Allgemeine Mailserverfragen
Hallo, ich habe da mal eine etwas allgemein gehaltene Frage zum Thema Mailserver. Meine Aufgabe ist es, einen alten Mailserver (Postfix, qpopper, Amavis, f-prot) auf Basis von SuSE 8.1 auf einen neuen Mailserver zu migrieren, d.h. die Hardware bleibt die selbe, es wird nur eine neue Festplatte mit SuSE 10.0 eingebaut. Das neue System besteht aus Postfix, Cyrus-IMAP/POP3, Amavisd-new, f-prot, Spamassassin. Meine Frage bezieht sich nun vorrangig auf die Möglichkeiten der Spambekämpfung. Welche Vorgehensweise wäre bei der Spamfilterung am wirksamsten und vor allem am einfachsten, wenn die Benutzer den Mailserver nur via POP3 abfragen? Sieve bringt mich mit POP3 nicht weiter, oder? Komme ich um Procmail drumrum? Und wie kann ich Spamassassin trainieren? Eine weitere Frage bezieht sich auf die Migration? Kennt jemand vielleicht eine Möglichkeit, die Mailboxen vom alten Server auf den neuen Cyrus zu migrieren? -- Gruß Jürgen
Juergen Pabst wrote:
Hallo,
ich habe da mal eine etwas allgemein gehaltene Frage zum Thema Mailserver. Meine Aufgabe ist es, einen alten Mailserver (Postfix, qpopper, Amavis, f-prot) auf Basis von SuSE 8.1 auf einen neuen Mailserver zu migrieren, d.h. die Hardware bleibt die selbe, es wird nur eine neue Festplatte mit SuSE 10.0 eingebaut. Das neue System besteht aus Postfix, Cyrus-IMAP/POP3, Amavisd-new, f-prot, Spamassassin.
Kein RAID? Das würde ich für einen Firmenserver in jedem Fall anraten! Mir ist gestern wieder eine Platte gestorben (privat). Auch wenn die wichtigen Daten auf DLT gesichert waren, ist es doch sehr ärgerlich, und bei einem Server kommt immer die Downtime hinzu. Mache dir auch Gedanken über Backup, jetzt, wo die Katastrophe noch nicht passiert ist! (^-^)
Meine Frage bezieht sich nun vorrangig auf die Möglichkeiten der Spambekämpfung. Welche Vorgehensweise wäre bei der Spamfilterung am wirksamsten und vor allem am einfachsten, wenn die Benutzer den Mailserver nur via POP3 abfragen? Sieve bringt mich mit POP3 nicht weiter, oder? Komme ich um Procmail drumrum? Und wie kann ich Spamassassin trainieren?
Das A und O der Spambekämpfung ist, so viele Spammails wie möglich direkt abzuweisen und gar nicht erst anzunehmen. Postfix kennt da bereits viele Möglichkeiten. Bei uns weist Postfix bereits etwa 90-95% aller Spams ab, bevor Amavis sie überhaupt zu sehen bekommt. Der Rest wird dann von Spamassassin markiert und zugestellt. Sieve läuft auf dem Server ab, bevor der Client die Mail überhaupt sieht. Sinn macht das aber erst wirklich mit IMAP, da POP Ordner nicht unterstützt.
Eine weitere Frage bezieht sich auf die Migration? Kennt jemand vielleicht eine Möglichkeit, die Mailboxen vom alten Server auf den neuen Cyrus zu migrieren?
Je nach Anzahl der User ist es am einfachsten, wenn die User sich ein neues Konto anlegen und dann ihre Sachen vom alten auf das neue Konto rüberschieben. Wenn es mehr als einige Dutzend sind, kann das aber dauern. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Hallo Sandy!
Kein RAID? Das würde ich für einen Firmenserver in jedem Fall anraten! Mir ist gestern wieder eine Platte gestorben (privat). Auch wenn die wichtigen Daten auf DLT gesichert waren, ist es doch sehr ärgerlich, und bei einem Server kommt immer die Downtime hinzu.
Das ist ein wunder Punkt, denn a) kein RAID und b) nicht mal ein Backup. Aber das liegt nun mal leider nicht in meiner Macht. Bisher ist das (leider) auch gut gegangen.
Mache dir auch Gedanken über Backup, jetzt, wo die Katastrophe noch nicht passiert ist! (^-^)
Zumindest die Konfigurationsdateien sind auf einem anderen (RAID-)Server gesichert.
Das A und O der Spambekämpfung ist, so viele Spammails wie möglich direkt abzuweisen und gar nicht erst anzunehmen. Postfix kennt da bereits viele Möglichkeiten. Bei uns weist Postfix bereits etwa 90-95% aller Spams ab, bevor Amavis sie überhaupt zu sehen bekommt. Der Rest wird dann von Spamassassin markiert und zugestellt.
In diese (Postfix-)Richtung habe ich auch schon gedacht, zusätzlich an RulesDuJour. Damit erhoffe ich mir, dass die Benutzer schon spürbar von dem Müll entlastet werden (echt Wahnsinn, was da zur Zeit in den Mailboxen an Spam aufschlägt). Wenn du mir aber für die Konfiguration von Postfix noch ein paar sachdienliche Links zur Spamabwehr nennen könntest, wäre ich dir sehr dankbar. In diesem Zusammenhang spielt es sicher keine Rolle, dass mit Zeitpunkt des Wechsels auf den neuen Server dieser nicht mehr direkt aus dem Internet erreichbar sein wird, sondern die Mails dann von einem Mailgateway via SMTP erhält.
Sieve läuft auf dem Server ab, bevor der Client die Mail überhaupt sieht. Sinn macht das aber erst wirklich mit IMAP, da POP Ordner nicht unterstützt.
Klar soweit. Mails mit Sieve löschen ginge ja, ist mir aber zu riskant. Könnte man sie auch an einen anderen Account weiterleiten?
Eine weitere Frage bezieht sich auf die Migration? Kennt jemand vielleicht eine Möglichkeit, die Mailboxen vom alten Server auf den neuen Cyrus zu migrieren?
Je nach Anzahl der User ist es am einfachsten, wenn die User sich ein neues Konto anlegen und dann ihre Sachen vom alten auf das neue Konto rüberschieben. Wenn es mehr als einige Dutzend sind, kann das aber dauern.
Hmm, das verstehe ich nicht ganz. Die (Cyrus-)Konten auf dem neuen Server habe ich schon angelegt, dürften so um die 150 sein. Wenn der neue Mailserver in Betrieb geht, ist der alte nicht mehr erreichbar. Insofern ist mir nicht ganz klar, was du mit "rüberschieben" meinst. Das "rüberschieben" muss _ich_ leider irgendwie hinbekommen, und zwar von mbox in die Cyrus-Verzeichnis-Struktur. Oder ich müsste jede einzelne Mail, die vor der Umstellung noch auf dem alten Server lagert, händisch auf den neuen Server weiterleiten. Gruß Jürgen
Juergen Pabst wrote:
Hallo Sandy!
Kein RAID? Das würde ich für einen Firmenserver in jedem Fall anraten! Mir ist gestern wieder eine Platte gestorben (privat). Auch wenn die wichtigen Daten auf DLT gesichert waren, ist es doch sehr ärgerlich, und bei einem Server kommt immer die Downtime hinzu.
Das ist ein wunder Punkt, denn a) kein RAID und b) nicht mal ein Backup. Aber das liegt nun mal leider nicht in meiner Macht. Bisher ist das (leider) auch gut gegangen.
Leider ist meine Erfahrung, dass es genau deshalb nicht mehr lange gut geht. Statistisch gesehen bist du wahrscheinlich überfällig. (^-^) Überlege dir einfach mal, ob du nicht die wichtigsten Sachen wie /etc/ /var/log /var/spool/imap usw. auf einen anderen Server spiegeln kannst (rsnapshot).
Mache dir auch Gedanken über Backup, jetzt, wo die Katastrophe noch nicht passiert ist! (^-^)
Zumindest die Konfigurationsdateien sind auf einem anderen (RAID-)Server gesichert.
Schaue dir einfach mal an, was du brauchst, um Cyrus wieder herzustellen, angefangen von der Konfiguration in /etc und sasl incl. Benutzerdatenbanken bis zu den Cyrus-Datenbanken, die am besten vor dem Backup noch einmal als plain text exportiert werden sollten.
Das A und O der Spambekämpfung ist, so viele Spammails wie möglich direkt abzuweisen und gar nicht erst anzunehmen. Postfix kennt da bereits viele Möglichkeiten. Bei uns weist Postfix bereits etwa 90-95% aller Spams ab, bevor Amavis sie überhaupt zu sehen bekommt. Der Rest wird dann von Spamassassin markiert und zugestellt.
In diese (Postfix-)Richtung habe ich auch schon gedacht, zusätzlich an RulesDuJour. Damit erhoffe ich mir, dass die Benutzer schon spürbar von dem Müll entlastet werden (echt Wahnsinn, was da zur Zeit in den Mailboxen an Spam aufschlägt).
Alle Postfix-Konfigurationen gehen von der Annahme aus, dass die Mail per SMTP reinkommt und direkt vom Client geliefert werden, nicht vom ISP-Mailserver. Wenn das nicht der Fall ist, hast du eigentlich schon verloren.
Wenn du mir aber für die Konfiguration von Postfix noch ein paar sachdienliche Links zur Spamabwehr nennen könntest, wäre ich dir sehr dankbar.
Dafür brauche ich ein paar Informationen bezüglich eurer Struktur: - Eigene Domain, die auf eurem Mailserver gehostet wird? Wenn nicht, dann wird es erheblich schwieriger. - Feste IP?
In diesem Zusammenhang spielt es sicher keine Rolle, dass mit Zeitpunkt des Wechsels auf den neuen Server dieser nicht mehr direkt aus dem Internet erreichbar sein wird, sondern die Mails dann von einem Mailgateway via SMTP erhält.
Das spielt genau ein wesentliche Rolle!! Die Kontrolle, welche Mails akzepiert und zugestellt oder direkt abgelehnt werden, findet genau auf dem Mailgateway statt! Ich gehe davon aus, dass du die Konfiguration dieses Mailgateways unter deiner Kontrolle hast oder zumindest dem Admin sagen kannst, was eingestellt werden soll. Wichtigste Regel ist, dass das Mailgateway alle gültigen Emailadressen kennen muss. Ungültige Adressen müssen direkt abgelehnt werden. Dazu zählt auch, keinen sogenannten Catch-all-Account einzurichten, denn dieser zieht den Spam magisch an, da alle ungültigen Adressen in dieses Postfach einlaufen. Danach definiere auf dem Mailgateway die Regeln, die für die anzunehmenden Mails bzw die einliefernden Clients gelten sollen. Dazu gehören RBLs, HELO-Checks und sonstige Prüfungen. Diese Regeln weisen den überwiegenden Teil der Spams ab. Das entlastet auch den Server von den CPU-intensiven Amavis-Checks. Auf gar keinen Fall solltest du erst alle Mail vom Gateway annehmen lassen, dann zum internen Server leiten lassen, und dieser weist dann alle ungültigen Adressen ab, welche das Gateway dann als Bounce an den Absender schickt. Dumm ist nur, wenn es eine Spammail war und der Absender gefälscht ist. Dann schickt nämlich plötzlich euer Server eine Spammail an einen dritten, der sich aufregt und euren Server als Spamserver ansieht. Der Begriff dafür ist "Backscatter". Wahrscheinlich habt auch ihr mal Mails bekommen, die angeblich von euch stammen und als "Bounce" zu euch zurückgeschickt wurden. Sobald einer eurer Server die Mail entgegengenommen hat, geht die Verantwortung für diese Mail auf euer System über. Deshalb ist es so wichtig, dass nicht zustellbare Mails (für nicht existierende User) auch nicht angenommen werden.
Sieve läuft auf dem Server ab, bevor der Client die Mail überhaupt sieht. Sinn macht das aber erst wirklich mit IMAP, da POP Ordner nicht unterstützt.
Klar soweit. Mails mit Sieve löschen ginge ja, ist mir aber zu riskant. Könnte man sie auch an einen anderen Account weiterleiten?
Ja, das geht. Meistens wird das dafür verwendet, entweder nach Betreff oder Headerzeile die Mails in einen anderen Ordner zu schicken.
Eine weitere Frage bezieht sich auf die Migration? Kennt jemand vielleicht eine Möglichkeit, die Mailboxen vom alten Server auf den neuen Cyrus zu migrieren?
Je nach Anzahl der User ist es am einfachsten, wenn die User sich ein neues Konto anlegen und dann ihre Sachen vom alten auf das neue Konto rüberschieben. Wenn es mehr als einige Dutzend sind, kann das aber dauern.
Hmm, das verstehe ich nicht ganz. Die (Cyrus-)Konten auf dem neuen Server habe ich schon angelegt, dürften so um die 150 sein. Wenn der neue Mailserver in Betrieb geht, ist der alte nicht mehr erreichbar. Insofern ist mir nicht ganz klar, was du mit "rüberschieben" meinst. Das "rüberschieben" muss _ich_ leider irgendwie hinbekommen, und zwar von mbox in die Cyrus-Verzeichnis-Struktur. Oder ich müsste jede einzelne Mail, die vor der Umstellung noch auf dem alten Server lagert, händisch auf den neuen Server weiterleiten.
Diese mbox-Dateien sind doch meistens schon bei den Usern abgerufen und nicht mehr auf dem Server bei POP3, oder? Jedenfalls hat Cyrus ein eigenes Ablagesystem, welches eine Art Maildir mit Datenbank ist. Deshalb kann man nicht unbedingt Die Dateien einfach rüberschieben. Du kannst die Mails in den mbox-Dateien erneut zustellen über formail: formail -Y -s /usr/sbin/sendmail newaddress@example.com < /path/to/mbox Es gibt aber auch einige Tools, welche von mbox direkt nach imap rüberschaufeln können. Unter dieser URL gibt es ein paar Perlscripte, die dir helfen können dabei: http://www.oreilly.com/catalog/mimap/chapter/ch09.html Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Hallo Sandy, erstmal ein großes Dankeschön für deine ausführliche Antwort. Ich bewundere hier regelmäßig, wie viel Zeit (und vor allem fundiertes Wissen) du in die Liste inverstierst.
Leider ist meine Erfahrung, dass es genau deshalb nicht mehr lange gut geht. Statistisch gesehen bist du wahrscheinlich überfällig. (^-^) Überlege dir einfach mal, ob du nicht die wichtigsten Sachen wie /etc/ /var/log /var/spool/imap usw. auf einen anderen Server spiegeln kannst (rsnapshot).
Der Ansatz ist sicher gut und mehr als überlegenswert, allerdings wird dann unser Fileserver an seine Kapazitätsgrenze stoßen, wenn er /var/spool/imap spiegeln soll. Ich werde aber diesbezüglich weiterhin "nach oben" meine Bedenken äußern...
Alle Postfix-Konfigurationen gehen von der Annahme aus, dass die Mail per SMTP reinkommt und direkt vom Client geliefert werden, nicht vom ISP-Mailserver. Wenn das nicht der Fall ist, hast du eigentlich schon verloren.
Oh je.
Dafür brauche ich ein paar Informationen bezüglich eurer Struktur: - Eigene Domain, die auf eurem Mailserver gehostet wird? Wenn nicht, dann wird es erheblich schwieriger. - Feste IP?
So war es bisher, aber dieser Zustand ändert sich in Kürze.
Das spielt genau ein wesentliche Rolle!! Die Kontrolle, welche Mails akzepiert und zugestellt oder direkt abgelehnt werden, findet genau auf dem Mailgateway statt!
Ich gehe davon aus, dass du die Konfiguration dieses Mailgateways unter deiner Kontrolle hast oder zumindest dem Admin sagen kannst, was eingestellt werden soll.
Leider nicht (mehr). Die Domain geht zu einem großen ISP, der die Mails über sein Gateway annimmt und an unseren Mailserver weiterleitet. Dem Gateway sind keinerlei Benutzer bekannt.
Auf gar keinen Fall solltest du erst alle Mail vom Gateway annehmen lassen, dann zum internen Server leiten lassen, und dieser weist dann alle ungültigen Adressen ab, welche das Gateway dann als Bounce an den Absender schickt. Dumm ist nur, wenn es eine Spammail war und der Absender gefälscht ist. Dann schickt nämlich plötzlich euer Server eine Spammail an einen dritten, der sich aufregt und euren Server als Spamserver ansieht.
Dann sind mir ja gewaltig die Hände gebunden. Wenn das Ablehnen der Mails auf unserem Mailserver keinen Sinn mehr macht, muss ich sie ja quasi mit entsprechenden Filtern bearbeiten.
Klar soweit. Mails mit Sieve löschen ginge ja, ist mir aber zu riskant. Könnte man sie auch an einen anderen Account weiterleiten?
Ja, das geht. Meistens wird das dafür verwendet, entweder nach Betreff oder Headerzeile die Mails in einen anderen Ordner zu schicken.
In einen anderen Ordner? Ok, macht bei IMAP Sinn, aber bei POP3 eher weniger. Deshalb würde ich sie lieber in eine andere Mailbox umbiegen. Ginge das auch?
Diese mbox-Dateien sind doch meistens schon bei den Usern abgerufen und nicht mehr auf dem Server bei POP3, oder?
Ja, richtig. Es geht dann hauptsächlich um Benutzer, die länger nicht abgerufen haben (krank, Urlaub etc.).
Jedenfalls hat Cyrus ein eigenes Ablagesystem, welches eine Art Maildir mit Datenbank ist. Deshalb kann man nicht unbedingt Die Dateien einfach rüberschieben.
Genau, deshalb mache ich mir ja auch die Gedanken. ;-)
Du kannst die Mails in den mbox-Dateien erneut zustellen über formail: formail -Y -s /usr/sbin/sendmail newaddress@example.com < /path/to/mbox
Danke, davon hatte ich schon mal gelesen, konnte mich nur nicht mehr genau an den Namen erinnern.
Es gibt aber auch einige Tools, welche von mbox direkt nach imap rüberschaufeln können. Unter dieser URL gibt es ein paar Perlscripte, die dir helfen können dabei: http://www.oreilly.com/catalog/mimap/chapter/ch09.html
Werde ich mir morgen gleich mal zu Gemüte führen. -- Grüße, Jürgen PS: Sorry, die PM war nicht gewollt. Ich werde umgehend mein Windows-Mail-Client mal richtig konfigurieren, dann passiert das nicht mehr.
participants (2)
-
Juergen Pabst
-
Sandy Drobic