Grobe Schritte beim Selbsthosten E-Mail, Domain?

mr44er

moderater Moderator
Teammitglied
Ich habe schon länger ein kleines Hostingpaket gebucht, mit space, email pipapo. Da sind ein paar Domains scharfgestellt und auch geparkt.

Wie sind denn so die groben Schritte, wenn ich komplett selber von daheim hosten möchte? Speziell gehts mir drum, wenn ich da kündige und die Domains behalten bzw. verwalten möchte. Wie lasse ich dann z.B. eine Domain auf meine IP zeigen?

Ungeachtet des Aufwandes und dem Sicherheitsrisiko möchte ich das einfach mal durchexerzieren, da ich sowas noch nie gemacht habe und ich dann einfach mehr Möglichkeiten habe. In den AGBs meines Providers habe ich zum jetzigen Homevertrag kein Verbot, schätze mal das 'home' bezieht sich auch nur auf die Reaktionszeiten des Supports. In einen Business-Tarif zu wechseln wäre auch kein Problem.

Feste IP habe ich, E-Mails kann ich davon 'so' verschicken, die werden von anderen Servern auch nicht abgewiesen.

Wenn ich da sattelfest bin, soll das in meiner Traumvorstellung auf zwei Maschinen an zwei Standorten redundant in jails laufen.
Es ist absolut nicht kritisch, wenn beide Server down sein sollten und die Website nicht abrufbar ist. Was passiert aber, wenn jemand in dem Moment eine E-Mail versendet?
 
Also unter "daheim hosten" verstehe ich dass Du auch Deine Domains komplett selbst verwalten willst, also einen autoritativen Nameserver für die Domains betreiben willst. Gut so, gerade für Email ist das empfehlenswert, da kannst Du einiges machen.

Wenn Du Deine Domains selbst hosten willst, musst Du bei deren Registrar die Möglichkeit haben, eigene Nameserver einzutragen. Üblicherweise musst Du dafür erstens mehrere DNS Server angeben (für DE Domains zwingend zwei), und zweitens Hostnamen (keine IPs) für die DNS Server die auch nicht auf dieselbe IP zeigen. Wenn Du zuhause nur eine IP hast, musst Du also entweder eine zweite Maschine anmieten oder einen Secondary DNS Service nutzen (ich bin da bei rollernet.us, kostet aber). Ausserdem musst Du eine weitere Domain registrieren, die dann auf die IPs Deines/Deiner Nameserver zeigt (z.B. irgendwas wie mein-eigenes-dns.eu, irgendeine Billigdomain halt). Zuhause auf dem Server kannst Du dann den Primary DNS für Deine Domains einrichten (z.B.als dns1.mein-eigenes-dns.eu), auf der zweiten Maschine (dns2.mein.eigenes-dns.eu) oder dem entsprechenden Dienst den Secondary DNS, der sich die Zonen vom Primary holt. Dann musst Du Zuhause einen Nameserver einrichten (ich nehme bind9), die Zonen konfigurieren, und den Zonentransfer zum Secondary DNS einrichten.

Für Email richtest Du Dir einen SMTP Server ein (bei mir Postfix). Im DNS trägst Du die A und MX Records ein. Dann sollte es schon mal funktionieren Emails zu empfangen und zu senden. Wenn Du mehr machen willst kannst Du SPF/DKIM/DMARC Records im DNS eintragen (und ggf. im SMTP Server konfigurieren) oder so schöne Sachen wie DNSSEC/DANE einrichten (muss aber der Registrar der Domains unterstützen). TLS natürlich nicht vergessen.

Wenn Dein SMTP Server mal läuft, unbedingt testen dass die Konfiguration auch sicher ist und Du vor allem kein offenes Relay produziert hast. Gibt Online Checks dafür. Bei mir schauen alle paar Minuten böse Leute vorbei und suchen nach Fehlkonfigurationen zum Spammen.

Das war's erst mal so grob aus dem Stegreif, ist drei Jahre her dass ich das alles eingerichtet habe und seitdem läuft das recht wartungsarm und zuverlässig vor sich hin. Wenn Du genaueres wissen willst muss ich in die Configs gucken...

Gruß,

Robert
 
Also, E-Mail ist ein ziemlich komplexes Gebiet. Schon alleine da mehrere recht krude, altbackene Technologien aus der Frühzeit des Informationszeitalters (SMTP, IMAP, etc.) ineinandergreifen. Das ist Nichts, was man mal eben zwischen Tür und Angel versteht. Du brauchst minimal:
  • Einen MTA, der die Mails annimmt und lokal zustellt oder an die Gegenseite übergibt. Die Klassiker sind dort Exim, Sendmail und Postfix, dazu kommen einige weniger verbreitete Optionen wie das aus dem OpenBSD-Umfeld kommende OpenSMTPd. MTA sind leider eine sehr religiöse Sache, praktisch jeder Admin hat dort seine eigene Vorliebe und verteidigt sie mit religiösem Eifer. Ich kann nur dazu raten sich alle Optionen unvoreingenommen anzuschauen, sich danach für einen MTA zu entscheiden und dessen Konfiguration zu lernen.
  • Einen Postfachserver. Auch da gibt es viele Optionen. Die Klassiker sind Cyrus und Courier-IMAP, aber bei Neu-Setups im Großen und Ganzen der Konsens tunlichst Dovecot zu verwenden. Da Dovecot verständlich und einfach zu konfigurieren ist, selbst die etwas komplexeren Dinge wie Replikation erschließen sich recht einfach. Außerdem ist Dovecot schnell und robust, außerdem hat es einen sehr guten Security-Trail.
Idealerweise kommen da noch einige Dinge mehr zu, man will auf jeden Fall noch ein System zur Spam- und Malwarefilterung. Auch ein Sieve-Server zum serverseitigen Filtern der Mail ist zu empfehlen, Dovecot integriert z.B. einen. Aber darüber würde ich mir Gedanken machen, wenn das Basissystem läuft.

Allerdings ist es schwer bis unmöglich E-Mail zu Hause hinter einem DSL-Anschluss zu hosten. Die meisten Mailserver blockieren E-Mails von dynamischen IPs ohne sie auch nur anzuschauen. Außerdem müssen das SMTP HELO / EHLO Banner, die IP-Adresse, der MX DNS-Record, der A oder AAAA DNS-Record und das Reverse-DNS per PTR Record übereinstimmen. Dazu braucht man inzwischen fast zwingend zumindest SPF-Records um bei den großen Anbietern wie Google und Microsoft nicht im Spam-Ordner zu landen. Microsoft beginnt inzwischen auch DKIM zu forcieren, Google wiederum bestraft anscheinend fehlende IPv6-Erreichbarkeit des sendenden Servers.

Und zum Schluss noch den Standardhinweis, @Rosendoktor sagte es schon: Stelle auf jeden Fall sicher, dass du kein offenes Relais ins Netz stellst und Spam verschickst. Das verbrennt mindestens deine IP-Adresse auf Monate.
 
Danke für die ausführlichen Tips. Denke mit google und den Begriffen komme ich weiter.

Stelle auf jeden Fall sicher, dass du kein offenes Relais ins Netz stellst und Spam verschickst. Das verbrennt mindestens deine IP-Adresse auf Monate.
Habe ich mal bei einer Firma erlebt, jedoch hat da einfach ein Trojaner von Windows aus massenhaft Spam verschickt und die dortige IP war erstmal ewig geblockt.
 
Ich würde mir an deiner Stelle einen VPS für kleines Geld mieten, so ab zwei bis drei Euro pro Monat bekommst du da was. Dann hast du eine Domain, eine feste IP und eine relativ redundante Anbindung. Kannst ja auch noch einen zweiten bei einem anderen Hoster dazu nehmen. Die Stromkosten von zu Hause musst du ja auch berechnen.

Ich habe das letztens für mich selber durchgespielt und bin bei postfix und dovecot geblieben. Wenn E-Mail einmal läuft, ist das ein recht wartungsarmes Ding aber bis dahin kann schon ein bisschen Zeit vergehen ;) Aber es gibt auch jede Menge Anleitungen!
Dazu habe ich noch Nextcloud und ejabberd installiert, damit habe ich dann meine eigene Cloud und kann auf Gmail, Google Drive, WhatsApp und so'n Zeug komplett verzichten.
 
Ich würde mir an deiner Stelle einen VPS für kleines Geld mieten, so ab zwei bis drei Euro pro Monat bekommst du da was.
Auch das haben die Spammer heute schon für sich entdeckt. Ich habe so einen Mailserver laufen. SPF, DKIM, DMARC etc. alles eingerichtet, trotzdem konnte ich keine Mail an mein Google Konto schicken. Es landete im Spam-Ordner. Bei einem anderen Hoster habe ich noch eine Domain am laufen. Dort gibt es kein SPF, DKIM oder auch DMARC. Trotzdem wurde diese Mail problemlos empfangen. Da fragt man sich dann schon: Für was mache ich diesen ganzen Aufwand eigentlich. Google soll z.B. Negativpunkte verteilen, wenn der Mailserver kein IPv6 kann.
 
Da mein Mailhoster gerade ein "kleines" Datenleck hat und die letzten Jahre immer unsympathischer wurde, überlege ich auch mails mal selbst zu hosten, das waren schonmal gute tipps vom yamagi.

(Ich hab nen kleinen vhost gemietet im netz)
 
Ich habe seit über 10 Jahren meinen Mailserver als kleinen VServer laufen (auch schon 4mal den Host gewechselt) und es gab noch nie Probleme mit Google/MS oder sonst welchen "großen". Wichtig ist halt das IP und Reverse konfiguriert ist, ein gültiges Zertifikat soll auch helfen. SPF verwende ich nicht, DKIM schon.

Ich verwende den MailScanner.info - Stack.
 
Die Stromkosten von zu Hause musst du ja auch berechnen.
Vernachlässigbar, kann ich zur Hälfte absetzen. Wenn dafür noch die Mietkosten vom jetzigen Betreiber wegfallen, gehts eh auf.

Dann guck ich mal, wann ich Zeit finde für das ganze Gedöhns...und es kann ja auch sein, dass mich das zwischendrin nervt und mir zuviel Aufwand wird, dass ichs lasse. Lerneffekt wirds so oder so geben, egal in welche Richtung. :D
 
Mir geht es wie medV2: Null Probleme mit Google und Co. Aber wie gesagt, es kann hier und da schon etwas komplexer werden und bei dem DNS-Zeugs muss man auch immer lange warten ;)
 
Ich habe seit vielen Jahren bei Hetzner einen Root Server. Dort läuft postfix und courier. Hatte mal kurzzeitig Probleme mit Hotmail aber das war, weil zu wenig Emails von meiner IP zu ihnen kamen. Mit deren Abuse Prozedur konnte ich das lösen.

Seit das eingerichtet ist, macht das praktisch keine Probleme :)
 
Mailserver ist Aufwand im Sinne von es ist ein Server, aber für einen Server relativ wenig Aufwand, wenn erst mal richtig konfiguriert. Wichtig ist eben nicht zu vergessen die Reverse-IP korrekt zu machen, SPF, DKIM sollten konfiguriert sein, sonst mag Google einen nicht.

Zu Hause ist das aus zwei Gründen allerdings quasi unmöglich. Dafür gibt es gleich mehrere Gründe. Dynamische IPs, IP-Ranges, die als "Home User" gelten und deshalb von vielen geblockt werden oder als "sehr wahrscheinlich Spam" gelten und zuguterletzt dass es mittlerweile doch einige Provider gibt, die Port 25 einfach komplett sperren, was aber der Standardport für Server to Server (also wenn man über den eigenen Server eine E-Mail an einen anderen Server schickt) ist.

Dann gibt es noch eine Sache, die ein Vorteil von E-Mail gegenüber anderen Servern, die man so selbst betreiben kann hat. Sollte das mal temporär weg sein werden es die meisten Server queuen und nach einer Weile nochmal versuchen. Das heißt man muss relativ wenig Angst haben dass E-Mails auf Grund von einer kurzen Downtime verloren gehen.

Domain übersiedeln ist nicht allzu schwierig. Manchmal vergessen Leute, dass DNS viel gecached wird (siehe TTL-Wert), man kann also keinesfalls Hosts updaten und dann davon ausgehen, dass alles plötzlich dorthin geht. Was man aber zur Vorbereitung machen kann ist den TTL-Wert schon im Vorfeld mal runter zu setzen. Dann geht das flotter.

Ein Tipp noch: Wenn der Server erstmal steht hilft es sich bei einer großen Whitelist einzutragen. Manche Spam-Filter nehmen das als Indiz, dass man kein Spammer ist. Das kann von Fall zu Fall helfen, gerade bei relativ neuen Mail-Servern oder wenn man neue IPs hat und man gegen Heuristiken ankämpfen muss.
 
Zurück
Oben