Hallo, eigentlich sollte die Aufgabenstellung relativ "normal" sein. Folgende Konfiguration möchte ich gerne umsetzen: - Mailcow hat eine neutrale Hauptdomain (freesoc.de). - Mailcow hat weitere Domains (leibling.de und ltcs.de). - Ein Proxmox Mailrelay (auch PRMR genannt) soll vorgeschaltet werden (mx.freesoc.de). - Später soll die Mailcow zu mir nach hause (performanterer Server, keine feste IP und kein IPv6 derzeit - da bin ich mit dem AVM Support dran) Die Fragen, die sich mir stellen sind die folgenden: - Lege ich nun den PMR an im DNS und Reverse (IPv4 und 6) und verweise nur noch im MX auf mx.freesoc.de? - Lege ich die Mailcow im DNS nur mit mail.freesoc.de an oder auch als mail.leibling.de bzw. mail.ltcs.de oder aber als aliase im DNS (cname)? - Für die weiteren Domains mache ich da denn MX auch auf mx.freesoc.de oder auf mail.leibling.de bzw. mail.ltcs.de? - Wie mache ich dann SPF, DKIM und DMARC? Jeweils nur auf mx.freesoc.de und referenziere ich dann auf mx.freesoc.de für alle Domains (wenn ja, wie sehen diese aus in SPF, DKIM und DMARC)? - Erstelle ich dann Forwarder von der Mailcow nach PMR für Internet out? - Stelle ich dann ein, das die Mailcow nur noch vom PMR annimmt? Vereinzelt finde ich Informationen, gerade wenn es darum geht Mailserver für Newsletteranbieter zu integrieren, aber die unterscheiden sich oder widersprechen sich gar. Deswegen dachte ich mir, ich frage mal die Profis. Gerne mache ich dazu auch wieder eine umfangreiche Doku und nehme die mit in meinem öffentlichen Adminguide auf. Danke vielmals für eure Hilfe :). Achja, auch in der Doku habe ich nichts passendes gefunden - vielleicht habe ich aber auch nur einiges übersehen.

@"pleibling"#p15765: Hallo, hat niemand eine Idee oder einen Ansatz?

Endlich habe ich die Umstellung vorgenommen und es hat prima geklappt. IPv4, IPv6, Reverse, MX, DKIM, SPF, DANE, DNSSEC usw. - alles einwandfrei. Auch der Test mit internet.nl hat 100% mit allen Domains. Ich bin wie folgt vorgegangen: - IPv4 und IPv6 eingerichtet - Reverseeintrag erstellt - MX umgestellt für die Hauptdomain - MTS-STS Eintrag angepasst - DKIM Eintrag erstellt - SPF angepasst - DANE Eintrage erstellt (3 1 1 für Root und Intermediate, 2 1 1 für das Hostzertifikat - https://github.com/internetstandards/toolbox-wiki/blob/main/DANE-for-SMTP-how-to.md) - TLS 1.0 und 1.1, SSL und Cipher angepasst - Dann für alle anderen Domains im DNS Aliase erstellt für die DKIM Einträge - MX, SPF usw. auf die Hauptdomain verweisen lassen - Die weiteren Einträge wie TLSA für DANE usw. erstellen mit den selben Daten Fertig :). Wenn ihr Fragen habt, dann einfach fragen ;). Beispiel: - https://internet.nl/mail/freesoc.de/1298526/ - https://internet.nl/mail/leibling.de/1298527/ - https://internet.nl/mail/ltcs.de/1298528/

Multidomain Mailcow mit vorgeschalteten Mail Relay

pleibling

Hallo,

eigentlich sollte die Aufgabenstellung relativ “normal” sein.

Folgende Konfiguration möchte ich gerne umsetzen:

Mailcow hat eine neutrale Hauptdomain (freesoc.de).
Mailcow hat weitere Domains (leibling.de und ltcs.de).
Ein Proxmox Mailrelay (auch PRMR genannt) soll vorgeschaltet werden (mx.freesoc.de).
Später soll die Mailcow zu mir nach hause (performanterer Server, keine feste IP und kein IPv6 derzeit - da bin ich mit dem AVM Support dran)

Die Fragen, die sich mir stellen sind die folgenden:

Lege ich nun den PMR an im DNS und Reverse (IPv4 und 6) und verweise nur noch im MX auf mx.freesoc.de?
Lege ich die Mailcow im DNS nur mit mail.freesoc.de an oder auch als mail.leibling.de bzw. mail.ltcs.de oder aber als aliase im DNS (cname)?
Für die weiteren Domains mache ich da denn MX auch auf mx.freesoc.de oder auf mail.leibling.de bzw. mail.ltcs.de?
Wie mache ich dann SPF, DKIM und DMARC? Jeweils nur auf mx.freesoc.de und referenziere ich dann auf mx.freesoc.de für alle Domains (wenn ja, wie sehen diese aus in SPF, DKIM und DMARC)?
Erstelle ich dann Forwarder von der Mailcow nach PMR für Internet out?
Stelle ich dann ein, das die Mailcow nur noch vom PMR annimmt?

Vereinzelt finde ich Informationen, gerade wenn es darum geht Mailserver für Newsletteranbieter zu integrieren, aber die unterscheiden sich oder widersprechen sich gar.

Deswegen dachte ich mir, ich frage mal die Profis.

Gerne mache ich dazu auch wieder eine umfangreiche Doku und nehme die mit in meinem öffentlichen Adminguide auf.

Danke vielmals für eure Hilfe 🙂.

Achja, auch in der Doku habe ich nichts passendes gefunden - vielleicht habe ich aber auch nur einiges übersehen.

pleibling

pleibling:

Hallo, hat niemand eine Idee oder einen Ansatz?

esackbauer

Einige deiner Fragen werden ja in der Dokumentation beantwortet, insbesondere im Kapitel DNS Setup.

Welche domains willst du für SMTP verwenden (als Alias adressen und/oder Mailbox adressen?
Wie sollen die User auf die Mailcow UI bzw. Sogo zugreifen? Genügt mail.freesoc.de? Oder müssen es auch andere Domains sein? Dann musst du dir das Kapitel über SSL Zertifikate ansehen.

pleibling verweise nur noch im MX auf mx.freesoc.de?

Was meinst du mit “nur noch”?
Wie gesagt die DNS requirements stehen in der Dokumentation. Es bleibt dir nicht erspart dich in grundlegende Dinge in DNS einzuarbeiten.

pleibling mache ich da denn MX auch auf mx.freesoc.de

pleibling Wie mache ich dann SPF, DKIM und DMARC? Jeweils nur auf mx.freesoc.de

Das hängt davon ab wer die mails versendet, mailcow direkt oder auch das Proxmox mail gateway.

pleibling Stelle ich dann ein, das die Mailcow nur noch vom PMR annimmt

Das wäre optional, hängt aber auch von deinen Firewall Einstellungen ab. Du hast dir da doch sicher ein Konzept überlegt?

pleibling

esackbauer:

Danke für deine Hilfe, grundsätzlich bin ich im Thema eingearbeitet - bin seit 25 Jahren Netzwerkadministrator und betreue einige on Prem und Cloud Exchange Server, wir betreiben auch selber Hosting im Rechenzentrum. Wie auch schon geschrieben, habe ich meine Mailcow derzeit laufen (100% bei Internet.nl Mailservertest).

Jedoch gibt es mehrere Wege nach Rom und da ich nun noch mal alles überarbeite, wollte ich fragen welcher Weg denn für die Mailcow der beste ist. Ich habe ja schon einen kompletten Weg geschrieben, aber ich bin interessiert ob es Verbesserungsvorschläge habt - bevor ich noch mal alles anpassen muss.

Danke für deine / eure Hilfe 🙂.

esackbauer

Ich kenne die Features vom Proxmox Mail Relay nicht, aber ich verwende etwas ähnliches, bei mir gehen alle Mails über die Sophos Firewall, die als MTA und auch als WAF fungiert.
Für alle meine Domains ist als MX record dergleiche Eintrag der auf “mail.domain1.tld” verweist.
Die SPF und DMARC Records schauen für alle Domains gleich aus (verweisen ja auf den MX), für DKIM habe ich für jede Domain einen eigenen Key.
Im Mailcow ist als senderabhängige Transportmap die Sophos Firewall für alle domains eingestellt.

pleibling

Endlich habe ich die Umstellung vorgenommen und es hat prima geklappt.

IPv4, IPv6, Reverse, MX, DKIM, SPF, DANE, DNSSEC usw. - alles einwandfrei. Auch der Test mit internet.nl hat 100% mit allen Domains.

Ich bin wie folgt vorgegangen:

IPv4 und IPv6 eingerichtet
Reverseeintrag erstellt
MX umgestellt für die Hauptdomain
MTS-STS Eintrag angepasst
DKIM Eintrag erstellt
SPF angepasst
DANE Eintrage erstellt (3 1 1 für Root und Intermediate, 2 1 1 für das Hostzertifikat - internetstandards/toolbox-wikiblob/main/DANE-for-SMTP-how-to.md)
TLS 1.0 und 1.1, SSL und Cipher angepasst
Dann für alle anderen Domains im DNS Aliase erstellt für die DKIM Einträge
MX, SPF usw. auf die Hauptdomain verweisen lassen
Die weiteren Einträge wie TLSA für DANE usw. erstellen mit den selben Daten

Fertig 🙂.

Wenn ihr Fragen habt, dann einfach fragen 😉.

Beispiel:

pleibling

Mittlerweile hat sich der Link geändert:internetstandards/toolbox-wikiblob/main/DANE-for-SMTP-how-to.md

Ganzjahresgriller

Ich habe den Punkt das ich hier etwas auf der Leitung stehe:

Mail server (MX) First found affected cipher Status
mail.domain.de.. AES256-GCM-SHA384 phase out

Wie und wo muss ich denn hier was ändern / einstellen?

anyox

Hallo,
interesanntes Thema und ich spiele auch schon länger mit dem Gedanken meine Mailcow nach hause zu holen.

Kannst du bitte einmal dein Setup beschreiben?
Wenn ich das richtig herauslese, steht dein Mail Gateway ja auf einem VPS mit fester v4 im Internet, wie geht es dann weiter?
Baust du vom Router / Firewall zuhause einen VPN zum Mail Gateway auf, über den der Traffic dann getunnelt wird?
Was machst du wenn die Verbindung nach Hause mal ausfällt?

Vielleicht kannst du hier noch ein paar Details und Erfahrungen liefern.
Danke und eine schöne Woche! 🙂

esackbauer

anyox Baust du vom Router / Firewall zuhause einen VPN zum Mail Gateway auf, über den der Traffic dann getunnelt wird?

Das ist nicht zwingend nötig, wenn du postfix so konfigurierst dass er eine verschlüsselte Verbindung erfordert.

anyox Was machst du wenn die Verbindung nach Hause mal ausfällt?

Von wo nach hause? Vom Client zur mailcow? Weil eigentlich brauchst du den separaten Relay host auf einem VPS nur zum versenden von Mails. Empfangen kann ich direkt auf meiner mailcow zuhause (DynDNS)
Dann verwende ich den Relay host meines Internet Providers.

anyox

Okay, dann muss ich mir das mit dem Postfix mal anschauen.

Mein Setup ist aktuell so, dass ich einen VPS habe und mehrere Router / Firewalls die eine Verbindung zu diesem aufbauen.
Alle Road Warroirs wie Handys etc. Verbinden sich ebenfalls zum VPS und werden von dort aus in das richtige Netzwerk hinter dem entsprechendem Router weitergeleitet.
Die Idee wäre meinen VPS um ein Mail Gateway wie das von Proxmox zu erweitern und von dort aus durch den Tunnel an den Mail Server zuhause weiterzuleiten.

esackbauer

anyox Alle Road Warroirs wie Handys etc. Verbinden sich ebenfalls zum VPS und werden von dort aus in das richtige Netzwerk hinter dem entsprechendem Router weitergeleitet.

Das wäre mir zu kompliziert, ich habe zuhause eine Sophos Firewall die auch gleichzeitig reverse proxy ist. Damit publishe ich alle Dienste.
Alle Daten egal welcher Dienst ob mailcow, owncloud, immich etc. liegen alle bei mir zuhause.

anyox

Das wäre natürlich das einfachste, da ich aber mehrere Netze hinter mehreren Routern verteilt erreichen muss und nicht immer den VPN wechseln möchte wenn ich Dienst A hinter Router A und dienst B hinter Router B erreichen möchte ist das für mich so der einfachste weg..
Und die meisten Dienste wie SmartHome usw. möchte ich nicht direkt aus dem Internet erreichbar machen.

Ich werde mir hier mal was überlegen und hier mitteilen, wenn ich etwas umgesetzt und Erfahrung gemacht habe.

pleibling

Sorry für die späte Antwort. Mailserver zuhause kann ich nicht empfehlen aus mehreren gründen:

Auch mit fester IP oft Adressen aus einem “Dynamic Range” - somit Bad Reputation.
Oft kein Reversename anpassbar und vorgegeben wie “dynamic-123-123-123-123.anbieter.com”, somit oft Kommunikationsprobleme weil Mailservername / DNS / MX / Reverse nicht gleich ist.
Zwangstrennung (TTL usw.) für DNS beachten und wenn möglich niedrig setzen.

Mein Setup ist wie folgt:

HP Server im RZ (betreiben selber Datacenterdienste - geht aber natürlich auch mit VPS, vorteil hier ist das Hetzner die Preise für die ARM gesenkt hat und wenn ich korrekt gesehen habe, unterstützt Mailcow die ARMs mittlerweile. Mehr Wumms zu weniger Kosten)
OpnSense zuhause und im RZ
Wireguard Tunnel zwischen den Netzen
Beide OpnSense machen Mailrelay in den entsprechenden Netzen / VLANs
Forwarder gehen zur Mailcow
Vor der Mailcow steht noch ein Proxmox Mail Relay (PMR)
Alle Geräte im RZ haben IPv4 und IPv6

Zugriff direkt über Internet, über den Tunnel gehen nur der Mailverkehr zu den Mailrelay - aber auch das könnte über Internet erfolgen, da ich zuhause aber auch nur dynamische Adresse haben, mache ich das lieber über Tunnel.

Sicherlich wäre das Setup auch einfacher möglich, ist aber historisch gewachsen und funktioniert prima, gerade der zweistufige Filter gefällt mir gut.

Das einzigste was nun noch durchkommt ist das mit gespooften Adressen, aber das sind im Prinzip “Echte” Mails (DMARC, DKIM, DPF, Adressen - alles echt, nur der Anzeigename ist falsch - das macht den Systemen Probleme. Aber da muss ich noch weitermachen und ein wenig feinjustieren (reden von 5 Mails am Tag).

Bei dem Setup mit dem PMR jetzt davor, könnte ich auch überlegen die Mailcow nach Hause zu holen, da alles ein- und ausgehende über den PMR im RZ geht (über den Tunnel), würde die PMR alle Punkte oben erfüllen und ich hätte weiterhin die 100% erfüllt aus dem internet.nl Test. Der Server zuhause hätte auch mehr Wumms als der im RZ (z.B. zuhause NVMe’s usw.).

Was auch gehen würde, (hatte ich früher mal gemacht) - einfach eine feste IP (z.B. Firewall im RZ oder Anbieter von festen IP Adressen - meistens auch über OPNVPN realsisiert) und diese Adresse dann über den Tunnel NAT-ten und der Mailcow geben - dann würde man auch alle oben genannten Probleme umgehen.

Es gibt insgesamt viele Möglichkeiten - hängt vom Setup ab 😉.

pleibling

Ich habe mal MTA-STS und DANE in einem eigenen kurzen Artikel zusammengefasst - vielleicht hilft es ja dann den einen oder anderen: https://wiki.leibling.de/books/mailcow-adminguide/page/dnssec-dane-und-mta-sts

hardyn66a

Hallo pleibling,

heißt dass das Dein Mailcow nun komplett auf Deinem Heimserver läuft?

Würde das auch gern umsetzen.

feste IPv4 hab ich / keine IPv6
bisher habe ich Mailcow auf einem Vserver mit mail.domain.de / Proxmox mit 1 LXC mit Mailcow & Webseiten

Bekomme ich das ohne IPv6 hin?
Würde mich über jede Info freuen.

VG Hardy

pleibling

Hi, meine Cow zusammen mit einigen anderen VMs laufen in einem RZ - eigener physischer Server. Es geht auch ohne IPv6 - ich habe das nur gemacht um mich mit dem Thema IPv6 auseinanderzusetzen und um beim internet.nl Test auf 100% zu kommen.

Zuhause geht schon, es gibt aber einige Schwierigkeiten - grundsätzlich geht das jedoch, hatte ich zuvor auch gehabt (da jedoch mit einem Microsoft Exchange Server).

Die Herausforderungen sind:

Oft keine Feste IP
Wenn feste IP, dann aus einem sogenannten “Dynamic Range” und bekommen eine “Poor Reputation”.
Kein Reverselookup

Da für Webmail und Empfang der Mails, das alles nicht benötigt wird - reicht hier DynDNS (manche Anbieter wie all-inkl. usw. bieten aber auch DynDNS mit der eigenen Domain an - ich hatte vorher DynDNS und dann ein Alias im eigenen DNS erstellt).

Was kritischer ist, ist der Versand - denn wegen Spamschutz sind die Hürden hier besonders groß. Aber auch da habe ich einen einfachen Trick benutzt - bei (fast) allen Diensten ist Email mit dabei und die Anbieter kümmern sich um alles wie SPF, DKIM, DMARC usw., somit benötigst du für deine Cow nur ein Relaypostfach auf deinem Emailserver beim Webhoster.

Da ich selber Rechenzentren und Cloudumgebungen betreue - mache ich das alles selber (bin seit fast 30 Jahren Admin) und habe nur einen DNS Anbieter (Netcup - die sind günstig, z.B. DE Domain für 5€ im Jahr und können auch IPv4 und IPv6 und vor allem auch DNSSec).

Viele Infos dazu findet du in meinem Blog (https://www.leibling.de/) oder in meinem Wiki (https://wiki.leibling.de/).

Ich hoffe, das hilft dir weiter - ansonsten einfach fragen 🙂.

hardyn66a

pleibling
Vielen vielen Dank für diese ausführliche Antwort!
Wahrscheinlich ist “daheim” wirklich etwas zu kompliziert und aufwändig für mich…

Ich sehe mich mal bei Hetzner etwas um.
VG und nochmals Danke, melde mich bei weiteren Fragen.

DocFraggle

hardyn66a Ich sehe mich mal bei Hetzner etwas um.

Habe da seit Jahren meine Mailcow laufen. Als Neukunde musst Du allerdings 30 Tage warten bevor Du Mails versenden kannst an Port 25, ist ein Schutz vor Spammern die sich kurzfristig eine Maschine hochziehen und ihre Scheisse darüber versenden.