Lange Jahre habe ich mich komplett auf externe Anbieter verlassen, was den Betrieb von Email-Servern anging – weil ich mich in das Thema nicht wirklich einarbeiten wollte und konnte. Hier möchte ich allerdings meine aktuelle Lösung vorstellen, die ihren Zweck tut und damit zur Reproduktion geeignet ist – ich behaupte allerdings nicht, dass sie perfekt ist und lasse mich gerne eines Besseren belehren.
Ich betreibe einen Exchange Server 2019 für die private (aktuell noch mehr experimentelle) Nutzung und einen Postfix auf ISPconfig. Von meinen zahlreichen Domains (ca. 25 an der Zahl) kann ich also beliebig entscheiden, ob ich die Emails auf Exchange oder Postfix hosten will. Meine Haupt-Domain vertraue ich übrigens Microsoft 365 Exchange an – das ist mir aktuell noch zu heikel, die selbst zu hosten.
Auf meine Server-Infrastruktur gehe ich in einem gesonderten Artikel ein. Wichtig hier ist nur zu wissen, dass Exchange im DC1 virtualisiert ist und der ISPconfig-Postfix in der Cloud bei Hetzner. Ebenfalls im DC1 habe ich ein Proxmox Mail Gateway (PMG) virtualisiert – die zentrale und meiner Meinung nach essentielle Komponente für einfach zu verwaltendes und sicheres Email-Server-Setup.
Angenommen, die primäre Domain wäre koehler.local. Dann würde ich den A-Record mail.koehler.local auf PMG zeigen lassen und die MX-Records aller Domains, die über den PMG gefiltert werden sollen, eben auf mail.koehler.local zeigen lassen. Im PMG muss man dann die Transports konfigurieren (Configuration > Mail Proxy > Transports). Diese habe ich aktuell auf IPv4-Adressen zeigen, weil mein PMG aktuell noch nicht IPv6-fähig ist und es sonst zu Komplikationen mit AAAA-Records von Mail-Servern käme, was zu delayed / unzustellbaren Emails führt.
Außerdem müssen unter (Configuration > Mail Proxy) noch die Relay Domains und Networks eingetragen werden, damit der PMG weiß, dass die ein- und ausgehenden Emails wirklich für ihn gedacht sind und an vertrauenswürdige Server weitergeleitet werden sollen. Das sind im Prinzip schon die wichtigsten Einstellungen, damit kann das Setup schon funktionieren und die Mails werden über PMG geroutet. Ich konfiguriere dann gerne noch DKIM, weil es relativ einfach einzurichten ist und die Vertrauenswürdigkeit der Email-Domains erhöht, so dass die ausgehenden Emails unwahrscheinlicher als Spam eingestuft werden. Ebenfalls sollte man SPF-Records im DNS setzen. TLS ist optional, habe ich bisher noch nicht konfiguriert.
Die wichtigsten Bereiche zur Fehleranalyse oder Debugging, wenn etwas nicht wie erwartet funktionieren sollte, finden sich unter (Administration > Tracking Center) und (Administration > Queues).
In einem separaten Artikel gehe ich darauf ein, wie man den PMG mit Let’s Encrypt absichert.
