© alphaspirit, 123RF

Viele Unternehmen kommen um den Betrieb eines eigenen Mailservers nicht herum. Diese Firmen adressiert Proxmox mit seinem Mailgateway – und verspricht wirksamen Schutz gegen Spam und Viren.

Der Betrieb eines Mailservers ist kein Kinderspiel – das weiß jeder, der sich dieser Aufgabe schon mal gegenüber sah. Viele Unternehmen delegieren sie deshalb an Anbieter wie Google. Das geht ganz leicht: Es genügt, für alle betroffenen Mitarbeiter einen Google-Apps-Account anzulegen, die Domäne dort zu konfigurieren und deren MX-Einträge im DNS-System auf die Mailserver von Google zeigen zu lassen – fertig.

Die zu erwartenden Vorteile sind etwa eingebaute Antispam-Maßnahmen oder Virenschutz. Wer den Google-Dienst für Mails schon mal benutzt hat, weiß: Spam schafft es hier so selten in die Mailbox, dass sofort auffällt, falls eine solche Mail doch mal durch den Filter rutscht.

Das Auslagern von Mails an große Anbieter ist aber nicht der Königsweg, der für jedes Unternehmen funktioniert. Oft stehen Compliance-Anforderungen einem Umzug der eigenen Maildienste in die Cloud entgegen. Und tatsächlich gibt es gute Gründe dafür, die eigenen Mails nicht bei einem Anbieter wie Google zu lagern, zumal das Gros der Mails bis heute unverschlüsselt über den Äther geht und so für jeden in der Zustellkette leicht zu lesen ist.

Mühsame Arbeit

Wer trotzdem einen eigenen Mailserver betreiben möchte, muss sich um den Schutz vor Spam und Viren selbst kümmern. Zwar ist es nicht sonderlich kompliziert, auf einem Host Postfix [1] aufzusetzen und MX-Einträge entsprechend zu ändern. Aber das Zusammenspiel von Postfix mit verschiedenen Diensten wie Clam AV [2], Spam Assassin [3] und Amavis [4] so einzurichten, dass es funktioniert und zum Beispiel auch einen Bayes-Filter selbst trainiert, erfordert schon einigen Aufwand. Hinzu kommen noch neuere Dienste und Funktionen, etwa das Sender Policy Framework (SPF, [5]), die ebenfalls in das Mailsetup integriert sein wollen.

An die Admins, die einen Mailserver zwar selbst betreiben müssen, sich den Spam- und Virenschutz jedoch schenken wollen, richtet sich das Proxmox-Mailgateway. Es verspricht ein transparenter Filter für Spam und Viren zu sein. Kürzlich veröffentlichte die Wiener Softwarefirma Proxmox die Version 5.0 ihres Produkts. Erstmals ist das Proxmox-Mailgateway nun unter der AGPL lizenziert. Grund genug nachzusehen, ob es Mailadmins tatsächlich die Arbeit erleichtert. Oder handelt es sich um Schlangenöl?

Wie das Konzept funktioniert

Zwar rückt das Proxmox-Mailgateway durch die Veröffentlichung unter einer freien Lizenz stärker ins Interesse der Öffentlichkeit, doch neu ist weder das Produkt noch das Konzept der Lösung. Dies besteht darin, in den Prozess des Mailversands einen Proxyserver so einzubauen, dass es nicht auffällt.

Offenbar wollte man im Hause Proxmox aber verhindern, dass Kunden das Proxmox-Mailgateway als Zielserver für ihre eingehenden Mails eintragen und damit als Quasi-Mailserver betreiben. Aus Anbietersicht ist das schlau: In vielen Unternehmen existieren ja schon umfassende Maillösungen, etwa auf Basis von Postfix oder Exchange.

Wer diese ablösen will, müsste eine Mailserver-Appliance bauen, die mit allen existierenden Mailserver-Geschmacksrichtungen zurechtkommt. Der Ansatz des Proxmox-Mailgateways ist smarter: Es begnügt sich damit, den eingehenden Mailverkehr abzufangen, zu untersuchen und dann an den eigentlichen Mailserver weiterzuleiten.

Dazu installiert der Admin des Unternehmens das Produkt zunächst auf einem separaten Server und konfiguriert im Anschluss seine Firewall so, dass sie Mailtraffic an das Mailgateway von Proxmox weiterleitet. Sobald die Mails beim Mailgateway eingehen, untersucht sie dort eine Armada verschiedener Programme und gibt sie, falls kein Grund für die Zurückweisung der Mail zu finden ist, schließlich an den eigentlichen Mailserver weiter (Abbildung 1).

Abbildung 1: Das Proxmox-Mailgateway schaltet sich zwischen Firewall und den lokalen Mailserver und untersucht Mails im Transit.

Dieses Konzept funktioniert freilich nur für eingehende E-Mails und nicht für jene E-Mails, die Mitarbeiter des Unternehmens versenden. Deren Schutz ist allerdings ebenso wichtig wie der vor eintrudelnden Viren: Versendet ein Amok laufender Client zum Beispiel reihenweise Spam-Mails über die IP-Adresse des Firmen-Mailservers, ist die Reputation eben jener IP schnell vernichtet – und andere Mailserver lehnen Mails dieses Systems möglicherweise auf Basis von Blacklisten automatisch ab.

Proxmox umgeht das Problem durch einen weiteren Trick: Der Admin kann den eigentlichen Mailserver des Unternehmens anweisen, alle ausgehenden Mails an das Proxmox-Mailgateway zu senden, das dann als Smart Host fungiert. Sowohl eingehende Mails als auch ausgehende Mails wandern so durch das Produkt, ohne dass die Außenwelt groß Notiz davon nimmt.

Debian als Basis

Aus der Beschreibung des Konzepts ergibt sich, dass Proxmox eben nicht nur ein transparenter Proxy ist, sondern in den Mailversand aktiv eingreift. Dafür muss das Mailgateway selbst ein Mailserver sein – die Proxmox-Entwickler haben diese Anforderung auf Basis von Debian GNU/Linux umgesetzt. Der Version 5 des Mailgateways, und das ist neben der neuen Lizenz eine ihrer großen Neuerungen, basiert auf der aktuellen Version von Debian, also Debian GNU/Linux 9 alias Stretch. Die Entwickler selbst beschreiben das Proxmox-Mailgateway als Neuentwicklung, die viel Ballast der Vergangenheit abwirft.

Die Verwandtschaft mit Debian ist deutlich: Wer möchte, kann das Produkt auf einer echten Debian-Basis installieren, die entsprechenden Proxmox-Pakete sind aus einem Zusatzverzeichnis zu beziehen. Der Anbieter empfiehlt diese Herangehensweise aber nur jenen Admins, die sowohl das Mailgateway als auch Debian gut kennen. Für alle anderen bietet Proxmox ein ISO-Abbild an, das – auf einen USB-Stick oder einen DVD-Rohling gebannt – das Mailgateway und das benötigte Debian installiert.

Beim Installer (Abbildung 2) hat Proxmox sich Mühe gegeben: Mit einem eigenen Theme ausgestattet, fragt der Assistent nur jene Werte ab, die unbedingt nötig sind. Der Rest geschieht komplett automatisch. Falls der Kunde das denn will – an verschiedenen Stellen ergibt sich auch die Möglichkeit, direkt in das Geschehen einzugreifen, etwa bei der Konfiguration von ZFS.

Abbildung 2: Proxmox liefert das Produkt mit einem Installer, der es auf Basis einer ISO-Datei startklar macht.

Ein Vorteil der Debian-Basis ist übrigens, dass sich jedes beliebige Paket aus den Debian-Archiven installieren lässt. Außerdem bekommt ein laufendes Mailgateway Sicherheitsupdates für die Systemkomponenten direkt vom Hersteller – gut so, denn die Erfahrung zeigt, dass kleine Firmen mit dem Bereitstellen von Sicherheitsupdates für eine eigene Quasi-Distribution oft überfordert sind.

Blick ins Getriebe

Bei einem genaueren Blick auf die von Proxmox verbauten Komponenten fällt einem zunächst typische Hausmannskost auf. Seine Funktionen setzt das Programm mit alten Bekannten aus dem E-Mail-Umfeld um, darunter Postfix als MTA sowie Clam AV als Virenschutz und Spam Assassin für das Auffinden und Filtern von Spam-Nachrichten.

Das sollte man dem Proxmox-Mailgateway jedoch nicht als Nachteil auslegen, denn die genannten Komponenten existieren schon ewig und verrichten in Millionen von Setups täglich zuverlässig ihren Dienst. Sie sind entsprechend erprobt und wenig störanfällig. Tatsächlich ist es eher positiv zu bewerten, dass Proxmox auf eben jene Komponenten setzt und nicht versucht, das Rad neu zu erfinden. Daran haben sich verschiedene Hersteller in der Vergangenheit schon die Finger verbrannt.

Ein Baustein des Gesamtkonzepts ist die Tatsache, dass das Mailgateway eine eigene Benutzerverwaltung hat, die sich aber an schon vorhandene Systeme wie LDAP anschließen lässt. Postfix, das auf dem Mailgateway die Mails annehmen oder verwerfen muss, weiß oder kann zumindest wissen, welche lokalen Benutzer es gibt. Ein großer Teil eingehender Mails richtet sich, so die Proxmox-Rechnung, an E-Mail-Adressen, die eigentlich gar nicht existieren, die aber aufgrund so genannter Catch-All-Einträge trotzdem angenommen und an irgendeine Mailbox zugestellt werden.

Die Möglichkeit, eine Benutzerdatenbank auf den Mailgateways zu verwalten oder die Server an eine bestehende Benutzerverwaltung anzubinden, soll dieses Problem lösen. Das Gateway, so jedenfalls die Idee, verwirft sofort sämtliche Mails, die an unbekannte Mailadressen gerichtet sind. Proxmox nennt dieses Feature Receiver Verification und verspricht sich davon bis zu 90 Prozent weniger Mailaufkommen insgesamt.

Wenig überraschend implementiert das Produkt auch SPF (Sender Policy Framework): Gehen beim Mailgateway E-Mails von einem Server ein, für den kein SPF-Eintrag existiert, lehnt es die Mail ab und verhindert so die Zustellung.

Blacklisting und Greylisting

Proxmox setzt auf verschiedenen Ebenen sowohl auf Blacklisting als auch auf Greylisting. Einerseits nutzt das Produkt eine Blacklist auf DNS-Basis (DNSBL, [6]), um Spam-Quellen zu identifizieren und Mails von diesen gleich kategorisch von der Zustellung auszuschließen. Andererseits ist auch Greylisting implementiert. Schickt ein Server also eine Mail an das Proxmox-Mailgateway, nimmt es die Mail nicht sofort an, sondern vertröstet den anderen Server auf später.

Die Hoffnung: Viele Spam-Versender unternehmen erst gar keinen zweiten Versuch, die Mail zuzustellen. Das Konzept ist allerdings umstritten: Einerseits dauert es durch Greylisting recht lange, bis legitime Mails beim Empfänger zugestellt werden. Und andererseits sind die Spammer in der Vergangenheit schlauer geworden und haben den Greylisting-Trick längst durchschaut.

Obendrein implementiert das Mailgateway auch SURBL [7]: Auf Basis verschiedener Datenbanken im Netz überprüft es dabei den Inhalt von Mails. SURBL steht für “Spam URI Realtime Block List”, es handelt sich also um zentrale Verzeichnisse von URLs, die in Spam- oder Phishing-E-Mails vorkommen. SURBLs werden meist in Echtzeit aktualisiert. Taucht in einem Mailtext eine URL auf, die bereits in einer SURBL-Liste verzeichnet ist, lehnt der Mailserver die Annahme dieser E-Mail ebenfalls ab.

Nicht fehlen dürfen bei Proxmox auch Bayes-Filter, die fixer Bestandteil von Spam Assassin sind. Sie lernen unter Mitwirkung der Anwender selbstständig: Deklariert ein Nutzer eine Mail, die es zuvor durch den Filter geschafft hat, im Nachhinein als Spam, analysiert der Filter diese erneut und speichert deren zentrale Eigenschaften als Faktoren für das künftige Erkennen von Spam.

Umfangreiche Skriptsprache

Möchte der Admin auf dem Mailgateway bestimmte Empfänger oder Absender von der normalen Behandlung durch die verschiedenen Mailwerkzeuge ausnehmen, kann er das über eine Whitelist im Proxmox-Mailgateway tun. Das wirkt sich auf die Maildienste unmittelbar aus, trägt der Admin also die IP-Adresse eines entfernten Mailservers oder eine spezielle Absenderadresse in die Whitelist ein, überprüft das Mailgateway deren E-Mails fortan nicht mehr. Die Regeln für das Whitelisting definiert der Admin über eine ausgewachsene, auf Objekten basierende Skriptsprache.

Jede Regel hat dabei fünf Felder: »FROM«, »TO«, »WHEN«, »WHAT« und »ACTION«. Pro Feld stehen dem Admin mehrere Objekte zur Verfügung, für die er Abhängigkeiten definieren und die er auch beliebig miteinander kombinieren kann. Besonders interessant ist das »ACTION«-Feld, weil hier neben den zu erwartenden Schlüsselwörtern wie jenen für das Verwerfen oder das Zustellen von Mails auch Logging-Aktionen bereitstehen.

Wirklich praktisch: Das GUI

Proxmox hat offensichtlich gründlich darüber nachgedacht, welche Zielgruppe das eigene Mailgateway eigentlich hat. Klar ist: Ein Unternehmen, das eine riesige Mailserverfarm betreibt, hat für das Produkt wohl keine Verwendung, weil die benötigte Technik und das benötigte Wissen schon vorhanden sind. Anders sieht es bei kleineren und mittelständischen Firmen aus. Sie haben durchaus Gründe, die Kontrolle über die eigenen Mails nicht an einen externen Anbieter abzugeben, verstehen IT aber nicht als ihr Kerngeschäft und möchten möglichst wenig Aufwand treiben.

Vorrangig an sie richtet sich Proxmox – und bei diesen Firmen kann man nicht unbedingt davon ausgehen, einen Admin mit langen Jahren an Kommandozeilen-Erfahrung zu haben. Das Produkt soll sich deshalb so einfach wie möglich nutzen lassen.

Konkret umgesetzt hat Proxmox dieses Ziel beim Mailgateway über ein in Version 5 weitgehend neu geschriebenes Web-GUI. Der Anspruch ist klar: Per Webinterface soll es sowohl dem Admin möglich sein, das gesamte Verhalten des Mailgateways zu steuern, als auch Nutzern, ihre Einstellungen dort zu verwalten (Abbildung 3).

Abbildung 3: Die Mailkonfiguration erledigt der Admin per GUI, etwa das Eintragen der Domains des Setups.

Das Ergebnis des Versuchs darf als gelungen gelten: Das Webinterface ist nicht nur klar aufgebaut und gut strukturiert, sondern bietet auch den direkten Zugriff auf alle wichtigen Hebel und Schalter. Die zuvor bereits beschriebenen Filterregeln auf Objektbasis hinterlegt der Admin hier in wenigen Klicks. Per »Configuration«-Menü erhält er Zugriff auf die Stellschrauben, die mit dem Basissystem zusammenhängen.

Ist etwa die Anbindung an ein vorhandenes LDAP gewünscht, trägt der Admin die Daten hier ein. Alle Einstellungen mit direktem Bezug zum Mailsetup, etwa die Liste der Domains oder die Konfiguration des Ziel-Mailservers, finden sich unterhalb des »Administration«-Menüs auf der linken Seite.

Eine Aktion, die der Admin als »ACTION« in einer Zustellregel für E-Mails im Proxmox-Mailgateway hinterlegen kann, ist die Quarantäne-Option. Die Lösung verwirft E-Mails, bei denen diese Regel greift, nicht vollständig, sondern packt sie in Quarantäne auf dem Mailserver. Praktisch: Jeder Nutzer kann sich selbst mit seinen Credentials an einem eigenen Web-GUI einloggen und die für ihn in Quarantäne liegenden Mails prüfen. Erwischt das Mailgateway mal eine E-Mail, die eigentlich legitim ist, kann der Nutzer sie auf diesem Wege retten – ohne den Admin zu behelligen (Abbildung 4).

Abbildung 4: Auf das Quarantäne-Feature des Proxmox-Mailgateways haben auch die Anwender Zugriff, die einzelne Mails durchlassen können.

Eine der Hauptaufgaben des Admins eines Mailservers ist es, den Verbleib von E-Mails zu klären – gerade dann, wenn diverse Filter aktiv sind, wie es im Falle des Proxmox-Mailgateways der Fall ist. Weil das Produkt gleichzeitig aber auch Admins anspricht, die nicht in Linux-Shell-Syntax träumen, muss es entsprechend simpel sein, herauszufinden, was mit einer E-Mail passiert ist.

Proxmox löst auch dieses Problem über das Web-GUI. Hier findet sich das Proxmox Message Tracking Center, in dem Log-Einträge für jede einzelne Mail mit Angaben zu deren Absender und Empfänger zu finden sind. Obendrein legt das Tracking Center auch Statistiken über das Mailaufkommen insgesamt an, die dem Admin einen ungefähren Eindruck vermitteln, was auf seinem Mailserver gerade los ist (Abbildung 5).

Abbildung 5: Proxmox bietet für das Mailgateway auch Statistikfunktionen an.

Hochverfügbarkeit als Feature

Baut man das Proxmox-Mailgateway so in sein Setup ein, wie der Hersteller es in seinen Prospekten vorgibt, entsteht zwangsläufig ein Single Point of Failure. Denn eine Einzelinstanz des Produkts ist natürlich nicht redundant. Wer die Lösung im Unternehmenseinsatz betreiben möchte, wird Redundanz jedoch brauchen – der Ausfall des jeweiligen Systems sollte schließlich nicht dazu führen, dass die Firma keine Mails mehr empfangen kann. Proxmox hat von der eigenen Virtualisierungs-Umgebung her einige Erfahrung im Hinblick auf das Thema Hochverfügbarkeit, und so verwundert es nicht, dass der Hersteller für das Proxmox-Mailgateway ebenfalls eine HA-Erweiterung anbietet.

Die funktioniert so: Der Admin definiert einen Master-Server, an den sich verschiedene Slave-Instanzen hängen. Auf dem Master gibt der Admin die Konfiguration vor, die dieser auf der Ebene der Proxmox-Managementwerkzeuge direkt an die Slave-Instanzen der Installation weitergibt. Das geschieht über eine sichere VPN-Verbindung, die das Mailgateway zwischen den Instanzen aufbaut. Alle HA-relevanten Einstellungen erledigt der Admin via GUI.

Der Rest funktioniert so, wie man es aus konventionellen HA-Setups kennt: Geht der gerade aktive Server des Clusters ein, übernimmt ein anderer automatisch dessen Funktionen. Dem Produkt gereicht hier erneut zum Vorteil, dass es nicht den lokalen Mailserver ersetzen möchte – um Themen wie das redundante Speichern von Mails muss sich Proxmox also gar nicht erst kümmern, diese Aufgabe ist komplett an den eigentlichen Mailserver eines Setups übergeben.

HA auf Ebene des Mailproxys bedeutet letztlich nur, dass im Falle eines Falles eine andere Proxmox-Instanz bereitsteht, die das Filtern und Zustellen eingehender Mails an den lokalen Mailserver übernimmt. Im Test funktionierte das erfreulich zuverlässig.

Trotz der Unterstützung in Form eines GUI lässt Proxmox seine Admins auch in Sachen Dokumentation nicht im Regen stehen. Der Proxmox-Mailgateway Admin Guide [8] enthält die komplette Dokumentation des Produkts und geht auch auf die Fragen der erstmaligen Einrichtung ein. Wer also bei der Installation von Proxmox Probleme hat, findet hier vermutlich die Antworten.

Das Proxmox-Preismodell

Am Ende stellt sich die Frage, ob das Proxmox-Mailgateway etwas kostet – und wenn ja, wie viel. Tatsächlich ist das Produkt ein gutes Beispiel dafür, dass freie Software auch kommerziell funktioniert, wenn ein brauchbares Supportmodell dahinter steht. Grundsätzlich gilt: Die ISO-Datei, die für die Installation des Proxmox-Mailgateways notwendig ist, bekommt der Admin völlig kostenlos auf der Website des Herstellers [9]. Sie enthält alle Komponenten des Mailgateways und lässt sich ohne Einschränkungen installieren.

Anders sieht es allerdings aus, wenn es um Updates geht. Denn die gibt es bei Proxmox nur in einem Enterprise Repository, und für dieses wiederum ist ein separater Lizenzschlüssel nötig. Bedingt durch den Wechsel der Lizenz hat es allerdings auch diverse Änderungen bei den Supportpaketen gegeben, deren Bestandteil auch jene Lizenzschlüssel sind. Für rund 120 Euro pro Jahr erhält der Kunde bereits die Community-Subscription, in der Zugriff auf das Enterprise Repository enthalten ist. Support durch den Hersteller fehlt in diesem Szenario jedoch.

Wer den braucht, greift zu den Varianten Basic für 490 Euro pro Jahr, Standard für 1200 Euro pro Jahr oder Premium für 1800 Euro pro Jahr. Darin enthalten ist Zugriff auf das Proxmox-Kundenportal sowie fünf, 15 oder beliebig viele Support-Tickets. Die garantierte Reaktionszeit ist in allen Fällen ein Werktag; die Premium-Variante enthält zusätzlich Remote-Support via HTTPS und SSH direkt durch den Hersteller.

Wer gar kein Geld ausgeben möchte, kann das Mailgateway komplett ohne den Zugriff auf das Proxmox Enterprise Repository nutzen. Eigens für diesen Zweck hat der Hersteller auch ein spezielles Non-Subscriber-Repository geschaffen, das es ermöglicht, kritische Sicherheitslücken zu schließen, auch wenn man keine Enterprise-Lizenz erworben hat. Von den regulären und per Enterprise Repository aufgespielten Updates, die auch Bugfixes sowie neue Features enthalten, sind Nutzer ohne Proxmox-Subskription allerdings ausgeschlossen.

Fazit

Das Proxmox-Mailgateway ist ein ausgesprochen praktisches Werkzeug für all jene Unternehmen, die einen Mailserver brauchen, diesen aus Compliance- oder anderen Gründen jedoch nicht in der Cloud betreiben dürfen oder wollen und die zudem nicht den Ehrgeiz haben, alle Feinheiten der Mailserver-Administration selbst zu beherrschen.

In dieser Konstellation erledigt das Produkt aus Wien unter einer einheitlichen Oberfläche für den Admin genau jenen Teil des Mailserver-Setups, der ihm sonst die meisten Nerven kosten würde und der auch am schwierigsten zu implementieren ist.

Die Idee, zwischen die eigene Firewall und den eigenen Mailserver einen zusätzlichen Server zu packen, der Mails untersucht und bei Bedarf aussondert, ist durchaus schlau. Denn damit lässt sich das Proxmox-Mailgateway, das diese Strategie umsetzt, ohne größere Schwierigkeiten in praktisch jedes bereits existierende Mailsetup integrieren.

Die Neuerungen der Version 5 machen außerdem Spaß: Erstmals steht das Tool unter einer komplett freien Lizenz. Zudem haben die Entwickler sowohl den Unterbau in Form eines aktuellen Debian GNU/Linux als auch die Proxmox-spezifischen Werkzeuge einer radikalen Frischzellenkur unterzogen. Das stark verbesserte Administratoren-GUI ist darüber hinaus sehr praktisch und ermöglicht die komfortable Administration des Mailproxys.

Angesichts der aufgezählten Vorteile fällt der Preis gar nicht mehr so sehr ins Gewicht: 1499 Euro für eine unlimitierte Jahreslizenz inklusive Support gehen vor dem Hintergrund der vom Proxmox-Mailgateway gebotenen Funktionen vollkommen in Ordnung. Die Personalkosten, die auf ein Unternehmen andernfalls zukämen, das ein eigenes, handgehäkeltes Mailsetup pflegen wollte, fielen ziemlich sicher nicht geringer aus.

Wer mit Spam Assassin, Clam AV, Amavis oder Postfix und all den anderen Diensten also keinen direkten Kontakt mehr haben möchte, der sollte sich den Proxmox-Mailproxy doch einmal ganz genau ansehen.