Hallo, bin ganz neu hier... wir haben unseren alten Exchange-Server von MS durch Mailcow ersetzt und dieser läuft nun seit rund einem halben Jahr Problemlos, bis auf eine Kleinigkeit. Seit ein paar Tagen stehen wir wohl auf einer Black-List als Spamer. Grund dafür ist wohl das wir einen kleinen Fehler begangen haben, a haben wir Newsletter aus rund 800 ausgewählten Kunden (mit Einverständnis) geschickt haben und das der Informationsmailversand eines Dokumentenmanagements noch über den Provider gelaufen ist - am Tag so um die 50 Mails und fast immer an die gleichen Bearbeiter. Jetzt können wir seit gestern Email nicht mehr an Geschäftspartner schicken, Mails kommen zurück .. Begründung, Empfängerprovider hat abgelehnt/gilt als Block wegen Spamverdacht und das die HELO Einstellungen nicht passen. Also unser Mailcow ist hinter der -geschlossenen- Feierwall. Unsere Mails werden per fetchmail vom Provider geholt und dann an Mailcow zugestellt. Der Versand läuft wie normal sin sollte über Mailcow an die anderen Provider. In den Helo-Daten der Mails steht natürlich der "interne" Rechnername wie z. B. Mailserver.internedomain.lan Diese kann extern nicht aufgelöst werden - klar. Muss ich den Rechnernamen dann ändern? auf was? Könntet Ihr mir da freundlicherweise helfen? Wäre echt dankbar... Viele Grüße M

Warum lasst ihr eure IP Adresse nicht whitelisten beim DNSBL betreiber? Alternativ könntet ihr einen anderen Relay service wie z.b. smtp2go nutzen. Wichtig ist, dass sowas nicht mehr passieren darf... Oder ihr fügt in euren SPF record auch den smtp server des Providers ein. Grundsätzlich ist Mailcow gedacht mit dem externen Hostnamen zu konfigurieren, keine Ahnung warum ihr das entgegen der Anleitung gemacht habt...

@"esackbauer"#p32145 Hallo und vielen Dank für Deine schnelle Antwort... Wir haben das gelesen ja, dass eigentlich der Einsatz so nicht vorgesehen ist (hinter einer Firewall + Fetchmail). Aber da Mailcow so unglaublich stabil laufen soll, "einfach" zu bedienen ist und wir dringend nach einer Alternative zu MS Exchange gesucht haben, war dies eine logische Entscheidung von uns. Bisher hatten wir auch nicht die Probleme. Das man eine IP White listen kann, wusste ich nicht. Ich gebe auch zu, ich bin nicht der Experte... Daher hoffe ich auch bei Erklärungen, dass ich/wir verstehen. Und auch aus diesem Grund, weil ich/wir keine top Experten sind, wollten wir den nicht "öffentlich" stellen bzw. direkt erreichbar haben. > Alternativ könntet ihr einen anderen Relay service wie z.b. smtp2go nutzen. Wichtig ist, dass sowas nicht mehr passieren darf… Oder ihr fügt in euren SPF record auch den smtp server des Providers ein. Könnten Sie uns das genauer erkären? smtp2go ist dann Ersatz für Fetschmail? Was wir gerade überhaupt nicht verstehen, SPD record... den smtp Server des Providers? also z. B. secure.t-onelin.de ? Das müsste ich wo genau einsetzen? in unseren internen DNS Server oder in Mailcow? Bitte entschuldigen Sie unsere vielleicht dummen Fragen, aber wir möchten es so gut es geht richtig machen und eine echte Spamschleuder zu "bauen"... Und leider ist unser € Budget sehr klein gehalten... Vg M

@"MS-DOWI"#p32146 Auch wenn Euer Budget klein gehalten ist, wenn man einen Mailserver im Internet betreibt sollte man schon wissen was man tut. Und wenn man das nicht weis dann muss man jemanden engagieren der das kann. Dann muss man eben Prioritäten setzen was das Budget betrifft.

@"Ganzjahresgriller"#p32147 > wenn man einen Mailserver im Internet betreibt Unser Email-Server ist nicht von außen erreichbar und somit nicht ins Internet gestellt Das habe ich oben auch geschrieben, dass wir genau das nicht wollten um auch Probleme mit Bösewichten aus dem Weg zu gehen.

Aber Ihr wollt ins Internet versenden. Dann muss sich jemand darum kümmern das das wieder klappt.

@"Ganzjahresgriller"#p32150 Wie wäre es mit ein paar guten Tipps wie man da anfängt?

Hat Dir doch @"esackbauer"#2109 schon beschrieben

> @"MS-DOWI"#p32142 Der Versand läuft wie normal sin sollte über Mailcow an die anderen Provider. > > In den Helo-Daten der Mails steht natürlich der “interne” Rechnername wie z. B. Mailserver.internedomain.lan > Diese kann extern nicht aufgelöst werden - klar. > > Muss ich den Rechnernamen dann ändern? auf was? Hat denn Euer alter Exchange das nicht auch so gemacht? Ihr werdet ja denke ich eine feste IP Adresse haben, und auf diese sollte ein DNS A Record ala "mail.meinedomain.de" zeigen. Diesen Namen dann bei Mailcow in der mailcow.conf als MAILCOW_HOSTNAME eintragen. Das wäre schon mal der Anfang. Dann natürlich für Eure Domain einen SPF Eintrag erstellen, fürs Erste würde sowas hier reichen: `"v=spf1 ip4:EU.RE.IP.V4 ip6:ggf:eure:ipv6:addr ~all"` Aber ja, da stimme ich den Vorrednern zu, man sollte davon schon ein bisschen Ahnung haben bzw. sich aneignen, denn das o.g. ist das 1x1 der Mailserver-Kunde

@"DocFraggle"#p32155 Erstmal vielen Dank für die Antwort und Tipps.... Um ehrlich zu sein, ich ... wir sind dazugekommen wie die Jungfrau zum Kind. Mein Steckenpferd ist Warenwirtschaft, nicht Mailserver. Aber wie es leider oft so ist, GF sagt mach ... hinstellen und nein sagen, wäre die beste Option, was letztendlich (Erfahrung in einem anderen Bereich) schlicht weg Verweigerung wäre + Kündigung... Wer Kind&Frau hat, überlegt sich das. Im Moment bin ich dabei überhaupt mich einzulesen in diese doch nicht einfach Materie... Werde das was du geschrieben hast mal nachlesen warum, wie, wo usw. Bei unserem alten Mailserver (Exchange) ... wüsste nicht, dass da sowas mal aufgetreten ist. Aber da hatten wir auch noch nicht so ein Dokumentenmanagementsystem, dass zu allem Mails versenden (wurde verschoben, bitte genehmigen usw.) und dann eben seit neuesten auch noch Newsletter - da habe ich aber darauf bestanden nur die zu verwenden, die Ihr Einverständnis gegeben haben. Und ja wir haben eine feste IP. Nochmal vielen Dank....

> @"MS-DOWI"#p32157 GF sagt mach … hinstellen und nein sagen, wäre die beste Option, In der Tat, Kündigung wg, Verweigerung würde vor dem Arbeitsgericht sicher nicht standhalten. Ganz schöne Klitsche in der du da leider gelandet bist. Den Besitzern der Firma scheint funktionierendes E-Mail nicht wichtig zu sein, sonst würden die dafür Geld in die Hand nehmen und den Mitarbeiter vernünftige Mittel und Ausbildung zu finanzieren, oder das ganze als Service zu kaufen. Mein Rat: Versuche dir das Wissen anzueignen, da gibts viele gute Videos im Internet, z.b. von [Dennis Schröder](https://www.youtube.com/watch?v=CTxZVQAHaPU&list=PLw5Qm0f9sf1lGNltP9xWsrKl3ajYToBJ4&index=11) und wenn du es dann hast, dann verlass den Verein möglichst schnell...

Problem und Ablehnung von Mail bei anderen Providern

MS-DOWI

DocFraggle

ich hab so gehofft, dass genau das nicht die Antwort ist, dass man einen externen DNS schon braucht für Letsencrypt 🙂
Die IP oben ist nur ein Webserver, der aber tatsächlich extern ist.

Ok soweit verstanden. Aber eine Frage dazu hätte ich: als noch der alte Hostname drinnen war “mail.firma1.lan” hatte Letsencrypt ein Zertifikat ausgestellt. Und bevor ich nun was gemacht hatte, war an extern gar nicht zu denken, außer das Emails abgeholt wurde per Fetschmail oder versendet wurden.

Wir konnte Letsencrypt das “damals” erstellen? Also eigentlich für den Hostnamen …

Und sorry wenn ich so dreist bin 🙂 Hab gelesen, dass man auch Zertifikate importieren kann. Auch über die GUI. Ist das empfehlenswert? Wir haben nämlich Zertifikate vom Strato für unsere Domain. (Weiß nicht ob ich das nun korrekt ausgedrückt habe) …

Danke für die Antwort auf jeden Fall, viele Grüße M

DocFraggle

MS-DOWI als noch der alte Hostname drinnen war “mail.firma1.lan” hatte Letsencrypt ein Zertifikat ausgestellt

Evtl meinst Du ja das selbst erstellte Zertifikat das bei der Installation erzeugt wird? Letsencrypt kann wie gesagt nicht funktioniert haben weil kein externer DNS Eintrag + keine Internet Konnektivität

MS-DOWI Hab gelesen, dass man auch Zertifikate importieren kann

Ja, siehe hier: https://docs.mailcow.email/de/post_installation/firststeps-ssl/#ein-eigenes-zertifikat-verwenden

MS-DOWI

DocFraggle

Ja das meinte ich … das Zertifikat was als erstes erstellt wurde beim einrichten …
Das verwundert mich ja jetzt auch total… aber schau mal… das ist das Zertifikat das immer noch vorhanden ist:

Das mit den Zertifikaten werde ich mit morgen dann direkt zu Gemüte führen… vielen Dank für den Link 🙂

Gute Nacht wünsche ich schon mal

DocFraggle

MS-DOWI Ja, da steht es ja auch, ausgestellt von “mailcow”, also das bei der Installation selbst signierte Zertifikat, nicht Letsencrypt

MS-DOWI

DocFraggle

OK jetzt glaube ich hab ich verstanden, ich dachte die ganze Zeit das Letsencrypt dafür da ist um selbst zu signieren.

Da war ich ja voll auf dem Holzweg. Dann wird das nicht gehen, klar.

Danke fürs Augen aufmachen… Heißt um zu lernen und besser verstehen, ich mache mal ein selbst signiertes Zertifikat um zu testen erstmal und dann gehe ich den nächsten schritt.
Danke nochmal!

DocFraggle

MS-DOWI wenn ich Deinen DNS Screenshot richtig deute habt Ihr wohl eine Active Directory Architektur? Wenn ja habt Ihr ja auch automatisch eine interne CA über die Du ein internes Zertifikat ausstellen kannst, wenn Du Mailcow erst mal nur intern nutzen willst. Vorteil ist dass Eure Clients dem Zertifikat automatisch vertrauen

MS-DOWI

DocFraggle

unser Mailcow in Realbetrieb steht erstmal… das wir blockiert wurden, konnte ich bei den “Anti-Spamhäusern” nochmal abwenden mit der Klarstellung, dass hier keine böswillige Absicht dahinterstand und auch das wir dran sind alles zu korrigieren.

Darum habe ich mir heute auch einen eigenen Mailcow aufgesetzt zum üben, nicht das mir der Realbetrieb “abraucht” …

Ja wir haben eine AD, ich möchte mal sagen im Minimalbetrieb… die Zertifizierungsstelle wurde damals 2021 als wir erstmal in der Firmengeschichte einen Windows Server bekommen habe (Vers. 2019) …
Ich kam erst später dazu…. Aber habe schon einige mal daran gedacht, die Zertifizierungsstelle zu installieren….
Das wäre ja jetzt der perfekt Zeitpunkt…

Ich möchte mich wirklich bedanken für die Hilfestellungen und Tipps…. vielen Dank.

So ich mach Schluss für heute… sonst bekomme ich ärger 🙂

Gute Nacht….

MS-DOWI

DocFraggle

Guten Morgen,

da mich das die ganze Nacht nicht losgelassen hat… Wenn man Zertifikate für Organisation+Mail bei einem Zertifizierer wie z. B. SSLmarket, GlobalSign und wie Sie alle heißen usw. kauft und diese verwendet, ist das doch das gleiche wie wenn ich selbst erstelle mit Letsencrypt ? Der Unterschied wäre dann doch der, dass diese Zertifikate bei den Zertifizierer und nicht bei mir am Server auf Gültigkeit abgefragt werden oder?

Ich meine wenn ich ein einfaches E-Mail-Zertifikat habe, womit man Emails signiert und so ein nettes kleines Sigel in der E-Mail erscheint z. B. in Outlook … dann wird/kann da ja auch nichts beim Versender abgefragt ob das gültig ist, oder?

Viele sonnige Grüße M

DocFraggle

MS-DOWI Moin! Es gibt keinen Unterschied zwischen Letsencrypt und z.b. Globalsign etc. Außer dass man Globalsign und Konsorten aus unerfindlichen Gründen Geld bezahlt und Letsencrypt umsonst ist 😅
Am Besten liest Du Dich mal ein bisschen in das Thema ein. Der Client überprüft immer die Gültigkeit des Zertifikats und der Zertifikatskette die zum Root Zertifikat der ausstellenden CA führt. Die Root Zertifikate der wichtigsten CAs bekommt jeder Client automatisch über das Betriebssystem oder den Browser mitgeliefert. Auf Deinem Server wird da nichts überprüft vom Client aus

CK_beats

MS-DOWI
Entschuldigt bitte - ich habe das lange Wochenende mit Arbeit & Familie verbracht.

Verstehe, heißt du (ich darf du sagen?) auch Lehrgeld “bezahlt”…

Ich denke Duzen ist mittlerweile “State of the art” 😅😅
Natürlich habe ich Lehrgeld bezahlt. Gerade genug. Im Prinzip jeden Tag aufs Neue. “Try and error” finde ich auch eine gute Möglichkeit zu lernen.

Das Zertifikat mit dem kleinen Siegel, das Du meinst, ist S/MIME zertifiziert. Hat mit dem Mailserver-Zertifikat nichts zu tun und wird auf dem Mailclient installiert (Ende-zu-Ende).

Wenn Du Eure Mailcow ordentlich nutzen willst (Anti-Spam, Filter etc.) musst Du sie zwangsläufig hinaus in die weite Welt lassen!
DNS (Port 53) ausgehend öffnen.
443, 80, 25 in beide Richtungen + IMAP/S, falls genutzt.
Standard Routen hierzu auf der Firewall installieren.

Du musst nicht zwingend das Let’s Encrypt Zertifikat nutzen. Auch nicht den installierten ACME Client. Kannst z. B. Dir das Zertifikat von Deiner Firewall (sofern sie das kann) erstellen und per SSH auf Deine Mailcow pushen.
Dann kannst Du Let’s Encrypt auf Mailcow stilllegen.
Ein selbstsigniertes Zertifikat auf einem Mailserver, der nach draußen geht, ist immer suboptimal. Das Zertifikat ist für den anderen Server nicht prüfbar, ergo schlechte Reputation oder Ablehnung.
Außerdem sauber konfiguriertes Reverse-Lookup, DKIM, DMARC und SPF Einträge beim Provider.
Schon bist Du ganz vorne dabei und kannst fleißig Mails senden und empfangen.

Gib’ Mailcow einen öffentlich auflösbaren DNS-Namen. Nichts mit .lan. Die dazugehörige IP wird von Eurer Firewall an Mailcow geroutet.

Deine AD und den Windows DNS Server kannst Du für Mailcow getrost in die Tonne treten. Mailcow nutzt Unbound. Umbiegen auf den internen DNS funktioniert nicht.
Das Einzige, was Du machen kannst ist für die internen Clients in Eurem DNS den Mailcow Host auflösen. Somit entfällt die externe Anfrage. Im Falle eines Ausfalls der Internet-Verbindung können die internen Clients weiter Mailcow kontakten. Aber das sind Kleinigkeiten, die zum Schluss eingestellt werden können.

Bring’ Deine (Test-)Installation erst einmal sauber zum Laufen. Keine Scheu ein paar Ports von außen zuzulassen. Check’ Deine Firewall-Regeln ordentlich und alles wird gut!

« Previous Page