Ein Full Stack Mail Server in weniger als 5 Minuten

Ein Mailserver mit 5 Befehlen in weniger als 5 Minuten 🙂

DMS_GITHUB_URL='https://raw.githubusercontent.com/docker-mailserver/docker-mailserver/master'
wget "${DMS_GITHUB_URL}/docker-compose.yml"
wget "${DMS_GITHUB_URL}/mailserver.env"
wget "${DMS_GITHUB_URL}/setup.sh"

chmod a+x ./setup.sh
./setup.sh help

Nur noch einen Benutzer mit Domain anlegen:

./setup.sh email add <[email protected]> <password>
docker-compose up -d mailserver

Das wars, nun läuft euer Mailserver

Full Featured MailCow E-Mail Server zum NULL-Tarif

Im Zuge meiner Neuorientierung und „Entgoogle“ your life Kampagne habe ich mich entschieden meinen eigenen Mail-Server einzurichten. Hierbei sei zu erwähnen, dass ich auf essentielle funktionen wie Kalendar und Adressverwaltung NICHT verzichten konnte und wollte. Aus diesem Grund fiel meine Wahl auf mailcow.
Mailcow, basiert auf einer Reihe von docker containern. Bei der Wahl des Server Anbieters ist darauf zu achten, dass die Virtualisierung mit OpenVZ 7 oder aber als Voll-virtualisirung läuft. Auf Proxmox 7, als LXC Container funtioniert es nur mit speziellen Einstellungen. Genug der Worte, los gehts:

Vorab

  • FQDN entsprechend „mail.example.com“
  • A-Record für die Subdomain „mail“ (mail.example.com)
  • MX-Record auf die Subdomain mail.example.com
  • CNAME-Record für die Subdomains „autodiscover“ sowie „autoconfig
  • TXT-Record für Ihre Domain auf „v=spf1 mx ~all“ setzen
  • PTR-Record (Reverse DNS) für die IP-Adresse Ihres Servers und setzen. Wenn möglich.

Mailcow installieren

# apt update && apt upgrade -y
# apt install curl nano git apt-transport-https ca-certificates gnupg2 software-properties-common -y

#### Debian
# curl -fsSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg
# echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/debian $(lsb_release -cs) stable" | tee /etc/apt/sources.list.d/docker.list

#### Ubuntu
# curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg
# echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable" | tee /etc/apt/sources.list.d/docker.list

####
# apt update && apt install docker-ce docker-ce-cli -y
# Docker Compose installieren
# curl -L https://github.com/docker/compose/releases/download/$(curl -Ls https://www.servercow.de/docker-compose/latest.php)/docker-compose-$(uname -s)-$(uname -m) > /usr/local/bin/docker-compose
# chmod +x /usr/local/bin/docker-compose
# cd /opt
# git clone https://github.com/mailcow/mailcow-dockerized
# cd mailcow-dockerized
# ./generate_config.sh
#### Timezone: Europe/Berlin Hostename: mail.example.com
# nano mailcow.conf
#### Ggf. HTTP/S Ports anpassen und ggf. Lets-Encrypt deaktivieren
# docker-compose pull
# docker-compose up -d


Das war auch schon die Installation. Ihr könnt nun, unter https://mail.example.com:<Port aus mailcow.conf> euch einloggen. Die Default-Credencials sind: admin/moohoo

exim4 als Mailrelay auf 128MB VPS

In meiner Reihe, was man mit einem 128MB VPS anstellen könnte, kam mir die Idee, diesen als Mail Relay für einen „Zu Hause“ gehosteten Mail-Server zu nutzen. Da Mails von einer dynamischen IP immer rejected werden, macht es Sinn diese über ein Mail-Relay zu leiten.

Hier gibt es die Anleitung für Ubuntu/Debian. Zuerst einmal exim4 installieren.

apt install exim4
dpkg-reconfigure exim4-config

Diese Auswahl habe ich getroffen:

internet site; mail is sent and received directly using SMTP
System mail name: relay.example.org
IP-address to listen on for incoming SMTP connections: 127.0.0.1; 172.16.XX.XX
Other destinations for which mail is accepted: Leave Empty
Domains to relay mail for: * (This option will accept mail for any domain) 
Machines to relay mail for: Leave Empty (Or specify whitelisted relay IPs)
Keep number of DNS-queries minimal (Dial-on-Demand)? No
Delivery method for local mail: mbox format in /var/mail/
Split Configuration into small files? Yes (Very Important)  

Die erzeugt Config (etc/exim4/update-exim4.conf.conf) sollte nun wie folgt aussehen:

dc_eximconfig_configtype='internet'
dc_other_hostnames='relay.example.org'
dc_local_interfaces='127.0.0.1 ; 172.16.XX.XX'
dc_readhost='relay.example.org'
dc_relay_domains='*'
dc_minimaldns='false'
dc_relay_nets=''
CFILEMODE='644'
dc_use_split_config='true'
dc_hide_mailname='true'
dc_mailname_in_oh='true'
dc_localdelivery='maildir_home'  

Um nun die SMTP Authentifizierung zu Aktivieren kopieren wir das AddUser script nach sbin

cp /usr/share/doc/exim4/examples/exim-adduser /sbin
exim-adduser  

Hier geben wir nun den gewünschten User un Passwort ein.

Nun aktivieren wir noch die User-Authentifizierung

nano /etc/exim4/exim4.conf.template

Hier müssen folgende Blocke einkommentiert werden:

plain_server:
   driver = plaintext
   public_name = PLAIN
   server_condition = "${if crypteq{$auth3}{${extract{1}{:}{${lookup{$auth2}lsearch{CONFDIR/passwd}{$value}{*:*}}}}}{1}{0}}"
   server_set_id = $auth2
   server_prompts = :
   .ifndef AUTH_SERVER_ALLOW_NOTLS_PASSWORDS
   server_advertise_condition = ${if eq{$tls_cipher}{}{}{*}}
   .endif

login_server:
   driver = plaintext
   public_name = LOGIN
   server_prompts = "Username:: : Password::"
   server_condition = "${if crypteq{$auth2}{${extract{1}{:}{${lookup{$auth1}lsearch{CONFDIR/passwd}{$value}{*:*}}}}}{1}{0}}"
   server_set_id = $auth1
   .ifndef AUTH_SERVER_ALLOW_NOTLS_PASSWORDS
   server_advertise_condition = ${if eq{$tls_cipher}{}{}{*}}
   .endif  

Zu letzt müssen wir noch die Ports auf denen der exim4 hört freigeben. Bei NAT-VPS gibt es hiere einige einschränkungen (/etc/default/exim4).

SMTPLISTENEROPTIONS='-oX 587:25:1234 -oP /var/run/exim4/exim.pid'  

Zum schluss noch die Konfig updaten und Exim4 neu starten:

update-exim4.conf
/etc/init.d/exim4 restart  

Linux Lighttpd PHP in 3 min

Aktuell teste ich ich einige „Mini“ VPS mit nur 128MB und als reine IPv6 Systeme. Diese Systeme gibt es eigentlich fast umsonst im Netz. Die Frage stellt sich was man damit machen kann. Im ersten Schritt habe ich einen Mini WebServer, für Low Traffix Webseiten auf Basis von Lighttpd und PHP ausgesetzt.

Folgendes Script habe ich auf einem Micro VPS von Gullo.me getestet. Basis war Ubuntu 18.04.

wget -qO /root/install_llp.sh https://server1.tschoerner.eu/files/install/lighttpd/install_llp.sh --no-check-certificate && bash /root/install_llp.sh 

Limit memory of clamd on Debian/ubuntu

Nur als kurzes HowTo. HIer seht Ihr, wie ich den Speicherbedarf vom clamd begrenzen könnt.

nano /etc/systemd/system/clamav-daemon.service.d/extend.conf

[Service]
ExecStartPre=-/bin/mkdir /run/clamav
ExecStartPre=/bin/chown clamav /run/clamav
IOSchedulingPriority = 7
CPUSchedulingPolicy = 5
MemoryLimit=256M
CPUQuota=30%
Nice = 19

Gosund EP2, Teckin 22, Tuya Geräte ohne China Cloud und ohne flashen

Nachdem man leider die „flashbaren“ Wlan-Steckdosen von Gosund SP111 nicht mehr bei Amazon bekommt ist es schwierig diese in Home Assistant zu integrieren. Schließlich bin ich auf die Component „localtuya“ gestoßen. Zwar braucht man trotzdem einmalig die Tuya-App für die Einrichtung, dannach ist man aber von der China-Cloud befreit. In meiner Firewall habe ich auch den Zugriff für die Tuya Geräte auf der Internet geblockt.

Um nun die notwendigen Device-Ids und Keys zu bekommen muss man zunächst einen Account auf https://iot.tuya.com anlegen.

Im Anschluss erzeugt man unter „Cloud Develoment“ eine neue App.

Gosund EP2, Teckin 22, Tuya Geräte ohne China Cloud und ohne flashen

Im Anschluss daran müsst ihr eine App unter „App Services –> App SDK“ anlegen.

Gosund EP2, Teckin 22, Tuya Geräte ohne China Cloud und ohne flashen

Zum Abschluss müsst ihr noch die App aus dem AppSDK in der App in Cloud Development hinzufügen. Eine detailierte Beschreibung gibt es hier.

Nachdem das soweit erledigt ist, und Ihr nun Access ID/Client ID und Access Secret habt, braucht ihr ein Linux System (beispielsweise eine Raspberry).

Aus dem System installiert ihr nun npm mit folgendem Befehl:

apt install -y npm

Sobald alles durch ist, müsst ihr die tuya-cli installieren. Dies macht ihr mit folgendem Command:

npm i @tuyapi/cli -g

Beachtet bitte Schritte 1-4 von Github.

Nun solltet ihr erfolgreich die Device-Id’s eurer Geräte ausgelesen haben.

Gosund EP2, Teckin 22, Tuya Geräte ohne China Cloud und ohne flashen

Zum Schluss muss noch der Ordner custom_components/localtuya aus disem Git nach custom_components/localtuya in euer Home Assistant Konfiguration kopiert werden.

Mit dieser Konfiguration für Home Assistent kann man nun aus HA ohne die Tuya Cloud auf die Geräte zugreifen.

localtuya:
  - host: 192.168.1.x
    device_id: xxxxx
    local_key: xxxxx
    friendly_name: Tuya Device
    protocol_version: "3.3"
    entities:
      - platform: binary_sensor
        friendly_name: Plug Status
        id: 1
        device_class: power
        state_on: "true" # Optional
        state_off: "false" # Optional

      - platform: cover
        friendly_name: Device Cover
        id: 2
        open_close_cmds: ["on_off","open_close"] # Optional, default: "on_off"
        positioning_mode: ["none","position","fake"] # Optional, default: "none"
        currpos_dps: 3 # Optional, required only for "position" mode
        setpos_dps: 4  # Optional, required only for "position" mode
        span_time: 25  # Full movement time: Optional, required only for "fake" mode
        
      - platform: fan
        friendly_name: Device Fan
        id: 3

      - platform: light
        friendly_name: Device Light
        id: 4 # Usually 1 or 20
        color_mode: 21 # Optional, usually 2 or 21, default: "none"
        brightness: 22 # Optional, usually 3 or 22, default: "none"
        color_temp: 23 # Optional, usually 4 or 23, default: "none"
        color: 24 # Optional, usually 5 (RGB_HSV) or 24(HSV), default: "none"
        brightness_lower: 29 # Optional, usually 0 or 29, default: 29
        brightness_upper: 1000 # Optional, usually 255 or 1000, default: 1000
        color_temp_min_kelvin: 2700 # Optional, default: 2700
        color_temp_max_kelvin: 6500 # Optional, default: 6500


      - platform: sensor
        friendly_name: Plug Voltage
        id: 20
        scaling: 0.1 # Optional
        device_class: voltage # Optional
        unit_of_measurement: "V" # Optional

      - platform: switch
        friendly_name: Plug
        id: 1
        current: 18 # Optional
        current_consumption: 19 # Optional
        voltage: 20 # Optional

Postfix: Reprozessieren der Queue erzwingen

Postflix ist ein MTA. Manchmal ist es aus veschiedenen Gründen notwendig die Mailqueue zu reprozessieren.

Die Mailqueue kann man einfach mit „mailq“ oder „postqueue -p“ abfragen.

Um die Mailqueue zu reprozessieren einfach folgenden Befehl ausführen:

postqueue -f

In den Logs könnt Ihr den Fortschritt verfolgen:

tail -f /var/log/mail.log

Proxmox LXC Root Disk verkleinern

Wo es bei Proxmox einfach möglich ist, eine disc zu vergößern ist es schwieriger eine „große“ Disc wieder zu verklenern. Im prinzip besteht die Prozedur aus folgenden Schritten:

  1. Container stoppen
  2. Backup Erstellen
  3. Container löschen
  4. Backup wiederherstellen mit verkleinerter Disk
pct stop 106
vzdump 106 -storage local -compress lzo
pct destroy 106
pct restore 106 /var/lib/vz/dump/vzdump-lxc-106-*.tar.zst --rootfs local:10

Im Beispiel oben gibt die local:10 die Größe der neuen Disk in GB an.

Proxmox LXC Root Disk verkleinern

Docker OpenVPN Client Container für jDownloader, Torrent usw.

Um Dockercontainer über einen VPN Container zu routen muss man nicht viel konfigurieren. Am Beispiel von NordVPN erkläre ich wie ihr andere Container, beispielsweise jDownloader über ein VPN Netzwerk routen könnt.

docker run -ti --cap-add=NET_ADMIN --device /dev/net/tun --name vpn -e RECREATE_VPN_CRON="5 */3 * * *" -e RANDOM_TOP=10 -e USER=<username> -e PASS=<password> -d azinchen/nordvpn

Bei dem obigen aufruf ist es wichtig den Name des Containers zu setzen. In meinem Beispiel „vpn“.

Im Anschluss kann man nun jeden belibigen Container and den VPN Client binden. Im folgenden Beispiel verknüpfe ich einen Debian Container mit dem VPN Client. Hier ist es wichtig –net=container:vpn anzugeben.

docker run -it --net=container:vpn -d debian

Startet man ein traceroute im Debian Container sieht man nun, dass Pakete über den VPN tunnel geroutet werden. Jeder Container kann so über den Tunnel geroutet werden.