fufix: Mailserver-Setup via Script

Heute bin ich beim Surfen über ein kleines Script gestolpert, das sich „fufix“ nennt.

Veröffentlicht wurde das Script auf github von André Peters. Der Autor beschreibt sein Script mit so:

A mail server install script with a lot of features for Debian and Debian based distributions. This installer is permanently tested on Debians stable branch but is reported to run on newer branches, too. Debian Squeeze (old-stable) is not supported.
André Peters

fufix installiert also halb-automatisch (eine Konfigurationsdatei gibt es natürlich immer noch) eine Mailserver-Umgebung basierend auf Dovecot und Postfix und konfiguriert die entsprechenden Dienste. Die Idee ist nicht schlecht, das muss ich zugeben, und das Script funktioniert hervorragend, dennoch sehe ich fufix sehr kritisch.

Das Hauptproblem an den meisten Mailservern ist, dass sie von unbedarften Administratoren eingerichtet und bedient werden. Hieraus resultieren Spamschleudern, mit denen sich die „richtigen“ Administratoren dann auseinandersetzen dürfen.

Ich kann nachvollziehen, dass es sehr verlockend ist, seinen eigenen Mailserver zu betreiben – sofern man aber mit Abkürzungen wie PTR, SSL, SPF, DKIM, … nichts anfangen kann, sollte man definitiv die Finger von Mailservern lassen. Man sollte außerdem dringend die Konfigurationsdateien der Dienste lesen und verstehen können, damit man keine unnötigen Lücken aufreißt. Hier ein kleiner Auszug einer Postfix-Konfiguration:

smtpd_banner = $myhostname ESMTP $mail_name
biff = no

append_dot_mydomain = no
readme_directory = no

inet_interfaces = 127.0.0.1
inet_protocols = ipv4

alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myhostname = server.example.org
myorigin = /etc/mailname

mydestination = localhost.localdomain, localhost, $myhostname
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
recipient_delimiter = +
disable_vrfy_command = yes
smtp_bind_address = 127.0.0.1

smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $mydomain
broken_sasl_auth_clients = yes

smtpd_helo_required = yes
smtpd_helo_restrictions = reject_invalid_helo_hostname
smtpd_client_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_invalid_hostname,
    reject_unknown_reverse_client_hostname,
    reject_rbl_client ix.dnsbl.manitu.net,
    reject_rbl_client sbl-xbl.spamhaus.org
smtpd_sender_restrictions =
    permit_mynetworks,
    reject_unknown_address,
    reject_unknown_sender_domain,
    reject_non_fqdn_sender,
    check_sender_access hash:/etc/postfix/sender_access
smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination,
    reject_unknown_recipient_domain,
    check_recipient_access hash:/etc/postfix/recipient_access,
    check_recipient_access hash:/etc/postfix/greylist_addrs
smtpd_discard_ehlo_keywords = silent-discard, dsn
smtpd_recipient_limit = 250

# maximum message size: 100 MB
message_size_limit = 104857600

# check all e-mails for viruses using clamav-milter:
smtpd_milters = unix:/var/run/clamav/clamav-milter.ctl

smtpd_restriction_classes = greylist
greylist = check_policy_service inet:127.0.0.1:10023

Diese Konfiguration funktioniert nicht Copy & Paste. Sofern diese Konfiguration genutzt werden soll, muss vorher noch viel per Hand geändert werden!

Sollte diese Konfiguration verstanden worden sein, kann ruhigen Gewissens ein Postfix installiert werden. Falls diese Konfiguration nicht verstanden wurde: Finger weg!

Man sieht, auf was ich hinaus möchte: ein Mailserver ist kein Spielzeug! Mailserver erfordern wesentlich mehr Wissen und Erfahrung als z.B. Webserver oder Datenbankserver. Bitte auch im Hinterkopf behalten, dass der Betreiber eines Mailservers für jede Spam-Mail, die darüber verschickt wird, verantwortlich gemacht werden kann (Telemediengesetz). Ich hatte schon einige Kunden, die mich verzweifelt angerufen haben und mir erzählten, dass ihr Mailserver tausende Spam-Mails pro Sekunde verschickt und schon einige Abmahnungen angekommen sind…

Fazit: fufix kann Administratoren viel Arbeit abnehmen, aber lange nicht alles. Mailserver benötigen ständige Pflege und Überwachung, hier kann fufix nicht helfen und es gibt, bei Unwissen, keine Alternativen zum professionellen Administrator.