MailPlus Server Einrichtung eines eigenen Mailservers (MailPlus) mit SMTP-Relay Versand für den Produktivbetrieb an einer dynamischen IP-Adresse

[AllinOne]

Danke @joku
Werde schauen, dass ich etwas Ansehnliches daraus machen kann, und schicke es dann hier rein zum Gegenlesen/Abnahme.

Offene Themen fpmov:

1. Catch-all: Wie hast du das gelöst? Sind Mailkonten beim Hoster angelegt? Besonders wegen des Einwands von Synfor.
2. Ist bei der Konfig für den SMTP-Relay-Versand etwas zu beachten? Dafür würde ich einfach ein Webmail-Konto anlegen.
3. Sind deine ungenannten MailPlus-Einstellungen mit dem PDF identisch/korrekt?
4. Was ist mit deiner besagten Postfix-Konfig? Hier wäre noch etwas mehr Futter gut.
5. Bist du bei DKIM auch den Lösungsweg des PDF gegangen?
   1. (TXT-Record | Präfix=irgendeinname._domainkey | Wert: v=DKIM1;h=sha256;k=rsa;s=*;p=2048bitkey..)

Lass dir bitte gerne Zeit, ich habe erst mal mit Testen und Dokumentieren genug zu tun. Wenn früher, macht es das nur bedingt einfacher für mich beim Testen und Dokumentieren.

Habe gerade ein Strato Mail Basic-Paket dafür geschossen (3 Euro mtl.), das alles Notwendige (SMTP, MX-Backup, Subdomain, DNS) zu enthalten scheint.

Kleiner Ansporn.
Das soll damit bundesweit ausgerollt werden. Die Nachfrage danach – ohne zu wissen, dass die Synology wollen könnten – überrascht uns/mich gerade völlig.

 

[synfor]

Schon bekannt?
https://www.synology.com/de-de/products/status/eol-mail-station-and-server

 

[AllinOne]

@synfor Nein. Aber das war irgendwie abzusehen. Daher habe ich gleich auf MailPlus gesetzt. Danke.

 

[joku]

1. benutze ich nicht, wer sich verschreibt, hat pech.
2. Das relay darf die emal Adressen nicht verändern.
3. Ich habe den MailPlus nicht am laufen.
4. benutze ich auch nicht

 

[AllinOne]

Zu 1. Ja, sehe ich auch so. Der Strato Basic Mail relay ändert die nicht .
Das war nicht von Synfor gemeint. Er schrieb: "Wenn du Catchall haben willst, kannst du problemlos einen Backup-MX ohne Kenntnis der Adressen verwenden. Anderenfalls musst du den Müll den der Backup-MX angenommen wieder entsorgen."

Daher meine Frage mit den den identisch angelegten Mail Konten. Ich vermute ich habe mich da von ihm aber aufs Glatteis bewegen lassen.

Punkt 4. war eigentlich die Frage:

• Was ist mit deiner besagten Postfix-Konfig? Hier wäre noch etwas mehr Futter gut.

 

[Hagen2000]

Ein paar Gedanken von mir zum Thema:

Muss ich mir wegen SPF Sorgen machen? Angeblich sollte eine Weiterleitung (Relay) verboten sein.

Ja, falls dein E-Mail-Server E-Mails weiterleiten soll, wie beispielweise hier recht anschaulich beschrieben wird: https://www.jan-pietruska.de/aktuel...pf-bei-weiterleitungen-ursachen-und-loesungen
Siehe auch hier: http://www.open-spf.org/SRS/
Nein, wenn Du die Weiterleitung in einem E-Mail-Client benutzt (Forward), der ja effektiv eine neue E-Mail erzeugt.

Falls Strato noch geht, welches Paket wählt man da am besten?

Für mich schaut es so aus, als ob im PDF ein Domain-Paket benutzt worden ist, weil dieses nur zwei Postfächer enthält. Müsstest Du allerdings selber prüfen, ob dieses Paket bereits alle übrigen Anforderungen erfüllt.

Bist du bei DKIM auch den Lösungsweg des PDF gegangen?

Wenn Du bei STRATO eine Domain buchst, dann werden alle Header von E-Mails mit Adressen dieser Domain von STRATO eigentlich automatisch signiert. Eine eigene Signatur hinzuzufügen sollte allerdings nicht schädlich sein.
Wenn die Domain example.com heißt, solltest Du über ein einzelnes Postfach - beispielsweise relay@example.com - also E-Mails mit beliebigen Adressen von @example.com versenden können.
Interessanter ist die Frage, ob STRATO das Senden mit abweichender Domain zulässt. Da die Provider diesbezüglich immer restriktiver werden, würde ich vorsorglich nicht davon ausgehen, dass das erlaubt ist.

MX mit dynamischer IP-Adresse
Die meisten Sicherheitsvorkehrungen im E-Mail-System zielen auf das Versenden von E-Mails ab (beispielsweise SPF, DKIM, DMARC, PTR-Eintrag, Reputation der IP-Adresse), um Spam und Missbrauch zu vermeiden. Durch die Verwendung des Relays bei STRATO umschiffst Du diese Hürden.

Der Betrieb eines MX rein zum Empfangen von E-Mails birgt aber m. E. folgendes Risiko:
Bei jedem Wechsel der IP-Adresse gibt es ein Zeitfenster (TTL bei STRATO und Synology beispielsweise 300 Sekunden), in dem dein E-Mail-Server nicht erreichbar ist.
Was kann passieren?

• Eine E-Mail kann während dieser Zeit nicht zugestellt werden, da unter der IP-Adresse kein E-Mail-Server erreichbar ist. Dann läuft sie hoffentlich in den Backup-MX, der sie Dir später zustellt.
• Wenn aber ein weiterer Kunde deines Providers ebenfalls einen E-Mail-Server betreibt, kann theoretisch ein Zustellversuch an diesen Server gemacht werden. Korrekt konfiguriert wird dieser die E-Mail ablehnen, weil er für die adressierte Domain nicht zuständig ist. Dann allerdings würde die an dich adressierte E-Mail abgelehnt und auch nicht dem Backup-MX zugestellt werden.
• Schlimmstenfalls jedoch nimmt dieser Server deine E-Mail an und somit gelangt sie in fremde Hände.

Aus diesem Grund würde ich keinen MX ohne feste IP-Adresse betreiben.

 

[joku]

Der Synology Mail Server ist einen Zuzammenstellung
von Postfix und Dovecot.
Synology hat nur eine schone GUI dazu gemacht.
Die Postfix-Konfig, das sind die Dateien,
die durch das ausfüllen der schöne Oberfäche, dann gespeiert werden
Zu Catch-all, wer sich bei den schreiben eMail Adresse vertipp, das erscheint dann auch bei Dir.
Wer braucht sowas ?
Wenn ich eine Postkarte versende und der Empfänger stimmt nicht, kann sie nicht zugestellt werden.

 

[AllinOne]

@Hagen2000 Danke. Solche Art Einwände in so einer Form gewinnen immer mein Herz [sic!].
Und auch wenn ich das bereits wusste, sehr verständlich in der Intention. Daher hier gerne meine Mühe, meine Sichtweise auf Deine Argumente auszuführen:

1. Strato erlaubt im MX-Konfigurationsdialog explizit primäre + Backup-Mailserver.
Du kannst Deinen eigenen Server als Primär (niedrigste Priorität) eintragen und Stratos eigene Backup-Server (bx-ob.rzone.de / bxt-ob.rzone.de etc.) als Sekundär.

Wenn der Primär (Deine dynamische IP) nicht erreichbar ist, liefert Strato die Mail garantiert und stellt sie später garantiert zu, sobald Dein Server wieder online ist.

Das ist kein Zufall, sondern genau das Feature, das Strato für „eigenen Mailserver“-Nutzer anbietet. Die Backup-Server haben feste IPs (u. a. 81.169.146.152–159), die Du bei Bedarf whitelisten kannst. Damit entfällt das „Hoffentlich läuft sie in den Backup-MX“ fast komplett.

2. Die „fremder Kunde nimmt die Mail an“-Gefahr ist extrem gering – und der Backup greift trotzdem.
Ja, theoretisch könnte die alte IP nach Reassignment an einen anderen Kunden gehen, der zufällig Port 25 offen hat.
Aber:

• Die allermeisten ISPs (egal ob Telekom, Vodafone, O2 oder wo auch immer Deine dynamische IP herkommt) reassingen IPs nicht sofort und nicht an Mailserver-Betreiber.
• Ein korrekt konfigurierter fremder Server lehnt die Mail mit 5xx ab („relay not permitted“ / „no such domain“).
  Moderne MTAs (Postfix, Exim, Gmail, Outlook, Microsoft 365 etc.) behandeln einen solchen 5xx nicht als endgültiges Scheitern, sondern probieren den nächsten MX-Eintrag (also Stratos Backup).
  
  Genau das Gegenteil von „wird auch nicht dem Backup-MX zugestellt“. Das Verhalten ist seit Jahren Standard.
  
  
• Der echte Open-Relay-Fall (fremder Server nimmt einfach an) ist heute praktisch ausgestorben – solche Server landen sofort auf allen Blacklists und sind für den Betreiber selbst ein Albtraum.

In den letzten ~10+ Jahren gibt es praktisch keine öffentlich bekannten Fälle, in denen genau dieses Szenario bei einem Strato-Kunden mit dynamischem MX passiert ist.

3. Strato selbst geht davon aus, dass Du das machst. Strato hat extra eine eigene Anleitung „Eigenen E-Mail-Server einrichten mit MX-Record“ und dokumentiert das Backup-Verhalten detailliert.
Sie warnen nicht vor dynamischen IPs – sie bieten nur an, dass Du bei Problemen ihre Backup-Server nutzen kannst.

4. Praktische Mitigations, die das Risiko noch weiter senken (besser als „gar nicht machen“)

• TTL auf 60–300 Sekunden stellen → Änderungen der IP sind extrem schnell propagiert.
• Guter DynDNS-Client (z. B. der Synology DDNS-Client aktualisiert bei jeder IP-Änderung deines Providers, und zusätzlich regelmäßig (alle paar Minuten) der fast sofort nach IP-Wechsel updated.
• Die Propagation bei Strato ist schnell, weil Du den MX nicht auf eine Strato-interne A-Record zeigst, sondern direkt auf Deinen Synology-Hostnamen. Viele Nutzer betreiben genau dieses Setup (Synology MailPlus + Strato + DynDNS) seit Jahren stabil. Es gibt keine öffentlichen Fälle, in denen eine Mail wegen Reassignment an einen fremden Strato-Kunden ging. Das ist eine theoretische Falle aus meiner Sicht.
• Optional:
  Strato Mail Basic oder Domain .de Paket mit vollwertigem Backup nutzen oder einen günstigen externen Backup-MX-Dienst (z. B. ImproveMX, Mailcheap) zusätzlich eintragen.

Fazit (konstruktiv):
Die Warnung „keinen MX ohne feste IP betreiben“ ist für paranoide oder geschäftskritische Setups verständlich, aber für ein typisches Strato-Mail-Basic- oder Domain-.de Szenario mit eigenem Server übertrieben vorsichtig.

Stratos eigener Backup-MX macht das Ganze robust, die Wahrscheinlichkeit eines echten Problems ist verschwindend gering und die Mitigations sind einfach.

Nochmals danke für Deinen Beitrag. Du wirst damit gerne verfolgt von mir. Hab einen schönen Sonntag und eine gute Woche!

 

[Fusion]

In der Liste landen alle dynamische IP ranges der Provider auf denen keine Mail Server erwartet/gewünscht sind.
Da lässt sich nix gegen machen, außer Provider zu wechseln, falls man einen finden könnte der dann nicht auf der Liste steht. Oder eine feste IP besorgen.
Auf der anderen Seite auch wenig relevant, wenn dein Versand über den Smart Host / Relay bei Strato läuft.

 

[AllinOne]

Danke @Fusion – damit ist mein unfreiwilliger Schnelltestteil, NICHT den SMTP-Relay zu verwenden, abgeschlossen. Gleichzeitig Doku und Testing gehen nicht immer Hand-in-hand. ¯\_(ツ)_/¯