Mail Station mit eigener Domain

Aus
Version vom 1. Oktober 2009, 21:17 Uhr von Hkuester (Diskussion | Beiträge) (Weitere Ausarbeitung)


Achtung! Diese Seite befindet sich noch im Aufbau! Bitte erstmal nicht miteditieren!



Einleitung

Diese Anleitung umfasst die Schritte und Einstellungen, die nötig sind, um die Mail Station mit einer eigenen Domain zu betreiben. Hier wird nicht beschrieben, wie die Mail Station selbst einzurichten ist, da es dafür neben der Synology Anleitung (EN, DE) bereits genügend weitere Wiki- und Forum-Beiträge (Nutzung der Mail Station, Synology-Forum) gibt. Stattdessen liegt der Fokus hier auf alle Schritte und Stolpersteine auf dem Weg dahin, dass die Mail Station einwandfrei Mails mit anderen Mail-Servern im Internet austauscht.


Vorwort

Diese Anleitung erhebt kein Recht auf Vollständigkeit und absolute Richtigkeit. Sie resultiert aus den Recherchen und eigenen Erfahrungen des Autors. Der Autor lädt alle Leser ein, sich hier am Zusammentragen nützlicher Hinweise und Tipps zu beteiligen.


Ausgangssituation

Angenommen über die eigene Domain mit dem beispielhaften Namen my-domain.de sollen E-Mails z.B. user@my-domain.de empfangen und versendet werden, wofür das Mail Station Paket zum Einsatz kommen soll. Die Disk Station hängt am lokalen Netz (Intranet) und ein (DSL-)Router trennt und vermittelt (routet) zwischen dem Intranet und dem Internet. Der Router besitzt aus Sicht des Internet wahlweise ein statische oder, wie meist üblich, eine dynamische IP-Adresse.


Schritte

Die folgende Liste zeigt die Schritte bis zur vollständigen Einrichtung. Jeder Schritt baut auf die vorhergehenden Schritt auf, womit die Reihenfolge eingehalten werden sollte. Bei (fast) jedem Schritt wird beschrieben, wie die jeweilige Einstellung auch ausgetestet werden kann.

  1. Domain & Subdomains
  2. Statische und Dynamische DNS (A-record)
  3. Router- bzw. Firewall-Einstellungen
  4. MX-record Einstellungen
  5. Sicherheit, Verschlüsselung und SSL-Zertifikat


Domain & Subdomains

Zum Betrieb der Mail Station empfiehlt es sich eine eigene Domain (my-domain.de) bei einem geeigneten Anbieter (Registrar) registrieren zu lassen, über die man frei verfügen kann. Theoretisch ist es auch möglich, eine Subdomain unterhalb einer fremden Domain für die Mail Station zu nutzen, wie sie z.B. bei den kostenlosen DYNDNS-Anbietern üblich ist (z.B. my-subdomain.anbieter-domain.de). Aber davon ist abzuraten, weil man dann keine Rechte an der Subdomain hat und weil die nötigen DNS-Einstellungen nicht bei allen Anbietern möglich sind. Zudem wollen manche Anbieter einfach aus rechtlichen Gründen nicht, dass Mails über deren Domain quasi in deren Namen versendet werden.

Bei der Auswahl des Registrars ist weiterhin darauf zu achten, dass dieser die volle Einstellbarkeit der DNS-Daten (A-record, MX-record, Subdomains) ermöglicht. Domain-Angebote, die nur eingeschränkte Funktionalität (nur Weiterleitung oder nur Webspace) bieten, sind unzureichend. Ebenso muss der Registrar den dynamische DNS-Dienst anbieten, wenn man mit einer dynamischen IP arbeitet. Ggf. sollte auf den Hilfe-Seiten bzw. in den FAQs des Registrars nach Begriffen wie DNS und MX gesucht werden um da Klarheit zu bekommen.

Ein negativer Effekt in Zusammenhang mit einer eigenen Domain ist noch, dass sämtliche persönlichen Daten (Name, Anschrift, Mail-Adresse und Telefonnummern) per Whois abfragbar sind. Z.B. ist diese Abfrage für .de-domains bei der DENIC möglich. Wer es gerne anonym haben will, der kann die Domain bei manchen Registrars auch treuhänderisch unter deren Namen registrieren lassen, womit auch diese Lücke geschlossen wäre.

Ist nun die eigene Domain registriert, so sollte als nächstes überlegt werden, ob und wie Subdomains genutzt werden sollten. Speziell dann, wenn die Domain nur für den Mail-Dienst genutzt werden soll oder die Disk Station mit ihren Webdiensten (File Station, Photo Station, etc.) nicht einfach auch über das Internet sichtbar sein soll, dann empfiehlt es sich für die Disk Station eine eigene Subdomain (z.B. diskstation.my-domain.de) anzulegen. Somit ist man frei darin für my-domain.de, www.my-domain.de, ftp.my-domain.de usw. andere Ziele (IP-Adressen, Weiterleitungen oder Webspace) als die Disk Station einzutragen. Und ein unbedarfter Angreifer kann den Domain-Namen my-domain.de (herausgelesen aus der E-Mail-Adresse user@my-domain.de) nicht einfach in seinen Browser eintippen und damit auf der Disk Station landen.

Bei der Namenswahl der Subdomain für die Mail Station ist man frei. Eine spätere Änderung ist zwar leicht möglich, aber ggf. mit Kosten verbunden, wenn in Folge der Änderung auch ein neues SSL-Zertifikat braucht.


Statische und Dynamische DNS (A-record)

Jeder Rechner im Internet hat eine eigene einmalige IP-Adresse, unter der er von überall im Internet ansprechbar ist. Diese IP-Adresse kann konstant (statisch) sein, jedoch ist diese bei privaten Internet-Zugängen (auch bei DSL-Flatrates) in der Regel dynamisch. D.h. der lokale Router bekommt üblicherweise täglich eine neue IP-Adresse vom Internet-Provider zugewiesen (sprich: dynamische IP). Somit ist auch die IP-Adresse, unter der die nachgeordnete Disk Station mit ihrer Mail Station aus dem Internet heraus erreichbar wäre, ständig wechselnd. Damit nun über den DNS-Nameserver des Registrars immer der richtige Bezug von der Subdomain diskstation.my-domain.de zu der aktuellen eigenen IP-Adresse herstellt wird, muss der DNS-Nameserver immer wieder neu die aktuelle IP-Adresse vom Router mitgeteilt bekommen. Diesen Eintrag in der Datenbank der DNS-Nameservers nennt man übrigens A-record.

Es sind hierfür zwei Einstellungen zu machen:

  1. Beim Registrar muss die gewählte Subdomain (z.B. diskstation.my-domain.de) angelegt und mit einer dynamischen IP vorgemerkt werden. Wie das genau geht, ist leider wieder bei jedem Registrar unterschiedlich und sollte dort auf den Hilfe- bzw. FAQ-Seiten nachgelesen werden. Als TTL-Wert sollte ein möglichst kleiner Wert (z.B. 20) eingestellt werden.
  2. Beim Router zu Hause sind dann die entsprechenden Einstellungen wie vom Registrar vorgegeben zu übernehmen. Auch hier muss auf die Bedienungsanleitung des Router verwiesen werden.

Der Erfolg dieser DYNDNS-Einstellungen kann folgendermaßen geprüft werden:

  1. Die aktuelle eigene IP-Adresse des Routers muss herausgefunden und gemerkt werden z.B. mit Hilfe von der Website http://www.ip-adress.com
  2. Mit Hilfe von z.B. http://www.dnswatch.info lässt sich herausfinden, ob der A-record auf die zuvor ermittelte aktuelle IP-Adresse zeigt.

Wenn beide Abfragen die gleiche IP-Adresse liefern, dann ist soweit alles gut gelaufen und es kann mit dem nächsten Schritt fortgefahren werden.

Wenn nicht, dann muss das noch nichts schlimmes heißen und es wird folgende weitere Vorgehensweise empfohlen:

  1. Die bei diesem Schritt gemachten Einstellungen nochmal zu prüfen. Manche Router und manche Registrars zeigen in ihren Statusmeldungen bzw. ihren Logs entsprechende Zustände und Fehler an. Meldet der Router, dass er die IP-Adresse an den DNS-Nameserver gesendet hat? Ist die neue IP-Adresse auf den Status-Seiten des Registrars sichtbar? Üblicherweise dauert die Meldung der IP-Adresse vom Router an den DNS-Nameserver sehr flott, dass man bei korrekten Einstellungen sofort die IP-Adresse auf den Status-Seiten des Registrars sehen müsste.
  2. Den Router neu starten lassen (im Zweifelsfall kurz Strom aus). Dann genügend Zeit (mehrere Minuten) warten, bis der Router sich komplett initialisiert, die Verbindung zum Provider aufgebaut und die neue IP-Adresse an den DNS-Nameserver gemeldet hat. Dann den Test wiederholen.
  3. Einige Minuten (oder Stunden oder einen Tag) warten, und dann den Test wiederholen. Gerade bei Änderungen an den Subdomain-Einstellungen (speziell bei einem zuvor großen TTL-Wert), dauert die Übernahme der neuen IP-Adresse bei allen zwischengeschalteten DNS-Nameservern schon mal etwas länger...


Router- bzw. Firewall-Einstellungen

Nachdem nun die Domain inklusive Subdomains richtig eingestellt ist und sämtliche Anfragen an diskstation.my-domain.de über die aktuelle IP-Adresse beim eigenen Router auflaufen, geht es nun daran den Router mit seiner Firewall so einzustellen, dass dieser die richtigen und nur die richtigen IP-Datenpakete der verschiedenen Mail-Protokolle an die Disk Station weiterleitet. Jedes der Mail-Protokolle bzw. -Dienste (SMTP, POP3, IMAP) wird dabei mittels TCP über ganz bestimmte Ports über das Internet übertragen. Im Router müssen nun die benötigten Ports freigegeben und zur Disk Station geroutet werden.

Hier muss leider wieder auf die Bedienungsanleitung des Routers verwiesen werden bezüglich der Beschreibung, wie die Port-Freigaben konkret im Router vorgenommen werden. Wie die Einstellungen bei der weit verbreiteten Fritz!Box durchgeführt werden zeigt z.B. der Artikel Zugriff auf die Synology-Dienste über Internet.

Jetzt zur Frage, welche Ports mit welchen Mail-Protokollen nun konkret freigegeben werden müssen. Die Antwort hängt davon ab, auf welcher Art und Weise Mails über die Mail Station empfangen und versendet sollen. Es stehen zur Auswahl:

  1. Webmail Oberfläche der Disk Station: Hierzu muss auf dem/den zugreifenden Rechner(n) keine spezielle Mail-Software installiert sein. Ein beliebiger Rechner mit einem Internet Browser reicht aus.
  2. Mail-Client-Software (z.B. Outlook, Thunderbird, ...) und IMAP-Protokoll: Bei Nutzung des IMAP-Protokolls verbleiben die Mails üblicherweise auf dem Mail-Server und werden nicht auf dem jeweiligen Rechner mit dem Mail-Client gespeichert. Vorteil von IMAP ist, dass von beliebigen Rechnern auf das Mail-Postfach der Mail Station zugegriffen werden kann und man Zugriff auf gesamte Mail-Archiv hat. Nachteil von IMAP ist, dass bei Ordnern mit vielen Mails bzw. langsamer Verbindung merkliche Verzögerungen beim Zugriff entstehen können. Gerade hier wirkt sich die üblicherweise deutlich langsamere Upstream-Geschwindigkeit der DSL-Zugänge negativ aus, wenn man vom Internet heraus per IMAP auf die Mail Station zugreifen möchte.
  3. Mail-Client-Software und POP3-Protokoll: Bei Nutzung des POP3-Protokolls werden die Mails vom Mail-Client von der Mail Station auf den Rechner herunter geladen und dort gespeichert. Auf die lokal gespeicherten Mails kann dann zwar schnell und auch offline zugegriffen werden, aber die Mails sind dann auch nur auf dem einen Rechner vorhanden und lesbar.

Im Detail gibt es noch einige weitere Vor- und Nachteile eines jeden Verfahrens, aber eine weitere Ausführung würde den Rahmen dieses Artikels sprengen und es sei da auf vielen einschlägigen Vergleiche im Internet verwiesen. Theoretisch ist es auch möglich, alle Möglichkeiten gleichzeitig zu nutzen. Dieses macht dann Sinn, wenn man auf Reisen ist und schnell mal per Webmail ins Postfach schauen möchte. Man muss nur halt aufpassen, dass man nicht durcheinander kommt, wo gerade welche Mails rumschwirren.


Weiterhin ist entscheidend, ob und über welche Dienste (Webmail, POP3 und/oder IMAP) man auch vom Internet heraus Zugriff auf die Mail Station haben möchte oder ob man auschließlich nur im eigenen Intranet. Je nach gewünschten Diensten sind dann eben mehr oder weniger Ports freizuschalten. Und hinsichtlich der Sicherheit gilt hier immer: Weniger ist mehr. Die unten stehende Tabelle gibt Aufschluss welche Ports für welche Dienste freizuschalten sind.

Zum Empfangen von Mails durch die Mail Station ist jedoch unumgänglich, dass der Port für das SMTP-Protokoll freigeschaltet ist. Per SMTP werden Mails im Internet verschickt, egal wie dann der Client die Mails aus dem Posteingang abfragt.

Und zu guter Letzt stellt sich die Frage der Verschlüsselung der Protokolle. Jedes dieser Protokolle (http-Webmail, POP3, IMAP, SMTP) gibt es inzwischen auch in der jeweils verschlüsselten Variante (https-Webmail, POP3S, IMAPS, SMTPS), wo die Mails auf dem Weg durchs Internet verschlüsselt übertragen werden. Weitere Erläuterungen siehe Sicherheit, Verschlüsselung und SSL-Zertifikat.

Also nun hier die Tabelle mit den Ports:

Protokoll Benötigt für Port ohne Verschlüsselung Port mit Verschlüsselung Anmerkung
SMTP(S) Mail-Versand 25/TCP 25/TCP SMTP mit SSL/TLS-Verschlüsselung verwendet auch Port 25
POP3(S) Mail-Abruf 110/TCP 995/TCP
IMAP(S) Mail lesen und mehr 143/TCP 993/TCP
HTTP(S) Webmail 80/TCP 443/TCP damit sind auch die anderen Webdienste der Disk Station sichtbar!


Um nun zu testen, ob die Ports im Router freigegeben und Datenpakete bei der Mail Station ankommen, empfiehlt sich der c't-Netzwerkcheck. Dort sind am besten gleich alle die Mail-Protokolle betreffenden Ports zu testen. Alle ungenutzten und nicht freigegebenen Ports werden dort dunkelgrün als "gefiltert" angezeigt. Rot und mit Status "offen" werden alle freigegeben und von der Mail Station bedienten Ports angezeigt. Hellgrün und "geschlossen" werden Ports angezeigt, die zwar der Router zur Mail Station hin geöffnet hat, aber von der Mail Station nicht bedient werden. Hier wurde entweder das Protokoll in den Mail Station Einstellungen der Disk Station noch nicht aktiviert oder beim Router wurden zu viele Ports freigegeben. Letztendlich dürfen nur die Ports als offen gemeldet werden, über die die zu nutzenden Mail-Protokolle laufen.

Gesperrte IMAP- und POP-Ports führen dazu, dass man mit einen Mail-Client vom Internet aus keine Mails lesen kann, weil der Router den Zugriff von außen aufs Mail-Postfach blockiert. Ein gesperrter SMTP-Port führt zu dem berühmten Fehlerbild, dass dann die Mail Station zwar Mails verschicken, aber nicht von anderen Mail-Servern im Internet empfangen kann, weil ja der Router von außen kommende Mails abblockt.

Das umgekehrte Fehlerbild (Mail Station empfängt zwar Mails aus dem Internet, aber verschickt keine Mails zu Mail-Servern im Internet) gibt es übrigens auch. Siehe Probleme mit dyn. DNS.

Wenn nun alle benötigten Ports freigegeben und zur Mail Station hin geroutet sind, kann mit dem nächsten Schritt weitergemacht werden.


MX-record Einstellungen

Sicherheit, Verschlüsselung und SSL-Zertifikat

Probleme mit dyn. DNS

SPF

Zuverlässigkeitsbetrachtungen und Backup-Server

Weblinks

Abgerufen von „https://www.synology-wiki.de/index.php?title=Mail_Station_mit_eigener_Domain&oldid=1448