Proxmox Mail Gateway 5.2 available
- Thread starter martin
- Start date
An und für sich ist PMG ja wirklich eine gute Lösung, allerdings aus meiner Sicht für eine Unternehmen nicht wirklich einsetzbar. Ich habe das Produkt bisher immer für den Enterprise Bereich gesehen, doch dafür fehlen meiner Meinung nach relevante Features.
Zum einen wäre es das immer und immer wieder angesprochene Thema, dass E-Mails bei Annahme geprüft und direkt auf SMTP Ebene abgelehnt werden müssen um hier eine entsprechende Rechtssicherheit zu erzeugen. Dann fehlt mir hier noch eine Archivierungsfunktion wie sie vom GoBD gefordert ist. Entscheidende HA Features fehlen hier ebenfalls, nicht alle Applikationen können mit mehreren Mail Server arbeiten, hier fehlt einfach eine HA IP welche dann entsprechend nach außen und innen sichtbar ist (klar HAProxy regelt..).
Generell würde ich PMG als ganzheitliche Lösung für den gesamten E-Mail Verkehr im Unternehmen sehen, einschließlich sämtlicher Funktion wie PGP, DKIM, Smarthost etc. Aufgrund fehlender Firewall-Funktion ist PMG auch so nicht geeignet um direkt am Internet zu hängen (klar, kann man sich drüber streiten, aber in kleinen Setups ist das vielleicht eher nötig oder gewollt).
Ich würde ich mir so etwas vorstellen wie SpamExperts, das erfüllt im Enterprise Bereich deutlich mehr ist und ist von den Kosten auch recht überschaubar. Es bietet zudem direkt eine Integration in Plesk, was für uns als Shared Webhoster auch sehr vorteilhaft ist.
Ja auch klar, ich vergleiche ich hier ein bezahltes Produkt mit einem Kostenfrei, aber die ein oder anderen Anforderungen um das kostenfreie PMG für Unternehmen attraktiv zu machen dürften meiner Meinung nach auch nicht viel Aufwand darstellen und bedeuten einen deutlichen Mehrwert für Unternehmen.
Insgesamt sind hier meiner Meinung nach zu viele Dinge die ich entweder selbst implementieren müsste oder über die CLI machen müsste, wo andere Produkte einfach eine ganzheitliche Lösung bieten und mir damit deutlich Aufwand wegnehmen und das Setup von der Komplexität und den Kosten her nicht nach oben treibt.
Zum einen wäre es das immer und immer wieder angesprochene Thema, dass E-Mails bei Annahme geprüft und direkt auf SMTP Ebene abgelehnt werden müssen um hier eine entsprechende Rechtssicherheit zu erzeugen. Dann fehlt mir hier noch eine Archivierungsfunktion wie sie vom GoBD gefordert ist. Entscheidende HA Features fehlen hier ebenfalls, nicht alle Applikationen können mit mehreren Mail Server arbeiten, hier fehlt einfach eine HA IP welche dann entsprechend nach außen und innen sichtbar ist (klar HAProxy regelt..).
Generell würde ich PMG als ganzheitliche Lösung für den gesamten E-Mail Verkehr im Unternehmen sehen, einschließlich sämtlicher Funktion wie PGP, DKIM, Smarthost etc. Aufgrund fehlender Firewall-Funktion ist PMG auch so nicht geeignet um direkt am Internet zu hängen (klar, kann man sich drüber streiten, aber in kleinen Setups ist das vielleicht eher nötig oder gewollt).
Ich würde ich mir so etwas vorstellen wie SpamExperts, das erfüllt im Enterprise Bereich deutlich mehr ist und ist von den Kosten auch recht überschaubar. Es bietet zudem direkt eine Integration in Plesk, was für uns als Shared Webhoster auch sehr vorteilhaft ist.
Ja auch klar, ich vergleiche ich hier ein bezahltes Produkt mit einem Kostenfrei, aber die ein oder anderen Anforderungen um das kostenfreie PMG für Unternehmen attraktiv zu machen dürften meiner Meinung nach auch nicht viel Aufwand darstellen und bedeuten einen deutlichen Mehrwert für Unternehmen.
Insgesamt sind hier meiner Meinung nach zu viele Dinge die ich entweder selbst implementieren müsste oder über die CLI machen müsste, wo andere Produkte einfach eine ganzheitliche Lösung bieten und mir damit deutlich Aufwand wegnehmen und das Setup von der Komplexität und den Kosten her nicht nach oben treibt.
Danke fürs Feedback. Natürlich gibts immer ein paar Dinge, die man noch machen könnte, vieles ist bereits drin.
DKIM geht natürlich auch ohne GUI schon jetzt recht einfach - wobei DKIM meist am Emailserver gemacht wird und nicht am Gateway. PGP am Gateway ist für mich der falsche Platz bzw. sollte ein Verschlüsselung immer End-to-End sein (also im Mail Client erfolgen). Eine Firewall kann natürlich per CLI konfiguriert werden, bzw. wenns auf Proxmox VE läuft nimmt man einfach die Firewall vom Proxmox VE (oder einen anderen HV).
Eine Implementierung einer Archivierungslösung würde auch mir gefallen, allerdings ist das eher ein grösserer Aufwand bzw. ein weiteres eigenständiges Produkt.
Wir werden Schritt für Schritt weitere Features implementieren, um weiter eines der besten Mail Gateways im Open Source Umfeld zu bleiben.
DKIM geht natürlich auch ohne GUI schon jetzt recht einfach - wobei DKIM meist am Emailserver gemacht wird und nicht am Gateway. PGP am Gateway ist für mich der falsche Platz bzw. sollte ein Verschlüsselung immer End-to-End sein (also im Mail Client erfolgen). Eine Firewall kann natürlich per CLI konfiguriert werden, bzw. wenns auf Proxmox VE läuft nimmt man einfach die Firewall vom Proxmox VE (oder einen anderen HV).
Eine Implementierung einer Archivierungslösung würde auch mir gefallen, allerdings ist das eher ein grösserer Aufwand bzw. ein weiteres eigenständiges Produkt.
Wir werden Schritt für Schritt weitere Features implementieren, um weiter eines der besten Mail Gateways im Open Source Umfeld zu bleiben.
Also an sich fehlt es meiner Meinung nach auch an Lösungen, die Secure Mail, E-Mail Security und Mailarchivierung in einem Produkt vereinen. Gerade das Thema Archivierung sehe ich aber Potential in der Lösung, denn diese könnte zu einem vollwertigen Mailserver "erweitert" werden, dann würden Verschiebeaktion in Spam oder Ham auch direkt zum Anlernen genutzt werden. Secure Mail wäre dann ebenfalls "nah am Client", denn in der Tat ist Ende-zu-Ende optimal, aber seien wir mal ehrlich, kaum realisierbar, mit PGP schon gleich gar nicht, aber auch mit S/MIME einfach zu kompliziert. Die Möglichkeiten Schlüssel durch Kommunikation "einzuwerfen", regelbasiert zu arbeiten usw. machen eine solche Lösung durchaus gangbarer und akzeptabler beim Kunden. Auch hier wäre die Verknüpfung mit einem Archiv sinnvoll, so dass bspw. direkt die entschlüsselten Mails archiviert werden können. Desto mehr "Player" in der Mailkette sind, desto anfälliger wird ein System (bspw. Verify-Funktion von verfügbaren Empfängern).
Ich würde begrüßen, wenn das zwar eigene Produkte wären, diese aber eine Installation auf einem System zuließen (optional, je nach Kundenwunsch).
Ich würde begrüßen, wenn das zwar eigene Produkte wären, diese aber eine Installation auf einem System zuließen (optional, je nach Kundenwunsch).
Hier würde ich für den Einsatz mit SMTP - mehrere DNS-entries empfehlen - die meisten Implementierungen sind darauf ausgelegt, dass sie bei mehreren mx-records mit selber Priorität, diese auch nacheinander verwenden.
Soweit ich das sehe ist bei einer Standard-installation der einzige port, der potentiell gefirewalled werden sollte 8006 (web interface), potentiell auch noch ssh - ansonsten lauscht nichts nach außen, was nicht für smtp gebraucht wird.
Und beim 'automatischen' sperren von den management-ports (22, 8006) passiert es nur zu oft, dass User sich aussperren)
Punkto GPG, S/MIME, hier stimme ich @tom zu - das gehört beim Client konfiguriert, auch wenn die derzeitigen Toolings sehr oft als zu komplex wahrgenommen werden. Andererseits haben die Lösungen, die das als Proxy implementieren (abseits von der vorgetäuschten Sicherheit, weil es eben nicht end-to-end ist) immer auch die Probleme, woher sie die Schlüssel für die Zieldomains nehmen sollen. und nur den weg PMG->Zielserver mit gpg,S/MIME zu sichern erscheint auch wenig sinnvoll.
Was PMG sehr wohl implementiert hat, und relativ komfortabel konfigurierbar hat ist die Transportverschlüsselung mittels TLS
Also wenn man tatsächlich ein HA-Setup will, würde ich durchaus sehen, dass man dann auch davor eine HA-Lösung bräuchte, weiß nicht, ob man erwarten kann, dass PMG das selbst realisiert. Durchaus gibt es Heartbeat-Installationen wie die von Zertificon oder Sophos SG, wo man sich dran orientieren könnte, aber selbst da ist dieses IP-Swapping immer wieder mal ein Problem. Wieso nicht zwei MX-Records mit Prioritäten?
Ich meine bei meinem Standardsetup noch weitere offene Ports gesehen zu haben und beim ersten Test in der Hetzner Cloud gab es meine ich sogar eine automatische BSI-Meldung, dass ich doch irgendwelche Ports schließen solle. Aber in meiner Advancing-Anleitung gibt es die einfache Möglichkeit mit einem sehr simpel per CLI steuerbaren Firewallskript das System auch im offenen Internet sicher zu machen. Für weitere Anwendungszwecke kann man gar auch den Zugriff auf Port 22 und 8006 nur über ein OpenVPN schicken, auch dieses Setup ist relativ simpel geskriptet zu erledigen.
In Bezug auf GPG und S/MIME ist doch gerade der Tooleinsatz am Client meist das komplexe, die Gateways machen so was vollautomatisch und nehmen dem Anwender die Arbeit ab. Die Schlüssel kann man von den Keyservern beziehen, über SMIMEA oder eben bei der ersten Kommunikation durch das "einwerfen" der Schlüssel durch signierte Mailkommunikation, gibt es mehrere Wege. CipherMail wäre hier Open Source und man könnte sich an deren Umsetzung orientieren oder vielleicht beide Lösungen kombinieren.
Ende-zu-Ende ist dann gegeben, wenn man PMG zur "eierlegenden Wollmilchsau" aufbohrt, also auch wie oben beschrieben als komplette Maillösung nutzt, also auch tatsächlich die Mails darauf speichert, eingehend und ausgehend darüber direkt sendet und das Ganze mit einem Webmail (Roundcube o. Ä.) garniert. Wie besagt könnte man dann auch direkt Spam und Ham lernen und wenn es eh schon drauf ist auch die Mails in einem Archiv abwerfen.
Mal eine andere Frage: Ich habe einiges an meinem Proxmox Mail Gateway inzwischen angepasst und wollte gerne mal die Mail Rules abgleichen, da ich versuche, etwas das Setup zu "harmonisieren". Kann mir mal jemand von den Rules einen Screenshot senden, wie diese im Default sind? Screenshots haben unterschiedliche Prioritäten bspw. (82, 81, 80 oder 81, 80, 79), was die eigentlichen Spamrules anbetrifft.
Nicht alle, ich nenne es mal Endpoints, können aber mit PGP umgehen. Ich nutze z.B. mehrere IMAP E-Mail Postfächer auf dem Smartphone (Kaiten Mail), auf dem Rechner (Thunderbird) und hin und wieder den Webmailer (Roundcube mit Sievefilter). An dieser Stelle sehe ich durchaus eine erleichterte Implementierung. Jeder möchte gerne immer mehr und mehr verschlüsseln, doch über mögliche Folgen und Probleme bei der Nutzung von Software ist sich dabei oftmals keiner bewusst. Das Gateway als zentrale Schnittstelle für Mailing wäre meiner Meinung nach hier genau der richtige Ort um so etwas zu implementieren. Es erfordert an dieser Stelle das Wissen eines Admins, nicht aber das des unbedarften Endanwenders. Das Abhandenkommen eines Schlüssels kann so fast ausgeschlossen werden.
Auch muss man bedenken, dass das Unternehmen Interesse daran hat bzw. es auch muss, diese E-Mails im Klartext abzuspeichern und gemäß der GoBD aufzubewahren - wie geht das, wenn der Key beim Mitarbeiter liegt und nicht auf dem Gateway? Jegliche Archivierungsfunktion auf einem Gateway wäre damit hinfällig, aber genau hier muss doch Archivert werden, es muss revisionssicher dargelegt werden können, wann welche E-Mail ankam.
Ja, so habe ich das aktuell auch umgesetzt. Allerdings könnte man den PMG ja auch als Standalone ohne HV betreiben. Hier sehe ich einfach auch den Punkt, wenn es eine GUI gibt die einem das leben erleichtern soll, warum dann nicht auch solche Grundlegenden Dingen dort so implementieren, dass es nutzbar ist. Ich habe es mir nun nicht im Detail angesehen, aber grundsätzlich wäre doch die PVE Firewall recht einfach zu implementieren und wenn der Quellcode Modular aufgebaut ist, kann man hier ja auch immer das entsprechende Modul in PVE und PMG schieben.
Das würde mich sehr freuen, wenn ihr so etwas auf die beine stellt, wie aber auch @heutger schrieb, sollte es da eine nahtlose Integration geben oder einfach ein Modul welches sich auf PMG installieren lässt.
Ich arbeite in einem Rechenzentrum, wir setzen auch immer mehr auf VMs, doch eines sieht hier leider keiner. Eine VM ist schnell aufgesetzt und schnell produktiv genommen, man neigt sehr schnell dazu, dass man mehr und mehr Services auf eigenständige VMs deployed. Worum sich hier aber keine Gedanken macht, ist einfach die Tatsache, dass die Anzahl an VMs immer mehr und mehr wird und dadurch der administrative Aufwand ungleich höher ist, gerade wenn es an Automatisierung fehlt. Mir persönlich ist es daher immer ein anliegen soviel wie möglich auf eine VM / System zu packen um einfach diesen Overhead auf ein nötiges Maß zu reduzieren.
Das empfinde ich gar nicht so, das geht wieder in Richtung "lieber gar nicht machen als falsch oder nicht richtig". Ich finde immer, dass man mal irgendwo den Anfang machen muss. Es ist doch schon mal viel gewonnen, wenn der erfahrene User eine E-Mail PGP Verschlüsselt an mich als Unternehmen schicken kann - das ist schon mal mehr als es gar nicht zu haben.
Klar, das ist natürlich aktiviert. Aber das ist ja auch nur die Transportverschlüsselung. Bei PGP ist die E-Mail ja zumindest dann vom Kunden zu mir als Unternehmen noch verschlüsselt und kann dann also auch nicht von z.B. GMX gelesen werden.
Ich denke hier einfach an Keepalived, es braucht ja nichts mehr als eine IP die schwenkt und das entsprechend auch von und durch PMG realisiert wird. Klar lassen sich auch zwei MX Records setzen, aber das hilft ja nicht bei einer internen Applikation die vielleicht nur ein Zeil anpeilen kann. In der heutigen Zeit empfinde ich einen SPOF als nicht mehr nötig, sowas kann man mit einfachen mitteln schnell und effizent ausmerzen. Warum muss man heute noch mit mehrere Zielen Arbeiten, wenn die Applikation es auch selbst erledigen kann? Die MX Records mir Prio würden sich z.B. dann auch wieder für mehrere Standorte optimal eignen. Oftmals haben Kunden ja mehrere Standorte / Rechenzentrum die selbst intern über eine Darkfibre verbunden sind, dass so eine Synchronisierung möglich wäre - manchmal kann oder will man an beiden Standorten aber auch nicht auf die gleichen IP Netze zurückgreifen.
Das wäre natürlich das allerbeste
Aber auch so hilft PMG doch schon ein Stück. Ich habe mich gestern Abend doch dazu entschieden dem mal eine Chance zu geben und meine MX Records umgestellt. Für heute bereits 215 E-Mails incoming, davon 150 Junk Mails, 136 Spam Mail (hier stelle ich mir aber gerade die Frage, was ist der Unterschied?) und 4 SPF Rejects. Bisher haben es nur noch 2 Spam Mails in mein Postfach geschafft.
Du meinst folgendes?
Zu PGP volle Zustimmung meinerseits, wobei ich S/MIME aus Clientsicht, wegen Authentifizierung und Interoperabilität vorziehe, ungeachtet dessen aber gerade wegen Archivierungspflicht, einfachem Umgang sowie Schlüsselmanagement ist meiner Meinung nach eine Gatewaylösung immer vorzuziehen.
Zur GUI, ursprünglich bei meinem Anfang mit PMG habe ich eine „Featurewunschliste“ aufgestellt. Inzwischen habe ich vieles selbst per Shell implementiert, wozu ich mir hier und da auch eine GUI wünschen würde, auch wenn meine Anpasssung doch recht simpel gestaltet ist (insbesondere Firewall wie OpenVPN). Am kritischsten sehe ich derzeit Post-Queue-Content-Filtering und manche Features wie DCC wären nur mit Subscription denkbar, weil die Nutzung lizenzgebunden ist, analog diverse AV-Software.
Die Erfahrung mit den VMs kenne ich, an diesem Punkt setzen ja dann Containerlösungen wie Docker an, auch der Overhead von VE vs. VM ist geringer, trotzdem bleibt eben der Pflegeaufwand und ich sehe auch, was zusammengehört darf gerne modular sein, gerade wenn man es aufteilen will, aber es sollte auch zusammen installierbar sein und gerade Antispam/-virus, Signierung/Verschlüsselung, Archivierung und der eigentliche Mailserver an sich gehen eigentlich Hand in Hand über, auch von der Marktpositionierung vielleicht nicht schlecht, denn solche Lösungen gibt es derzeit kaum auf dem Markt. Ggf. noch Integration in Lösungen wie Plesk wäre auch eine Idee, wobei da dann es ggf. Paketkonflikte geben könnte, das müsste man dann halt beachten, wegen dem bei Plesk bevorzugten CentOS vs. dem bei PMG bevorzugten Debian wäre ich aber durchaus mit einer Pleskintegration glücklicher. ;-)
Es gibt gerade eine ähnliche Diskussion zu S/MIME und PGP in einer Datenschutzgruppe und bei medizinischen Daten gemäß §203 StGB wäre Ende-zu-Ende tatsächlich erforderlich, das sehe ich aber als Ausnahmefall. Generell ist es doch so, dass der Anwender weder mit umgehen kann noch will, dann gibt es die Archivierungspflichten und die Verbindung Mailserver zu Client ist heutzutage in der Regel ausreichend gesichert, zumal der Client eh vielmehr zum Anzeigeprogramm mutiert, die Daten aber ja doch auf dem Server verbleiben, siehe bspw. Exchange oder IMAP-Setups sowie Apps mit Zugriff aufs Webmail. Die Tendenz old style tatsächlich per POP3 Nachrichten lokal abzuholen und zu verwalten, ist inzwischen eh gebrochen, konsistent wäre daher durchaus auch eine Gatewaylösung, wenn denn durchaus nicht konsequent, aber besser als nichts und besser als die zurückgeruderten Empfehlungen der Aufsichtsbehörden weg wieder von Ende-zu-Ende und hin zu diesem unsäglichen BSI-TR-Dokument zur reinen Transportverschlüsselung. Aber neben Datenschutz kommt mit dem GeschGehG der nächste potentielle Treiber.
Wenn die Applikationen nur IPs und keine Hostnamen bzw. MX-Records unterstützen, was dann aber auch weniger für die Applikation spricht, ist das schlecht, aber an sich sehe ich vielmehr diese Heartbeat-Geschichten aus eigenen Erfahrungen eher problematisch und old style als die elegante MX-Lösung oder wenigstens eine DNS-Lösung mit Failover-Erkennung, wenn gewünscht dann auch Geolokalisierung usw. Aber wie gesagt kann man sich zu Heartbeat mal die Zertificon oder Sophos UTM bzw. SG anschauen, baut auf OpenSource auf, die eigentliche shared IP-Lösung ist es meine ich auch, nur die Replikation der Config ist es nicht.
Spam vs. Junk ist die Formulierung von PMG schon lustig, ja, soweit ich das korrekt verstanden habe, weiß gar nicht, ob das auch dokumentiert ist, wird als Junk all das verstanden, was direkt vom Postfix abgewiesen wird (also Pregreet, RBL), habe es nicht geprüft, ob das sogar auch eine Milter-Rejects erfasst, während Spam ist all das, was der Content-Filter erwischt, wobei ich hierzu schon einen Thread eröffnet habe, denn ich fürchte, das orientiert sich nicht an dem, was man gemäß Rules irgendwie als Spam behandelt sondern an einem hardgecodetem festen Wert, 3 und 5 stehen im Raum, 5 würde ich vermuten, weil im Tracking Center auch immer wieder [Score]/5 steht. Mit SPF wäre ich nach meiner Meinung vorsichtig, muss aber jeder selbst entscheiden.
Ja, genau das meinte ich, das ist das default set? Gibt es einen Unterschied zwischen der Level 3 und Level 5-Regel außer dem Spamlevel? Weil hatte auf diversen Screenshots im Netz bei 3 reines Tagging, 5 Quarantäne und 10 Block gesehen und dann wichen die Prios eben ab, 79,80,81 oder 80,81,82.
Zur GUI, ursprünglich bei meinem Anfang mit PMG habe ich eine „Featurewunschliste“ aufgestellt. Inzwischen habe ich vieles selbst per Shell implementiert, wozu ich mir hier und da auch eine GUI wünschen würde, auch wenn meine Anpasssung doch recht simpel gestaltet ist (insbesondere Firewall wie OpenVPN). Am kritischsten sehe ich derzeit Post-Queue-Content-Filtering und manche Features wie DCC wären nur mit Subscription denkbar, weil die Nutzung lizenzgebunden ist, analog diverse AV-Software.
Die Erfahrung mit den VMs kenne ich, an diesem Punkt setzen ja dann Containerlösungen wie Docker an, auch der Overhead von VE vs. VM ist geringer, trotzdem bleibt eben der Pflegeaufwand und ich sehe auch, was zusammengehört darf gerne modular sein, gerade wenn man es aufteilen will, aber es sollte auch zusammen installierbar sein und gerade Antispam/-virus, Signierung/Verschlüsselung, Archivierung und der eigentliche Mailserver an sich gehen eigentlich Hand in Hand über, auch von der Marktpositionierung vielleicht nicht schlecht, denn solche Lösungen gibt es derzeit kaum auf dem Markt. Ggf. noch Integration in Lösungen wie Plesk wäre auch eine Idee, wobei da dann es ggf. Paketkonflikte geben könnte, das müsste man dann halt beachten, wegen dem bei Plesk bevorzugten CentOS vs. dem bei PMG bevorzugten Debian wäre ich aber durchaus mit einer Pleskintegration glücklicher. ;-)
Es gibt gerade eine ähnliche Diskussion zu S/MIME und PGP in einer Datenschutzgruppe und bei medizinischen Daten gemäß §203 StGB wäre Ende-zu-Ende tatsächlich erforderlich, das sehe ich aber als Ausnahmefall. Generell ist es doch so, dass der Anwender weder mit umgehen kann noch will, dann gibt es die Archivierungspflichten und die Verbindung Mailserver zu Client ist heutzutage in der Regel ausreichend gesichert, zumal der Client eh vielmehr zum Anzeigeprogramm mutiert, die Daten aber ja doch auf dem Server verbleiben, siehe bspw. Exchange oder IMAP-Setups sowie Apps mit Zugriff aufs Webmail. Die Tendenz old style tatsächlich per POP3 Nachrichten lokal abzuholen und zu verwalten, ist inzwischen eh gebrochen, konsistent wäre daher durchaus auch eine Gatewaylösung, wenn denn durchaus nicht konsequent, aber besser als nichts und besser als die zurückgeruderten Empfehlungen der Aufsichtsbehörden weg wieder von Ende-zu-Ende und hin zu diesem unsäglichen BSI-TR-Dokument zur reinen Transportverschlüsselung. Aber neben Datenschutz kommt mit dem GeschGehG der nächste potentielle Treiber.
Wenn die Applikationen nur IPs und keine Hostnamen bzw. MX-Records unterstützen, was dann aber auch weniger für die Applikation spricht, ist das schlecht, aber an sich sehe ich vielmehr diese Heartbeat-Geschichten aus eigenen Erfahrungen eher problematisch und old style als die elegante MX-Lösung oder wenigstens eine DNS-Lösung mit Failover-Erkennung, wenn gewünscht dann auch Geolokalisierung usw. Aber wie gesagt kann man sich zu Heartbeat mal die Zertificon oder Sophos UTM bzw. SG anschauen, baut auf OpenSource auf, die eigentliche shared IP-Lösung ist es meine ich auch, nur die Replikation der Config ist es nicht.
Spam vs. Junk ist die Formulierung von PMG schon lustig, ja, soweit ich das korrekt verstanden habe, weiß gar nicht, ob das auch dokumentiert ist, wird als Junk all das verstanden, was direkt vom Postfix abgewiesen wird (also Pregreet, RBL), habe es nicht geprüft, ob das sogar auch eine Milter-Rejects erfasst, während Spam ist all das, was der Content-Filter erwischt, wobei ich hierzu schon einen Thread eröffnet habe, denn ich fürchte, das orientiert sich nicht an dem, was man gemäß Rules irgendwie als Spam behandelt sondern an einem hardgecodetem festen Wert, 3 und 5 stehen im Raum, 5 würde ich vermuten, weil im Tracking Center auch immer wieder [Score]/5 steht. Mit SPF wäre ich nach meiner Meinung vorsichtig, muss aber jeder selbst entscheiden.
Ja, genau das meinte ich, das ist das default set? Gibt es einen Unterschied zwischen der Level 3 und Level 5-Regel außer dem Spamlevel? Weil hatte auf diversen Screenshots im Netz bei 3 reines Tagging, 5 Quarantäne und 10 Block gesehen und dann wichen die Prios eben ab, 79,80,81 oder 80,81,82.
Ich habe auch viele Punkte in der GUI gefunden, welcher von der Usability her nicht wirklich gut sind, wie ich finde. Mir fehlt hier so ein Feature Tracker, wo man solche Dinge auch ordentlich adressieren kann. Der Bugtracker ist ja eher ungeeignet dafür und das Forum empfinde ich auch nicht als wirklich gute Lösung dafür.
Magst du uns mal verraten, was du so alles gebastelt hast?
Ich versuche derzeit ein Script zu basteln, was die einzelnen Einträge der Userblacklist ausliest, sortiert, anhand der Domain selbst eine Aufstellung gibt und ab einer Anzahl von X diese aus der User Blacklist löscht und auf die globale verschiebt. Damit will ich mir eine bessere Übersicht in den Blacklisten verschaffen und nicht für jeden E-Mail Empfänger diese neu auf die Blacklist setzen müssen.
Ich nehme an, dass du mit DCC "Distributed Checksum Clearinghouse" meinst? An und für sich eine gute Sache, wobei das Datenschutztechnisch vielleicht auch wieder etwas bedenklich ist und ich nicht weiß, ob ich das wollen würde. Theoretisch wäre es ja dann auch möglich zu tracken, welcher Absender denn zu wem schreibt.
Ja, ich habe da bisher noch nichts geändert.
Nein, erst bei Level 10 steht Block drin. Level 5 und 10 sind aber defaultmäßig nicht aktiviert.
Ich habe mich bisher nur mit der grundsätzlichen Funktion beschäftigt, bisher aber auch noch keinen Bedarf an Anpassungen gehabt.
Stimme ich zu, gibt ja einige Lösungen wie UserVoice (das nutzt bspw. Plesk und finde ich sehr gelungen), siehe https://alternativeto.net/software/uservoice/?platform=self-hosted
Dazu gibt es einen eigenen Thread: https://forum.proxmox.com/threads/a...ay-especially-spam-and-virus-detection.44152/
Aber auch eine coole Idee. Funktioniert bei mir leider nicht, da die User keinen Zugang haben und auch keine Blacklists pflegen sollen, das sollte eigentlich alles durch ein "optimales Setup" gelöst werden. Könnte mir aber in einer Hosted-Umgebung das als sinnvoll vorstellen.
Habe ich DCC falsch verstanden oder werden da nicht nur Hashes abgeglichen von Nachrichteninhalten, ob diese mehrfach im Netz verbreitet sind und auf mögliche Spamwellen hinweisen? Dann wäre das datenschutzrechtlich ja unbedenklich, schließlich ist eine ordentliche Hash-Funktion ja eine Einwegfunktion und es kann auf die Nachricht nicht zurückgeschlossen werden und desto größer der Mailprovider, desto unwahrscheinlicher gar auf eine Nutzerbasis, Firma o. Ä. zurückzuführen, käme man an die angelieferten Haschierte. Wenn da natürlich jeder Absender und Empfänger und die Nachricht übermittelt wird, wäre das natürlich datenschutzrechtlich durchaus bedenklich.
OK, vielen Dank!
OK, vielen Dank, dann habe ich mein Setup mal etwas "gesäubert". ;-)
Thanks for the information, you can aslo refer 192.168.16.1 for fixing your gateway issues
Last edited:
Zum Mailarchiv:
Wir haben die Open Source Software
http://www.mailpiler.org/
ein unsere Exchange Server angebunden.
Diese basiert auf einem Mailserver, der alle Mails als Kopie bekomnt und (verschlüsselt) um Dateisystem ablegt.
Dazu gibt es ein schönes Webinterface für die User, Auditoren und Admin, jeweils mit Protokollierung.
Diese Software sollte sich recht einfach integrieren lassen.
Wir haben die Open Source Software
http://www.mailpiler.org/
ein unsere Exchange Server angebunden.
Diese basiert auf einem Mailserver, der alle Mails als Kopie bekomnt und (verschlüsselt) um Dateisystem ablegt.
Dazu gibt es ein schönes Webinterface für die User, Auditoren und Admin, jeweils mit Protokollierung.
Diese Software sollte sich recht einfach integrieren lassen.
Ich kenne Piler, ehrlich gesagt ist schön was anderes. Aber Proxmox könnte die Grundlagen nutzen (ist ja alles Open Source), selbst was zu bauen. Analog Ciphermail als Grundlage für Secure Mail.
Bei Exchange wäre ehrlich gesagt MailStore meine erste Wahl. Aber ich hoffe eher auf etwas wie Reddox seitens Proxmox, all out of one Hand.