Mail Station mit eigener Domain: Unterschied zwischen den Versionen
(Weitere Ausarbeitung) |
(Weitere Ausarbeitung) |
||
| Zeile 20: | Zeile 20: | ||
==Ausgangssituation== | ==Ausgangssituation== | ||
Angenommen über die eigene Domain mit dem beispielhaften Namen my-domain.de sollen E-Mails z.B. user@my-domain.de empfangen und versendet werden, wofür das Mail Station Paket zum Einsatz kommen soll. | Angenommen über die eigene Domain mit dem beispielhaften Namen my-domain.de sollen E-Mails z.B. user@my-domain.de empfangen und versendet werden, wofür das Mail Station Paket zum Einsatz kommen soll. | ||
Die | Die Disk Station hängt am lokalen Netz (Intranet) und ein (DSL-)Router vermittelt zwischen dem Intranet und dem Internet. | ||
Der Router besitzt aus Sicht des Internet wahlweise ein statische oder, wie meist üblich, eine dynamische IP-Adresse. | Der Router besitzt aus Sicht des Internet wahlweise ein statische oder, wie meist üblich, eine dynamische IP-Adresse. | ||
| Zeile 26: | Zeile 26: | ||
Die folgende Liste zeigt die Schritte bis zur vollständigen Einrichtung. | Die folgende Liste zeigt die Schritte bis zur vollständigen Einrichtung. | ||
Jeder Schritt baut auf die vorhergehenden Schritt auf, womit die Reihenfolge eingehalten werden sollte. | Jeder Schritt baut auf die vorhergehenden Schritt auf, womit die Reihenfolge eingehalten werden sollte. | ||
Bei jedem Schritt wird beschrieben, wie die jeweilige Einstellung auch ausgetestet werden kann. | Bei (fast) jedem Schritt wird beschrieben, wie die jeweilige Einstellung auch ausgetestet werden kann. | ||
#[[Mail_Station_mit_eigener_Domain#Domain & Subdomains|Domain & Subdomains]] | #[[Mail_Station_mit_eigener_Domain#Domain & Subdomains|Domain & Subdomains]] | ||
| Zeile 32: | Zeile 32: | ||
#[[Mail_Station_mit_eigener_Domain#Router- bzw. Firewall-Einstellungen|Router- bzw. Firewall-Einstellungen]] | #[[Mail_Station_mit_eigener_Domain#Router- bzw. Firewall-Einstellungen|Router- bzw. Firewall-Einstellungen]] | ||
#[[Mail_Station_mit_eigener_Domain#MX-record Einstellungen|MX-record Einstellungen]] | #[[Mail_Station_mit_eigener_Domain#MX-record Einstellungen|MX-record Einstellungen]] | ||
#[[Mail_Station_mit_eigener_Domain#SSL-Zertifikat|SSL-Zertifikat]] | #[[Mail_Station_mit_eigener_Domain#Sicherheit, Verschlüsselung und SSL-Zertifikat|Sicherheit, Verschlüsselung und SSL-Zertifikat]] | ||
==Domain & Subdomains== | ==Domain & Subdomains== | ||
| Zeile 44: | Zeile 44: | ||
Ist nun die eigene Domain registriert, so sollte als nächstes überlegt werden, ob und wie Subdomains genutzt werden sollten. | Ist nun die eigene Domain registriert, so sollte als nächstes überlegt werden, ob und wie Subdomains genutzt werden sollten. | ||
Speziell dann, wenn die Domain nur für den Mail-Dienst genutzt werden soll oder die | Speziell dann, wenn die Domain nur für den Mail-Dienst genutzt werden soll oder die Disk Station mit ihren Webdiensten (File Station, Photo Station, etc.) nicht einfach auch über das Internet sichtbar sein soll, dann empfiehlt es sich für die Disk Station eine eigene Subdomain (z.B. diskstation.my-domain.de) anzulegen. | ||
Somit ist man frei darin für my-domain.de, www.my-domain.de, ftp.my-domain.de usw. andere Ziele (IP-Adressen, Weiterleitungen oder Webspace) als die | Somit ist man frei darin für my-domain.de, www.my-domain.de, ftp.my-domain.de usw. andere Ziele (IP-Adressen, Weiterleitungen oder Webspace) als die Disk Station einzutragen. | ||
Und ein unbedarfter Angreifer kann den Domain-Namen my-domain.de (herausgelesen aus der E-Mail-Adresse user@my-domain.de) nicht einfach in seinen Browser eintippen und damit auf der | Und ein unbedarfter Angreifer kann den Domain-Namen my-domain.de (herausgelesen aus der E-Mail-Adresse user@my-domain.de) nicht einfach in seinen Browser eintippen und damit auf der Disk Station landen. | ||
Bei der Namenswahl der Subdomain ist man frei. Eine spätere Änderung ist zwar leicht möglich, aber ggf. mit Kosten verbunden, wenn | Bei der Namenswahl der Subdomain für die Mail Station ist man frei. Eine spätere Änderung ist zwar leicht möglich, aber ggf. mit Kosten verbunden, wenn in Folge der Änderung auch ein neues [[Mail_Station_mit_eigener_Domain#Sicherheit, Verschlüsselung und SSL-Zertifikat|SSL-Zertifikat]] braucht. | ||
==Statische und Dynamische DNS (A-record)== | ==Statische und Dynamische DNS (A-record)== | ||
Jeder Rechner im Internet hat eine eigene IP-Adresse, über die er erreichbar ist. | |||
Diese IP-Adresse kann konstant (statisch) sein, jedoch ist diese bei privaten Internet-Zugängen (auch bei DSL-Flatrates) in der Regel dynamisch. | |||
D.h. der lokale (DSL-)Router bekommt üblicherweise täglich eine neue IP-Adresse vom Internet-Provider zugewiesen (sprich: dynamische IP). | |||
Somit ist auch die IP-Adresse, unter der die nachgeordnete Disk Station mit ihrer Mail Station aus dem Internet heraus erreichbar wäre, ständig wechselnd. | |||
Damit nun über den DNS-Nameserver des Registrars immer der richtige Bezug von der Subdomain diskstation.my-domain.de zu der aktuellen eigenen IP-Adresse herstellt wird, muss der DNS-Nameserver immer die aktuelle IP-Adresse vom (DSL-)Router mitgeteilt bekommen. | |||
Dafür sind zwei Einstellungen zu machen: | |||
# Beim Registrar muss die gewählte Subdomain (z.B. diskstation.my-domain.de) angelegt und mit einer dynamischen IP vorgemerkt werden. Wie das genau geht, ist leider wieder bei jedem Registrar unterschiedlich und sollte dort auf den Hilfe- bzw. FAQ-Seiten nachgelesen werden. Als TTL-Wert sollte ein möglichst kleiner Wert (z.B. 20) eingestellt werden. | |||
# Beim (DSL-)Router zu Hause sind dann die entsprechenden Einstellungen wie vom Registrar vorgegeben zu übernehmen. Auch hier muss auf die Bedienungsanleitung des (DSL-)Router verwiesen werden. | |||
Nach dieser Einstellung meldet fortan der (DSL-)Router, wenn er eine neue IP-Adresse zugewiesen bekommt, diese umgehend weiter an den DNS-Nameserver des Registrars, damit alle Teilnehmer im Internet die aktuelle IP-Adresse zur Subdomain erfragen können. Diesen Eintrag in der Datenbank der DNS-Nameservers nennt man [http://de.wikipedia.org/wiki/A_Resource_Record A-record]. | |||
Der Erfolg dieser DYNDNS-Einstellungen kann folgendermaßen geprüft werden: | |||
# Die aktuelle eigene IP-Adresse des (DSL-)Routers muss herausgefunden und gemerkt werden z.B. mit Hilfe von der Website [http://www.ip-adress.com http://www.ip-adress.com] | |||
# Mit Hilfe von z.B. [http://www.dnswatch.info http://www.dnswatch.info] lässt sich herausfinden, ob der aktuelle A-record auf die zuvor ermittelte aktuelle IP-Adresse zeigt. | |||
Wenn beide Abfragen die gleiche IP-Adresse liefern, dann ist soweit alles gut gelaufen und es kann mit dem nächsten Schritt fortgefahren werden. | |||
Wenn nicht, dann muss das noch nichts schlimmes heißen und es wird folgende weitere Vorgehensweise empfohlen: | |||
# Die bei diesem Schritt gemachten Einstellungen nochmal zu prüfen. Manche (DSL-)Router und manche Registrars zeigen in ihren Statusmeldungen bzw. ihren Logs entsprechende Zustände und Fehler an. Meldet der (DSL-)Router, dass er die IP-Adresse an den DNS-Nameserver gesendet hat? Ist die neue IP-Adresse auf den Status-Seiten des Registrars sichtbar? | |||
# Den (DSL-)Router neu starten lassen (im Zweifelsfall kurz Strom aus). Dann genügend Zeit (mehrere Minuten) warten, bis der (DSL-)Router sich komplett initialisiert, die Verbindung zum Provider aufgebaut und die neue IP-Adresse an den DNS-Nameserver gemeldet hat. Dann den Test wiederholen. | |||
# Einige Minuten (oder Stunden oder einen Tag) warten, und dann den Test wiederholen. Gerade bei Änderungen an den Subdomain-Einstellungen (speziell bei einem vorher großen TTL-Wert), dauert die Übernahme der neuen IP-Adresse bei allen zwischengeschalteten DNS-Nameservern schon mal etwas länger. | |||
==Router- bzw. Firewall-Einstellungen== | ==Router- bzw. Firewall-Einstellungen== | ||
| Zeile 59: | Zeile 80: | ||
==SSL-Zertifikat== | ==Sicherheit, Verschlüsselung und SSL-Zertifikat== | ||
Version vom 30. September 2009, 03:59 Uhr
Achtung! Diese Seite befindet sich noch im Aufbau! Bitte erstmal nicht miteditieren!
Einleitung
Diese Anleitung umfasst die Schritte und Einstellungen, die nötig sind, um die Mail Station mit einer eigenen Domain zu betreiben. Hier wird nicht beschrieben, wie die Mail Station selbst einzurichten ist, da es dafür neben der Synology Anleitung (EN, DE) bereits genügend weitere Wiki- und Forum-Beiträge (Nutzung der Mail Station, Synology-Forum) gibt. Stattdessen liegt der Fokus hier auf alle Schritte und Stolpersteine auf dem Weg dahin, dass die Mail Station einwandfrei Mails mit anderen Mail-Servern im Internet austauscht.
Vorwort
Diese Anleitung erhebt kein Recht auf Vollständigkeit und absolute Richtigkeit. Sie resultiert aus den Recherchen und eigenen Erfahrungen des Autors. Der Autor lädt alle Leser ein, sich hier am Zusammentragen nützlicher Hinweise und Tipps zu beteiligen.
Ausgangssituation
Angenommen über die eigene Domain mit dem beispielhaften Namen my-domain.de sollen E-Mails z.B. user@my-domain.de empfangen und versendet werden, wofür das Mail Station Paket zum Einsatz kommen soll. Die Disk Station hängt am lokalen Netz (Intranet) und ein (DSL-)Router vermittelt zwischen dem Intranet und dem Internet. Der Router besitzt aus Sicht des Internet wahlweise ein statische oder, wie meist üblich, eine dynamische IP-Adresse.
Schritte
Die folgende Liste zeigt die Schritte bis zur vollständigen Einrichtung. Jeder Schritt baut auf die vorhergehenden Schritt auf, womit die Reihenfolge eingehalten werden sollte. Bei (fast) jedem Schritt wird beschrieben, wie die jeweilige Einstellung auch ausgetestet werden kann.
- Domain & Subdomains
- Statische und Dynamische DNS (A-record)
- Router- bzw. Firewall-Einstellungen
- MX-record Einstellungen
- Sicherheit, Verschlüsselung und SSL-Zertifikat
Domain & Subdomains
Zum Betrieb der Mail Station empfiehlt es sich eine eigene Domain (my-domain.de) bei einem geeigneten Anbieter (Registrar) registrieren zu lassen, über die man frei verfügen kann. Theoretisch ist es auch möglich, eine Subdomain unterhalb einer fremden Domain für die Mail Station zu nutzen, wie sie z.B. bei den kostenlosen DYNDNS-Anbietern üblich ist (z.B. my-subdomain.anbieter-domain.de). Aber davon ist abzuraten, weil man dann keine Rechte an der Subdomain hat und weil die nötigen DNS-Einstellungen nicht bei allen Anbietern möglich sind. Zudem wollen manche Anbieter einfach aus rechtlichen Gründen nicht, dass Mails über deren Domain quasi in deren Namen versendet werden.
Bei der Auswahl des Registrars ist weiterhin darauf zu achten, dass dieser die volle Einstellbarkeit der DNS-Daten (A-record, MX-record, Subdomains) ermöglicht. Domain-Angebote, die nur eingeschränkte Funktionalität (nur Weiterleitung oder nur Webspace) bieten, sind unzureichend. Ebenso muss der Registrar den dynamische DNS-Dienst anbieten, wenn man mit einer dynamischen IP arbeitet. Ggf. sollte auf den Hilfe-Seiten bzw. in den FAQs des Registrars nach Begriffen wie DNS und MX gesucht werden um da Klarheit zu bekommen.
Ein negativer Effekt in Zusammenhang mit einer eigenen Domain ist noch, dass sämtliche persönlichen Daten (Name, Anschrift, Mail-Adresse und Telefonnummern) per Whois abfragbar sind. Z.B. ist diese Abfrage für .de-domains bei der DENIC möglich. Wer es gerne anonym haben will, der kann die Domain bei manchen Registrars auch treuhänderisch unter deren Namen registrieren lassen, womit auch diese Lücke geschlossen wäre.
Ist nun die eigene Domain registriert, so sollte als nächstes überlegt werden, ob und wie Subdomains genutzt werden sollten. Speziell dann, wenn die Domain nur für den Mail-Dienst genutzt werden soll oder die Disk Station mit ihren Webdiensten (File Station, Photo Station, etc.) nicht einfach auch über das Internet sichtbar sein soll, dann empfiehlt es sich für die Disk Station eine eigene Subdomain (z.B. diskstation.my-domain.de) anzulegen. Somit ist man frei darin für my-domain.de, www.my-domain.de, ftp.my-domain.de usw. andere Ziele (IP-Adressen, Weiterleitungen oder Webspace) als die Disk Station einzutragen. Und ein unbedarfter Angreifer kann den Domain-Namen my-domain.de (herausgelesen aus der E-Mail-Adresse user@my-domain.de) nicht einfach in seinen Browser eintippen und damit auf der Disk Station landen.
Bei der Namenswahl der Subdomain für die Mail Station ist man frei. Eine spätere Änderung ist zwar leicht möglich, aber ggf. mit Kosten verbunden, wenn in Folge der Änderung auch ein neues SSL-Zertifikat braucht.
Statische und Dynamische DNS (A-record)
Jeder Rechner im Internet hat eine eigene IP-Adresse, über die er erreichbar ist. Diese IP-Adresse kann konstant (statisch) sein, jedoch ist diese bei privaten Internet-Zugängen (auch bei DSL-Flatrates) in der Regel dynamisch. D.h. der lokale (DSL-)Router bekommt üblicherweise täglich eine neue IP-Adresse vom Internet-Provider zugewiesen (sprich: dynamische IP). Somit ist auch die IP-Adresse, unter der die nachgeordnete Disk Station mit ihrer Mail Station aus dem Internet heraus erreichbar wäre, ständig wechselnd. Damit nun über den DNS-Nameserver des Registrars immer der richtige Bezug von der Subdomain diskstation.my-domain.de zu der aktuellen eigenen IP-Adresse herstellt wird, muss der DNS-Nameserver immer die aktuelle IP-Adresse vom (DSL-)Router mitgeteilt bekommen.
Dafür sind zwei Einstellungen zu machen:
- Beim Registrar muss die gewählte Subdomain (z.B. diskstation.my-domain.de) angelegt und mit einer dynamischen IP vorgemerkt werden. Wie das genau geht, ist leider wieder bei jedem Registrar unterschiedlich und sollte dort auf den Hilfe- bzw. FAQ-Seiten nachgelesen werden. Als TTL-Wert sollte ein möglichst kleiner Wert (z.B. 20) eingestellt werden.
- Beim (DSL-)Router zu Hause sind dann die entsprechenden Einstellungen wie vom Registrar vorgegeben zu übernehmen. Auch hier muss auf die Bedienungsanleitung des (DSL-)Router verwiesen werden.
Nach dieser Einstellung meldet fortan der (DSL-)Router, wenn er eine neue IP-Adresse zugewiesen bekommt, diese umgehend weiter an den DNS-Nameserver des Registrars, damit alle Teilnehmer im Internet die aktuelle IP-Adresse zur Subdomain erfragen können. Diesen Eintrag in der Datenbank der DNS-Nameservers nennt man A-record.
Der Erfolg dieser DYNDNS-Einstellungen kann folgendermaßen geprüft werden:
- Die aktuelle eigene IP-Adresse des (DSL-)Routers muss herausgefunden und gemerkt werden z.B. mit Hilfe von der Website http://www.ip-adress.com
- Mit Hilfe von z.B. http://www.dnswatch.info lässt sich herausfinden, ob der aktuelle A-record auf die zuvor ermittelte aktuelle IP-Adresse zeigt.
Wenn beide Abfragen die gleiche IP-Adresse liefern, dann ist soweit alles gut gelaufen und es kann mit dem nächsten Schritt fortgefahren werden.
Wenn nicht, dann muss das noch nichts schlimmes heißen und es wird folgende weitere Vorgehensweise empfohlen:
- Die bei diesem Schritt gemachten Einstellungen nochmal zu prüfen. Manche (DSL-)Router und manche Registrars zeigen in ihren Statusmeldungen bzw. ihren Logs entsprechende Zustände und Fehler an. Meldet der (DSL-)Router, dass er die IP-Adresse an den DNS-Nameserver gesendet hat? Ist die neue IP-Adresse auf den Status-Seiten des Registrars sichtbar?
- Den (DSL-)Router neu starten lassen (im Zweifelsfall kurz Strom aus). Dann genügend Zeit (mehrere Minuten) warten, bis der (DSL-)Router sich komplett initialisiert, die Verbindung zum Provider aufgebaut und die neue IP-Adresse an den DNS-Nameserver gemeldet hat. Dann den Test wiederholen.
- Einige Minuten (oder Stunden oder einen Tag) warten, und dann den Test wiederholen. Gerade bei Änderungen an den Subdomain-Einstellungen (speziell bei einem vorher großen TTL-Wert), dauert die Übernahme der neuen IP-Adresse bei allen zwischengeschalteten DNS-Nameservern schon mal etwas länger.
