Raspberry Pi: IMAP und SMTP Mailserver installieren
E-Mails sind selbst in Zeiten von Social Networks und Chats ein Kommunikationsmedium, das häufig genutzt wird. Möchte man nicht, dass die eigenen E-Mails bei einem Provider wie Google, T-Online, Web.de und Co. liegen, so könnte man auf die Idee kommen, einen eigenen IMAP und SMTP Mailserver auf dem Raspberry Pi zu installieren und dazu bspw. noch ein hübsches Webinterface wie Roundcubemail aufzusetzen. Der Raspberry Pi als Mailserver stünde daheim, wo man sicher sein kann, dass die E-Mails zumindest dort nicht mitgelesen werden können. Im Folgenden werde ich nicht erklären wie man einen IMAP und SMTP Mailserver auf dem Raspberry Pi installiert, sondern warum dieses Vorhaben sowohl aus technischer als auch praktischer Sicht nicht sinnvoll ist. Ebenfalls werde ich sinnvollere Methoden aufzeigen, wie man den E-Mail Verkehr sicherer gestalten kann.
Technische Probleme
Über IMAP oder alternativ auch POP3 könnte man einen E-Mail Account einrichten, in dem die ankommenden Nachrichten gespeichert werden bis diese von einem Client abgerufen bzw. gelöscht werden. Dazu bräuchten wir eine Domain mit einer DynDNS, damit wir uns eine E-Mail Adresse anlegen könnten. Hierin liegt das kleinste Problem, da das im Normalfall funktionieren sollte. Das einzige für mich denkbare Problem wäre, dass von einem SMTP Server eine E-Mail an unseren IMAP/POP3 Server auf dem Raspberry Pi gesendet wird. Anschließend ändert sich die dynamische IP-Adresse unseres Anschlusses (bei privaten DSL-Anschluss so üblich) und dies wird dem DynDNS Dienst mitgeteilt. Zwischen der Mitteilung der neuen IP-Adresse und dem Versand einer zweiten E-Mail vom selben SMTP Server dürfte nun weniger Zeit als die TTL des DynDNS Dienstes vergehen. Die TTL beschreibt die Zeit nach der bei einem DNS-Sever erneut angefragt wird, welche IP-Adresse zu einem Domainnamen gehört. Da dies bei DynDNS in der Regel bei unter 60 Sekunden liegt und der Wechsel der IP-Adresse zu einer Zeit stattfindet wo die meisten von uns schlummern, ist das ein wie Eingangs erwähnt eher theoretisches Problem. In diesem kleinen Zeitfenster vom selben Server versendete E-Mails könnten, unter der Voraussetzung, dass erneute Zustellversuche deaktiviert wurden, nicht ankommen.
Ein viel ernsthafteres Problem bereitet uns der SMTP Server, der für den Versand von E-Mails zuständig ist. Nehmen wir an, wir versenden eine E-Mail an einen Freund, der seine E-Mail Adresse bei Google Mail hat, so wird unsere E-Mail, egal welchen Inhalt diese hat, im Spamordner landen. Der Grund hierfür ist, dass die meisten Anti-Spam-Filter die MX DNS-Records (enthält die IP-Adresse, die zu unserem Domainnamen gehört) auf Richtigkeit überprüft und dabei auch feststellt, ob es sich um eine feste oder dynamische IP-Adresse handelt. Bei Privatanschlüssen hat man in der Regel eine dynamische IP-Adresse und nachdem von solchen häufig Spam kommt, filtern die meisten Spam-Filter E-Mails von solchen Adressen direkt aus. Das hätte zur Folge, dass unsere E-Mails meist im Spam-Filter hängen bleiben. Um das zu verhindern müssten wir die E-Mails über einen Server mit fester IP-Adresse versenden und diese in den MX DNS-Record der Domain eintragen. Wenn man nicht gerade einen Server mit fester IP-Adresse angemietet hat, wäre die einzige Möglichkeit, die E-Mail über einen SMTP Server eines dritten Anbieters zu versenden, womit dieser die E-Mail speichern kann und der Aufwand für die Katz ist.
Praktisches Problem
Gehen wir davon aus, dass wir uns dazu entscheiden die E-Mail über einen SMTP Server eines dritten Anbieters zu versenden, so könnte diese dabei gespeichert werden, womit wir bei einem trivialen Problem sind: Bei einer E-Mail wird im Normalfall der bisherige Konversationsverlauf mitgesendet. Dies hätte zur Folge, dass man nicht nur bspw. eure Antwort auf eine E-Mail mit dem Versand von nur einen E-Mail speichern könnte, sondern gleich den ganzen Konversationsverlauf.
Des Weiteren haben die meisten Nutzer von E-Mails, zumindest im Privaten Bereich, einen Account bei einem der großen Anbieter. Das hat zur Folge, dass schlussendlich eure Nachricht samt Konversationsverlauf doch wieder bei diesen landet und unsere Mühe in Nichtigkeit verpufft.
Sinnvollere Methoden
Ist es also aussichtslos sicher per E-Mail zu kommunizieren? Nicht wirklich. Es macht nur sowohl aus technischer als auch praktischer Sicht nicht viel Sinn, einen Mailserver auf einem Raspberry Pi zu betreiben. Hat man einen Server mit fester IP-Adresse, wäre schon mal das technische Problem gelöst, nicht aber das Praktische, das ich beschrieb. Die Lösung, wie man die E-Mails auch sicher versenden kann, wenn der Empfänger bei einem dritten Anbieter ist, ist Verschlüsselung. Konkret hat sich in diesem Bereich die PGP-Verschlüsselung durchgesetzt. Wie man diese im Konkreten verwendet kommt auf den genutzten E-Mail Client an. Da es dazu bereits jede Menge Tutorials im Netz gibt und die Funktionsweise der Verschlüsselung auch diverse Male gut erklärt wurde, erspare ich mir die Erläuterung an dieser Stelle. Einen Nachteil birgt die Verschlüsselung jedoch: Beide Seiten müssen diese nutzen, da die Gegenseite die Nachricht auf deren Client wieder entschlüsseln muss.
Fazit
Sinnvolle Sicherheit geht ohne einen Gewissen Aufwand nicht. Dieser muss jedoch von beiden Seiten betrieben werden. Der Weg einen Mailserver mit IMAP oder POP3 und SMTP auf dem Raspberry Pi aufzusetzen ist auf jeden Fall nicht sinnvoll, da sich das benannte technische Problem mit dem SMTP Server ergibt und sich gleichzeitig praktische Probleme ergeben, die den Aufwand zunichte machen.
18 Kommentare. Hinterlasse eine Antwort
Mit einem smtp relay geht das! Ich habe jahrelang einen eignen MS Exchange Server über DynDNS im eigenen Büro betrieben gehabt. Mit einem Raspberry Pi sollte es nicht anders sein.
Darauf ging ich im Artikel ebenfalls ein. Dadurch könnten die E-Mails wieder mitgelesen werden, da diese für gewöhnlich Verläufe enthalten.
Achso, SMTP-Verkehr kann immer irgendwo abgegriffen und gespeichert werden. Das hat aber nichts mit dem Betreiben eines eigenen Mailservers auf Basis eines Raspberies zu tun, da dies generell zutrifft! Dabei ist es egal ob ich eine eigene Hardware mit fester oder dyn. DNS, einem Mailhostings oder einem Serverhosting oder einem einfachen Mailproviders wie web oder gmx.de meinen Mailverkehr anvertraue. Und um Mails zu versenden muss ich ja an erster Stelle einen SMTP-Server verwenden.
Ein SMTP-Relay ist ja auch „nur“ dazu da, das meine Mails von einer festen IP versendet werden -meiner dyn. IP vertraut keine Gegenstelle 🙂 und wird gleich vom Empfänger in die Tonne getreten!
Solange die SMTP-Übertragung zwischen zwei Mailservern nicht durchgängig verschlüsselt wird (DANE/TLSA, vgl. Mail.de) ist die „SSL-Verschlüsselung“ von meinem E-Mail-Clienten zu meinem E-Mailserver sowieso für die Katz‘! Denn diese SSL-Verschlüsselung ist eigentlich nur von mir (Mail-Clienten) zu meinem Mailserver definiert und nicht die Verbindung vom meinem E-Mailserver zum Empfäng-E-Mailserver! Spätestens mit einem korrespondierene Mail-Server auf US/UK/AU/..-Gebiet wird die versendete E-Mail von der NSA abgegriffen und dauerhaft gespeichert!
Ganz abgesehen davon, daß schon auf deutschem Gebiet sämtlicher Traffic am DE-CIX abgegriffen wird (vgl. Heise Online).
Das einzige was überhaupt sicher wäre, ist eine E-Mail z.B. per PGP zu verschlüsseln. Entweder auf dem Raspberry Mailserver oder dem Clienten direkt. Doch in der Praxis ist kaum jemand bereit dies auch auf der Gegenseite zu unterstützen! „Mutti, ich habe dir gerade eine E-Mail gesendet. Hier hast du meinen öffentlichen PGP-Schlüssel..“ 😉
Wenn du ein SMTP-Relay verwendest wird dieser aber auf einem Server eines Drittanbieters liegen und dieser kann bereits mitlesen (vor, bzw. schon wieder nach, den Netzknoten). In der Summe hast du, wie ich im Artikel ja schon beschrieb, noch einmal aufgeführt, dass es ohne PGP o.ä. prinzipiell nicht viel sicherer ist. Folglich sehe ich, wie erläutert, keinen sinnvollen Mehrwert einen Mailserver auf dem Raspberry Pi zuhause zu betreiben.
Sorry, aber da sind doch einige „Ungereimtheiten“ im Artikel. Prinzipiell kann jede unverschluesselte E-Mail von irgendjemanden mitgelesen werden, voellig egal, wie man sie versendet. (Fast) nie wird eine E-Mail von MTA zu MDA direkt zugestellt (und selbst dann koennte MTA und MDA, wenn wir schon paranoisch sind;-)) diese mitlesen, sondern es werden einige andere MTA involviert sein.
Nun aber zum Thema, warum ein eigener E-Mail Server (egal auf welchem System) durchaus viel Sinn machen kann:
– Man hat gar keinen Pop-/IMAP Account, sondern „nur“ eine Domain
– Man moechte nicht mit der Konfiguration von vielen, vielen IMAPs handtieren, weil man mehrere Domains (und somit ggf. mehere Anbieter hat), zumindest nicht auf jedem Endgraet. Man moechte statt dessen einen Server konfugurieren und die Clients einfach halten (gleichartige IMAP Postfaecher).
– Man hat damit seine E-Mail gleich mobil dabei, weil man sich per VPN in sein Heinetzwerk einwaehlt.
– Ja, das kann man auch haben, wenn man seine Mails bei Provider liegen laesst, aber dann hat man ein Speicherplatz Problem.
– Man kann bequem Datensicherungen seiner E-Mails aufsetzen
Ja, ich stimme zu, SICHER werden E-Mails erst mit der Verwendung von Verschluesselung. BTW: die hingegen werden von einigen Geheimdiensten wiederum lieber mal gespeichert, weil sie ja den Anschein erwecken, etwas geheimes zu enthalten. Dass sie vielleicht erst in ein paar Jahren passieren wird, sei mal dahin gestellt.
Doch nun sind wir im Spekulativen Bereich, es gibt sogar Menschen, die behaupten, NSA und Co koennten PGP verschluesselte E-Mails jetzt schon entschluesseln.
Bleibt also jedem selbst ueberlassen, was er (un)-veschluesselt versendet und was er auf anderen Wegen verbreitet. In einer Zeit, in der das Telefon auch ueber’s Internet funktioniert, ist auch das nicht mehr sicher, genau so wenig wie Brief. Von FB, Chats und sonstigem „neumodischen Zeugs“ moechte ich nicht anfangen. Bleibt die kleine, dunkle, abhoersichere Kammer, um seine Erzaehlungen gemein zu halten. Und selbst dann hat man den Zuhoerer, der das Gehoerte weiter erzaehlen koennte.
Was ich sagen will (siehe oben): es gibt durchaus Gruende, seine eigenen Server zu betreiben, einen E-Mail Server aufzusetzen kostet nicht viel Zeit und man lernt (wie E-Mails funktionieren). Spass macht es nebenbei auch noch, selbst wenn man so Kleinigkeiten wie geblockte Port 25 umgehen muss, wie in meinem Fall.
Wie kann ich eigentlich die vielen – wegen Zeitnot entstandenen 😉 Schreibfehler beheben?
Ach, egal, ich schenk‘ sie Euch 😉
Nach einiger Recherche zu dem Thema scheint es wirklich nicht sinnvoll einen Mailserver auf dem Pi zu betreiben. Schade.
PGP ist eine Möglichkeit. Ja. Mache ich auch. Leider nutzen zu wenige in meinem Umfeld PGP!
[…] Nach einigem Suchen habe ich einen tollen Blog Post gefunden, wo alles bestens erklärt wird, warum es keinen Sinn macht, auf einem lokalen Server, einen IMAP und SMTP Mailserver zu installieren. […]
Für mich war ein Mailserver sehr sinnvoll. Ich synchronisiere damit über IMAP die Notes meine iPads / iPhone, ohne über die iCloud gehen zu müssen. Dafür brauchte ich einfach nur die IMAP-Funktionalität. Bei der Installation habe ich die ersten beiden Teile des Tutorial https://samhobbs.co.uk/raspberry-pi-email-server nachvollzogen (postix und dovecot). Das läuft. Alles weitere wurde mir zu kompliziert, weil dann ein Apache-Server benötigt wird, ich aber nginx installiert habe.
Hi, sehr cooler Artikel und tolle Kommentare.
Ich persönlich überlege gerade wie ich meine Mailinfrastruktur, Kalender und Kontakte gut und halbwegs sicher verändern kann – d.h. weg von Google und synchron auf PC/Web/Smartphone.
Zur Verfügung steht Webspace und 10GB IMAP/SMTP Postfach beim deutschen Provider und eigene Domains. Der Provider stellt lediglich eine alte RoundCube Version zur Verfügung ohne Plugins und somit ohne CalDav oder CardDav. Kein SSH Zugang. SSL auf dem Webspace würde meine Kosten fast verdreifachen.
Ich möchte aber weitgehendst unabhängig von allen Anbietern sein und meine Daten nicht auslagern und falls ausgelagert, dann soweit möglich verschlüsselt.
Also hab ich vServer, verschiedene Webmailer und alles Mögliche angeschaut. vServer stehen halt woanders, kosten mir ehrlich gesagt zu viel und Zugriff haben im Zweifelsfall auch immer andere darauf. Webmail ist ja RoundCube nicht schlecht, allerdings würde mir hier auf meinem Webspace das SSL fehlen, schließlich gehen Termine, Kontakte und eben auch Mails dann darüber von den unterschiedlichsten Orten/Netzen. Dass ich Mails praktisch eh nicht komplett sicher bekomme, ist spätestens jetzt mit dem Artikel klar, unabhängig davon würde ich auch PGP benutzen um einen ersten Schritt im Freundeskreis zu tätigen. Aber der eigene Mailserver ob auf dem Pi oder auf einem vServer ist recht sinnlos.
In der Summe ist meine Wahl aktuell auf Horde Groupware Webmail Edition gefallen, die unterstützt nämlich u.a. PGP was sonst kein mir bekannter Webmailer kann, WebDav, CalDav und CardDav. Leider findet man da wiederum kaum entsprechende Hoster und ich bin mit meinem eh sehr zufrieden – der kann eine ggf. veraltete Version nur im größeren Paket bereitstellen, dass mich dann das vierfache kosten würde. Aktuell kann man Horde aber nur mittels SSH bzw. Kommandozeilenzugang installieren, alles andere ist ein enormer Aufwand und damit auf meinem normalen Webspace ohne SSH und SSL ein Ding der Unmöglichkeit bzw. einfach zu teuer.
Und so bin ich beim Raspberry Pi gelandet. Dort Horde installieren, eigenes SSL Zertifikat und eine Domain von mir auf no-ip umleiten, die auf den Pi umleitet. So habe ich Kontakte und Termine voll unter meiner Kontrolle und kann Mails von überall sicher abrufen und versenden – mit PGP oder S/MIME falls der Mailpartner es unterstützt und auch alle Daten auf meinem eigenen System im eigenen Haus.
Backuplösung sollte soweit kaum ein Problem sein, die kann immer wieder auf den Rechner erfolgen, ansonsten dürfte ein gleichzeitiger Totalausfall des PI und des Handys unwahrscheinlich sein wenn der Rechner und dessen Backupplatte defekt wären.
Horde scheint auch sehr gut auf dem Pi zu laufen. Und so ein Ding ist ja so oder so nicht verkehrt, da kann man noch viel mehr anstellen 🙂
Ich kann mir vorstellen, dass ein Mailserver über den Raspberry Pi dann sinnvoll ist, wenn man eine Email Adresse benutzen möchte mit der man sich überall auf den Websiten, auf denen man sich so mit einer Email Adresse anmelden muss.
Dropbox, Facebook, Twitter und hunderte andere Dienste wo man die Email lediglich als Login und für das Empfangen von Emails benötigt.
In dem Fall wäre es doch ein Vorteil das über seinen Hauseigenen Pi-Server laufen zu lassen, oder sehe ich das falsch? Stichwort Datenhoheit.
Ich würde mich deshalb wirklich sehr freuen, wenn du doch eine Anleitung machen würdest für einen IMAP & SMTP Mailserver auf dem Raspberry Pi.
Deine Tutorials sind nämlich alle durchweg absolut super leicht verständlich und gut erklärt!
Das Grundproblem würde das selbe bleiben. Ich wüsste ehrlich gesagt keinen ernsthaften Grund warum man für eine „Spam E-Mail-Adresse“ keinen Freemailer hernehmen sollte.
Wieso Spam Email Adresse? Die Login Email Adresse ist teilweise der einzige Schlüssel um an seine Accounts heran zu kommen, wenn man keine Alternativ Email Adresse angegeben hat.
Und wenn dann diese Email Adresse in meinem vollen Besitz ist, finde ich das alleine schon aus Sicht der Datenhoheit sehr sinnvoll.
Ich habe mittlerweile ein anderes Tutorial gefunden mit dem ich mir einen Mailserver aufgesetzt habe und betreibe diesen nun schon seit einigen Wochen. Funktioniert prächtig. Und das Gefühl die volle Kontrolle über meinen Account zu haben ist super.
Stimmt. Das ist ein gar nicht so schlechtes Argument für diesen Anwendungsfall. Jedoch sehe ich für meinen Blog kein Tutorial als die sinnvollere Option an, wegen der oben angeführten Argumente eines „normal Nutzungsverhaltens“.
Hallo Jan,
ich habe seit kurzer Zeit einen postfix Mail Server auf meinem Raspi am laufen. Realisiert habe ich das mit portunity.de, die via VPN Tunnel einem eine feste IP Adresse zuweisen. Der Tunnel steht auch nach der nächtlichen Zwangstrennung vom lokalen ISP. Domain ist via no-ip.com realisiert. Alles fünktionert wunderbar und ich kann (ohne hier Werbung machen zu wollen) jedem nur portunity.de empfehlen, wer eine feste IP Adresse für den eigenen Mail Server benötigt. Bessere Alternativen habe momentan noch nicht gesehen.
hallo an alle,
vielen dank für die nachvollziehbaren argumente gegen einen mail-server. ich habe nun aber argumente für einen mail-server bzw. für ein imap-mail-datengrab auf raspi-basis. dort sollen nur alte mails gespeichert werden. ein mailversand ist, schon allein wegen sicherheits-aspekten und mx, nicht geplant. zum hintergrund: wir als kleine baustoff-firma bekommen jeder pro jahr etwa 3-4gb an mails pro mitarbeiter (haupsächlich pdf’s und bauzeichnungen). diese sollten nun in nem mail-archiv gespeichert werden. schon allein wegen möglicher haftung. bei strato haben wir 5gb pro mail-postfach. bisher haben wir das über hmailserver unter windows gelöst. schön wäre aber ein how-to, wie man so ein mail-datengrab auf nem raspi anlegen könnte. vielleicht wäre sowas als mail-archiv auch für andere interessant. freue mich über jegliche rückmeldungen. gruß gorden
Hallo Gorden,
ich habe privat genau das gleiche Ziel. Ich möchte meine Mails in einem Archiv speichern und vom Smartphone aus durchsuchbar haben. Allerdings ohne die Daten bei Google zu lagern oder kostenpflichtig in bei einem anderen Anbieter (sind ja doch einige GBs).
Die tägliche Nutzung läuft über einen kommerziellen Anbieter bei dem ich aber nach 30 Tagen die alten Daten abräume und in meine Hoheit übernehme.
Hast du inzwischen etwas gefunden für den PI?
Grüße
bufferlow
hallo bufferlow,
danke für deine anfrage und dein interesse für mein (wohl augenscheinlich exotisches) problem. habe leider noch nicht die zeit gefunden, das ganze weiter zu verfolgen. es läuft bei uns immer noch auf nem virtuellen win7-rechner mit hmailserver. auf unserem firmen-pi, auf dem das ganze laufen soll, läuft seit 2 jahren sauber ne owncloud. deshalb müßte eine kombination aus exim4 und dovecot hinbekommen werden. alle how-to’s, die ich gefunden haben, waren uralt und haben nicht funktioniert. falls du also was aktuelles findest, das funktioniert, laß es mich bitte wissen. anders herum werde ich mich natürlich auch melden, wenn ich was gefunden habe.
gruß
gorden