Samlingstråd för oss med egen mailserver

Det har under de senaste tjugo åren sporadiskt startats trådar om konsten att driva en egen mailserver, för att därmed ta kontroll över sin egen data. För egen del laborerade jag med detta under slutet av 90-talet, men gav upp då alternativen med externa mailtjänster vägde upp för mödan och besväret. Dessutom kunde jag sova lugnt om nätterna, vetandes att jag inte skulle förlora några mail i händelse av strömavbrott o.dyl. I samband med Apples haveri för ett par år sedan, där tiotusentals användare förlorade all sin data på Apples molntjänst (en bekant till mig förlorade ex.vis masterdokumentet till sin doktorsavhandling), väcktes dock tankarna igen, att sakteligen börja återta kontrollen över mitt liv på Internet, med devisen att man i slutändan själv är sin bäste dräng. Inte minst då Apple i förekommande fall (liksom Microsoft, Google m.fl.), i användaravtalen friskriver sig ansvaret vid dylika haverier.

Mot föregående har jag under de senaste åren sporadiskt arbetat med att bryta mig loss från IT-jättarnas järngrepp kring min data, genom att i stället använda mina egen servar såsom utgångspunkt, vilket likaledes inkluderar mail. Det finns mycket att säga om denna resa, vilken är långt ifrån klar och kanske förtjänar en egen tråd i sig, men här tänkte jag att vi åtminstone kunde koncentrera oss på den ädla konst, att upprätta och driva en egen mailserver, genom att dela med oss av våra konfigurationer, erfarenheter m.m.

För egen del har jag valt en ”enkel” men kostsam väg utan några halvmesyrer, och skaffade för ändamålet en Synology NAS, med vilken jag genom MailPlus Server driver min egen mailserver under egen domän. För att undvika att förlora ingående mail, samt att säkra leveransen utan att fastna i ett SPAM-filter, använder jag mig av en extern reläserver från Dynu. Fördelen med deras tjänst, är att den håller inkommande mail i upp till trettio dagar, om min server oväntat skulle gå offline. Dessutom möjliggör den för mig att runda port 25, vilken är blockerad av de flesta ISP:er, samt att min mail skickas från en fast IP-adress, då jag liksom de flesta andra har ett dynamiskt IP-nummer. Tjänsterna heter Email Store/Forward samt Outbound SMTP Relay, och kostar mig omkring 18 USD om året. Hitintills har det fungerat klanderfritt.

Dynu har vidare lathundar för att upprätta SPF- och DKIM-records, vilka tillsammans med DMARC har blivit krav hos åtminstone Gmail och Apple, för att de skall kunna leverera inkommande mail till deras användare. Fram till årsskiftet räckte det med antingen ett SPF eller DKIM-record, för att Gmail skulle acceptera mailet. Upprättandet av dessa kan verka krångligt om man inte förstår logiken bakom dem, och min uppfattning är att misslyckandet med detta, ligger till grund för att många ger upp tankarna om att vara sin egen dräng. Det finns dock många bra guider och förklaringar på inte minst Youtube, vilka avmystifierar dessa.

Det blev nu en wall-of-text, men förhoppningen är att jag har kunnat inspirera flera, vilka har funderat på att återta kontrollen över sin mail, att ta det första steget till detsamma, liksom öppnat upp golvet för andra, vilka vill dela med sig av och diskutera sina erfarenheter och konfigurationer. Diskussionen i denna samlingstråd är således bred, med högt i tak för både nybörjare och professionella.

/AI

Tack för trådstarten. Bra initiativ. Har funderat på nåt liknande, för mig eller andra (tex en bekant med mail nånstans som måste tömmas ibland vilket är ett meck). Men trodde av tidigare trådar om egen mailsever att man skulle bli dränkt i en flodvåg av spam. Sen för oss som bara förstår hälften av din ovanstående inledande förklaring kunde du och eller andra entusiaster kanske kunna göra en tutorial på youtube på lätt svenska. Jag har sett att Synology NAS har diverse tillägg för egen mailserver ... men hur börjar man ens. Oroväckande om ens mail inte når andra, om man inte får till det rätt enligt vad du skriver. Egentligen skall man väl därtill ha en NAS till på nån annan adress och spegla, ifall brand, inbrott, eller tekniskt knas.

Kul att du uppskattade initiativet! Först och främst vill jag förtydliga, att detta är helt och hållet på hobby-nivå. Jag är varken systemadministratör till yrket eller utbildad inom detta. Däremot har jag ett stort intresse, med vilket man oftast kommer långt.

Anledningen till att jag valde en helhetslösning (om man kan kalla det för så) med Synology, är mest för enkelhetens skull. De har redan för systemet optimerade applikationer för att bygga sitt eget molnbaserade system, vilka jag finner mycket pedagogiska. Det gäller dock att veta vad man gör, och känna till riskerna, med att ha ett system innehållandes all sin data öppet mot Internet. Nyckeln är att inte ha mer portar öppna än nödvändigt, och för inkommande mail har jag ex.vis blockerat alla IP-adresser utanför spannet av reläservern. Det skyddar mig dock i detta specifika fall inte helt, men åtminstone något.

Men för att återgå till din fråga, har jag för närvarande mina domännamn liggandes hos Cloudflare. Där pekar jag om inkommande mail till mitt domännamn genom ett MX-record till Dynus reläserver. Denna vidarebefordrar sedan mailen till mailservern på min Synology, och som lyssnar mot de valda portarna för inkommande data. I mailservern styr jag sedan om mailen internt till olika konton (”mailadresser”), och läser av den genom IMAP-protokollet i min dator/telefon. Detta ställer du in i applikationen för mailservern. Jag har även möjlighet att komma åt mailen genom en internetbaserad mailklient, vilket är en annan applikation som Synology erbjuder, och som fungerar sömlöst med mailservern. För detta måste du dock öppna fler portar (HTTP/S), vilka exponerar din NAS ytterligare. Utgående mail dirigerar jag vidare till samma reläserver hos Dynu, vilka där signeras med krypteringsnycklar, för att visa på att mailet verkligen är från mig (DKIM). Hos Cloudflare, där min domän ligger, har jag även auktoriserat alla mail från Dynus servrar (SPF), att de får skicka mail å mina vägnar. Dessa åtgärder är till för att stävja, att andra skall kunna utge sig för att vara mig.

Sedan har du en oro, för att mailen inte når andra, om inställningarna inte har blivit korrekta. Denna oro har jag också, men jag har ett konto hos samtliga av de större e-mailoperatörerna (Gmail, Outlook/Hotmale, Yahoo m.fl.), och det man får göra, är helt enkelt att kontinuerligt skicka mail till dessa adresser i samband med att man upprättar sin server och sina records hos DNS:en. Det finns även erkända verktyg på Internet, vilka kostnadsfritt kan läsa av dina mailhuvuden/DNS-records, för att kontrollera, att allt är korrekt. MX Toolbox är en av dem. Jag går dock efter devisen, att kommer mina mail fram till de största mailoperatörerna, vilka aktivt kämpar mot stora mängder SPAM och oönskad e-post, kommer de även fram till alla andra.

Vad graden av SPAM beträffar, har jag fått förvånansvärt lite. Jag fick mycket mer SPAM hos Loopia, när jag lät dem att ta hand om min mail, än vad jag har fått sedan jag återtog kontrollen själv. Det kan delvis bero på SPAM-filtret, som Dynu använder för inkommande mail, men även på att jag har aktiverat motsvarande krav på SPF/DKIM/DMARC för inkommande meddelanden, som Google har. Vid en kontroll i listan för alla inkommande meddelanden till mailservern, återfinner jag ex.vis inte ett enda oönskat (och därmed avvisat) meddelande under de senaste två veckorna.

Slutligen skriver du, att man bör ha en server annorstädes, i händelse av inbrott, brand m.m. Det håller jag med om. Jag har faktiskt ytterligare en Synology, som jag köpte för över tio år sedan, och som står hos en bekant i en annan stad. Detta är min backup-enhet, och vid midnatt varje dag, överför min huvudenhet ny och förändrad data till backupenheten. Här räcker det med en billig enhet från Blocket, då du inte kommer att arbeta mot den på samma sätt som med huvudenheten. Det finns dock en risk med mitt upplägg, och det är att all mail (och data!) som har inkommit under dagen, kan gå förlorad, om jag får inbrott eller om huset brinner ned, före kvällens säkerhetskopiering. Det finns dock inbyggda lösningar, för att få åtminstone mailen synkroniserad i realtid mellan enheterna. Det står sedan länge på min ”att-göra”-lista.

/AI

Trevlig tråd! Jag och en polare har nyligen bytt ut våran gamla Centos-maskin med postfix+dovecot+spamassasin till en OpenBSD-maskin med opensmtpd+dovecot+rspamd. Än så länge funkar det bra, och vi passade också på att se till att DKIM och DMARC blev uppsatt ordentligt (tidigare körde vi bara med SPF). Det var relativt enkelt att komma igång med dom bitarna, och hosten vi har är typ den billigaste VPS:en man kan få tag i på vultr.

Mycket hämtade vi ifrån denna ganska detaljerade genomgång: https://poolp.org/posts/2019-09-14/s...ot-and-rspamd/

Avstegen vi gjort från ovan är att vi kör lmtp mellan opensmtpd och dovecot för att dovecot ska kunna köra sieve-regler (mailsortering i subfoldrar direkt i inflödet), och att vi har en del virtuella domäner som pekar på samma host, samt en del virtuella alias/users.

Detta låter komplicerat, och det är det delvis, men tycker det var värre när vi körde postfix för smtp-bitarna faktiskt. Det är verkligen inte trevligt att jobba med, och är ofta något man bara vill "sätta upp och glömma". Opensmtpd har lite trevligare syntax, och gör det ganska enkelt att köra en del filter på vägen in (som man kan se i bloggposten ovan). Det var för oss en positiv överraskning.

Viktigt att veta är nog också att man behöver prata med sin hosting-provider om vad man tänker göra. Åtminstone behövde vi göra det med vultr eftersom vi ville exponera port 25 utåt, vilket oftast inte är tillåtet som standard. Har för mig att vi bara skickade ett support-mail till dom om det, och dom fixade det för den reserverade addressen vi körde med. Vultr själva har dessutom en guide om hur man sätter upp sin egen lösning baserat på samma verktyg, så dom är inte helt fientligt inställda till att man kör eget i alla fall. Se t.ex: https://docs.vultr.com/an-openbsd-e-...d-and-rainloop . Dom är nog inte den billigaste providern man kan hitta dock.

Jag kör mailserver hemma, har inkommande mailtvätt (proxmox mail gateway - Community edition) på DMZ.
Tar emot mail direkt på port 25, vilket inte blockeras av speciellt många ISPs (Men som man kanske vill undvika av andra skäl, därav att jag satt Mail gatewayn i ett eget DMZ)
Körde tidigare utgående mail direkt (port 25 utgående) då Bredband2 inte blockerade det, har inte kvar Bredband2 och kör numer med ISPns SMTP relay.
Kör sen Postfix, Dovecot & Roundcube, kör även spamassasin på mailservern med.

Roundcube publicerar jag publikt på port 443(HTTPS) via en reverse proxy i ett annat DMZ.
Telefonen hämtar normalt sett mail med IMAPS (Krypterat).

Har bara SPF, har inte orkat pilla på DMARC & DKIM då jag satte upp detta för ett par år sedan när DMARC & DKIM inte var så utbrett.
Däremot har jag inga problem att maila min egen gmail endå.
Vilket jag också märkt på fler ställen, däremot räcker det inprincip att en person klickar att ett mail från en specifik domän är spam hos google så kommer det blockeras för alla andra om DMARC & DKIM inte finns.

Körde tidigare en Microsoft Exchange men började kännas önödigt att snurra ett system som inprincip kräver 20GB RAM, för en brevlåda.

för helvete
varför krångla med en relayserver?
kör en vpn tjänst (på servern) med publikt ip som inte spärrar portar

Känns inte så stabilt med en VPN-tjänst på en mail-server.
Men tekniskt så är det en ganska smart lösning för komma runt spärrade portar från ISP

Men för övrigt kör jag också mailen hemma sen 25 år tillbaks, har Bahnhof som ISP och det fungerar bra med deras relay-server.

Postfix,dovecot, postgrey och SpamAssassin

Kan tillägga att jag har även nu utöver ovan konfat servern för SPF, DMARC och DKIM.
Var lite struligt med att få igång DKIM, men antar att mest handlar om skit bakom spakarna

Har du gjort några tester för att se hur väl din mailserver tas emot "där ute"?
T.ex. att maila till hotmail kan vara en jäkla bravad när man kör egen mailburk.

mail-tester.com om den inte nämnts innan är rätt okej, och MX-toolbox.

Ah, wow, vilken episk mailserver-odysseé du delar med dig av! Men du vet väl att för varje passionerad själ som bygger sin egen digitala borg i mammas källare, finns det tusentals andra som redan har gett upp och gått tillbaka till Gmail med svansen mellan benen? Det är ju liksom så gulligt att du kallar det ”att vara sin egen dräng” — som om du sitter där med din Synology NAS och försöker spela IT-guru medan resten av världen nöjer sig med att klicka på ”skicka”. Men fortsätt du, kanske någon dag uppgraderar du från ”mellanlagring av mail i källaren” till ”servermästare på riktigt”. Tills dess, njut av att försöka förklara SPF och DKIM på familjemiddagen medan alla andra bara scrollar vidare på sina telefoner. Bravo!

Bahahaha.

För varje självständig tänkare finns det miljontals fån som får sitt nyhetsflöde från Sociala Medier.
Betyder detta att fånen är eftersträvansvärda för att dom är normen?

Absolut, och gjorde det nu igen med tanke på ditt inlägg. Landar på 10/10 hos mail-tester.com, och MX-Toolbox är ju ett måste när man söker trimma in nya domäner på servern (har några stycken för olika syften). Innan jag rullade ut tjänsten helt för egen del, säkerställde jag även att mailen kom fram till både kända och okända mailadresser hos olika leverantörer. Detta gjorde jag under en längre tid, av ren nojia. De har alltid levererats direkt och aldrig hamnat i skräpkorgen, oavsett om det är mail till myndigheter, privatpersoner eller till större institutioner/företag. Det enda problem som jag har haft, var att mitt lösenord till den externa SMTP-servern för utgående mail nollställdes en gång i samband med att jag förnyade abonnemanget för några år sedan. Upptäckte det dock efter ett par timmar, efter att inte ha fått några svar på mina utskick, varpå jag såg att de var köade på servern.

/AI