Synology MailPlus Server

Email gehört zu dem am meisten genutzten Diensten im Internet, ein Dienst, der für jede Firma unverzichtbar ist. Auch wenn die Nutzung von Email sehr einfach erscheint, so ist die Konfiguration eines Email Servers weitaus komplexer als die Konfiguration vieler anderer Dienste. Dies hängt unter anderem mit dem hohen Spam Aufkommen im Internet zusammen. Email Server sind attraktive Angriffsziele, die Konfiguration ist deswegen besonders sicherheitsrelevant. Für den Transfer von Mails zwischen verschiedenen Mail Servern müssen besondere Vertrauensstellungen geschaffen werden, damit Mails zuverlässig zugestellt und empfangen werden.
Der Synology MailPlus Server versucht die Konfiguration dieser komplexen Anforderungen über eine einfach zu bedienende Nutzeroberfläche zu ermöglichen. Ob dies gelingt schauen wir uns in diesem Artikel an.

Ist der MailPlus Server für den Einsatz im Unternehmen geeignet?

Wir möchten uns in diesem Beitrag vor allem mit technischen Aspekten beschäftigen, die den Mailserver an sich und die Kernfunktionalität Senden, Empfangen und Weiterleiten von Mails inkl. relaying betreffen. Auf die Vielzahl an Frontend Funktionen werden wir nur am Rande eingehen. Hierzu gibt es unzählige Beiträge im Netz gibt, wie z.B. das Tutorial vom Hersteller zur Einrichtung des MailPlus Server. Eine Übersicht aller offiziellen Tutorials und FAQ zum Thema Mail findet sich hier.

Der MailPlus Server leistet sich beim Funktionsumfang keine Schwächen. Es sind alle Funktionen vorhanden, die ein vollwertiger Mail Server benötigt. Aber wie sieht es unter der Haube aus? Kann der Synology MailServer Unternehmensanforderungen unter Aspekten wie Sicherheit, Skalierbarkeit und Zuverlässigkeit erfüllen?

Nutzerverwaltung

Dass ein Mailserver eine Nutzerverwaltung braucht, über die Mail-Adressen, Postfächer und die Zugänge verwaltet werden ist selbstverständlich. Benutzer können über lokale Konten oder über eine Domäne verwaltet werden. Es können Gruppen erstellt werden, Aliase konfiguriert, Benutzerrichtlinien definiert oder Delegationsregeln erstellt werden. BCC Regeln, Limits, globale Footer, Rechteverwaltung, usw. Diese Liste könnten wir lange fortsetzen. Kurzum, der MailPlus Server bringt alles mit, was man für den gewöhnlichen Einsatz im Unternehmen oder auch privat benötigt.

Zugriffsmöglichkeiten

Der Zugriff auf Mails ist möglich über IMAP, POP3, App und Webbrowser.

Sicherheit auf Anwendungsebene

Schutzmaßnahmen gegen Spam, Viren und Trojaner erfolgen auf Anwendungsebene. Auch hier leistet sich der MailPlus Server keine Schwächen. Es steht eine Vielzahl gängiger Schutzmechanismen zur Verfügung wie

  • Blacklist / Whitelist Regeln
  • Anti-Spam Modul mittels SpamAssassin und automatischem Lernen
  • Antivirenmodul mittels ClamAV oder McAfee
  • Erkennung bösartiger URLs mittles Google SafeBrowsing oder Drittanbietern.
  • Überprüfung des Absender über SPF, DKIM oder DMARC
  • Content Tag Filter auf Tags wie z.B. iframe oder Script Tags.

Mittels Message Content Protection (MCP) können Mails weiterhin gegen reguläre Ausdrücke geprüft werden und pro Ausdruck eine Wertung erhalten. Bei Erreichen eines Schwellwerts kann definiert werden, wie mit der Mail weiter verfahren wird. Auf diese Weise können sensible Daten gefiltert und beispielsweise Datenschutzrichtlinien umgesetzt werden.

Sicherheit auf Transportebene

Die Sicherheit auf Transportebene betrifft die direkte Kommunikation zwischen zwei Mail-Servern oder zwischen einem Mail-Server und einem Mail-Client. Das konfigurieren und Absichern der Verbindungen auf Transportebene ist einer der schwierigsten Herausforderungen bei der Mail-Server Konfiguration. Sicherlich kann ein Mail-Server einfach in Betrieb genommen werden. Soll er aber in jeder Konstellation zuverlässig und vor allem auch sicher funktionieren sind einige Rahmenbedingungen zu beachten, im Bezug auf Versand und Empfang.

Versand

Beim Versand von Nachrichten ist es wichtig, dass sich Sender- und Empfänger Mailserver vertrauen. Dabei entscheidet der Empfänger Mail-Server oder auch ein Mail-Server in der Mitte (Relay-Server), der eine Mail weiterleiten soll, welchem Sender er vertraut. So kann es sein, dass ein Mail-Server mit einer fehlerhaften Konfiguration zwar Mails an manche Empfänger Server verschicken kann, aber nicht an alle.  Da es nicht mögich ist, die Vertrauensstellung für jeden Empfänger Server im Netz zu testen ist es unabdingbar, dass die Konfiguration richtig erfolgt.

Die Vertrauensstellung wird in der Regel über einen DNS Reverse Lookup erzeugt, bei dem der Empfänger die IP-Adresse des Sender Servers gegen den zugehörigen Namen prüft. Im Gegensatz zum Forward-Lookup kann ein Reverse Lookup nur über den Provider erfolgen, dem die zugehörige IP gehört. Diese Hürde macht es Spammern erheblich schwerer, geeignete Server für den massenhaften Mail-Versand aufzusetzen. Es bedeutet aber auch, dass man eine feste IP-Adresse mit der Möglichkeit, einen Reverse Lookup zu konfigurieren, benötigt und an einem Anschluss mit dynamischer IP Adresse keinen voll funktionsfähigen Mail-Server ohne zusätzlichen Relay-Server betreiben kann.

Weiterhin ist es wichtig, dass der eigene Mail-Server, der als Relay-Server für die eigenen Mails gilt, den eigenen Clients vertraut.  Dies erfolgt in der Regel durch Authentifizierung oder Eingrenzung auf vertrauenswürdige Netze.

Ein Mail Server, der ungeprüft Mails zur Weiterleitung annimmt, ein sog. Open Relay ist in jedem Fall zu vermeiden. Spammer durchsuchen das Netz gezielt nach Open Relays und missbrauchen diese für den Spamversand.

Ein fehlerhaft konfigurierter Mail-Server kann weiterhin zu einer hohen Spam-Bewertung bei Anti-Spam Diensten führen bis hin, dass er von gängigen Diensten auf eine Blacklist genommen wird. Mails werden so ggf. zwar vom Emfänger Server angenommen , kommen im  Empfängerpostfach aber nie an.

Eine falsche SPF Konfiguration kann ebenfalls zum unbemerkten Mailverlust beim Versand führen.

Wir können zusammenfassen: Für den zuverlässigen Versand von Emails sind einige Dinge zu beachten, die die Vertrauensstellung des eigenen Mailservers betreffen. Dieser Teil der Konfiguration kann nicht durch Testen überprüft werden.

Mail Empfang

Für dem Empfang von Emails ist ein offener Port erforderlich. Dies bedeutet, dass jeder beliebige andere Rechner im Internet eine Verbindung mit dem eigenen Server aufbauen kann. 

Es muss sicher gestellt werden, dass der eigene Mail-Server, ausschließlich die eigenen Mails zum Weiterversand akzeptiert und keinesfalls Mails ohne geeignete Authentifizierung oder Vertrauensstellung zum Weiterversand angenommen werden. Ein Mails Server darf in der Regel nur Mails annehmen, für dessen Zustellung oder Weiterleitung er zuständig ist.

Neben der korrekten Konfiguration ist es bei einem Mail-Server besonders wichtig, dass Betriebssystem und die Server-Software an sich aktuell gehalten werden und Updates bei Bekanntwerden von Sicherheitslücken unverzüglich eingespielt werden.

Versand und Empfang mittels Smart Server

Glücklicherweise gibt es eine Möglichkeit die Mail-Server Konfiguration drastisch zu vereinfachen und allen oben beschriebenen Herausforderungen aus dem Weg zu gehen. Die Lösung besteht in der Verwendung von externen Smart Servern. Die Konfiguration beschränkt sich in diesem Fall auf die Kommunikation zwischen dem eigenem Mail-Server und dem Smart-Server. Für die meisten sicherheitsrelevanten Aspekte auf Transportebene ist bei einer solchen Konfiguration der Provider verantwortlich.

Möchte man einen eigenen Mail-Server betreiben hat man ohnehin mindestens eine Domain bei einem Provider registriert. In der Regel beinhalten diese Registrierungen alles, was für ein Smart Server Setup nötig ist. Falls nicht kann man diese Funktionalität für wenige Euro im Monat buchen.

Versand von Emails über einen Smart Relay Server

Ausgehende Emails werden für den Weiterversand an den Relay-Mail-Server beim Provider übergeben. Für die Vertrauensstellung gegenüber dem Empfänger ist der Provider verantwortlich.

Ein weiterer großer Vorteil ist, dass bei dieser Konfiguration keine feste IP Adresse erforderlich ist. Der Versand erfolgt zuverlässig auch über eine dynamische Adresse, da der eigene Server sich beim Provider authentifiziert und Emails somit immer angenommen werden.

 

Mit dem MailPlus Server von Synology ist der Versand über ein Smart Relay sehr einfach möglich.

Es besteht sogar die Möglichkeit den Versand basierend auf dem Absender auf verschiedene Relay Server zu verteilen.

Eine Smart Relay Konfiguration ist auch dann wichtig, wenn man gar keinen Mail Server betreiben möchte und sich nur Benachrichtigungen vom NAS, wie z.B. Alarme, selbst schicken möchte. So ist sicher gestellt, dass die Benachrichtigungen auch ankommen.

Empfang von Emails über einen Smart Pop Server

Ein Smart Pop Server ist für den Empfang von Emails zuständig. Mails werden nicht direkt auf den MailPlus Server zugestellt sondern werden zunächst in ein Postfach beim Provider eingeliefert und von dort abgeholt.

Eine Smart Pop Server Konfiguration hat gravierende Vorteile gegenüber dem direkten Empfang:

  • Es wird kein offener Port benötigt. Der eigene Mailserver steht unerreichbar von außen im eigenen Netz
  • Der Mail Empfang ist rund um die Uhr möglich, auch wenn das eigene NAS ausfällt oder nicht erreichbar ist Wird Mail ausschließlich zu den Geschäftszeiten benötigt, kann der Mail-Server außerhalb dieser Zeiten ggf. automatisch ausgeschaltet und wieder eingeschaltet werden
  • Es wird keine feste IP für den Empfang benötigt. Der Abruf kann auch über dynamische IPs erfolgen, die ständig wechseln können
  • Die Konfiguration ist stark vereinfacht, da es auf Transportebene wesentlich weniger Sicherheitsaspekte zu berücksichtigen gibt
  • Die Wartungskosten sind deutlich geringer, da außer der Relay Anbindung keine Server Funktionalität auf Transporteben aufgesetzt und gepflegt werden muss
  • Es besteht ein besserer Schutz vor Viren und Spam, da neben den ganzen Sicherheitsmerkmalen auf Anwendungsebene, die das NAS bietet, zusätzliche Scanner und Filter beim Provider optional aktiviert werden können
  • Die Software beim Provider ist immer auf dem aktuellen Stand. Auch wenn ein Update auf dem eigenen NAS versäumt wurde können Sicherheitslücken auf Transportebene nicht ausgenutzt werden, da ein Angreifer den eigenen Mail-Server nicht erreichen kann

Die Konfiguration hat zwei Nachteil:

  • Emails treffen leicht verzögert ein. Werden Emails im Minutentakt abgerufen beträgt die Verzögerung 0 bis 60 Sekunden, im Schnitt 30 Sekunden.
  • Beim Empfang über ein Sammelpostfach ist der Empfang von BCC Mails, also Mails, die versteckt an weitere Empfänger geschickt werden,  nicht möglich. Ist der BCC Empfang relevant müssen separate Postfächer beim Provider angelegt werden.

Smart Pop Konfiguration

Eine Smart Pop Konfiguration ist aktuell über die Oberfläche des MailPlus Server (Version 2.2.1-0977) leider nur eingeschränkt möglich.

Es besteht die Möglichkeit, Nutzern das Einsammeln von Emails aus Pop3 Postfächern zu erlauben.

In den MailPlus Einstellungen kann dieser Abruf pro Nutzer konfiguriert werden.

Für wenige Nutzer ist das akzeptabel. Es muss allerdings pro Nutzer ein Postfach beim Provider angelegt werden und es fehlt die zentrale Verwaltungsmöglichkeit. Die Konfiguration erfolgt auf Benutzerebene, was im Unternehmenseinsatz vorzugsweise zu vermeiden ist.

Da der DSM unter Linux läuft und MailPlus auf einen Standard Postfix Server aufsetzt ist es glücklicherweise kein Problem, diese Funktionalität über ein kleines Shell Skript einzurichten.

Hierzu legt man ein Sammelpostfach beim Provider an und ruft diese Mails per Skript ab. Das Skript übergibt die Mails an den MailPlus Server, der sie lokal verteilt.

Zusammenfassung

Die Konfiguration eines Mail Servers zählt zu den schwierigeren Aufgaben eines IT Systemadministrators. Weiß man worauf es ankommt, dann erleichtert der MailPlus Server diese Konfiguration erheblich.

Die Verwendung von Smart Servern kann den Konfigurations- und Wartungsaufwand weiterhin erheblich reduzieren bei gleichzeitiger Erhöhung der Sicherheit.

Über den Autor

Dieser Beitrag wurde durch NAS-Central.de verfasst. NAS-Central vertreibt seit 2005 NAS Server und Lösungen auf NAS Server Basis. Das Angebot gehört zu dem Systemhaus LogicTri aus Trier.

Auf NAS-Central finden sie Komplettlösungen aus den Bereichen Office & Collaboration, Storage & Backup, Virtualisierung, Vernetzung und mobile Lösungen sowie individuelle Lösungen passgenau für ihre Anforderungen.

Für gängige Installationen werden pauschale Installations- sowie Wartungspakete angeboten.

NAS-Server und zugehörige Komponenten können über den angegliederten NAS Server Shop bezogen werden. Dies ist allerdings keine Voraussetzung, um angebotene Services zu nutzen. Services werden im gleichem Umfang auch für Fremdgeräte angeboten.

Besuchen sie die Angebote von NAS-Central.de und Logictri.de und kontaktieren sie den Anbieter gerne, falls sie Hilfe oder ein  Angebot erhalten möchten.