Bugfix: fufix Mailserver Installer 0.7.1.1

"fufix" Banner

Ohje, da hat sich doch glatt ein nerviger Fehler eingeschlichen. Angelegte Domänen in Postfixadmin waren nicht sichtbar, außer dem Adminstrator wurden diese noch einmal explizit zugewiesen.

Dafür jetzt auch etwas aufgeräumter und in naher Zukunft mit dem SabreDAV Framwork versehen…
Der Changelog fällt entsprechend klein aus.

Changelog

– FIXED: Domains do not appear in „Domain List“ (this brings back the PHP Notice, just ignore it for now)
– Only stop service „clamav-freshclam“ while running „freshclam“
– Adjusted colors and style
– Use more [INFO] tags
– Catch errors when configuring timezone and installing packages
– Removed CalDAV und CardDAV from dashboard

Download

https://github.com/andryyy/fufix/releases/tag/v0.7.1.1

9 Antworten auf “Bugfix: fufix Mailserver Installer 0.7.1.1

  1. Tom

    Hi,

    gibt es denn auch eine Möglichkeit, von v0.6.* auf diese Version zu aktualisieren, ohne alle meine Daten zu verlieren?

    Ich konnte dazu bisher leider nichts finden :(

  2. Steffen

    Hallo Andre,

    Dachte ich melde mich auch mal. Seit Dezember verfolge ich deinen Installer. Habe seit mitte 2014 ein immer mal wieder aufwärmendes Hobby Projekt am laufen … der Mail Server auf dem Raspberr PI im Keller.

    Nachdem ich mit Amavis zu hohe Last auf dem Teil hatte stolperte ich über FuGlu … danach war es nicht lang und ich stolperte über deine Website. Danke erstmal für die Mühe.

    Habe dein Script erst vor einer Woche an einem komplett frisch aufgesetzten Raspberry mal wieder laufen lassen und tut wunderbar.

    Meinen nächsten Schritt werde ich wohl dem hin zu fügen von z-push widmen … ausser Zeitmangel sollte das kein Problem ergeben.

    1. André P. Autor

      Hi Steffen,
      vielen Dank, dass du dich meldest! Freut mich sehr zu hören. :-)
      Ich muss ja sagen, dass ich mich mit Z-Push etwas schwer tue. Ich bekomme es immer ans laufen, aber nie so zuverlässig, wie ich es gerne hätte. Irgendwann gibt es irgendwo Probleme.
      Ich war zuerst wirklich angetan von der Idee, aber mittlerweile versuche ich die Menschheit eher von ActiveSync wegzubekommen. :-) Es ist zudem unglaublich ressourcenlastig.
      Kennst du das hier? https://github.com/fmbiete/Z-Push-contrib – lief für mich etwas stabiler. Immerhin.
      Insgesamt ist es gar nicht so schwer, nervig sind nur die ganzen Rewrites und DNS-Records.

      Viele Grüße
      André

      1. Steffen

        Hallo Andrea,

        Also ich habe z-push auf einem anderen Set-up seit Jahren am laufen. Keine Probleme.

        Performance … hmmm … ok, ich muss zugeben auf dem anderen System habe ich genug CPU und RAM das es nicht auffallen würde wenn z-push mehr verbraucht als man ihm im Normalfall geben würde. Da bin ich ja dann mal gespannt ob mein Raspberry da noch mit macht.

        Da es ständig (leider) änderungen bei z-push gibt, da es ständig änderungen bei MSoft gibt habe ich mich irgendwie daran gewöhnt bei z-push zu bleiben. Da die bei Zarafa mit drin hängen und die Jungs so wie so interesse daran haben immer auf dem neusten Stand zu sein.

        Eine ECHTE alternative hab ich nicht gefunden. Der Kerl auf GitHub mag seine Berechtigung haben, aber mal ehrlich, wenn MSoft wie letztes Jahr mehrfach an den MAPI Schnittstellen und anderem Kram schraubt dann ist wohl ein bezahltes Team schneller auf dem Dampfer als ein Einzelkämpfer auf GitHub.

        Na ja, meine Meinung.

        Ich werf mal z-push mit auf den Raspberry sobald fufixx dort rund läuft, mal sehen … ich melde mich mal wieder.

        Gruß Steffen

  3. Krombel

    Hi André,

    erst einmal vielen Dank für deine Mühe bei der Erstellung des Installations-Skripts. Nach config-Anpassung ging ich von einem DAU-Skript aus, aber ich musste vorher folgendes erledigen. Vieleicht kannst du das bei dir einbauen:

    apt-get update
    apt-get dist-upgrade -y
    apt-get install netcat apt-utils dialog -y

    Desweiteren ist mir bei einem Test folgendes Aufgefallen: SSLv2 und SSLv3 werden gar nicht deaktiviert.
    Als ich in /etc/postfix/main.cf nachsah, konnte ich sehen, dass zwar
    smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
    gesetzt war (Also sage den anderen, dass ich es nicht benutze), aber
    smtpd_tls_protocols=!SSLv2,!SSLv3
    fehlte. Aber gerade diese Zeile deaktiviert die SSLv2&SSLv3-Unterstützung.

    Nachdem ich es geändert hatte, lief alles wie gewünscht.

    MfG Krombel

    1. André P. Autor

      Hi Krombel,
      danke für dein Feedback!

      Der Installer bricht ab, wenn netcat nicht installiert ist, ich denke, dass ich das Paket in Zukunft wohl automatisch installieren lasse.
      Den Dialog-Fehler habe ich im Git schon behoben, ich installiere „whiptail“, „dialog“ ist aber nicht weniger korrekt. :-)
      Die apt-utils fehlten in der Minimal-Installation? Das muss ich mal testen, wäre doof, das baue ich dann gleich auch noch schnell ein.

      So, jetzt zum technischen:
      Ja, es gibt „smtpd_tls_mandatory_protocols“ und „smtpd_tls_protocols“ für den SMTP daemon.
      Die „smtpd_tls_mandatory_protocols “ greifen, wenn ich die TLS-Verbindung „erzwinge“, also gar nicht Wahl lasse. Das passiert bei fufix auf Port 587, hier werden die Mails vom User eingeliefert, hier ist eine sichere Verbindung Pflicht (> „smtpd_tls_security_level = encrypt“)! Besitzt der User keinen Client/MUA, der ein sicheres Protokoll unterstützt, hat er „Pech gehabt“ und muss das Problem beheben – um es etwas krass auszudrücken.

      Auf Port 25 ist TLS hingegen opportunistisch (> „smtpd_tls_security_level = may“). Es muss nicht verwendet werden, wäre aber toll.
      Jetzt der Knackpunkt, warum SSLv3 hier noch aktiv ist: SSLv3 ist angreifbar, das stimmt. Die Mittel, um so einen Angriff auszuführen, sind nicht „mal eben“ gegeben. In >99% der Fälle sind SSLv3 Übertragungen sicher, da sie nicht manipuliert werden.
      Stell dir vor, du schreibst 100 Mails am Tag. 70 gehen an Server, die TLSv1.x unterstützen. Alles super. 20 Server werden von faulen Admins/blöder Software betrieben, die nur mit SSLv3 zufrieden ist. Wenn unser Server an dieser Stelle SSLv3 als nicht sicher einstuft und TLS opportunistisch ist, wird er einfach gar keine Verschlüsselung anwenden und die Mail klartext übertragen. Das ist noch viel schlimmer, als das minimale Risiko einzugehen, dass die Verbindung mitgehört UND angegriffen wird.
      Die Alternative lautet TLS auf Port 25 zur Pflicht zu machen. Allerdings wirst du unzählige Mails nicht mehr empfangen können.

      Ich denke, dass der Hinweis für viele Interessant ist, daher die ausführliche Antwort. :-)

      Viele Grüße
      André

      Ach so: Die restlichen 10 Mails gehen an Server, die gar keine Verschlüsselung anwenden. Nicht, dass jemand denkt, ich könne nicht rechnen. :-)

      1. Krombel

        Hi André,
        vielen Dank für die schnelle Antwort.
        Die Argumentation hinter der Einstellung zu SSLv3 ist nachvollziehbar: Dadurch dass SSLv3 nicht als „unterstützt“ bekannt gemacht wird, wird es nur von MTA’s verwendet, die das „bessere“ nicht können. Und „schlecht“ verschlüsselt ist immer noch besser als nicht verschlüsselt.

        Als Erweiterung zu fufix hab ich bei mir DANE (postfix aus wheezy-backports, da erst ab 2.11.0 unterstützt) und SPF (postfix-policyd-spf-python) installiert.
        Ich denke, dass SPF durchaus auch in fufix Platz hätte.

        Bei DANE bin ich mir nicht so sicher. Leider ist es noch nicht sehr verbreitet. Aber fufix könnte evtl. dazu beitragen, es mehr durchzusetzen ;) Dazu müsste man „nur“ das backports-Repository installieren und paar Config-Einstellungen ändern. Dann kann postfix die TLSA-Einträge der anderen Server überprüfen.

        Ein HowTo wie hat mir dabei geholfen, es einzurichten.

        Wie siehst du dies?
        MfG Krombel

        1. André P. Autor

          Hi,

          DANE ist eine feine Sache und wird sich hoffentlich noch weiter verbreiten. :-)
          SPF wird derzeit über SA „geprüft“, eher wird bei falschem SPF eine extrem hohe Bewertung vergeben, die unweigerlich zur Markierung führt (oder Ablehnung, ich weiß es gerade nicht).
          Wobei ich zur Zeit noch hin und her gerissen bin, was ich in Zukunft wirklich drin lasse und was ich rausnehme.
          Kommen wird auf jeden Fall Postscreen, das ist die simpelste und günstigste Lösung, um gut >95% Spam draußen zu halten. Aber das muss auch ordentlich konfiguriert sein. Im Fall von fufix eben sehr allgemein, aber trotzdem „gut“.
          ClamAV und SA sind einfach unglaublich schwer. Und der Nutzen eher gering.
          Lediglich SA als Milter für „das Bisschen“, das noch durchkommt, sowas könnte es werden. Aber mal sehen. Wobei ich mir ungerne die Fähigkeiten von FuGlu nehmen lassen möchte.
          Naaaaja, mal sehen.

          Danke auf jeden Fall für deine Antwort noch einmal. :-)

          Viele Grüße

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.