Einsatz mit hMailServer, VPS, ...

M*I*B

New Member
Jul 22, 2020
6
1
3
Germany
Hallo liebe Forengemeinde,

schön, das es hier einen deutschen Bereich gibt; mein Englisch will wirklich niemand lesen wollen ;O)

Zum Thema:
Ich betreibe privat einen Windows-VPS mit hMailserver, auf dem ich kostenlos für örtliche Vereine, Clubs & co. WebSpace und den MX zur Verfügung stelle. Zudem administriere ich seit einiger Zeit auch die Webpräsenz meines Arbeitgebers (12MA), ebenfalls auf einem WIndows-VPS und ebenfalls mit hMailServer.
Meinen privaten VPS betreibe ich schon seit etwa 20 Jahren und hatte mit Spam & Co bisher nicht ganz so viel zu tun. Um so erstaunter war ich, was bei meinem AG hier täglich aufschlägt. Der sammelt pro Woche so viel Spam wie ich privat mit immer umzu 10 Domänen in einem Jahr nicht zusammen bekomme...

Es ist also dringend etwas gegen diese Flut von Müll zu unternehmen. Ich hatte mir u.a. auch ASSP angesehen, aber da scheint inzwischen die Luft raus zu sein; totes Forum, Hilfe bei den ersten Schritten nur gegen Bares... Macht keinen guten Eindruck auf mich... Letztlich habe ich jetzt ProxMox in der Pipeline.. Läuft hier inzwischen auf einem alten MiniPC, den wir in der FA über hatten...

Womit ich derzeit ein bisschen hadere ist, wie ich hier nun am besten vorgehen sollte... Auf dem VPS kann ich ProxMox nicht installieren; eine VM ist auf einem VPS nicht wirklich machbar. Also bleibt nur, dieses System lokal einzusetzen. Da unser MX aktuell aber auf dem VPS installiert ist, passt das so ja nicht wirklich; eigentlich genau falsch herum...
Nun haben wir hier in der Firma eine feste IP und auch einen rDNS- Eintrag gesetzt, welcher auf mail.[unsere Firma.de] zeigt. Mir kam nun der Gedanke, den hMailServer hier lokal zu installieren (auf dem Domaincontroller z.B.), den MX- Eintrag im DNS auf unsere Firmen-IP umzubiegen und dann ProxMox vor den lokalen hMail zu stöppseln... Ich habe alleerdings die Befürchtung, das wir dann wieder Probleme bekommen beim AUsliefern von Mails; gerade die Telekomiker, Microsoft und GMX sind da extrem pingelig und blocken ganz schnell mal was...

Sorry wenn diese Fragen dem einen oder anderen etwas blöd vorkommen, aber ich habe mit solchen Gateways/Proxys keinerlei Erfahrung und möchte möglichst keine Fehler machen, welche den Produktivbetrieb beeinflussen könnten; wir haben so schon mit der aktuellen Situation zu kämpfen...

Langes Geschwurbel, ganz kurzer Sinn:

1. Sollte ich das so machen oder gibt es eine bessere Option?
2. Gibt es hier jemanden, der vielleicht gleiche oder ähnliche Konfig fährt und mir beim EInstieg helfen kann?

Beste Grüße (oder auch DLzG)
Micha
 
Hm - nach Möglichkeit würde ich dafür eher eine linux vps (oder auch nur einen lxc container - da läuft PMG auch gut) bei einem Hostingprovider nehmen -> die sind üblicherweise relativ preiswert und gut ans Internet angebunden.

Die Referenzdokumentation bietet auch einen guten Überblick wo/wie sich PMG gut einbinden lässt:
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#chapter_deployment

Ich hoffe das hilft!
 
.. danke für den Hinweis ...
Das wäre auch noch eine Option, hätte aber zur Folge, das nun eine dritte IP für den MX ins Spiel kommt mit all seinen bekannten Folgen (und zudem ein weiterer Vertrag/Aufwand/Kosten). Das wollte ich eigentlich aus diesen Gründen vermeiden und versuchen, mit dem zurecht zu kommen, was wir bereits haben; mein Chef ist aus verschiedenen Gründen auch nicht besonders flexibel und solch zusätzlichen Dinge schwer zu vermitteln...
 
Ok.. Probleme gehen schon los ... Wird schon schwierig, hier eine Konfig zu generieren, die zum Testen reicht...

hMail ist auf dem DC installiert. hMail lauscht auf 125-SMTP, 110-POP und 143-IMAP im LAN. Proxmox habe ich auf intern-SMTP:125 gestellt so wie die Domänen eingetragen. Firewall lässt Private/Domäne diese Ports passieren. Sollte m.E. so richtig sein...

Unabhängig davon wollte ich, weil ich's gerade gefunden hatte, unter Spamerkennung den Spamassassin so wie unter Virenerkennung den ClamAV aktualisieren. Beides scheitert schlicht daran, das beide offensichtlich keine Verbindung nach außen herstellen können:

Code:
Update available for channel updates.spamassassin.org: -1 -> 1880070
http: (curl) GET http://spamassassin.apache.org/updates/MIRRORED.BY, FAILED, status: exit 7
error: no mirror data available for channel updates.spamassassin.org
channel 'updates.spamassassin.org': MIRRORED.BY file contents were missing, channel failed
Update failed, exiting with code 4
TASK OK

.. und ...

Code:
ClamAV update process started at Wed Jul 22 13:27:08 2020
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.102.2 Recommended version: 0.102.4
DON'T PANIC! Read https://www.clamav.net/documents/upgrading-clamav
daily database available for update (local version: 25790, remote version: 25880)
WARNING: Download failed (7) WARNING:  Message: Couldn't connect to server
WARNING: getcvd: Can't download daily.cvd from https://database.clamav.net/daily.cvd
Trying again in 5 secs...

Auf der Konsole des PMG kann ich heise.de anpingen, telnet heise.de 80 | 443 scheitert hingegen (Name wird aufgelöst, aber mehr auch nicht).

Übersehe ich hier was???
 
Meine erste Vermutung wäre, dass da eine Firewall/Router dazwischen ist, und da keine Regeln eingestellt sind, damit das PMG nach außen kommunizieren kann (in den fällen wären das ports 80, 443)
 
.. ja, da ist natürlich ein FW-Gateway zwischen ... Läuft unter Suse und wird (noch) von einem ext. Dienstleister gewartet... Mir ist aber nicht bekannt, das hier Standard- Ports wie 80 & 443 geblockt werden. Der Bereich x.x.1.1 bis x.x.1.33 ist hier explizit für Server mit fester IP vorgesehen (DC, RD, NAS, ...). Von allen anderen Servern kann ich über beide Ports externe Ziele per Browser und Telnet erreichen. Ist eher unwahrscheinlich, das ausgerechnet für diese eine IP die Ports zu sind... Aber Unwahrscheinlich ist ja nicht unmöglich... Ich frage da mal nach (ich kann mit dem SUSE- Dingens nicht um ...)

EDIT sagt: Wo er recht hat, hat er recht :rolleyes: Genau 5, 6, 7 und 8 waren nicht in der IPtable eingetragen; soweit geht's nun erst mal... Es spricht zumindest mit der Außenwelt :cool:
 
Last edited:
Ok... Hatte Urlaub...
Leider hat mein Chef sich entgegen meinen Empfehlungen für eine andere Lösung entschieden, welche ihm von unserem ext. IT- Unternehmen aufgeschwatzt wurde (die verdienen dabei noch mal ne Mark extra).
Wird interessant, da die eingekaufte Lösung nach Anzahl der eMail- Adressen lizensiert wird und der ext. Dienstleister meinem Chef weis gemacht hat, eine 10er- Lizenz würde ausreichen... bei aktuell 19 Adressen :eek::rolleyes::);)
Da wir an Montagen immer Entwickler- Besprechung haben, werde ich ihm mal eine Liste mit den Adressen vorlegen und er soll dann entscheiden, welcher unserer MA denn auf eine Adresse verzichten kann *LOL*

Aber mal was anderes:
Wie ich oben schrieb betreibe ich ja für die örtlichen Vereine und für meine Familie ebenso meinen eigenen VPS. Ich trage also aus meiner eigenen Tasche die Serverkosten und die Arbeitszeit. Daher mag ich mir nicht noch zusätzliche Kosten ans Bein binden (die Sache mit den CPU- Sockeln habe ich sowieso nicht kapiert; wie soll man denn das interpretieren?!?)
Frage ist also, wie ich möglichst ohne zusätzliche Kosten "meine" Nutzer vor Spam schützen kann?
 
die Sache mit den CPU- Sockeln habe ich sowieso nicht kapiert; wie soll man denn das interpretieren?!?
die subscription keys basierend auf CPU-Sockeln gibt es bei Proxmox VE - dem Virtualisierung Produkt (https://www.proxmox.com/en/proxmox-ve/pricing) , bei Proxmox Mail Gateway wird die subscription je Maschine (unabhängig von hardware etc.) gemacht - siehe https://www.proxmox.com/en/proxmox-mail-gateway/pricing

Frage ist also, wie ich möglichst ohne zusätzliche Kosten "meine" Nutzer vor Spam schützen kann?
Proxmox Mail Gateway steht unter AGPL und kann in vollem Umfang auch ohne subscription genützt werden (das Repository muss angepasst werden, und das Subscription Popup bleibt) - siehe Referenzdokumentation https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#pmg_package_repositories

Ich hoffe das hilft!
 
... ja super! Das hilft ungemein! Vielen Dank!
Das hatte ich irgendwie überlesen ... Mal sehen, wie ich das mit meiner Infrastruktur zusammen bekomme; eine VM auf einem VPS ist ja so nicht möglich...
 
  • Like
Reactions: Stoiko Ivanov

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!