Maildienste am IBR

Grundsätzliches

Grundsätzlich hat jeder Benutzer am IBR auch einen EMail-Account am IBR. Die EMail-Adresse setzt sich stets aus dem Account-Namen und dem Domainnamen des IBR zusammen, z.B. steinb@ibr.cs.tu-bs.de. (In einzelnen Fällen erhalten ausschließlich Mitarbeiter auch Aliase.) Jeder Benutzer sollte seine EMail regelmäßig lesen, so dass er für Betreuer bzw. Kollegen zuverlässig erreichbar ist. Statt des regelmäßgen Abrufens der Mail aus dem IBR kann ein Benutzer sich auch eine Weiterleitung seiner EMail selbst einrichten, s.u.

Mail senden

Zu sendende (Outgoing) EMail kann per SMTP über den "Submission" Port 587 (nicht über Port 25!) an den Mailserver des IBR übergeben werden. Dieser ist unter dem Namen mail.ibr.cs.tu-bs.de per IPv4 und IPv6 erreichbar. Mit STARTTLS muss die Verbindung verschlüsselt werden und zum Schutz vor Spam-Verteilung (Open Relaying) ist eine Authentisierung mit dem IBR Account-Namen erforderlich. Hier ist eine einfache Passwortverwendung okay, da dies über TLS verschlüsselt übertragen wird. Kerberos ist auch möglich, erfordert aber ggf. etwas mehr Konfigurationsarbeit.

Mail empfangen

Empfangene EMail wird auf dem Mailserver des IBR zunächst durch verschiedene Software-Komponenten (Amavis, ClamAV, SpamAssassin) klassifiziert, um sie beispielsweise als vermeintliche Spam- oder Viren-Nachrichten zu markieren und anschließend im Falle von IBR-Empfängern durch die Dovecot Software verwaltet. Bestandteil dieses Softwaresystems ist die Möglichkeit einer Filterung, Eingruppierung und Weiterleitung, die der Benutzer selbst konfigurieren kann. Der Abruf der EMail durch den Benutzer erfolgt in der Regel durch IMAP (Port 143 mit STARTTLS, oder IMAPS über Port 993) erfolgen, ebenfalls vom Server mail.ibr.cs.tu-bs.de per IPv4 oder IPv6. Die Authentisierung erfolgt ebenfalls per Passwort oder ggf. Kerberos.

Mailadressen

Der IBR Maildienst ist nur für die Verwendung von IBR-Mailadressen (...@ibr.cs.tu-bs.de) vorgesehen. Wer dennoch Mails mit anderen Adressen versenden will, sollte in Zeiten von SPF und Co. über die Konsequenzen bescheid wissen oder lieber den für die jeweilige Adresse richtigen SMTP-Server zum Versenden verwenden.

Thunderbird Probleme?

Einige Benutzer erleben Probleme bei Thunderbird-Verbindungen zu unserem Mailserver. Dies scheint meist mit sog. Certificate Pinning zusammen zu hängen. Mir ist leider nicht klar, was man auf Serverseite tun könnte, wenn sich wie bei uns das Zertifikat im Laufe der Zeit tatsächlich einmal geändert hat. Für Hinweise wäre ich sehr dankbar. Derzeit kann ich nur die Möglichkeit anbieten, dass Ihr das Pinning ausschaltet, was auch eine reduzierte Sicherheit bedeutet. Macht Euch ggf. zu diesen Stichworten selbst schlauer.

Im Menu "Einstellungen" -> Abschnitt "Erweitert" -> Reiter "Allgemein" -> Button "Konfiguration bearbeiten" -> Hinweis bestätitgen -> Suchen nach "pinning" -> security.cert_pinning_enforcement_level von 1 auf 0 ändern.

Weiterleiten

Wenn ein Benutzer seine IBR-EMail nicht regelmäßig vom Server des IBR abrufen möchte, kann er sie auch an eine andere Adresse weiterleiten lassen. Dies geschieht durch eine spezielle Anweisung im Sieve Script, s.u.

Noch einfacher ist eine komplette Weiterleitung aller Mails an eine in $HOME/.forward angegebene Adresse.

Ehemalige Mitarbeiter, die nach Schließung Ihres Accounts eine Ablehnung von Mails in ihre alte IBR-Adresse mit bestimmten Error-Codes (etwa mit Hinweis auf eine neuere Adresse) wünschen, können sich hierzu bei Frank Steinberg melden.

Filterung

Vom Mailserver empfangene EMails werden am IBR grundsätzlich nicht zentral gefiltert, sondern lediglich als Hilfe zur eigenen Filterung markiert und ggf. in gesondere Mailordner des empfangenden Benutzers sortiert. Mails deren Spam-Klassifizierung besonders deutlich ausfällt, wird vom Server bereits gar nicht angenommen.

Die Filterung kann durch Erstellen eines Sieve-Scriptes erfolgen. Dieses Script kann als $HOME/.sieve/NAME.sieve abgelegt und mittels eines passenden Symlinks $HOME/.dovecot.sieve als aktives Script markiert werden. Alternativ kann die Verwaltung aus mittels des "ManageSieve" Protokolls vorgenommen werden.

Eine procmail-Konfiguration des Benutzers wird nicht berücksichtigt!

Das grundlegende Prinzip eines Sieve Scriptes ist es, die in Regeln enthaltenen Bedingungen auszuwerten und bei positivem Ergebnis eine dazugehörige Aktion auszuführen. Regeln sind meist Stringmuster für bestimmte Header-Zeilen. Typische Aktionen sind das Verwerfen von Mails im Falle von Spam, das Einsortieren in bestimmte Folder des Benutzers oder das Weiterleiten an eine andere (externe) EMail-Adresse. Durch die o.g. Markierung auf dem IBR Mailserver werden folgende Header in Mails ergänzt:

Selbstverständlich können auch andere Header in Sieve-Regeln ausgewertet werden.

Das aktive Sieve-Script muss unter ~/.dovecot.sieve zu finden sein. Dies kann manuell im Filesystem oder über das ManageSieve-Protokoll, etwa mit sieve-connect(1) (sieve-connect -m plain -s mail.ibr.cs.tu-bs.de) vorgenommen werden. Ggf. ist das Verwalten von Sieve-Scripten mit Mailprogrammen einfacher. Das Roundcube-Webmail-Interface (s.u.) unterstützt ebenfalls Sieve.

Es folgen typische Beispiele für Sieve-Regeln:

# Die folgenden Zeilen deklarieren benutzte Kommandos; falls eine
# Erweiterungen im Skript nicht vorkommt, sollte die entsprechende Zeile
# auskommentiert werden.
require "envelope"; # envelope-Test
require "fileinto"; # fileinto-Kommando
require "reject";   # reject-Kommando
require "duplicate";

# Mehrfachempfang (z.B. über verschiedene Aliase) unterdrücken
if duplicate {
    discard;
    stop;
}

# Alle Mails verwerfen, die einen erkannten Virus enthalten.
if header :contains "X-Amavis-Alert" "INFECTED" {
    fileinto "INBOX.Virus";
    stop;
}

# Mail, die wahrscheinlich Spam ist, in einen eigenes Postfach ablegen.
# Dieses IMAP-Postfach muss zuvor erzeugt worden sein.
if header :matches "X-Spam-Status" "Yes*" {
    fileinto "INBOX.Spam";
    stop;
}

# Mail von einem unerwuenschten Absender ablehnen; dies erzeugt eine
# Meldung an den Absender, die den angegebenen Grund enthaelt.
if address :all :is "From" "offers@example.com" {
    reject "Not interested.";
    stop;
}

# Mail mit einem bestimmten String in der Subject-Zeile an einen anderen
# Account weiterleiten.
if header :contains "Subject" "[ADV]" {
    redirect "advert@example.com";
    stop;
}
    

Hat der Benutzer kein Sieve-Script erstellt und aktiviert, so greif ein Default-Scripts, dass Spam und Viren in separate Ordner aussortiert.

Quota

Da die persönlichen Mailfolder im Home-Verzeichnis gespeichert werden (~/.maildir), ist die Größe lediglich durch die Größe bzw. Quota-Limits des Filesystems begrenzt. Wird dieses Limit erreicht, so werden Mails an den User abgelehnt. Das Erreichen des Limits ist also im eigenen Interesse unbedingt zu vermeiden.

Webmail

Wenn einem einmal nicht der gewohnte Mailreader zur Verfügung steht, kann auch das webbasierte Roundcube benutzt werden.

Mailinglisten - Mailman

Für Projekte oder andere Belange können am IBR Mailinglisten eingerichtet werden. Mailinglisten sind mehr als einfache Mailverteiler (Aliases). Jede Mailingliste hat einen "Owner", der die Mitglieder einer Liste verwaltet und das Verhalten der Liste bei Anmeldewünschen oder neuen Beiträgen konfiguriert. Mailman bietet hierzu sehr viele Möglichkeiten. Es ist Aufgabe jedes List-Owners sich hiermit vertraut zu machen. Der Owner ist für jede Liste der erste Ansprechpartner, wenn es Fragen oder Probleme zu einer Liste gibt.

Mail-Aliases und Gruppen-Adressen

Für sämtliche im LDAP verwaltete Usergruppen gibt es implizit auch einen gleichnamigen Mail-Alias, beispielsweise mitarb@ibr.cs.tu-bs.de. Weitere Aliase können auf Wunsch angelegt werden. Im Einzelfall ist zu überlegen, ob ein einfacher Alias, eine Gruppe oder eine Mailingliste am besten geeignet ist.