Für die Mai-Ausgabe hat sich IT-Administrator den Schwerpunkt 'Messaging & Collaboration' auf die Fahnen geschrieben. Lesen Sie darin, wie Sie die Open ... (mehr)

Keine Chance für Viren und Spam

Zwar ist die Virengefahr unter Linux überschaubar, trotzdem ist es sinnvoll Malware aller Art auszusortieren, gerade wenn Windows-Rechner mit im Netzwerk hängen. Es gibt verschiedene Scanner für Linux, auch kommerzielle. Eine Open Source-Lösung ist ClamAV. Das Programm findet hauptsächlich zum Scannen von E-Mails Einsatz, lässt sich mit allen Mailservern nutzen und ist auch für Exim die erste Wahl.

 

Als Spamfilter dient SpamAssassin. Diesen können Sie so in den Mailverbund integrieren, dass der Scan vor dem Ausliefern der Mails an die Benutzer oder nach dem Empfang aus dem Internet stattfindet, also noch bevor der MTA die Mails akzeptiert hat. Wollen Sie Spam erst nach dem Einlass aussortieren, kann dies entweder der Exim-Light-Daemon übernehmen oder später in der E-Mail-Kette auch Procmail. Wurde eine Spam-Mail jedoch erst einmal empfangen, können Sie nur noch folgendermaßen verfahren:

- E-Mail löschen; dabei könnten Sie aber auch falsche Positives erwischen.

- E-Mail in einen speziellen Ordner verschieben; diesen muss jemand prüfen.

 

Der Absender weiß in beiden Fällen nicht, ob seine Nachricht angekommen ist. Auf keinen Fall sollten Sie E-Mails bouncen, da die Absender in Spam-Mails meist gefälscht sind und Sie so meist unbeteiligte Dritte belästigen.

 

Eine bessere und Nerven schonendere Methode ist daher das Scannen einer Nachricht, sobald sich der sendende Server mit dem eigenen MTA verbindet. Dann können Sie direkt am Eingang entscheiden, wer rein darf oder nicht. Das ist möglich mit der Content Scanning-Erweiterung im Heavy-Daemon. Wie Sie die Erweiterung des Heavy-Daemons einrichten, steht in der entsprechenden Exim-Spezifikation [4].

Bild 3: In diesem Teil der Hauptkonfigurationsdateien schalten Sie SpamAssassin und den Virenscanner ein

Mailserver Exim konfigurieren

Um das große Exim-Paket mit der Content-Scanning-Erweiterung zu installieren, geben Sie in einem Terminal

 

 

sudo apt-get install exim4-daemon-heavy

 

ein. Mit

 

 

apt-get install spamassassin clamav-daemon

 

installieren Sie schließlich noch den Scanner SpamAssassin sowie den Daemon des Virenscanners. Tipp: Wollen Sie Spam melden, können Sie beispielsweise noch die Pakete razor und pyzor auf dem Raspberry installieren.

 

Die Exim-Konfiguration geschieht – auch später – am einfachsten mit dem Befehl dpkg-reconfigure exim4-config. Dabei müssen Sie im ersten Schritt eine der folgenden Optionen wählen:

- Internet-Server; E-Mails werden direkt über SMTP verschickt und empfangen

- Versand über Sendezentrale (Smarthost); Empfang mit SMTP oder Fetchmail

- Versand über Sendezentrale (Smarthost); keine lokale E-Mailzustellung

- Nur lokale E-Mail-Zustellung; keine Netzwerkverbindung

- Keine Festlegung zum jetzigen Zeitpunkt

 

Im zweiten Schritt legen Sie den E-Mailnamen des Systems fest. Im folgenden Dialog können Sie IP-Adressen eingeben, an denen eingehende SMTP-Verbindungen erwartet werden. Hier kann eine durch Semikolons getrennte Liste von IP-Adressen stehen. Wenn Sie die Liste leer lassen, wartet Exim an allen verfügbaren Netzwerkschnittstellen auf eingehende SMTP-Verbindungen.

 

Soll das System E-Mails nur direkt von lokalen Diensten (und nicht von anderen Rechnern) empfangen, verhindern Sie die Verbindungen externer Rechner zum lokalen Exim, indem Sie an dieser Stelle 127.0.0.1 eingeben. Das hat zur Folge, dass Exim an externen Netzwerkschnittstellen nicht auf Verbindungen wartet.

 

Als Nächstes bestimmen Sie weitere Ziele, für die E-Mails angenommen werden sollen, beispielsweise für virtuelle Domains. Auch hier können Sie eine durch Semikolons getrennte Liste der Empfänger-Domänen eingeben, für die dieser Rechner das endgültige Ziel sein soll. Diese Domänen werden allgemein als “lokale Domänen” (local domains) bezeichnet. Soll Exim hingegen als Relay fungieren und Mails weiterleiten, können Sie in einem weiteren Schritt Domänen definieren, für die dieser Rechner E-Mails weiterleiten (Relay) soll, zum Beispiel als E-Mailserver (MX) in Reserve oder E-Mail-Knoten. Das bedeutet, dass das System E-Mails für diese Domänen von überall aus dem Internet annimmt und anhand lokaler Regeln zustellt.

Sicherheits-Konfiguration

Wenn Sie SpamAssassin und/oder Virenscanner installieren, müssen Sie weitere Einstellungen vornehmen. In der Datei /etc/exim4/conf.d/acl/40_exim4-config_check_data legen Sie die ACLs für SpamAssassin und ClamAV fest. In einer der Hauptkonfigurationsdateien, /etc/exim4/conf.d/main/02_exim4-config_options, müssen Sie beide dann noch einschalten, damit sie ihre Aufgaben erledigen.

Soll Exim hingegen die Funktion einer Sendezentrale (Smarthost) übernehmen, von der Mails bedingungslos weitergeleitet werden, geben Sie im Folgenden eine durch Semikolons getrennte Liste der IP-Adressbereiche ein. Hier sollten Sie das Standardformat “Adresse/Maske” (etwa 194.222.242.0/24 oder 5f03:1200: 836f::/48) verwenden. Wenn das System nicht als Smarthost für andere Rechner arbeiten soll, lassen Sie die Liste leer.

Bild 4: Exim konfigurieren Sie in wenigen Schritten mit dem Befehl dpkg-reconfigure exim4-config

Anschließend legen Sie fest, ob Sie lokale E-Mailadressen in ausgehenden Mails verbergen wollen. Wenn Sie hier “Ja” wählen, werden “raspberrypi” und “localhost” in den Zeilen From, Reply-To, Sender und Return-Path ersetzt.

Exim führt beim Start, Empfangen oder Zustellen von Nachrichten DNS-Abfragen durch. Das geschieht für die Protokolldatei und um die Anzahl fest eingetragener Werte in den Einstellungen klein zu halten. Wenn der Raspberry keinen dauerhaften Zugang zu DNS-Servern hat – etwa bei einer Dial-on-Demand-Verbindung – kann das unerwünschte Auswirkungen haben; in dem Fall sollten Sie “Ja” wählen. Wenn Sie hingegen eine ständige Internetverbindung haben, sollten Sie hier ablehnen.

 

Als Versandart für die lokale E-Mailzustellung wählen Sie entweder das Mbox- oder das Maildir-Format. Mbox speichert den gesamten E-Mailordner in einer Datei im Verzeichnis “/var/mail/”. Beim Format Maildir wird jede einzelne E-Mail in einer eigenen Datei im Verzeichnis “~/Maildir/” abgelegt.

 

Exim schreibt seine Konfiguration entweder in eine große Datei oder in viele kleine Dateien. Die zusammenhängende Datei lautet /etc/exim4/exim4.conf.template. Wählen Sie stattdessen aufgeteilte Einstellungen, finden Sie die kleinen Dateien später im Verzeichnis “/etc/exim4/conf.d/”.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019