mailcow als internen Mailserver betreiben?

haasc

Hallo zusammen,

ich würde mailcow gerne als internen Mailserver mit SoGo in meinem internen Netzwerk betreiben.
Der Mailversand soll über meinen Relayhost/MX auf einem externen Server bei einem Provider erfolgen.

Gibt es eine einfache Methode mailcow dementsprechend zu konfigurieren, oder ist mailcow nur als Komplettlösung auf einem direkt aus dem Internet erreichbaren Server zu betreiben?

Mir ist klar, dass ich dazu sinnvollerweise Rspamd deaktivieren, den ACME-Client entweder komplett deaktivieren und die Letsencrypt-Certs von einem Proxy aus holen und verteilen lassen, oder als Protokoll DNS01 verwenden muss.
Ob ich Postfix-Polkit deaktivieren muss ist mir hingegen schon nicht mehr so klar …

Von Portweiterleitungen eines Servers im Internet in mein heimisches Netz auf den mailcow-Server möchte ich, wenn möglich, absehen.

Vielen Dank!
Christoph.

esackbauer

Dürfen wir fragen was der Sinn/die Verwendung eines solchen (halb “kastrierten”) Servers ist?
Welchen Sinn hat es an extern versenden zu können wenn man die Antwort nicht empfangen kann?
Natürlich kann man ihn auch betreiben ohne dass er etwas aus dem Internet empfängt.
Aber ist das sinnvoll? Richtige Lets Encrypt Zertifikate sind sehr sinnvoll. Von überall aus auf die Mails zugreifen zu können ist auch sinnvoll.

haasc Von Portweiterleitungen eines Servers im Internet in mein heimisches Netz auf den mailcow-Server möchte ich, wenn möglich, absehen.

Warum? mailcow wurde genau dafür gemacht und bringt eigene Firewall rules und Fail2ban mit

haasc

Hallo esackbauer und CK_beats,

zunächst vielen Dank für Eure Rückmeldungen und Sorry, dass ich mich nicht früher mit meiner Antwort melden konnte!

esackbauer Welchen Sinn hat es an extern versenden zu können wenn man die Antwort nicht empfangen kann?
Natürlich kann man ihn auch betreiben ohne dass er etwas aus dem Internet empfängt.

natürlich soll der mailcow-Server senden und empfangen können. Aber eben über meinen Relay-/MX-Server den ich bei einem Provider betreibe. Die Kommunikation soll (wie bisher auch) über die Submission-Ports mit SASL-Authentication auf beiden (mailcow und Relay) oder einer anderen sicherne Alternative erfolgen.
Mein externer Mailserver mit offizieller IP macht mit Postscreen und Rspamd neben Antispam und Antivirus auch SPF, DKIM, DMARC, ARC usw. und leitet die Mails für mich anschließend an den internen Mailserver weiter, wo die Mails dann in Dovecot gespeichert werden, bzw. versendet Mails des internen Servers an die Destinationen.

esackbauer Richtige Lets Encrypt Zertifikate sind sehr sinnvoll.

da widerspreche ich ja gar nicht. Ich möchte jedoch nicht, dass meine sämtlichen Maschinen selbstständig sich die Letsencrypt-Zertifikate halen, sondern ich mache das zentral über einen Proxy, der für alle meine Maschienen die Zertifikate holt und das DNS01-Protokoll verwendet.

esackbauer Von überall aus auf die Mails zugreifen zu können ist auch sinnvoll.

auch hier widerspreche ich nicht.
mir geht es u.a. darum, dass ich keinen direkten Zugriff auf den Dovecot-Server aus dem Internet haben möchte, sondern nur auf einen Webmailer und auch das Backup gestaltet sich einfacher, wenn die Maschine im internen Netz steht.

Aber vielleicht ist es eine trügerische Annahme von mir, wenn ich glaube, dass eine Portweiterleitung auf einen im internen Netzwerk stehenden mailcow-Server unsicherer wäre, als nur ein Zugriff über einen Webmailer auf den Dovecot-Server?

CK_beats Vorteil ist natürlich zentrale Datenhaltung, unabhängig von der Workstation.
Damit auch leichteres Backup.

genau!

CK_beats Andererseits ist diese “interne” Konfiguration typisch für private Netzwerke ohne feste IP und mögliche Reverse-Lookup Einträge.

dieses Problem habe ich gelöst ;-)

Trotzdem bleibt die Frage: wie kann ich im mailcow-Setup Rspamd, ggf. auch ClamAV abschalten und den Letsencryptteil entweder auf DNS01 umstellen, oder lieber ganz deaktivieren. (Stattdessen soll der mailcow-Server wie meine anderen internen Server auch über einen Cronjob seine Letsencrypt-Zertfikate von meinem Letsecrypt-Proxy abholen).

Oder ist ein solcher Eingriff in mailcow nicht vorgesehen und nur schwer möglich?

Thx
Christoph.

CK_beats

Meine Vermutung ist er möchte Mailcow als reinen Speicher für die Mails, sowie Versand zwischen den intern verwalteten Postfächern nutzen.
Abholung der externen Postfächer per IMAP über Mailcow und Versand über einen Smarthost (hatte er geschrieben).

Vorteil ist natürlich zentrale Datenhaltung, unabhängig von der Workstation.
Damit auch leichteres Backup.

Andererseits ist diese “interne” Konfiguration typisch für private Netzwerke ohne feste IP und mögliche Reverse-Lookup Einträge.

CK_beats

haasc

Stattdessen soll der mailcow-Server wie meine anderen internen Server auch über einen Cronjob seine Letsencrypt-Zertfikate von meinem Letsecrypt-Proxy abholen

Ist möglich. Oder andersherum. Kannst über SSH die Zertifikate holen oder pushen. Dann musst Du nur noch in Deinem Cron-Job einen Neustart der Instanzen forcieren und schon läuft alles.

Du kannst natürlich CLAM-AV abschalten und ohne weitere große Programmierung zu RspamD auf Mailcow sagen, dass z. B. alles < Gewichtung 5000 SPAM ist. Somit lässt er einfach alles durch. Ohne, dass Du Flags ändern oder RspamD ausprogrammieren muss (sofern überhaupt möglich).

Wenn Du per IMAP die Mails von einem externen Postfach abholst und auch per Relay dorthin wieder zustellst bietet die Konfiguration meiner Meinung nach keinerlei Einfallstore für andere.
Generell gilt, dass jede Schnittstelle sowohl für gute, als auch für schlechte Zwecke “bereitsteht”.

Mailcow ist dafür entworfen worden mit diesen Risiken umgehen zu können. Der Mensch selbst stellt für das System jedoch das größte Risiko da (Benutzer- / Passwortkombinationen etc.).
Ich selbst würde Mailcow auch nicht in der DMZ völlig nackig stehen lassen.
Hier des Öfteren schon gelesen.

Das Risiko einzelne Ports zugänglich zu machen gepaart mit einer ordentlichen Sicherheit ist für mich absolut handelbar.
Sprich: Benutzer Authentifizierung, Firewall mit SSL Abladung und IDS, Virenscanner, Blacklists etc. Nicht zu vergessen Backups und Disaster Recovery.
Eben alles, was zu einer modernen aktuellen Sicherheits-Infrastruktur gehört.
Man betreibt schließlich ein Serversystem und keinen Zocker-Laptop.

Dann stellt sicher immer noch die Frage, wie man zum Opfer wird. Wir richten uns nach bzw. gegen zufällige Angriffe aus. Damit man kein “Beifang” bei breit angelegten Aktionen wird.
Gegen einen professionellen Angriff sind wir wahrscheinlich zu wenig gewappnet. Aber was wollen sie holen?
1 Mio. € Lösegeld wird schon schwierig, da wir dafür einfach zu klein sind.

Von daher, sofern Du feste IP, Reverse-Lookup und eine gute Reputation stellen kannst, spricht von meiner Seite aus überhaupt nichts dagegen Mailcow als Frontend zu betreiben.