Graphic about UCS and mail server

Erfahren Sie in diesem Artikel, wie Sie mit UCS schnell einen funktionstüchtigen Mail Server aufbauen. Da E-Mails heute ein fester Bestandteil der Unternehmens-Kommunikation sind, empfehlen wir, den Mail Server als zentralen Dienst direkt in die Organisations-IT einzubinden.

Installation des Servers

Die Installation des Mail Servers unter UCS ist sehr einfach. Für einen produktiven Betrieb empfehle ich den Mail Server auf einem separaten Server (virtuell oder physisch) zu installieren. Als Server installiere ich einen UCS Slave, damit ein lokales LDAP schnell die Anfragen vom Mail Server bedienen kann. Im Univention App Center wähle ich die Komponente UCS Mail Server aus und installiere diese auf dem UCS Slave Server.

Mit der Installation über das App Center wird ein vollständiger Mail Server mit folgenden Komponenten installiert:

Konfiguration des Servers

Die initiale Konfiguration sieht vor, dass die bei der Installation des UCS Masters festgelegte UCS-Domäne als Mail Domain angelegt wird. Weitere Mail Domains können im Modul „E-Mail“ unter Domäne eingetragen werden (siehe Dokumentation).

Screenshot des Email-Moduls in UCS

Für den Betrieb innerhalb der UCS Domäne ist der Mail Server damit vorbereitet. Aktuell könnte der Mail Server E-Mails an die Domäne empfangen und versenden. Mit entsprechendem Zugang zum Internet wäre es auch jetzt schon möglich, die E-Mails an externe Mail Server und damit externe Domains zu senden.

Es empfiehlt sich aber einen genaueren Blick auf die Konfiguration zu werfen. Grob skizziert sind noch folgende Schritte zu konfigurieren:

  • E-Mail Adressen vergeben (Benutzer für den Dienst E-Mail freischalten)
  • Empfang von extern ermöglichen
  • Versand nach extern konfigurieren

E-Mail Adressen vergeben und Benutzer aktivieren

Damit Benutzer E-Mails empfangen und versenden können, benötigen diese ein entsprechendes Mailpostfach und eine E-Mail Adresse. Die E-Mail Adresse wird bei den Benutzern im Modul „Benutzer“ im Reiter „Allgemein“ gesetzt. Hier kann eine beliebige, aber domänenweit eindeutige E-Mail Adresse im Feld „Primäre E-Mail-Adresse“ angegeben werden. Wichtig ist, dass die verwendete Mail Domain, wie oben beschrieben, konfiguriert worden ist.

Screenshot in UCS: E-Mail Vergabe für Benutzer Anna

Durch das Setzen der E-Mail Adresse wird automatisch ein Postfach für den Benutzer in Dovecot erstellt. Das heißt, sobald eine E-Mail Adresse an einem Benutzer konfiguriert worden ist, ist diese E-Mail Adresse einsatzbereit. Sowohl interne Mails als auch externe Mails werden für diese Adresse vom Mail Server angenommen und dem Postfach des Benutzers zugestellt.

Mit dem Tool Swaks (Swiss Army Knife for SMTP) ist dies auch schnell auf der Kommandozeile überprüfbar:

swaks --to user@example.org --server ucs-mail-server.example.org

Daneben können noch weitere Einstellungen am Benutzer vorgenommen werden. Zum Beispiel können noch alternative E-Mail Adressen konfiguriert oder eine generelle Weiterleitung an eine andere Adresse angegeben werden.

UCS Screenshot über erweiterte E-Mail Einstellungen pro Benutzer

Konfiguration für den internen und externen Betrieb

Für den Empfang und Versand von E-Mails im internen Netz ist außer der zuvor erklärten Vergabe der E-Mail Adressen an Benutzer nichts weiter zu unternehmen.

Für den externen Empfang und Versand müssen ein paar Spielregeln im Mailversand eingehalten werden. Außerdem müssen Sie sich fragen, wie Mails empfangen werden sollen und wie der Versand funktionieren soll.

Für den Empfang gibt es mehrere Möglichkeiten. Ich zeige hier zwei Beispiele:

  1. Man kann mithilfe der App Fetchmail von einem entfernten Mail Server (z. B. dem des ISPs) die Mails abholen lassen und lokal zustellen.
  2. Der UCS Mail Server wird „ins Internet“ gestellt und fungiert als vollwertiger Mail Server.

Für die zweite Variante ist es notwendig, einen DNS MX Resource Record für den Mail Server zu erstellen. Dieser ist für die Auflösung der Domains auf die IP des Mail Servers zuständig. Hier ist es also auch wichtig, dass der UCS Mail Server eine öffentliche, feste IP Adresse bekommt. Dies kann über eine Firewall per NAT oder direkt am Server konfiguriert werden.

Lernen Sie in diesem Artikel zusätzliche Maßnahmen kennen, wie Sie Ihre Nutzer und Ihre Mail-Server effektiv vor Hacker-Angriffen schützen!

Kurz erklärt: Wie Sie Ihre E-Mail-Server zur Festung ausbauen

Für den Versand von E-Mails muss der Mail Server lediglich DNS Auflösungen vornehmen dürfen und die entsprechenden Mail Server im Internet erreichen können. Die meisten Mail Server im Internet haben entsprechende Prüfregeln. Daher empfehlen wir Ihnen, dem UCS Mail Server eine feste IP Adresse zuzuweisen. Außerdem sollte der Reverse DNS Lookup auf den Hostnamen des Server zeigen. In den meisten Szenarien werden diese Anforderungen per NAT ermöglicht. Die Einträge für das DNS (Reverse sowie MX Record) müssen entsprechend im öffentlichen DNS Server hinterlegt werden.

Für die Absicherung des Mail Servers gibt es eine Reihe von UCR Variablen. Diese sind in der Kategorie „Dienst: Mail“ zu finden.

Screenshot in UCS über weitere Einstellungen zur Absicherung des Mail Servers

Im oben bereits empfohlenen Artikel weist mein Kollege auf diverse Konfigurationsmöglichkeiten hin, um einen sicheren Mail Server zu konfigurieren.

Ausblick

Zum jetzigen Zeitpunkt haben wir einen funktionierenden Mail Server. Es können sich Benutzer anmelden und E-Mails versenden und empfangen. Aktuell ist dies nur mit einem E-Mail Client (z. B Mozilla Thunderbird) möglich. Im App Center gibt es aber auch eine Lösung dafür, und zwar Webmailer Horde. Diese App ist nach der Installation funktionsfähig im Mail Server integriert.

Im App Center gibt es obendrein noch weitere nützliche Tools, die den Mail Server aufwerten und für Ihre Organisation hilfreich sein können.

Fazit

Ein Mail Server mit UCS ist schnell und einfach aufgebaut. Es bedarf nur weniger Voraussetzungen (öffentliche IP & DNS MX Resource Record) und die initiale Konfiguration wird von Univention bzw. UCS automatisch vorgenommen. Die Integration in das Identity Management System ist gelöst und die Benutzer können den Dienst E-Mail sofort nach Freischaltung mit dem bekannten Benutzernamen und Passwort verwenden.

Wenn Sie Fragen zum Artikel haben, nutzen Sie gerne das Kommentarfeld oder unser Nutzerforum.

UCS Core Edition jetzt kostenfrei einsetzen!
Zum Downloadbereich

Kommentare

  1. Frank Kirschner

    20.08.2018 um 10:31 Uhr

    Schöner Artikel, gut geschrieben. Wie sieht es mit Autoresponder oder Sieve aus?

    Antworten
    1. Irina Feller

      20.08.2018 um 13:07 Uhr

      Hallo Herr Kirschner,
      vielen Dank für Ihren Kommentar. Ich habe Ihre Frage im Univention Forum gepostet:
      https://help.univention.com/t/ucs-mail-server-zentral-in-die-it-einbinden-autoresponder-oder-sieve-moglich/9467

      So können unser Support Team, unsere Partner und erfahrene UCS-Nutzer auf Ihre Frage schnell und zuverlässig antworten und zeitgleich profitieren andere Univention Help-User davon.

      Viele Grüße
      Irina Feller

      Antworten
      1. mic

        09.04.2019 um 20:05 Uhr

        hallo
        ich habe mir die kommentare angeschaut, und habe auch meine frage
        viele kleine und auch mittlere unternehmen wie auch schulen wuerden gerne externe goupware provider einsetzen,
        diese provider benutzen auch Open Exchange , wie bekomme ich diesen provider hinein configuriert so das UCS waerend des anlegens von usern und seiner email automatisch beim hoster email technisch eingetragen werden kann. es macht ja eigendlcih wenig sinn 2 steps zu machen um eine benutzer email einzurichten einmal im ucs und zum anderen beim hoster.

        einen kleinen tip wo man drehe sollte ( koennte ) waere shcon klasse

        mfg
        mic

        Antworten
        1. Dirk Ahrnke

          10.04.2019 um 14:25 Uhr

          Hallo mic,

          es wäre in der Tat eine Erleichterung, derartige Administrationsaufgaben nur an einer Stelle, also z.B. im UCS machen zu können. Dazu müssten aber auch die betreffenden Provider entweder für UCS passende oder zumindest offen dokumentierte Schnittstellen bereitstellen. Die letztere Methode wurde zum Bespiel beim „Google Apps for Work Connector“ (https://www.univention.de/produkte/univention-app-center/app-katalog/google-apps/) und beim Office 365 Connector genutzt.
          Die Herausforderung wird jetzt wohl eher sein, bei dem/den OpenXchange-Providern solche Schnittstellen zu finden. Soweit ich den Markt kenne, benutzen die meisten ihre eigenen, meist sehr stark angepassten Lösungen für die Benutzerverwaltung.
          Aktuell würde man vermutlich eher „geht nicht“ sagen, aber es gibt zumindest mit z-B. ID4me (https://id4me.org/) technische Ansätze, ein derartiges Problem zu lösen.

          Viele Grüße,
          Dirk Ahrnke

          Antworten
    2. Irina Feller

      20.08.2018 um 15:37 Uhr

      Hallo Herr Kirschner,

      „Moritz_Bunkus“ hat folgende Antwort auf Ihre Frage gepostet:

      „Huhu,
      Der Univention-Mail-Stack benutzt Dovecot als IMAP-Server. In der UCS-Standardkonfiguration ist Dovecot-Sieve aktiv und auf Port 4190 verfügbar. Darüber ist auch ein Autoresponder realisierbar.

      Gruß
      mosu“

      https://help.univention.com/t/ucs-mail-server-zentral-in-die-it-einbinden-autoresponder-oder-sieve-moglich/9467

      Viele Grüße,
      Irina Feller

      Antworten
  2. Norman Miller

    15.08.2019 um 13:38 Uhr

    Der Artikel ist unbrauchbar!

    Zum Zwecke der Evaluierung betreibe ich UCS Core-Edition in eine VM unter VM-Ware Player 14. Von dieser Seite her scheint es keine Probleme zu geben. Das überrascht mich, weil irgendwo VM Player 6.x gefordert wurde. Der ist aber aus offizieller Quelle nicht mehr erhältlich. Bei der Workstation Pro hat man die Möglichkeit, eine Kompatibilität zu diesem älteren Player zu erzwingen. Das erfährt man aber nicht, das weiß man … Die Version für Oracle VirtualBox habe ich nicht getestet.

    Ungut ist i.Ü., daß nicht zwischen System- und Nutz-Daten unterschieden wird. Ich hätte dementsprechend zwei vmdk-Laufwerke erwartet. Snapshots verwalte ich unter gegebenen Umständen händisch ( schneller, effektiver, preiswerter … ). Man kann natürlich mit einem Live-System die VM starten und versuchen das System read-only zu mounten. Tatsächlich könnte man so eine Sicherung von Teilen des System über ein shared Verzeichnis mit der Host-Maschine hinbekommen. Der Test steht noch aus.

    Im Unterschied zu der Aussage während der Installation von UCS Core Edition kann man sich mit dem gewählten Paßwort nicht an der Text-Konsole als root anmelden, sondern nur als Administrator. Der scheint aber dem root äquivalent zu sein, wie ein Experiment mit sudo zeigt.

    Demjenigen, der lediglich im Intranet einen eMail-Server einrichten möchte ( VM oder Hardware ) um seinen eMail-Datenbestand in-House i.S. von IMAP zu zentralisieren um darauf von verschiedenen Geräten aus ( Dekstop, Notebook ) zugreifen zu können, ist hier NICHT geholfen. Daß man von draußen über den Router ( z.B. Fritzbox ) darauf zugreifen könne will, ist klar. Aber eben auch nur man selbst. Ein öffentlich sichtbarer eMail-Server ist gar nicht erwünscht. Das angestoßene Zertifkat scheint nutzlos zu sein. Es sind wohl weitere Aktionen erforderlich, bevor Browser nicht den Verbindungsaufbau werweigert. Theoretisch kann man es für Intranet-Zwecke auch ganz weglassen. Ich wollte halt höflich sein.

    Und natürlich müssen es 2 Maschinen sein. UCS-Master und UCS-Slave. Eine solche Konfiguration ist m.E. kostenpflichtig; die Lizensbedingungen für die UCS Core Edition schließen diesen Ansatz aus. Und LDAP muß man auch können. Die Konfiguration davon dürfte etwas komplexer sein. Um so mehr, wenn 2 Server-Maschinen im Spiel sind. Davon lebt Univention schließlich. Honi soi qui mal y ponse …

    Logt man sich in NextCloud ein findet man nichts, was irgendwie mit eMail zu tun haben könnte. Lediglich einen Hinweis, daß noch kein eMail-Kontakt eingerichtet sei. Die nutzerseitige Möglichkeit dazu aber fehlt aber in NetzCloud.

    Summa summarum sehe ich von einem Mail-Server nicht den Hauch einer Spur. Angeblich soll das NextCloud können. Die App ist natürlich installiert. Mehr als Dateien über ein Webfrontend zu sharen kann NextCloud nicht. Den Rest halte ich schlicht für Propaganda.

    Für mich sind die zahlreichen Hürden, die m.E. z.T. unnötig sind, entschieden zu hoch. Das soll wohl auch so sein. Nur dann ist das Produkt zu teuer. Darum wird die Installation liquidiert. Jo, ich habe richtig keine Ahnung. Aber davon unheimlich viel …

    Antworten
    1. Ingo Steuwer

      Ingo Steuwer

      19.08.2019 um 11:48 Uhr

      Hallo,

      vielen Dank für das offene Feedback. Leider gibt es hier vor allem Missverständnisse, ich würde gerne verstehen wie diese Entstanden sind damit wir zukünftig die Informationen an der richtigen Stelle auffindbar haben.

      Ich versuche mal auf die Punkte einzugehen:

      1. Version des VMware Player
      Ich habe bei einer kurzen Suche keine Angabe zur benötigten Vmware Version bei uns gefunden, wenn irgendwo noch Version 6 steht dann bezieht sich die Seite auf eine ältere UCS Version, oder meint „mindestens Version 6“. Aktuelle Versionen der verschiedenen Vmware Produkte sollten mit UCS funktionieren. Wenn es einen Link zu der Quelle gibt prüfe ich das gerne nochmal.

      2. Partitionierung / Trennung von System- und Nutzdaten
      Wir bekommen zu diesem Punkt sehr unterschiedliches Feedback von unseren Anwendern und den App Herstellern, und haben uns für die virtuellen Maschinen letztlich für den „einfachen“ Weg einer großen Partition entschieden. Hauptgrund ist, das abhängig vom tatsächlichen Einsatzzweck (der je nach installierten Apps variiert) die Partitionierung angepasst werden müsste, beispielsweise legen Nextcloud, der Mailstack und ein Fileservice die Daten an unterschiedliche Stellen. Wenn eine entsprechende Partitionierung gewünscht ist, kann dies direkt bei der Installation über das ISO erfolgen oder später durch Hinzufügen von weiteren Partitionen.

      3. Anmeldung als root
      Das Passwort von „root“ wird auf den bei der Installation angegebenen Wert vorkonfiguriert. Gibt es hier evtl. Probleme mit Sonderzeichen/Umlauten in der Vmware Konsole? Ein gelegentliches Missverständnis ist auch, das das Passwort von root nach der Installation nicht mit dem von Administrator synchron gehalten wird — wird eines geändert, bleibt das Andere beim alten Wert. Wenn sich das nicht klären lässt gerne auf https://help.univention.com/ diskutieren!
      Der Login als Administrator + sudo ist aber ebenfalls möglich.

      4. Zugriff von Extern
      Wir bringen mit UCS kein vorkonfiguriertes System für den Zugriff von Extern mit, wie das z.B. einige NAS Hersteller tun. Das ist Absicht, da diese Systeme meist darauf basieren, das Accounts bei den Herstellern notwendig sind oder sogar Daten über die Netze der Hersteller geroutet werden. Mit UCS kann eine solche Konfiguration manuell erfolgen, dann bleibt alles unter der eigenen Kontrolle. Hinweise zur Einrichtung gibt z.B. dieser Artikel:
      https://www.univention.de/blog-de/2018/06/einrichtung-eines-leistungsstarken-ucs-home-server-mit-owncloud-kopano-lets-encrypt/

      Wenn es technische Probleme mit diesem Setup gibt dann gerne auch auf https://help.univention.com/ diskutieren!

      5. Anzahl der Maschinen / Einschränkungen der Core Lizenz
      Alle Apps (dazu gehört auch der Mailservice) können auf der ersten UCS Instanz (der DC Master) installiert werden. Die Kombination aus Mail, Groupware und Nextcloud beispielsweise ist möglich und wird häufig genutzt. Weitere UCS Instanzen können nach Bedarf hinzugefügt werden, das macht meist aber nur in größeren Umgebungen Sinn.

      Die Core Edition schließt solche Mehrserverumgebungen nicht aus, im Gegenteil: es gibt praktisch keine technische Einschränkung von UCS durch die Core Edition. Hier würde ich mich über einen Hinweis auf die Quelle freuen, an der der Eindruck entstanden ist, Mehrserverumgebungen seien nicht zulässig.

      Falls es doch eine Mehrserverumgebung sein soll: die Installation und Konfiguration ist kaum komplexer als bei einer Instanz, da die Systeme sich automatisch synchronisieren. Beispielsweise Nutzeraccounts (die ja LDAP gespeichert werden) müssen nur einmalig eingerichtet werden.

      6. Vorkonfiguration von Nextcloud
      Nextcloud wird, wie viele andere Apps von UCS auch, direkt von den Entwicklern von Nextcloud für UCS zur Verfügung gestellt. Konkrete Fragen zur Konfiguration sind daher besser direkt bei Nexctcloud unter https://help.nextcloud.com/ aufgehoben. Allgemein gilt aber, das UCS und die Apps versuchen, nicht zu viele „einengende“ Vorgaben zu machen — nur ein Teil der UCS Anwender nutzt auch den Mailservice von UCS, für alle andere wäre eine Vorkonfiguration von Nextcloud auf den UCS Mailservice eine Einschränkung. Alle Teile von Nextcloud können aber nach dem Login in Nextcloud als „Administrator“ aktiviert und konfiguriert werden, darunter auch verschiedene Webmailer.

      Nextcloud selber ist dabei nie ein Mailserver, sondern kann Mailservices nutzen. Der Mailservice von UCS ist eine eigene Komponente, zur Installation siehe z.B. den bereits verlinkten Home Server Artikel.

      7. „Hürden“ bei der Inbetriebnahme
      Bei UCS versuchen wir, ein System zu bauen das den Anwendern die Freiheiten eines offenen Software- und Ökosystems lässt und gleichzeitig möglichst viele Anwendungsszenarien einfach unterstützt. Dazu gibt es das App Center als einfaches Webinterface zur Auswahl, Installation und Aktualisierung von Software — aber auch die Möglichkeit, Anwendungen individuell zu konfigurieren.
      Das ist entsprechend mit mehr Schritten verbunden, als komplett vorkonfigurierte Lösungen. Diese Schritte können beim Einstieg wie eine Hürde wirken, beim weiteren Betrieb aber auch genau die Freiheit ausmachen, die ein solches System bieten möchte.
      Immer dann, wenn ein solcher Schritt als Hürde erscheint, gerne auf https://help.univention.com/ diskutieren!

      Vielen Dank für das Feedback,
      Ingo Steuwer

      Antworten
  3. Marcel Spiess

    26.08.2019 um 18:28 Uhr

    Hallo,

    bei mir will das ganze irgendwie nicht ganz funktionieren. Ich habe alles normal eingerichtet aber Thunderbird nimmt die Kofiguration nicht an. Mailserver ist installiert, Emailadresse ist vergeben und sonst passt auch alles.
    Woran kann das liegen ?
    https://ibb.co/CsCd3y5

    Gruß Marcel

    Antworten
  4. Michael Grandjean

    01.09.2019 um 15:53 Uhr

    Hallo,

    wenn sichergestellt ist, dass die Angaben in Thunderbird korrekt sind (Serveradresse, Benutzername, Kennwort …), dann müsste man mal auf dem Server in /var/log/auth.log nachschauen, ob die Anmeldung da ankommt und wenn ja mit welcher Begründung sie abgelehnt wird. Ich würde empfehlen das ganze als Thema im Forum aufzumachen, denn dort sind mehr Leute unterwegs (Helfer und solche die ggf. das gleiche Problem haben), und das Format macht die Fehlersuche etc. deutlich leichter als das hier in den Blogkommentaren ist.

    Freundliche Grüße,
    Michael Grandjean

    Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert