hier!)
• Können E-Mails an den eigenen Server geschickt werden? Können Mails nach draußen geschickt werden? Können Mails von außen empfangen werden?

Verwaltung des Mailsystems durch die Weboberfläche WebMUM

Für die einfache Verwaltung von Usern, Domains und Weiterleitungen habe ich die Weboberfläche „WebMUM“ entwickelt. Sie basiert Server-seitig auf PHP und setzt nur einen Webserver mit PHP und MySQL-Anbindung voraus. Den Code und eine Installationsanleitung findet ihr auf GitHub.

Weitere Beiträge zu Mailserver Erweiterungen

• Mailserver: Dovecot E-Mail Postfächer Speicherlimit mit MySQL
• Postfix: Annahme von SPAM E-Mails mit der Spamhaus Blacklist blockieren
• Versenden von E-Mails über falsche Absenderadresse verhindern (sehr empfohlen!)
• Roundcube Webmail Client installieren
• Verschlüsselte Server-to-Server Verbindungen mit Postfix (=> „E-Mail made in Germany“)
• E-Mails mit Sieve Filtern und automatisch in bestimmte Ordner verschieben
• Default Ordner im IMAP Postfach automatisch anlegen lassen (z.B. für Spam)
• Sieve Filter von Benutzern verwalten lassen mit Managesieve
• Roundcube Webmail Sieve Plugin installieren
• Spamfilter mit Amavis, Spamassassin und Sieve
• Serverseitiger Virenschutz mit ClamAV und Amavis
• Catch-All Alias zum Sammeln von Mails an nicht existierende Postfächer

… noch eine Anmerkung zum Support

Bitte habt Verständnis dafür, dass ich Fragen zu diesem Artikel nur noch in Ausnahmefällen beantworte. Es ist schon einige Zeit her, dass ich mich intensiv mit dem Thema Mailserver auseinandergesetzt habe. Anlass zum Schreiben dieses Beitrags war das Neuaufsetzen meiner eigenen und einiger fremder Mailserver. Mittlerweile habe ich mit Mailserver nur noch selten zu tun und „bin nicht mehr im Thema“. Ich war selbst auch nie ein großer Mailserver-Experte, sondern habe mir die Informationen aus nur aus den Dokumentationen der Software gezogen. Mein aus dem Steigreif abrufbares Wissen über Mailserver ist daher beschränkt.

Zudem will ich bei den vielen Fragen auch nicht mehr die Energie aufbringen, mich jedes Mal mit den Konfigurationen auseinanderzusetzen.

Ich bitte euch daher, euch bei Problemen nicht an mich zu wenden, sondern die Kommentare im Browser ggf nach Stichworten zu durchsuchen oder eine Suchmaschine eurer Wahl zu benutzen. Viele Fehlermeldungen und andere Probleme können schon durch kurzes Suchen beseitigt werden.