Ubuntu (8.04 LTS) Mailserver mit Postfix, Dovecot und Getmail

Heute gibts mal wieder ein kleines Tutorial. Viele haben angefragt wann denn endlich das Mailserver-Tutorial auch für Hardy verfügbar ist, und was soll ich sagen…hier ist es: Heute richten wir einen Mailserver auf Ubuntu Hardy Heron (8.04 LTS) mit Hilfe von Postfix, Dovecot, Getmail. Doch zunächst eine kleine Übersicht wer im Konzert welches Instrument spielt:

Um das Bild mal in einen alltäglichen Vorfall zu implementieren mal das folgende Beispiel:
Jemand schickt euch eine E-Mail an eure Adresse . Diese landet auf dem Server eures Providers (ProviderPOP3). Getmail, welches auf unserem Server installiert ist fragt die Mail ab und transferiert sie vom Provider-Server auf den lokalen Server und schiebt sie in das Mail-Verzeichnis des zugehörigen Benutzers. Der Benutzer fragt nun mit seinem Mail-Client (Thunderbird, Evolution, Outlook etc.) beim lokalen Server nach ob neue Mails für ihn gekommen sind und Dovecot liefert ihm die eingegangene Mail entweder per POP3 oder IMAP aus. Nachdem der Benutzer die Mail gelesen hat, will darauf antworten. Nach dem Klick auf „Senden“ im Mail-Client empfängt Postfix die Mail und leitet sie an den Server beim Provider weiter (Provider-SMTP) der die Mail dann an sein endgültiges Ziel bringt.

Um nochmal kurz Klarheit zu schaffen: Dieser Server ist dazu gedacht zu Hause im Schrank zu stehen, Mails vom Provider zu holen und für den Benutzer aufzubewahren, mit dieser Konfiguration kann kein „richtiger“ Mail-Server, zum Beispiel auf einem root- oder vServer, betrieben werden.

Bevor es mit Installieren und Konfigurieren los geht, müssen noch ein paar Dinge geklärt werden:

1. Die meisten Freemail-Anbieter erlauben es nicht E-Mails von beliebigen Adressen weiterzuleiten. Das heißt ich kann über GMX keine Mails verschicken, die den Absender zeroathome@freemailanbieter.de tragen. Da Arcor solche Beschränkungen zur Zeit nicht hat, bietet es sich an die Arcor-Freemail-Mailserver als Relay zu verwenden. Genaueres dazu gibt es hier. In dieser Anleitung wird diese Methode ebenfalls verwendet.

2. Ein Mailserver ist kein Spielzeug. Falsch konfiguriert kann er schnell als Spam-Schleuder enden. Also: Nachdenken und mit gesundem Menschenverstand handeln. Will sagen: Nicht gleich draufloshacken, sondern erst lesen und verstehen. Richtet diesen Mailserver erst einmal testweise ein und spielt ein wenig damit herum, bevor ihr ihn produktiv einsetzt.

3. Ich übernehme (wie immer) keinerlei Haftung für irgendwelchen Un- oder Schwachfug der mit einem mit diesem Tutorial eingerichteten Server angerichtet wird!

Aber nun zur Sache:

Postfix

Installieren:
sudo apt-get install postfix
Die Fragen die hier gestellt werden können zunächst ignoriert werden, denn im nächsten Schritt folgt die initiale Konfiguration von Postfix mit:
sudo dpkg-reconfigure postfix

Die Fragen des Assistenten sollten folgender Maßen beantwortet werden:

Allgemeine Art der Konfiguration Internet mit Smarthost
System-Email-Name server.local.home (Der Hostname den ihr bei der Installation des Servers angegeben habt.
SMTP-Relay-Host mail.arcor.de (Oder der Relay Server eures Vertrauens)
Empfänger von Root-E-Mails Euer admin-Benutzer
Empfang für welche Domains server.local.home, localhost.localdomain, localhost
Synchrone Aktualisierung… Nein
Lokale Netze 127.0.0.0/8
Maximale Postfachgröße nach Belieben, ‚0‘ für kein Limit
Zeichen für lokale Adress… +
Internet Protokolle alle

Danach laufen einige Zeilen über den Bildschirm und Postfix ist „initialisiert“.
Die detaillierte Konfiguration erfordert etwas mehr Handarbeit und beginnt mit der Einrichtung der Authentifizierung am Server. Diese ist nötig, damit nur Mails verschickt werden können, wenn man sich mit Benutzernamen und Passwort anmeldet.

Zur Konfiguration wird das Programm ‚postconf‘ verwendet, dieses trägt die Änderungen direkt in die Datei ‚/etc/postfix/main.cf‘ ein.

sudo postconf -e 'smtpd_sasl_type = dovecot'
sudo postconf -e 'smtpd_sasl_path = private/auth-client'
sudo postconf -e 'smtpd_sasl_local_domain ='
sudo postconf -e 'smtpd_sasl_security_options = noanonymous'
sudo postconf -e 'broken_sasl_auth_clients = yes'
sudo postconf -e 'smtpd_sasl_auth_enable = yes'
sudo postconf -e 'smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination'
sudo postconf -e 'inet_interfaces = all'

Da wir hier Dovecot verwenden um die Drecksarbeit der Authentifizierung zu erledigen, schieben wir hier eine kurze Dovecot-Konfigurations-Session ein:
Zuerst installieren:
sudo apt-get install dovecot-common

Anschließend muss in der Datei ‚/etc/dovecot/dovecot.conf‘ die Umgebung ’socket listen‘ gesucht werden und sollte nach dem Editieren so aussehen:
socket listen {
#master {
# Master socket provides access to userdb information. It's typically
# used to give Dovecot's local delivery agent access to userdb so it
# can find mailbox locations.
#path = /var/run/dovecot/auth-master
#mode = 0600
# Default user/group is the one who started dovecot-auth (root)
#user =
#group =
#}
client {
# The client socket is generally safe to export to everyone. Typical use
# is to export it to your SMTP server so it can do SMTP AUTH lookups
# using it.
path = /var/spool/postfix/private/auth-client
mode = 0660
user = postfix
group = postfix
}
}


Hier bitte darauf achten, das die richtigen Kommentarzeichen vor der richtigen Klammern entfernt werden, ist ein wenig unübersichtlich das ganze.

Dann wird dovecot kurz neu gestartet und mit der Postfix-Konfiguration fortgefahren:
sudo /etc/init.d/dovecot restart

Um verschlüsselt mit Postfix kommunizieren zu können, was sich in Zeiten gemeinsam genutzter schnurloser Netzwerke durchaus aufdrängt, muss ein Zertifikat erstellt werden. Dieses Zertifikat wird höchstwahrscheinlich vom E-Mail Client bemängelt werden, da es nicht von einer der offiziellen Stelle authorisiert wurde, aber für den privaten Zweck reicht ein selbst erstelltes Zertifikat allemal aus.

Beim ersten Schritt wird nach einem Passwort gefragt. Hier sollte ein ausreichend starkes Passwort gewählt werden. In einigen der weiteren Schritte werden Informationen abgefragt, die im Zertifikat gespeichert werden. Wie wahrheitsgemäß diese Fragen beantwortet werden bleibt euch überlassen, lediglich die Frage nach dem ‚Common Name‘ sollte mit dem Namen des Servers aus der initialen Postfix-Konfiguration (hier server.local.home) beantwortet werden.

openssl genrsa -des3 -rand /etc/hosts -out smtpd.key 1024
chmod 600 smtpd.key
openssl req -new -key smtpd.key -out smtpd.csr
sudo openssl x509 -req -days 365 -in smtpd.csr -signkey smtpd.key -out smtpd.crt
openssl rsa -in smtpd.key -out smtpd.key.unencrypted
mv -f smtpd.key.unencrypted smtpd.key
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650
sudo mv smtpd.key /etc/ssl/private/
sudo mv smtpd.crt /etc/ssl/certs/
sudo mv cakey.pem /etc/ssl/private/
sudo mv cacert.pem /etc/ssl/certs/

Um die Verschlüsselung zu aktivieren noch einmal eine Runde mit postconf:

sudo postconf -e 'smtpd_tls_auth_only = no'
sudo postconf -e 'smtp_use_tls = yes'
sudo postconf -e 'smtpd_use_tls = yes'
sudo postconf -e 'smtp_tls_note_starttls_offer = yes'
sudo postconf -e 'smtpd_tls_key_file = /etc/ssl/private/smtpd.key'
sudo postconf -e 'smtpd_tls_cert_file = /etc/ssl/certs/smtpd.crt'
sudo postconf -e 'smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem'
sudo postconf -e 'smtpd_tls_loglevel = 1'
sudo postconf -e 'smtpd_tls_received_header = yes'
sudo postconf -e 'smtpd_tls_session_cache_timeout = 3600s'
sudo postconf -e 'tls_random_source = dev:/dev/urandom'
sudo postconf -e 'myhostname = server.local.home'

Die nächste Zeile ist nötig wenn doch innerhalb des Servers Nachrichten verschickt werden. Zum Beispiel an ‚benutzer@localhost‘. Sie sorgt dafür das die Nachricht an Dovecot übergeben wird, welcher dann für die richtige Einordnung der Mail in die Mailbox des jeweiligen Benutzers zuständig ist.
sudo postconf -e 'mailbox_command = /usr/lib/dovecot/deliver'

Zum Schluß fehlt noch die Verbindung zum Relay-SMTP-Server beim Provider, ohne den unsere Mails nich zugestellt würden:
postconf -e 'smtp_sasl_auth_enable = yes'
postconf -e 'smtp_sasl_password_maps = hash:/etc/postfix/smtp_auth'
postconf -e 'smtp_sasl_security_options = noanonymous'
postconf -e 'relayhost = mail.arcor.de'

Wie in Zeile 2 zu sehen muss nun noch die Datei ‚/etc/postfix/smtp_auth‘ angelegt werden:
sudo vim /etc/postfix/smtp_auth

In dieser Datei muss für den Provider-SMTP-Server der Benutzername und das Passwort angegeben werden mit dem man sich dort anmelden kann:
mail.arcor.de benutzer:passwort

Danach kann die Datei gespeichert werden und mit dem Befehl
sudo postmap /etc/postfix/smtp_auth
für Postfix lesbar gemacht werden.

Zu guter Letzt wird postfix neu gestartet:
/etc/init.d/postfix restart

Dovecot

Zunächst muss Dovecot natürlich installiert werden:
sudo apt-get install dovecot-imapd dovecot-pop3d

Dann gehts direkt zur Konfiguration in der Datei ‚/etc/dovecot/dovecot.conf‘. Da die Datei relativ viel Konfigurationsmöglichkeiten enthält ist es am einfachsten die Suchfunktion eures favorisierten Editors zu nutzen um die betreffenden Zeilen zu finden:
Hier wird Dovecot gesagt welche Dienste er bereitstellen soll. Einer sollte mindestens drinstehen, wers nur verschlüsselt machen möchte läßt die beiden ohne ’s‘ am Ende einfach weg:
protocols = imap imaps pop3 pop3s

Um die Verschlüsselung zu aktivieren sind diese Zeilen nötig (hier gilt das gleiche wie für das Postfix-Zertifikat):
ssl_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
ssl_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
ssl_disable = no
disable_plaintext_auth = no

Diese Zeile legt fest wo die Mails hingeliefert werden. In diesem Beispiel landen die Mails im Home-Verzeichnis des jeweiligen Benutzers. Genauer in einem Unterverzeichnis namens ‚mail‘. Der Pfad kann natürlich beliebig angepasst werden, aber die Mails im Home-Verzeichnis abzulegen ist wohl das Sinnvollste.
mail_location = maildir:~/mail

Während der Konfiguration von Postfix hatten wir den Fall, das wenn eine Mail lokal (z.B. an benutzer1@localhost) geschickt wird, diese von Postfix an Dovecot weitergegeben wird, damit Dovecot diese Mails auch entgegen nimmt muss die Umgebung ‚protocol lda‘ angepaßt werden:
protocol lda {
auth_socket_path = /var/run/dovecot/auth-master
postmaster_address = admin-benutzer@localhost
}

Das waren bereits die nötigen Schritte für Dovecot, und wenn beim Neustart keine Fehler ausgegeben werden, sollten die Clients auch auf den Server zugreifen können:
sudo /etc/init.d/dovecot restart

Getmail

Installation:
sudo apt-get install getmail4

Konfiguration:
Es muss für jeden Benutzer im Home-Verzeichnis ein neuer Ordner erstellt werden, der ‚.getmail‘ heißt, also versteckt ist. In diesem wird dann die eigentliche Konfigurationsdatei ‚getmailrc‘.

Um die Post per POP3 abzuholen, sollten die Dateien wiefolgt aufgebaut sein:

[retriever]
type = SimplePOP3Retriever (falls das nicht funktioniert: BrokenUIDLPOP3Retriever)
server = pop.webmailer.de
username = username@webmailer.de
password = geheim

[destination]
type = Maildir
path = /home/benutzer/mail/
user = benutzer

[options]
delete = true
message_log = /home/benutzer/.getmail/log

Das sorgt dafür das die Mails vom Provider abgeholt, in die entsprechenden Benutzer-Verzeichnisse verschoben, und anschließend beim Provider gelöscht werden. Der ganze Vorgang wird pro Benutzer in die Datei ‚/home/benutzer/.getmail/log‘ gelogt, falls es also Probleme gibt lohnt ein Blick hierhinein.
Da die Datei das Passwort des jeweiligen Benutzers enthält sollte auch nur dieser Zugriff auf die Datei haben:

sudo chown benutzer:benutzer /home/benutzer/.getmail/getmailrc
sudo chmod 600 /home/benutzer/.getmail/getmailrc

Um jetzt die Post von allen Benutzern abzuholen erstellen wir ein kleines Skript und tragen dieses in die crontab ein:

Skript getthemail.sh:

#!/bin/bash
for getfile in $( find /home -name getmailrc -print )
do
#echo $getfile
/usr/bin/getmail --rcfile $getfile
done
exit 0

Dieses machen wir ausführbar und kopieren wir nach ‚/usr/local/bin‘:
sudo chmod +x getthemail.sh
sudo cp getthemail.sh /usr/local/bin
sudo crontab -e
*/2 * * * * /usr/local/bin/getthemail.sh >/dev/null 2>&1

Das sorgt dafür das E-Mails alle 2 Minuten abgeholt und auf die Benutzer verteilt werden.

Ende

Soo, wenn nichts schief gelaufen ist, solltet ihr jetzt einen funktionierenden Mail-Server im Schrank oder Keller stehen haben. Falls es Probleme gibt, oder irgend etwas nicht so funktioniert wie ihr denkt das es sollte, checkt zuerst die Logs unter ‚/var/log/mail.*‘. Dort finden sich zumeist die einschlägigen Fehlerquellen und lassen sich zumeist relativ einfach beheben.

Falls jemandem Fehler, seien es Tipp- oder grundsätzliche, bitte ich mich zu kontaktieren damit ich diese aus der Welt schaffen kann.

Einen Artikel zur Einrichtung von Viren- und Spamfilter findet ihr hier: Spam- und Virenfilter für den Mailserver mit Spamassassin und ClamAV
Header-Bild: flickr