Stalwart-Logo
Dem quelloffenen „Mail & Collaboration Server“ haben seine Entwickler ein neues Web-GUI und ein neues Kommandozeilenwerkzeug spendiert. Version v0.16 bringt zudem ein verbessertes DNS-Management und eine automatische DKIM-Rotation mit.
Stalwart arbeitet primär als E-Mail-Server, der die Protokolle JMAP-, IMAP-, POP3 und SMTP beherrscht. Darüber hinaus kümmert sich der Dienst noch um Kalendereinträge, Kontaktdaten und Dateien. Diese verteilt Stalwart über die Protokolle CalDAV, CardDAV und WebDAV. Der Dienst lässt sich leicht skalieren und soll mehrere Millionen Postfächer gleichzeitig jonglieren können. Die Community-Fassung steht unter der liberalen AGPL-3.0.
Einen Fokus legen die Entwickler vor allem auf die Sicherheit: Stalwart unterstützt zahlreiche Standards wie S/MIME, OpenPGP, DANE und MTA-STS. Der E-Mail-Server kann zudem automatisch TLS über das ACME-Protokoll bereitstellen, sowie zur Authentifizierung von E-Mail-Absendern DKIM-Schlüssel erzeugen, diese rotieren und im DNS publizieren.
Genau hier setzt die Version v0.16 an: Das DomainKeys Identified Mail (DKIM) speichert die zur Authentifizierung genutzten Schlüssel im Domain Name System (DNS). Dort müsste man die Schlüssel immer wieder erneuern. Stalwart greift hier Administratoren unter die Arme und erneuert die Schlüssel automatisch. Das betrifft den kompletten Workflow: Stalwart erzeugt die Schlüssel, rotiert sie anhand eines vorgegebenen Terminkalenders und veröffentlicht sie dann im TXT-Record im DNS. Die Schlüssel landen zudem jetzt in der Datenbank bei der restlichen Stalwart-Konfiguration, so dass Administratoren sie einfacher sichern können.
Apropos DNS: Stalwart v0.16 verwaltet nicht mehr nur den TXT-Record, sondern kümmert sich auch um die Records MX, TXT, CNAME, SRV, CAA und TLSA. Der Server ermittelt die benötigten passenden Einträge und hält sich automatisch im entsprechenden DNS-Server auf dem aktuellen Stand.
Die größte sichtbarste Neuerung dürfte aber die komplett neu entwickelte grafische Weboberfläche sein. Sie soll nicht nur moderner wirken, sondern auch zahlreiche Verbesserungsvorschläge von Nutzern umsetzen. Dazu zählt insbesondere die Möglichkeit, den Zugang über einen OIDC-kompatiblen Authentifizierungsdienst wie Keycloak abzusichern.
Nicht mehr vorhanden ist die alte REST-API. Anwendungen, die den Webserver steuern möchten, müssen jetzt zwingend die JMAP-Schnittstelle verwenden. Die nutzt auch das neue Kommandozeilenwerkzeug „stalwart-cli“. Es richtet sich vor allem an Administratoren und die Einbindung in Skripte – außerdem sollen das Tool KI-Agenten nutzen.
