mailcow hinter bestehener Reverse Proxy Umgebung einrichten

kkarsten62

Hallo,

dies ist mein erster Post in diesem Forum und ich bin noch relativer Neuling in Sachen Docker, Server, mailcow und Co.

Ich richte gerade meinen ersten Server (NetCup VPS 1000 G9) mittels Docker auf Basis von Dockerbuch https://github.com/docbuc/dockerbuch ein. Das Buch habe ich mir gekauft und eingängig studiert und damit dann das Docker Setup aufgebaut.

Ich möchte nun gerne auch mailcow hinter meinem Reverse Proxy installieren und habe dazu einige Verständnisfragen bzw. versuche ich meine bisheriges Reverse Proxy Setup in Einklang mit dem mailcow Setup zu bringen.
Ich möchte nicht einfach drauf los “basteln” und damit meine bisherige sehr gut laufende Umgebung in Gefahr bringen. Sorry, für die etwas längliche Herleitung :-)

Ich habe bisher folgendes Docker Images/Container am laufen:

Reverse Proxy
Nextcloud als cloud.mydomain.de
Eine kleine Webanwendung in einer separaten Subdomain webapp.mydomain.de
PhpMyAdmin als phpmyadmin.mydomain.de für die Konfiguration von MariaDB

Zertifikate
Die Let’s Encript Zertifikate habe ich über Docker (certbot) in die Reverse Proxy Umgebung, jeweils für die einzelnen drei Subdomains, installiert, mit:

sudo docker run -it --rm \
		-v proxy_certs:/etc/letsencrypt \
		-v proxy_certs-data:/data/letsencrypt \
		certbot/certbot \
		certonly \
		--webroot --webroot-path=/data/letsencrypt \
		-d mysubdomain.mydomain.de

Fragen: Wie läuft die Zertifikat Installation bei mailcow ab? Muss ich diese ebenfalls manuell in meine vorhandene Reverse Proxy Umgebung (wie oben) installieren oder macht mailcow dies selber?
Muss ich dann SKIP_LETS_ENCRYPT=y in mailcow.conf eintragen, wenn ich es manuell mache?

Konfiguration des Reverse Proxy
Hier die Docker compose des Reverse Proxy:

version: '3'

services:
  proxy:
    container_name: proxy
    image: nginx:1.19
    restart: always
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./conf.d:/etc/nginx/conf.d
      - certs:/etc/letsencrypt
      - certs-data:/data/letsencrypt
    networks:
      - backend
      - frontend

volumes:
  certs:
  certs-data:

networks:
     backend:
       external: true
     frontend:
       external: true

Für jede Subdomain (Docker Service) habe ich eigene ./conf.d/subdomain.conf Dateien innerhalb der Reverse Proxy Umgebung erstellt, z. B. für phpmyadmin.mydomain.de:

# Proxy conf for subdomain phpmyadmin.mydomain.de, ./conf.d/phpmyadmin.conf
server {
    listen       80;
    server_name  phpmyadmin.mydomain.de;

    client_max_body_size 200M;
    location / {
        proxy_set_header	Host $host;
        proxy_set_header	X-Real-IP $remote_addr;
        proxy_set_header	X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header	X-Forwarded-Proto $scheme;
        proxy_pass			http://phpmyadmin.frontend:56703;
        proxy_read_timeout	90;
        proxy_buffering		off;
        proxy_request_buffering	off;
### Edit start
# Added to pass security check: https://securityheaders.com
		add_header Permissions-Policy "interest-cohort=(),geolocation=(),midi=(),sync-xhr=(),microphone=(),camera=(),magnetometer=(),gyroscope=(),full
screen=(self),payment=()";
        add_header Strict-Transport-Security "max-age=15768000";
#		add_header Content-Security-Policy "default-src 'none';";
### Edit end
    }

    location ^~ /.well-known {
        allow all;
        root  /data/letsencrypt/;
    }

   listen 443 ssl;
   ssl_certificate /etc/letsencrypt/live/phpmyadmin.mydomain/fullchain.pem; # managed by Certbot
   ssl_certificate_key /etc/letsencrypt/live/phpmyadmin.mydomain.de/privkey.pem; # managed by Certbot
   include /etc/letsencrypt/options-ssl-nginx.conf;

   if ($scheme != "https") {
        return 301 https://$host$request_uri;
   } # managed by Certbot
}

Fragen: Muss ich auch so eine entsprechende ./conf.d/mail.conf Datei für mailcow anlegen?
Leitet sich diese gemäß https://github.com/docbuc/dockerbuch (Nginx) ab?

Netzwerk
Ich habe zwei Netzwerkbereiche konfiguriert:
Frontend (172.22.0.x): Hier kommuniziert der Proxy mit den Nginx’s der jeweiligen Services (cloud, webpapp, phpmyadmin).
Backend (172.21.0.x): Hier kommunizieren die Nginx’s der jeweiligen Services (cloud, webpapp, phpmyadmin) mit den restlichen Containern (MariaDB, Nextcloud, …) der jeweiligen Services.
Hier habe ich überhaupt keine Sicht wie nun die Netzwerke in Richtung mailcow aufzusetzen sind.
Frage: Wie gehe hier vor?

DNS
Die DNS Einträge erfolgen gemäß den Angaben von DNS setup https://github.com/docbuc/dockerbuch.
Frage: Reicht zunächst die “minimal DNS configuration”?
Kann ich dann die DNS Installation von DKIM, SPF and DMARC nach der Erstinstallation nachholen?

Konfiguration mailcow
Mit ./generate_config.sh konfiguriere ich ja das mailcow Setup.
Die initiale Frage irritiert mich ein wenig: Mail server hostname (FQDN) - this is not your mail domain, but your mail servers hostname:
Ich bin davon ausgegangen hier dann mail.mydomain.de einzugeben habe.
Frage: ist dies korrekt so?

Vielen Dank für eine Unterstützung und Eure Geduld.

kkarsten62

accolon

Vorab: Ich kenne das genannte Buch nicht und habe daher auch keinen Überblick über dein konkretes Setup oder mögliche Stolperfallen, die damit verbunden sein könnten. Da ich Mailcow aber auch in eine bestehende, ähnliche Umgebung (Nextcloud, weitere Webanwendungen, Reverse Proxy) integriert habe, hier ein paar Hinweise. Das heißt natürlich nicht, dass es nicht anders oder gar besser geht.

Der wichtigste Punkt zuerst: Ich würde möglichst wenig an der Standard-Konfiguration ändern, um bei Updates oder Problemen nah an dem zu sein, was seitens der Entwickler vorgesehen wurde und auch durch andere Anwender betrieben wird. Bei vielen der Probleme, die Leute hier im Forum schildern, ist oft etwas verbastelt.

Zertifikate
Mailcow holt sich über den integrierten “acme-mailcow”-Container selbst Zertifikate von Let’s Encrypt:
https://mailcow.github.io/mailcow-dockerized-docs/firststeps-ssl/

Das funktioniert meiner Erfahrung nach gut und deckt die Zertifikate sowohl für den Mailbetrieb (also SMTPS, IMAPS etc.) als auch die Webdienste (HTTPS) ab. Für die entsprechende Konfiguration des Proxys siehe weiter unten.

Du kannst wie unter dem o.g. Link beschrieben auch das integrierte Mailcow-ACME deaktivieren und deine extern besorgten Zertifikate für Mailcow nutzen (“How to use your own certificate”), das hab ich bisher aber nicht ausprobiert. Da man dafür Dateien kopieren und Container neustarten muss, halte ich die integrierte Lösung für einfacher.

Reverse Proxy
Ich nutze die Konfiguration von hier:
https://mailcow.github.io/mailcow-dockerized-docs/firststeps-rp/

Diese würdest du, geeignet angepasst, vermutlich einfach in dein bestehendes Nginx einbinden. Der Vorteil dieser Vorlage ist, dass sie alles wesentliche abdeckt, acme-mailcow funktioniert und die damit erstellten Zertifikate für die Web-Dienste verwendet werden.

Netzwerk
Hier bin ich überfragt. Der mailcow-Stack erzeugt ein eigenes, in sich geschlossenes Netzwerk mit den notwendigen Schnittstellen nach außen. Ob du daran was ändern musst (oder solltest), musst du vermutlich ausprobieren…?!

DNS
Die minimale Konfiguration von hier reicht für den Anfang und für ein funktionierendes Setup:
https://mailcow.github.io/mailcow-dockerized-docs/prerequisite-dns/

Der Rest ist zur Erhöhung der Sicherheit sehr empfehlenswert, das würde ich aber erst schrittweise angehen, wenn alles andere läuft. Es handelt sich ja effektiv “nur” um DNS-Einträge und keine Konfigrationsänderung an Mailcow, das kann man schön separat einrichten und testen.

Konfiguration
Ja, der FQDN ist der vollständige Name des Mailservers. Wenn dieser mail.mydomain.de lautet, ist das richtig – es sollte der Name sein, der auch im MX-Record im DNS steht. Du darfst NICHT nur den Namen einer für Mails bestimmten Domain verwenden – vermutlich soll mail.mydomain.de ja (u.a.) Mails für name@mydomain.de annehmen; mydomain.de reicht nicht, das ist mit der Meldung gemeint.

kkarsten62

Vielen Dank für die gute Hilfestellung.

Das Konzept aus dem Buch sieht das Konzept des TLS/SSL Termination Proxy vor. Dabei verwaltet das Frontend (Proxy) alle benötigten Zertifikate und regelt den verschlüsselten Verkehr mit dem Internet und gibt dann die Daten weiter an das Backend, an die entsprechenden Docker Container.
Vorteil ist dabei, dass alle Zertifikate von den verschiedenen Services dann nur im Proxy in einem eigenen Docker Netzwerk verwaltet werden und dass die im Backend liegenden Services nichts mit der Verschlüsselung zu tun haben und
in einem zweiten sicheren Netzwerk agieren. So habe ich dies aus dem Buch verstanden und aus meiner laienhaften Sicht finde ich dies schlüssig und charmant.

So wie es nun verstehe müssten dann die Zertifikate aber nochmals in den mailcow Container kopiert werden.

Ich werde mal einen Snapshot vom Server machen und schauen ob ich etwas hinbekomme.

Sollte jemand noch weitere Informationen haben, so wäre dies sehr hilfreich.