EasySMTP: Kostenloser Smarthost

Die Internet-Provider sperren gerne die IP-Adressen der Kunden für den E-Mail-Versand. Verständlich, da sonst die Spam-Gefahr zunehmen würde. Andererseits soll man ja einen Business-Account nehmen, wo die eigene IP-Adresse nicht in verschiedenen Blacklisten eingetragen ist.

Um diese Beschränkung zu umgehen, benutzt man einen Smarthost. Google als Smarthost ist schnell eingerichtet, hat aber den Nachteil, daß die Nachrichten immer mit der Identität des Google-Kontos gesendet werden, die dann natürlich im Gesendet-Ordner des GMail-Kontos aufscheinen.

EasySMTP

hat diese Einschränkungen nicht. EasySMTP ist ein in der Cloud gehosteter Mailserver und ist grundsätzlich kostenlos. Erst bei erhöhtem Datenvolumen (ab 10.000 Mails pro Monat) werden Gebühren fällig, halten sich aber in Grenzen.

Also auf easy-smtp.com einen Account erstellen und auf die Mail mit den Zugangsdaten warten. Die Zugangsdaten setzen sich zusammen aus einem Account-Key und Usernamen (steht in der Mail von EasySMTP) und dem bei der Anmeldung angegebenen Passwort.

Nach Erhalt der Zugangsdaten steht der Konfiguration des eigenen Mailservers nichts mehr im Weg. Windows-Benutzer werden vermutlich hMailServer als kostenlose Alternative zu Microsoft Exchange benutzen wollen.

Jetzt folgt ein Beispiel, wie man Postfix mit EasySMTP als Smarthost konfiguriert. Als Verschärfung benutzen wir Amavis zur Filterung von Spam und Viren – ein korrekt aufgesetztes ISPConfig-System benutzt zum Beispiel diese Konfiguration.

Zugangsdaten

Smarthost: ssrs.reachmail.net
Account Key: MISTERX
Username: user
Passwort: gehe1m

sasl_passwd

echo "ssrs.reachmail.net MISTERX\user:gehe1m" >> /etc/postfix/sasl_passwd

Den Backslash und den Doppelpunkt beachten!

Password-Hash rebuilden:

chown root:root /etc/postfix/sasl_passwd
chmod 600 /etc/postfix/sasl_passwd
cd /etc/postfix
postmap hash:/etc/postfix/sasl_passwd

main.cf

Nachfolgenden Block in main.cf einfügen.

vi /etc/postfix/main.cf
.
.
tls_export_cipherlist = SSLv3:TLSv1:!SSLv2
smtpd_tls_security_level = may
relayhost = ssrs.reachmail.net
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
# Force all connections to use TLS
smtp_tls_security_level = encrypt
# For postfix versions < 2.5 replace the previous setting with these:
#smtp_use_tls = yes
#smtp_enforce_tls = yes
smtp_tls_mandatory_protocols = !SSLv2, SSLv3, TLSv1
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_local_domain = $myhostname
.
.

master.cf

Wir benutzen auf unserem Mailser Amavis zur Filterung von Spam und Viren. Dazu leiten wir den Mailtraffic von localhost auf Port 10025 um. Da wir aber zuvor in der main.cf mit smtp_tls_security_level = encrypt TLS zwingend einsetzen, kommt es beim Versand von Mails zur Fehlermeldung

status=deferred (TLS is required, but was not offered by host 127.0.0.1[127.0.0.1])

da Amavis mit verschlüsselten Mails nichts anfangen kann.

Also sagen wir Postfix mit -o smtp_tls_security_level=none, es solle Amavis die Mails unverschlüsselt übergeben.

vi master.cf
.
.
amavis unix - - y - 2 smtp
 -o smtp_data_done_timeout=1200
 -o smtp_send_xforward_command=yes
 -o smtp_tls_security_level=none    ←⎯⎯⎯ Einfügen

127.0.0.1:10025 inet n - n - - smtpd
 -o content_filter=
 -o local_recipient_maps=
 -o relay_recipient_maps=
 -o smtpd_restriction_classes=
 -o smtpd_client_restrictions=
 -o smtpd_helo_restrictions=
 -o smtpd_sender_restrictions=
 -o smtpd_recipient_restrictions=permit_mynetworks,reject
 -o mynetworks=127.0.0.0/8
 -o strict_rfc821_envelopes=yes
 -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
 -o smtp_send_xforward_command=yes
 -o disable_dns_lookups=yes
 -o smtp_tls_security_level=none    ←⎯⎯⎯ Einfügen
.
.

Nach einem Restart von Postfix mit

service postfix restart

ist der Smarthost eingerichtet und wartet auf Nachrichten.

SPF Settings

v=spf1 include:spf.reachmail.net -all

DKIM signing

Wenn die Nachrichten mit der eigenen Domainsignatur signiert werden sollen, muß vom Reachmail-Team die Domain zuerst konfiguriert werden. Am besten über das Portal ui.reachmail.net Kontakt aufnehmen und die Domain(s) durchgeben.

Einstweilen in der Zwischenzeit im Nameserver einen CNAME für die Domain machen.

Der CNAME Eintrag lautet:

k1._domainkey.domain.xx → dkim.rmdlvry.com

Korrekterweise sollten auch die SMTP-Header der ausgehenden Nachrichten angepaßt werden, das Format ist

X-DKIM-Options: s=k1; [email protected]

wobei [email protected] mit der richtigen Emailadresse zu ersetzen ist.

Siehe auch