Der MailPlus Server 2.0 bringt etliche neue Funktionen mit, die der ein oder andere bisher schmerzlich vermisst hat. Von meiner Seite ergänzen diese Features den neuen MailPlus 2.0 Server derart, dass KMUs sich die Lizenz für Exchange sparen können.

Um die neuen Hauptfeatures beim Namen zu nennen:

  • Multiple Domain Support
    Endlich werden wirklich mehrere Domains und deren separate Einstellung unterstützt. In der Vergangenheit war dies nur über Umwege und Konfigurationsdateien auf Shellebene möglich. Mit MailPlus Server 2.0 gibt es den Domain Support und Catch-All Mailboxen. Gleich was vor dem @idomix.de steht, ich kann nun einstellen, wer solche eMails bekommen soll.
  • Delegation
    Administrationsaufgaben können jetzt an weitere Admins vergeben werden. Erlaubte Module oder Einschränkungen für diese Sub-Admins definieren, um tägliche Aufgabe zu delegieren.
  • Sender / Relay-Kontrolle
    Konfiguration anderer Mail-Server, die E-Mails nach verschiedenen Kriterien zustellen, oder E-Mails im Auftrag des Haupt-Mail-Servers zu senden, um sie vor externen Bedrohungen zu schützen.

Ein wichtiges Vorwort

Die Installation des MailPlus Server 2.0 hat man schnell erledigt. Jedoch ist es eine verantwortungsvolle Aufgabe, einen Mailserver im Internet zu betreiben. Arbeitet man hier nicht sorgfältig, schafft man leicht ein sogenanntes Open Relay, welches sehr schnell als Spamschleuder missbraucht werden wird.

Genauso wundert es nach Überstürzung einige, warum Mails von großen Mailservern abgelehnt oder gar nicht zugestellt werden. Um genau dies zu verhindern, muss man bei jedem Arbeitsschritt die Sicherheit des Systems im Hinterkopf behalten und die eigene Konfiguration permanent auf mögliche Schwachstellen hin überprüfen.

Ebenfalls bringt der dauerhafte Betrieb eines Mailservers einige wiederkehrende Aufgaben mit sich. Der Server ist regelmäßig zu warten. Sicherheitsupdates müssen installiert werden. Infolgedessen sollte man die Logdateien auf ungewöhnliche Vorkommnisse hin überprüfen.

Voraussetzungen

Um bei großen Anbietern wie GMX, Microsoft oder Web.de nicht im SPAM-Verdachtordner oder gar abgelehnt zu werden, sollte die Voraussetzungen für einen Mailserver beherzigen. Prinzipiell kann jeder Mailserver eMails im Namen von fremden Mailservern verschicken. So könnte ich mit meinem Mailserver eine Mail verschicken und den Absender dbamberger@synology.com verwenden. Demzufolge versuche ich zu behaupten, ich wäre Synology-Mitarbeiter (Phishing!). Woher soll der Empfänger denn wissen, dass die Mail nicht von Synology selbst kommt? Deshalb werden Techniken eingesetzt, um so etwas zu verhindern.

Statische IP-Adresse

Während beim üblichen Internetanschluss alle 24 Stunden die IP-Adresse wechselt, bleibt bei einer fixen IP diese immer gleich. Ausschließlich mit einer statischen IP darf der MailPlus Server 2.0 auch Mails versenden! Andernfalls muss bei einem DynDNS Anschluss ein SMTP-Relay definiert werden. So sendet der MailPlus Server 2.0 nicht selbst, sondern legitim über einen Anbieter, beispielsweise Strato, 1&1 o. ä.

Hostnamen im DNS

Wenn die DiskStation wie in meinem Video zur Einrichtung A bis Z für DynDNS konfiguriert wurde, hat diese einen Hostnamen: Nämlich die DynDNS Adresse, iDomiX.myDS.me

Ebenso muss bei der Subdomain die statische IP-Adresse im A-Eintrag des DNS hinterlegt sein. So zeigt in meinem Fall server.idomix.de auf meine statische IP. Das bleibt immer gleich und bei DynDNS ändert der DynDNS-Client (FRITZ!Box, Router, DiskStation) alle 24-Stunden den A-Eintrag für den Hostnamen.

Reverse DNS-Record von IP-Adresse auf Hostnamen

Der Reverse DNS-Eintrag kommt nur für statische IP-Adressen zum Einsatz. Hierbei wird bei der fixen IP-Adresse beim Provider der Hostnamen hinterlegt. Empfängt ein fremder Server eine Mail, kennt dieser nur ein sicheres Attribut, die IP-Adresse des sendenden Servers. Alles andere kann gefälscht sein! Deshalb muss der Server der die Mail empfängt prüfen, ob hinter der IP-Adresse auch der Hostnamen steckt und ob dieser stimmt. Mit dem Reverse DNS-Record ist das möglich.

Sollte eine IPv6-Adresse vorhanden sein, darf diese keinesfalls vergessen werden!

SPF (Sender Policy Framework) & MX-Record

Bei SPF wird festgestellt, ob ein Server zum Verschicken einer eMail unter der angegebenen Absenderdomain berechtigt ist. Nachdem Hostname und IP-Adresse mit dem PTR-Record geprüft wurden, wird die Legitimität für das Senden unter dieser Domain festgestellt. So muss mein server.idomix.de auch fähig sein, für zerooneit.de oder GlobalTraveler.TV sowie iDomiX.de versenden zu dürfen. Damit wird der Multi-Domain-Betrieb für den Mailserver möglich.

Ein SPF-Record kann verhindern, dass für Ihre Domain unberechtigte E-Mails versendet werden.
  • Der empfangende Mailserver prüft, ob die erhaltene E-Mail von einem authorisierten Mailserver stammt.
  • Stimmen die Absenderinformationen der E-Mail mit den Informationen im SPF-Record überein, wird die E-Mail zugestellt, anderenfalls wird sie als SPAM behandelt.

  • Hardfail, die E-Mail wird nicht zugestellt
  • Softfail, die E-Mail wird zugestellt, jedoch als Spam deklariert

Deshalb habe ich den MX-Record für meine Domains so eingestellt, dass mein Mailserver berechtigt ist. Im Falle eines Ausfalls (Internet, Strom) übernimmt der Strato Backup Mailserver.

DKIM & DMARC

Jedoch reicht die Prüfung der bisherigen Einstellungen noch nicht, denn gerade im Zusammenspiel mit Mail-Relays oder Mailingslisten ist SPF untauglich. Dahingegen bietet DKIM auf Grundlage kryptographischer Signaturen eine deutlich bessere Möglichkeit der Absicherung! Der Empfängerserver holt sich anhand der Absenderdomain den DKIM Record mit dem Public Key aus dem DNS und vergleicht diesen mit der im eMail Header hinterlegten Signatur. Empfängt ein Mailserver eine eMail von einer meiner Domains ohne oder mit falscher DKIM Signatur, fliegt die Fälschung sofort auf.

Zwei TXT-Rekords lege ich an:

domi._domainkey

Der DKIM-Präfix wurde in der DiskStation eingegeben und ist frei wählbar. Bitte keine Sonderzeichen oder Umlaute verwenden. Strato ergänzt hier automatisch domi._domainkey.idomix.de und muss deshalb nicht gesetzt werden. Bei den FAQ des Providers unbedingt nachsehen, wie es gehandhabt wird!

v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDCkvyzJDVxzrtpVT7oLCj5/+2qMZJz26+C5ZEZsX7HQr8Ld3rmMejS5+YtH7WcBIYSQaT4z4yMlsxWWaCocLcxoOIKYbKqUEis6ANKlgM91jxtcbKb6XtGC22qrp5BC6OEcxyKNZ2vMS23Qoi1gxVqki5PmeMMwj1WoOhWHvDBeQIDAQAB; t=s

v=DKIM1 Die Signatur in der E-Mail basiert auf Version 1 der DKIM-Spezifikation. (Eine andere Version gibt es derzeit nicht.)

p=XXX Der öffentliche Schlüssel, welcher in den Einstellungen der Domain des MailPlus Server 2 erstellt wurde

t=s Zeitstempel der Signatur

Für DMARC lege ich einen TXT-Record an:

_dmarc

Mit dem Präfix zeige ich an, es handelt sich um meine DMARC-Einstellungen.

v=DMARC1; p=quarantine; pct=20; rua=mailto:dmarc@dominik-bamberger.de; adkim=r; aspf=s

v=DMARC1 Es handelt sich um DMARC-Spezifikation Version 1.

q=quarantine Der Wer hinter „p=“ kennzeichnet, wie der Empfänger mit Mails umgehen soll, die nicht korrekt mit SPF oder DKIM überprüft werden konnten. Der Eintrag „sp=“ beschreibt das Vorgehen für Sub-Domains. Mögliche Werte sind: none, also weitersenden – quarantine, es wird angenommen aber in Quarantäne gelegt – reject, die Mail wird auf SMTP-Level zurückgewiesen

pct=20 Gibt den Prozentsatz der Mails an, die entsprechend von „p“ gefiltert werden sollen.

rua=mailto:beispiel@beispiel.de An die hier angegebene Mailadresse wird ein Summenbericht versandt. In der Regel geschieht dies einmal am Tag.

adkim=r Hier gebe ich vor, wie streng die Prüfung hinsichtlich DKIM sein soll. In meinem Fall relaxed, s steht für Strict und es darf beispielsweise keine Subdomain sein, von der gesendet wurde.

aspf=s Bei der SPF-Auswertung gehe ich streng vor, die Domäne muss exakt übereinstimmen. r steht wieder für relaxed

Sonderfall Microsoft & Outlook

Microsoft möchte es noch sicherer haben und die bisherigen Maßnahmen reichen leider nicht aus. Gut jedoch, schickt man das erste Mal mit dem neuen MailPlus Server 2 eine Mail an Outlook oder Hotmail, bekommt man die Aufforderung zurück, sich über dieses Formular zu registrieren. Anschließend sollte jetzt keine Mail vom MailPlus Server im Junk-Ordner landen.

Für die feste IP-Adresse kann für Outlook.com über das Portal https://sender.office.com entsperrt werden.

Fazit

Mit dem MailPlus Server 2.0 ergänzt Synology für die DiskStation die Funktionen um lange gewünschte Features. Multi-Domain und die Individuelle Konfiguration derer war eines der wichtigsten Features. Endlich gehört das Anpassen auf Shellebene der Vergangenheit an. Auch das Catch-All Postfach ist etwas, was ich bereits seit zehn Jahren nutze und vermisst hatte.

Damit ist der MailPlus Server 2.0 ein echter Exchange Ersatz! Kosten für Benutzerlizenzen ab fünf Nutzern sind überschaubar und preislich extrem attraktiv. In Kombination mit Mail Plus im Browser, der Mail Plus App und der Collaboration Suite bietet Synology ein Gesamtpaket, dessen seines gleichen sucht. Hier dürfte für jedes KMU der Punkt des Return-on-Investment zeitnah erreicht sein.

Wer auf der Suche nach einem selbst gehosteten Mailserver ist, welcher auf stabiler Hard- und Software läuft, einfach in der Konfiguration ist und einen hohen Mehrwert bietet, ist beim MailPlus Server 2.0 genau richtig.

Hinweis: Ich setze den MailPlus Server seit zwei Jahren ein und habe für dieses Video und diesen Post von Synology keine Gegenleistung erhalten. Einzig wurde mir der MailPlus Server 2.0 in einer Betaversion und der Release-Kandidat zusammen mit einer NDA zur Verfügung gestellt.