Mailsystem Changes 3: Dovecot, LMTP und Adress-Verifizierung

Wie ich ja schon schrieb hatte ich in den vergangenen zwei Wochen einige Änderungen an meinem privaten Mailsystem vorgenommen - allen voran den Umstieg von amavisd-new zu rspamd mit den dazugehörigen Vereinfachungen. Ein Teil der noch blieb war, dass die Datenbank dahinter viel zu komplex war, weil ich ja geplant hatte, das alles irgendwann einmal via Weboberfläche konfigurierbar zu machen. Nachdem das nichts wurde und ich die Möglichkeiten eigentlich nie auch nur ansatzweise genutzt habe, habe ich das DB-Schema auf drei Werte (und eine ID natürlich) eingestampft: Username, Email-Adresse, Quota und Passwort. [Mehr]

Mailsystem Changes, Teil 1: rspamd

Manchmal passiert es in der IT, dass man über viele Jahre lang ein recht komplexes Setup betreibt, ohne das geringste Problem zu haben. Meist ist das ein Hinweis darauf, dass man entweder selten etwas an den komplexen Teilen ändern musste oder dass die Lösung zwar komplex war, die Problemdomäne aber dafür vollständig abgedeckt hat.

[Mehr]

Postfix: smtpd_relay_restrictions

Ich habe mir diese Woche mal wieder Zeit genommen, die Konfiguration meiner privaten Mailserver zu entstauben. Nicht, dass die nicht mehr funktioniert hätte, aber sie stammt zum einen aus einer Zeit, als Postfix noch keine offiziellen Kompatibilitäts-Mechanismen hatte, und zum aus einer Zeit, in der ich noch deutlich motivierter war, alles bis in’s kleinste Detail zu konfigurieren. Davon bin ich zwar mittlerweile geheilt, aber die alte Konfiguration hatte alleine 28 Einträge für smtpd_recipient_restrictions. [Mehr]

SMTP: Schlechtere Verschlüsselung kann besser sein

In einer perfekten Welt würden nach Bekanntwerden einer Sicherheitslücke alle Server innerhalb weniger Stunden gepatched werden. Neue Verschlüsselungsalgorithmen wären nach wenigen Wochen überall verfügbar und Änderungen an unterstützender Infrastruktur wie z.B. die Implementierung von DANE wären in ein paar Monaten durch. Und dann wacht man auf und stellt fest, dass die Welt leider alles andere als perfekt ist. Und so muss ich nun leider, schweren Herzens und verschämt, eine Aussage invalidieren, die ich in diesem Blog-Eintrag getroffen habe. [Mehr]

Forward Secrecy mit Debian/wheezy: postfix, dovecot, nginx

In letzter Zeit hat man ja in den Medien ziemlich viel von der NSA-Schnüffelei gelesen und die “knee-jerk reaction” der meisten Geeks war dann wohl zu sagen: “Wir brauchen mehr und stärkere Kryptographie.” Ich will jetzt nicht sagen, dass das verkehrt ist, denn im Prinzip ist es nie schlecht, noch mehr und noch stärkere Verschlüsselung einzusetzen. Meine Kritik an dieser Reaktion bezieht sich darauf, dass sie IMHO nicht weit genug geht: Zum einen ist für Überwacher sehr oft das interessant, was beschönigend als “Metadaten” (my ass! [Mehr]

Postfix 2.8.0 für Debian/stable

Wietse hat diese Woche diese Woche die Arbeiten an der neuen, stabilen Postfix-Version 2.8.0 beendet. Die prominenteste Änderung dürfte sicherlich sein, daß postscreen, ein Zombie-Blocker, der vor dem eigentlichen Mailsystem sitzt, nunmehr Bestandteil der offiziellen Releases ist. Ebenfalls sehr willkommen ist die native Unterstützung für DNS-Whitelisten, nachdem die bekannteste davon ihren kostenlosen rsync-Zugang abgedreht hatte. Mit dem neuen Konfigurationsparameter tls_preempts_cipherlist kann man Postfix dazu bringen, die für es besten Cipher auszuwählen, und mit tls_disable_workarounds hat man mehr Kontrolle über die Art und Weise, wie OpenSSL-Interoperability-Fixes eingeschaltet werden. [Mehr]

Kurz und schmerzlos

Erwartetes Mail-Volumen: 1,7 Millionen Empfänger für Rundmails, Frequenz zwischen 1/Woche und 4/Woche. Zusätzlich erwartete sechs Millionen transaktionsbezogene Mails pro Woche. Vier IPs mit guter Reputation vorhanden. Logischerweise resultierte daraus ein Setup mit vier Postfix-Maschinen (vier eigentlich nur wegen der Verfügbarkeit, nicht wegen der Last). Die Mails werden bei den ersten beiden Servern eingeliefert, diese versuchen die Erstzustellung an die Empfänger. Das Problem sind Mails, die nicht sofort zugestellt werden können. Der qmgr versucht diese, periodisch neu zuzustellen - und verstopft damit die sog. [Mehr]

Postfix 2.8, Snapshot 20101206 für Debian/lenny

Wie üblich zu finden hier(und einmal für adaptr noch hier, für Ubuntu 10.04, amd64). SASL gegen LDAP-Server, coole Geschichte…

Update 08.07.2017: Das Ubuntu-Pakete ist leider verloren gegangen.

Prodigy, Firestarter, weil gut für’s Gemüt - und so. Vor allem “und so”!