[Postfixbuch-users] alles neu, alles richtig?

Norbert Gerhards n.gerhards at ib-gerhards.de
Mo Sep 27 15:20:54 CEST 2010 

Hi,

Am 27.09.2010 14:30, schrieb Alexander Stoll:
> Am 27.09.2010 14:02, schrieb Norbert Gerhards:
>> Hallo Liste,
>>
>> ich habe das Vergnügen, einen nagelneuen Server aufzusetzen,
>> mit 3 Domains mit jeweils fester IP.
> ? dazu reicht auch eine feste IP...
>
Ja, aber es handelt sich um 3 kleine Firmen, die zwar zusammenarbeiten,
aber ihre Eigenständigkeit über die - bereits vorhandenen - Domains
und festen IPs gewahrt sehen wollen.

>> Die feste Kundenvorgabe ist: debian lenny.
> Ich liebe diese sinnfreien Vorgaben, wir stellen eine Box mit Produkt X in die Mitte des Tisches, haben da schwammige Anforderungen und nun
> schaun wir mal alle, was wir mit Produkt X ausrichten können...
>
1. Kunde ist König
2. Hätten die auch - aus meiner Sicht - schlechtere Vorgaben machen können.
    Mit debian kann ich sehr gut leben.

>> Alles andere, insbesondere das Mailing, ist mir freigestellt.
> Der konzeptionelle Ansatz an sich klingt schon stark verbesserungswürdig, siehe darüber.
>
>> Nun möchte ich natürlich eine relativ aktuelle, sichere
>> Lösung bauen.
> Siehe darüber
>
>> Dazu hätte ich gerne Eueren Input.
> Gerne
>
>> Den Artikel von Peer in linux magazin habe ich, bin aber wie
>> ein anderer User hier auf der Liste der Meinung, dass mir die
>> Pflege von Dovecot 2.x auf einem Produktivsystem und mit meinen
>> begrenzten Kenntnissen zu waghalsig erscheint.
> Soso, wie wäre es mit mit dem klassischen Dreiklang Aufsetzen, Testen, Freigeben?
>
Diesen Dreiklang hast Du doch sowieso immer! Nur brauche ich bei einem
Auftragssystem nicht unbedingt auch noch sportliche Herausforderungen.
Das 2.xer Dovecot teste ich lieber mal auf: einem reinen Testsystem. ;-)

>> Das Mutigste aus meiner Sicht wäre es, die nunmehr von debian
>> offiziell gehosteten backports einzubinden, um immerhin dovecot
>> 1.2.13 statt 1.0.15 (lenny stable) zu verwenden.
> Niemand schützt Dich davor, dass der Backport genau auf Deinem System nicht genau dass macht, was er auf 99,9% der sonstigen Systeme
> ordnungsgemäß erledigt, üblicherweise kommen nun statistische Beispielrechnungen und sonstiges Gedöns, warum mit dem Strom schwimmen so viel
> sicherer ist, wenn die Kiste versagt, die User keine Email bekommen, tröstet Dich sicher zu den 0,1% zu gehören. =8-}
> Im Fehlerfall muss man immer in der Lage sein strukturiert für Abhilfe zu sorgen.
>
Bin ich, aber sicher weniger eloquent als einige andere User hier.

>> Bisher hatte ich immer mit Postfix, Courier IMAP und Cyrus SASL
>> installiert. Eine - lt. Liste hier - 'tote' Geschichte. ;-)
> Das Bessere ist des Guten Feind
>
Deshalb will ich ja auch wechseln.

>> Diesmal soll es natürlich Postfix, Dovecot deliver und sasl sein.
> SASL??? Das Archiv ist voll davon, warum SMTP-Auth über Dovecot schmerzfreier ist.
>
Ich spreche von: smtpd_sasl_type=dovecot
Damit benutze ich doch das Dovecot-eigene SASL, oder?

>> Auf den 3 Domains 'tummeln' sich lediglich gesamt ca. 30 User, von
>> denen nur 6 auch SystemUser sein werden.
> Multifunktionskiste?
>
Ja, leider - ich wage es kaum zu sagen - muss für die 6 auch ein ftp-Zugang
geschaffen werden. Und Webseiten mit Contao, und und und...

>> Fragen:
>> Bedingt die Verwendung von dovecot deliver, dass ich nur virtuelle
>> User anlege, mit jeweils einer gemeinsamen uid und guid (vmail)?
> Ist elegant, leicht skalierbar, .......
>
O.k., so hatte ich es auch verstanden. Mache ich.

>> Die User mittels MySQL oder gar LDAP zu verwalten, erschiene mir
>> heftig oversized.
> Kommt darauf an...
>
Nutzen/Aufwand-Verhältnis - noch sehe ich den Nutzen nicht...

>> Ist userdb = passwd-file o.k., wenn ich SSL/TLS verwende?
> Wo ist der Zusammenhang User-Auth mit Transportlayer???
>
>> Zum Einsatz sollen nur IMAP und IMAPS kommen. Ausserdem möchte
>> ich, dass 'meine' User nur über den Submission-Port 587 einliefern;
>> wie kann ich letzteres erreichen?
> SMTP-AUTH auf dem smtpd 587 erzwingen
>
Darauf zielte meine Frage ab: 'erzwinge' ich das mittels organisatorischer
Mittel (Geben Sie für mail.example.tld bitte Port 587 ein) oder hartverdrahtet,
und wenn letzteres, wie und wo?
Ich kenne den Eintrag in master.cf.
Aber was mache ich dann mit dem standardmäßigen
smtp	inet n - n - - smtpd
Auskommentieren?

> Viel Erfolg!
>
Danke!

Viele Grüße

Norbert

Mehr Informationen über die Mailingliste Postfixbuch-users