Hallo.
\nNachdem Kolab installiert ist, kann man mit mehreren Benutzern bereits intern Mailverkehr haben \ud83d\ude42
\nSelbstverst\u00e4ndlich reicht das aber nicht, man will ja auch anderen Leuten mail schicken k\u00f6nnen.<\/p>\n
Ich habe meine Webseiten beim gro\u00dfen deutschen Hoster STRATO. Dank einiger Umbr\u00fcche in letzter Zeit gibts hier einiges zu beachten. Dabei geht Strato weiter als andere Anbieter. Im gegensatz zu z.B. GMX, die eine unverschl\u00fcsselte Verbindung auf Port 578 mit nachfolgendem StartTLS Befehl (Umschalten auf verschl\u00fcsselte Kommunikation) anbieten, besteht Strato auf einer von Anfang an verschl\u00fcsselten Kommunikation. Der bei Kolab verwendete Mailserver POSTFIX jedoch beherrscht kein SMTPS (SMTP over SSL) auf port 465 und wechselt trotz anderer configuration selbstst\u00e4ndig auf das Verfahren StartTLS auf Port578, und wird dort vom Strato-server sofort wieder vor die T\u00fcr gesetzt.<\/p>\n Dieses Problem kann man nur l\u00f6sen, wenn man die Kontaktaufnahme zum Strato-Server \u00fcber einen Tunnel leitet, der bereits au\u00dferhalb des Mailservers die SSL-Verschl\u00fcsselung bereitstellt. Ich habe aus der Beispielconfig (siehe Readme) mir die passenden Zeilen herauskopiert und entsprechend angepasst:<\/p>\n ; PID is created inside the chroot jail ; Debugging stuff (may useful for troubleshooting) ; * Service defaults may also be specified in individual service sections * ; * Service definitions (remove all services for inetd mode) * Kurz zur Erl\u00e4uterung: Der SSL-Tunnel-daemon lauscht auf der internen IP-Adresse 127.0.0.1 Port 10010 und schleust die ankommenden Daten durch den Tunnel auf die SSL-Verbindung zum Strato-SMTP-Server auf Port465.<\/p>\n Damit ist schon einmal die SMTPS-Verbindung eingerichtet.<\/p>\n Jetzt kommt der Mailserver an die Reihe:<\/strong> \/etc\/postfix\/main.cf<\/p>\n # See \/usr\/share\/postfix\/main.cf.dist for a commented, more complete version<\/p>\n # Debian specific: Specifying a file name will cause the first smtpd_banner = $myhostname ESMTP $mail_name (Debian\/GNU) # appending .domain is the MUA’s job. # Uncomment the next line to generate „delayed mail“ warnings readme_directory = no<\/p>\n # TLS parameters # See \/usr\/share\/doc\/postfix\/TLS_README.gz in the postfix-doc package for myhostname = kolab.home.gafu.de<\/p>\n alias_maps = hash:\/etc\/aliases #incoming mail #outgoing mail Ich denke mit den kommentaren „incoming“ und „outgoing“, insbesondere letzterem kann jeder die entsprechenden Eintr\u00e4ge auffinden. Der Inhalt der Dateien ist folgender: \/etc\/postfix\/sender_relay Ganz klar gehts hier in den Port des SSL-Tunnels, der zu smtp.strato.de:465 mit SSL weiterleitet. \/etc\/postfix\/sasl_passwd Um die Daten in ein f\u00fcr den Mailserver brauchbares Format zu bringen, m\u00fcssen diese in Datenbanken umgewandelt werden. Au\u00dferdem ist der Tunnel zu starten und der Mailserver neu zu starten, um die Daten zu \u00fcbernehmen: Jetzt geht ausgehende Mail auch mit dem Strato-Mailserver. Gehts nicht, dann die Fehlerlogs mal durchsehen: Viel Erfolg!<\/p>\n
\nExemplarisch beschreibe ich nun, wie man ausgehenden Mailverkehr \u00fcber den Kunden-Mailserver bei Strato einrichtet.
\nDabei werden die Mails genau so<\/strong> versandt, wie es ein Mailclient auch tuen w\u00fcrde, etwa Thunderbird oder Outlook.<\/p>\n
\nBei Strato gibt es zu beachten: Nach den Enth\u00fcllungen \u00fcber die umfassenden Geheimdienstaktivit\u00e4ten durch Edward Snowden hat Strato die eigenen Mailserver angepasst. Ab 01\/2013 koennen nur noch Mailkonten angelegt werden, die Verschl\u00fcsselt per SSL kontaktiert werden m\u00fcssen<\/b>.<\/p>\n
\nDazu soll der SMTP Server auf Port 465 mit einer SSL-Verbindung kontaktiert werden, bevor irgendetwas anderes passiert.
\nDazu werden alle anderen verbindungsversuche \u00fcber Port25 und 578 sofort nach zustandekommen ohne Fehlermeldung wieder abgebrochen.<\/p>\n
\nDazu bietet sich das debian-Paket stunnel4<\/b> an.
\nNach dem Installieren (z.B. per apt-get) muss die configuration angepasst werden:
\nMit touch \/etc\/stunnel\/stunnel.conf<\/code> kann die konfigurationsdatei angelegt werden.
\nEin editor (ebenfalls mit Rootrechten) kann dann die Datei bearbeiten.
\n(Ich verwende gerne den MC, wer sich noch mit dem legend\u00e4ren Norton Commander auskennt kommt auf anhieb damit zurecht)<\/p>\n
\npid = \/stunnel4.pid<\/p>\n
\n;debug = 7
\n;output = \/var\/log\/stunnel4\/stunnel.log<\/p>\n
\n; Disable support for insecure SSLv2 protocol
\noptions = NO_SSLv2<\/p>\n
\n[strato-smtps]
\nclient = yes
\naccept = 127.0.0.1:10010
\nconnect = smtp.strato.de:465<\/p><\/blockquote>\n
\nBei Strato ist man gezwungen, Mails mit der zur Authentifizierung passenden Mailadresse einzuliefern. Es werden keine Mails angenommen, die nicht von dem zum Nailaccount passenden Absender stammen. Will man so wie ich mehrere Mailadressen verwenden, muss man den Mailserver so einrichten, das er f\u00fcr jede Mailadresse das jeweils dazu geh\u00f6rene Passwort verwendet.
\nAu\u00dferdem muss jeweils vor dem Mailversand die entsprechende Authentifizierung durchgef\u00fchrt werden.
\nDas geht so:<\/p>\n
\n# line of that file to be used as the name. The Debian default
\n# is \/etc\/mailname.
\n#myorigin = \/etc\/mailname<\/p>\n
\nbiff = no<\/p>\n
\nappend_dot_mydomain = no<\/p>\n
\n#delay_warning_time = 4h<\/p>\n
\nsmtpd_tls_cert_file=\/etc\/ssl\/certs\/ssl-cert-snakeoil.pem
\nsmtpd_tls_key_file=\/etc\/ssl\/private\/ssl-cert-snakeoil.key
\nsmtpd_use_tls=yes
\nsmtpd_tls_session_cache_database = btree:${data_directory}\/smtpd_scache
\nsmtp_tls_session_cache_database = btree:${data_directory}\/smtp_scache<\/p>\n
\n# information on enabling SSL in the smtp client.<\/p>\n
\nalias_database = hash:\/etc\/aliases
\nmyorigin = \/etc\/mailname
\nmydestination = ldap:\/etc\/postfix\/ldap\/mydestination.cf
\nmynetworks = 127.0.0.0\/8 [::ffff:127.0.0.0]\/104 [::1]\/128
\nmailbox_command = procmail -a „$EXTENSION“
\nmailbox_size_limit = 0
\nrecipient_delimiter = +
\nlocal_recipient_maps = ldap:\/etc\/postfix\/ldap\/local_recipient_maps.cf
\ninet_interfaces = all
\ntransport_maps = ldap:\/etc\/postfix\/ldap\/transport_maps.cf, hash:\/etc\/postfix\/transport
\ncontent_filter = smtp-amavis:[127.0.0.1]:10024
\nvirtual_alias_maps = $alias_maps, ldap:\/etc\/postfix\/ldap\/virtual_alias_maps.cf, ldap:\/etc\/postfix\/ldap\/virtual_alias_maps_mailfor
\nwarding.cf, ldap:\/etc\/postfix\/ldap\/virtual_alias_maps_sharedfolders.cf, ldap:\/etc\/postfix\/ldap\/mailenabled_distgroups.cf, ldap:\/e
\ntc\/postfix\/ldap\/mailenabled_dynamic_distgroups.cf
\nsubmission_sender_restrictions = reject_non_fqdn_sender, check_policy_service unix:private\/submission_policy, permit_sasl_authent
\nicated, reject
\nsubmission_recipient_restrictions = check_policy_service unix:private\/submission_policy, permit_sasl_authenticated, reject
\nsubmission_data_restrictions = check_policy_service unix:private\/submission_policy<\/p>\n
\nsmtpd_sender_login_maps = $relay_recipient_maps
\nsmtpd_tls_auth_only = yes
\nsmtpd_recipient_restrictions = permit_mynetworks, reject_unauth_pipelining, reject_rbl_client zen.spamhaus.org, reject_non_fqdn_r
\necipient, reject_invalid_helo_hostname, reject_unknown_recipient_domain, reject_unauth_destination, check_policy_service unix:pri
\nvate\/recipient_policy_incoming, permit
\nsmtpd_tls_security_level = may
\nsmtpd_sasl_auth_enable = yes
\nsmtpd_sender_restrictions = permit_mynetworks, check_policy_service unix:private\/sender_policy_incoming<\/p>\n
\nrelayhost = [127.0.0.1]:10010
\nsender_canonical_maps = hash:\/etc\/postfix\/sender_canonical
\nsender_dependent_relayhost_maps = hash:\/etc\/postfix\/sender_relay
\nsmtp_tls_security_level = may
\nsmtp_sender_dependent_authentication = yes
\nsmtp_sasl_auth_enable = yes
\nsmtp_sasl_password_maps = hash:\/etc\/postfix\/sasl_passwd
\nsmtp_sasl_security_options = noanonymous noplaintext<\/p><\/blockquote>\n
\nDer letzte Absatz ist nat\u00fcrlich der entscheidende.
\n„sender_canonical_maps“ dient einem Mapping der E-Mail-adressen von den Lokalen Mailserveradressen auf die Adresse des Mailkonto bei Strato, ich nenne es jetzt „externe Adresse“
\n„sender_dependent_relayhost“ erlaubt die verwendung von verschiedenen externen Mailservern (also verschiedene Mailanbieter)
\n„sender_sasl_password_maps“ enth\u00e4lt die Passworte zu den externen Mailkonten.<\/p>\n
\n\/etc\/postfix\/sender_canonical:
\ninterne_mail_1@fqdn externe_mailadresse@externe_domain.com<\/code><\/p>\n
\ninterne_mail_1@fqdn [127.0.0.1]:10010<\/code><\/p>\n
\nStatt der IP k\u00f6nnen andere Mailserver von dritten Anbietern auch eingetragen werden, wenn man mehrere verwenden m\u00f6chte.<\/p>\n
\nexterne_mail@externe_domain.com externe_mail@externe_domain.com:[ext_mailpw]<\/code><\/p>\n
\n
\n\/etc\/init.d\/stunnel4 start
\ncd \/etc\/postfix
\npostmap sasl_passwd
\npostmap sender_canonical
\npostmap sender_relay
\n\/etc\/init.d\/postfix restart
\n<\/code><\/p>\n
\ncat \/var\/log\/mail.log | grep postfix<\/code><\/p>\n